Datennutzungs- und Datenschutzverträge: Muster, Klauseln, Erläuterungen 9783504383640
Achtung: Neuauflage bereits im Angebot! Die Bedeutung des Datenschutzes steigt in gleichem Maße wie sich die Datenvera
136 62 8MB
German Pages 1168 Year 2013
Polecaj historie
![Datenschutz- und Datennutzungsverträge: Vertragsmuster, Klauseln, Erläuterungen [2., neu bearbeitete Auflage]
9783504385439](https://dokumen.pub/img/200x200/datenschutz-und-datennutzungsvertrge-vertragsmuster-klauseln-erluterungen-2-neu-bearbeitete-auflage-9783504385439.jpg)
![Improvisation und Organisation: Muster zur Innovation sozialer Systeme [1. Aufl.]
9783839426111](https://dokumen.pub/img/200x200/improvisation-und-organisation-muster-zur-innovation-sozialer-systeme-1-aufl-9783839426111.jpg)
![Einstweiliger Rechtsschutz im Arbeitsgerichtsverfahren: Grundlagen – Praxis – Muster [4. neu bearbeitete und erweiterte Auflage]
9783504386269](https://dokumen.pub/img/200x200/einstweiliger-rechtsschutz-im-arbeitsgerichtsverfahren-grundlagen-praxis-muster-4-neu-bearbeitete-und-erweiterte-auflage-9783504386269.jpg)
![Das ADR-Formularbuch: Erläuterungen Muster Entscheidungshilfen [2. neu bearbeitete und erweiterte Auflage]
9783504385064](https://dokumen.pub/img/200x200/das-adr-formularbuch-erluterungen-muster-entscheidungshilfen-2-neu-bearbeitete-und-erweiterte-auflage-9783504385064.jpg)
![Neue Muster, alte Maschen?: Interdisziplinäre Perspektiven auf die Verschränkungen von Geschlecht und Raum [1. Aufl.]
9783839427002](https://dokumen.pub/img/200x200/neue-muster-alte-maschen-interdisziplinre-perspektiven-auf-die-verschrnkungen-von-geschlecht-und-raum-1-aufl-9783839427002.jpg)
Citation preview
Moos (Hrsg.) Datennutzungs- und Datenschutzverträge
Datennutzungsund Datenschutzverträge Muster · Klauseln Erläuterungen Herausgegeben von
Dr. Flemming Moos Rechtsanwalt Hamburg
2014
Bearbeiter Prof. Dr. Ralf B. Abel
Henning Krieg, LL.M.
Rechtsanwalt, Hamburg
Rechtsanwalt, Berlin
Marian Arning, LL.M.
Dr. Markus Lang
Rechtsanwalt, Hamburg
Rechtsanwalt, Düsseldorf
Silvia C. Bauer
Dr. Sebastian Meyer, LL.M.
Rechtsanwältin, Köln
Rechtsanwalt und Notar, Bielefeld
Dr. Ulrich Baumgartner, LL.M.
Dr. Flemming Moos
Rechtsanwalt, München
Rechtsanwalt, Hamburg
Thorsten Feldmann, LL.M.
Jamie Nowak, LL.M. Eur.
Rechtsanwalt, Berlin
Rechtsanwalt, München
Dr. Axel Freiherr von dem Bussche, LL.M.
Leif Rohwedder
Rechtsanwalt, Hamburg
Dr. Detlev Gabel Rechtsanwalt, Frankfurt a.M.
Stephan Hansen-Oest Rechtsanwalt, Flensburg
Frank Henkel Rechtsanwalt, Hamburg
Julian Höppner, LL.M. Rechtsanwalt, Berlin
Dr. Thomas Jansen Rechtsanwalt, München
Dr. Wulf Kamlah Rechtsanwalt, Frankfurt a.M.
Rechtsanwalt, Hamburg
Dr. Daniel Rücker, LL.M. Rechtsanwalt, München
Lena Schulte Rechtsanwältin, Berlin, London
Bernhard von Sonnleithner, LL.M. Rechtsanwalt, München
Dr. Frank Weberndörfer Rechtsanwalt, Hamburg
Dr. Mirko Wieczorek Rechtsanwalt, Frankfurt a.M.
Christoph Zieger Rechtsanwalt, München
Vorwort Das Datenschutzrecht ist zwar dem Bereich des öffentlichen Rechts zuzuordnen, es weist aber auch mannigfache Bezugspunkte zum Zivilrecht und hier vor allem zum Vertragsrecht auf. Vertragliche Vereinbarungen zwischen datenverarbeitenden Stellen tragen dazu bei, die sich aus den gesetzlichen Datenschutzvorschriften ergebenden Anforderungen zu erfüllen. Das geschieht nicht nur in Fällen, in denen das Gesetz den Abschluss solcher Verträge explizit verlangt, wie z.B. für Auftragsdatenverarbeitungen i.S.v. § 11 BDSG, sondern auch mittelbar, indem Verträge als Instrumente verwendet werden, datenschutzrechtliche Verpflichtungen umzusetzen, wie z.B. im Fall der vertraglichen Beauftragung eines externen Datenschutzbeauftragten, dem Abschluss einer Betriebsvereinbarung zum Datenschutz oder auch der Vereinbarung der EUStandardvertragsklauseln für Übermittlungen personenbezogener Daten an Empfänger außerhalb des EWR. Die Bedeutung von Daten-bezogenen Verträgen erschöpft sich aber nicht in dieser „Compliance-Funktion“: In einer Data Driven Economy, die zunehmend durch Geschäftsmodelle wie Scoring, Behavioural Advertising, Social Media Monitoring und Predictive Analytics geprägt wird, stellen Daten natürlicherweise das zentrale Wirtschaftsgut dar. Die Funktion von „Data as the new Oil“ wird sich in Zeiten von Big Data noch verstärken. In einer solchen Daten-getriebenen Wirtschaft ist die Sammlung, Auswertung, Weitergabe und sonstige Nutzung von Informationen deshalb ein zentraler Bestandteil des Wirtschaftsverkehrs, der zwischen den Wirtschaftssubjekten mittels Verträgen abgewickelt wird. In dieser Funktion begrenzen oder beschränken die Verträge also die Datennutzung nicht; sie ermöglichen und organisieren sie gerade. In vielen Fällen weisen solche Informationen einen Personenbezug auf. Das Datenschutzrecht erkennt zwar die Vertragserfüllung als einen den Umgang mit personenbezogenen Daten grundsätzlich rechtfertigenden Zweck an; es wirkt hierbei aber wiederum regulierend auf die Vertragsbeziehungen ein, z.B. durch das Gebot der Zweckbindung. Diese Einwirkung lässt sich auch für die datenschutzrechtliche Einwilligung konstatieren, die eine zentrale Funktion im Datenschutzrecht einnimmt und ebenfalls einen wichtigen Konnex zum Zivilvertragsrecht bietet: So sieht das Gesetz teilweise Koppelungsverbote vor, die etwa die Einholung einer Einwilligung als Voraussetzung für bestimmte Vertragsabschlüsse verbieten; ferner ist in der Rechtsprechung des BGH anerkannt, dass vorformulierte Einwilligungserklärungen ihrerseits den Anforderungen des AGB-Rechts genügen müssen. Das vorliegende Handbuch soll für alle vorstehend benannten Regelungszwecke und Verwendungsszenarien passende Muster bereithalten, d.h. Verträge und andere Regelungsinstrumente, die dem Schutz personenbezogener Daten unmittelbar dienen, wie auch Vereinbarungen und Klauseln über die Nutzung, Übermittlung und sonstige Verwendung personenbezogener Daten, die gerade aufgrund der zugelassenen Datenverwendungen besondere datenschutzrechtlich determinierte Regelungen erfordern. Den roten Faden des Handbuchs bilVII
Vorwort
det somit die Datenschutzrelevanz aller darin aufgenommenen und kommentierten Muster. Hierdurch soll eine Lücke in der bisherigen Fachliteratur geschlossen werden. Alle Muster können Sie als pdf unter www.otto-schmidt.de/moos herunterladen. Ihre persönlichen Zugangsdaten finden Sie im vorderen Einband Ihres Buches. Das Handbuch richtet sich in erster Linie an Rechtsanwälte, Unternehmensjuristen, Datenschutzbeauftragte und andere Nutzer, die über eine juristische Vorbildung verfügen und mit der Erstellung oder Prüfung von Datennutzungsoder Datenschutzverträgen jeglicher Art oder anderer Daten-bezogenen Regelungen wie Einwilligungen, Unternehmensrichtlinien oder Policies betraut sind. Die Muster sollen grundsätzlich für den datenschutzrechtlichen Laien verwendbar sein, gleichzeitig aber anhand der Erläuterungen eine Auseinandersetzung mit den Klauseln auf wissenschaftlichem Niveau erlauben. Es ist hierbei bewusst eine homogene Meinungsbildung bzw. Vereinheitlichung wiederkehrender Klauseln über das gesamte Werk nicht beabsichtigt, sondern eine gewisse Heterogenität in der Vertragspraxis erwünscht, weil sie dem Nutzer weitere Alternativen bietet. Eine Bezugnahme ist hier dann in den Erläuterungen der Muster durch Querverweise erfolgt. Bei den Verfassern der kommentierten Muster handelt es sich ausnahmslos um erfahrene Rechtsanwälte, die in ihrer täglichen Praxis mit der Erstellung und Prüfung datenschutzbezogener Verträge und Klauseln befasst sind und bezüglich der praktischen Verwendung der hier als Muster aufgenommenen Regelungen echtes Insider-Wissen besitzen. Diesen Autoren gilt mein besonderer Dank dafür, dass sie in diesem Handbuch ihr geballtes Know-how an die Leser weitergeben und damit diesem Werk einen wirklichen Mehrwert verschafft haben. Ungeachtet dessen ist es natürlich immer so, dass jede Vorlage einer sachkundigen Anpassung an den Einzelfall bedarf und deshalb auch die Muster in diesem Handbuch weder den Verwender seiner Eigenverantwortung entheben noch die anwaltliche Beratung ersetzen können und sollen. Auf Seiten des Verlages möchte ich ganz besonders herzlich Frau Dr. Julia Beck und Frau Katharina Winter danken, ohne deren fachkundige Unterstützung, umsichtige Koordination und stetige Motivation das Werk so nicht möglich gewesen wäre. Nun wünsche ich recht viel Freude und Erfolg bei der Verwendung der Muster. Für Anregungen und Kritik bin ich gerne empfänglich. Hamburg, im Oktober 2013
VIII
Flemming Moos
Inhaltsübersicht Seite
Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VII
Inhaltsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
XI
Abkürzungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . LXIX
Teil 1 Verträge zur Datenschutzorganisation I. Arbeitsvertrag mit einem Datenschutzbeauftragten (Weberndörfer/Zieger) . . . . . . . . . . . . . . . . . . . . . II. Vertrag über die Beauftragung eines externen Datenschutzbeauftragten (Henkel) . . . . . . . . . . . . . . . . . . . . . III. Vertrag über die Durchführung eines Datenschutzaudits (Hansen-Oest) . . . . . . . . . . . . . . . . . . . . . . . . . IV. Vertraulichkeitsvereinbarung (Nowak) . . . . . . . . . . .
. . . . .
1
. . . . .
40
. . . . . . . . . .
70 110
Teil 2 Auftragsdatenverarbeitungsverträge I. Allgemeiner Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich (Moos) . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Allgemeiner Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich (Moos) . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Datenschutzvereinbarung Outsourcingvertrag (Nowak/Zieger) . IV. Vertrag zur Datenträger- und Aktenvernichtung (von Sonnleithner) . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
123
. .
209 260
.
283
. . . . . .
305 339
. . .
376
. . .
397
Teil 3 Datennutzungsverträge I. Auskunfteivertrag (Kamlah) . . . . . . . . . . . . . . . . . . . II. Adressenkauf- und -überlassungsvertrag (Feldmann/Höppner) III. Marktforschungsvertrag/ Social Media Monitoring-Vertrag (Baumgartner) . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Vertrag zur Durchführung von Webanalysen („Webtracking“) (Hansen-Oest) . . . . . . . . . . . . . . . . . . . . . . . . . . .
IX
Inhaltsübersicht
Teil 4 Unternehmensrichtlinien und Betriebsvereinbarungen Seite
I. Unternehmensrichtlinie Datenschutz (Meyer) . . . . . . . . . . . .
429
II. Betriebsvereinbarung zur Videoüberwachung (Lang) . . . . . . . . .
484
III. Betriebsvereinbarung zur Mitarbeiterortung (Weberndörfer/Zieger)
518
IV. Whistleblowing-Richtlinie (Bauer) . . . . . . . . . . . . . . . . . . .
537
V. Betriebsvereinbarung zur Internet- und E-Mail-Nutzung (Rücker) .
580
VI. Betriebsvereinbarung zu Bring Your Own Device (BYOD) (Arning/Moos) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
628
VII. Social Media-Richtlinie (Weberndörfer/Zieger) . . . . . . . . . . . .
674
Teil 5 Verträge über internationale Datentransfers I. EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Standardvertrag I) (Lang) . . . . . .
693
II. Alternative EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Standardvertrag II) (Lang)
741
III. EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern (von dem Bussche) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
781
IV. Rahmenvertrag für EU-Standardvertragsklauseln (Moos) . . . . . .
840
V. Verbindliche Unternehmensregelungen (Binding Corporate Rules) (Abel/Schulte) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
881
Teil 6 Datenschutzklauseln I. Datenschutzklausel Funktionsübertragung (Gabel/Wieczorek) . . .
935
II. Datenschutzklausel Kaufvertrag (Nowak/Zieger) . . . . . . . . . .
949
Teil 7 Datenschutzerklärungen und Einwilligungen I. Internet Privacy Policy (Jansen) . . . . . . . . . . . . . . . . . . . . .
959
II. Datenschutzbestimmungen und Einwilligungserklärungen für soziale Netzwerke (Krieg) . . . . . . . . . . . . . . . . . . . . . . . .
982
III. Werbe-Einwilligungserklärung (Rohwedder) . . . . . . . . . . . . .
1016
IV. Die SCHUFA-Klausel (Lang/Kamlah) . . . . . . . . . . . . . . . . .
1029
Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1041
X
Inhaltsverzeichnis Seite
Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VII
Inhaltsübersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IX
Abkürzungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . LXIX
Teil 1 Verträge zur Datenschutzorganisation I. Arbeitsvertrag mit einem Datenschutzbeauftragten (Weberndörfer/Zieger) Rz.
Seite
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
1
B.1 Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Arbeitsvertrag mit einem Datenschutzbeauftragten . . .
4 4
2 2
C.1 Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
8
I. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
8
II. Erläuterungen zum Arbeitsvertrag . . . . . . . . . . . . . . .
8
9
1. Erläuterungen zu Ziffer 1 . . . . . . . . . . . . . . . . . . . . E 1. Beginn des Arbeitsverhältnisses, Arbeitsort und Aufgaben des Arbeitnehmers . . . . . . . . . . . . . . . . a) Erläuterungen zu Ziffer 1.1 . . . . . . . . . . . . . . . . . b) Erläuterungen zu Ziffer 1.2 . . . . . . . . . . . . . . . . . c) Erläuterungen zu Ziffer 1.3 . . . . . . . . . . . . . . . . .
.
8
9
. . . .
8 9 13 16
9 9 11 11
2. Erläuterungen zu Ziffer 2 . . . . . . . . . . . . . . . . . . . . E 2. Widerruf der Bestellung zum Datenschutzbeauftragten, Versetzungsvorbehalt . . . . . . . . . . . . . . . a) Erläuterungen zu Ziffer 2.1 . . . . . . . . . . . . . . . . . b) Erläuterungen zu Ziffer 2.2 . . . . . . . . . . . . . . . . .
.
17
12
. . .
17 18 21
12 12 13
3. Erläuterungen zu Ziffer 3 . E 3. Arbeitszeit . . . . . . a) Erläuterungen zu Ziffer b) Erläuterungen zu Ziffer
. . . .
22 22 23 26
13 13 14 14
. . . .
29
15
. . . . . . . . . . . .
29 30 31
15 15 16
. . . . . . . . . . . . . . 3.1 bis 3.4 . 3.5 . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
4. Erläuterungen zu Ziffer 4 . . . . . . . . . . . . . . . . . E 4. Gehalt und Aufwendungsersatz, Freiwilligkeitsvorbehalt . . . . . . . . . . . . . . . . . . . . . . a) Erläuterungen zu Ziffer 4.1 und 4.2 . . . . . . . . . b) Erläuterungen zu Ziffer 4.3 . . . . . . . . . . . . . .
. . . .
. . . .
. . . .
XI
Inhaltsverzeichnis Rz.
Seite
. . . .
32 32 33 36
16 16 17 17
6. Erläuterungen zu Ziffer 6 . . . . . . . . . . . . . . . . . . . . . E 6. Arbeitsverhinderung und Arbeitsunfähigkeit infolge Krankheit . . . . . . . . . . . . . . . . . . . . . . . . . .
39
18
39
18
7. Erläuterungen zu Ziffer 7 . . . . . . . . . . . . . . . . . . . . . E 7. Nebentätigkeiten, Wettbewerbsverbot . . . . . . . . .
41 41
19 19
8. Erläuterungen zu Ziffer 8 . . . . . . . . . . . . . . . . . . . . . E 8. Arbeitsergebnisse, Erfindungen, Urheberrecht . . . . .
44 44
20 20
9. Erläuterungen zu Ziffer 9 . . . . . . . . . . . . . . . . . . E 9. Laufzeit und Beendigung des Arbeitsverhältnisses a) Erläuterungen zu Ziffer 9.1 . . . . . . . . . . . . . . . b) Erläuterungen zu Ziffer 9.2 bis 9.5 . . . . . . . . . . . c) Erläuterungen zu Ziffer 9.6 . . . . . . . . . . . . . . .
. . . . .
46 46 47 51 57
21 21 21 23 24
10. Erläuterungen zu Ziffer 10 . . . . . . . . . . . . . . . . . . . . E 10. Verschwiegenheitspflicht, Herausgabe von Gegenständen . . . . . . . . . . . . . . . . . . . . . . . . . . .
61
25
61
25
11. Erläuterungen zu Ziffer 11 . . . . . . . . . . . . . . . . . . . . E 11. Verfallfristen . . . . . . . . . . . . . . . . . . . . . . . .
63 63
26 26
12. Erläuterungen zu Ziffer 12 . . . . . . . . . . . . . . . . . . . . E 12. Vollständigkeit . . . . . . . . . . . . . . . . . . . . . .
66 66
27 27
13. Erläuterungen zu Ziffer 13 . . . . . . . . . . . . . . . . . . . . E 13. Schriftform . . . . . . . . . . . . . . . . . . . . . . . . .
68 68
28 28
14. Erläuterungen zu Ziffer 14 . . . . . . . . . . . . . . . . . . . . E 14. Salvatorische Klausel . . . . . . . . . . . . . . . . . . .
71 71
28 28
B.2 Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Ergänzungsvertrag zum Arbeitsvertrag vom [Datum] . . .
73 73
29 29
C.2 Erläuterungen zum Ergänzungsvertrag . . . . . . . . . . . . .
74
31
I. Erläuterungen zu Ziffer 1 . . . . . . . . . . . . . . . . . . . . . E 1. Tätigkeit als Datenschutzbeauftragter . . . . . . . . . .
74 74
31 31
II. Erläuterungen zu Ziffer 2 . . . . . . . . . . . . . . . . . . . . . E 2. Beginn, Laufzeit und Beendigung . . . . . . . . . . . .
76 76
31 31
III. Erläuterungen zu Ziffer 3 . . . . . . . . . . . . . . . . . . . . . E 3. Fortgeltung des Arbeitsvertrags . . . . . . . . . . . . .
79 79
32 32
IV. Erläuterungen zu Ziffer 4, 5 und 6 . . . . . . . . . . . . . . . . E 4. Vollständigkeit . . . . . . . . . . . . . . . . . . . . . . .
81 81
32 32
5. Erläuterungen zu Ziffer 5 . E 5. Urlaub . . . . . . . . a) Erläuterungen zu Ziffer b) Erläuterungen zu Ziffer
XII
. . . . . . . . . . . . . . 5.1 bis 5.3 . 5.4 und 5.5
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . . .
. . . .
. . . . .
Inhaltsverzeichnis Rz.
Seite
E 5. Schriftform . . . . . . . . . . . . . . . . . . . . . . . . . E 6. Salvatorische Klausel . . . . . . . . . . . . . . . . . . . .
82 83
32 32
B.3 Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Bestellungsschreiben [Briefpapier des Arbeitgebers] . . .
85 85
33 33
C.3 Erläuterungen zum Bestellungsschreiben . . . . . . . . . . .
86
33
I. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . . E Bestellungsschreiben . . . . . . . . . . . . . . . . . . . . .
86 86
33 33
1. Erläuterungen zur Bestellung und zur Bestellungsdauer . . .
87
34
2. Erläuterungen zum Widerruf und zur anderweitigen Beendigung der Bestellung . . . . . . . . . . . . . . . . . . . . . . . .
97
37
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
40
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Vertrag über die Beauftragung eines externen Datenschutzbeauftragten . . . . . . . . . . . . . . . . . . . . . .
2
41
2
41
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
48
I. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
48
II. Erläuterung der einzelnen Klauseln . . . . . . . . . . . . . . .
5
48
1. Erläuterung des Rubrums . . . . . . . . . . . . . . . . . . . . . E Vertrag über die Beauftragung eines externen Datenschutzbeauftragten . . . . . . . . . . . . . . . . . . . . . .
5
48
5
48
2. Erläuterung der Präambel . . . . . . . . . . . . . . . . . . . . . E Präambel . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7 7
49 49
. . . .
9 9 10 11
51 51 51 51
4. Erläuterungen zu Ziffer 2 . . . . . . . . . . . . . . . . . . . . . E 2. Organisatorisches zur Einbindung des Auftragnehmers a) Erläuterungen zu Ziffer 2.1 . . . . . . . . . . . . . . . . . . b) Erläuterungen zu Ziffer 2.2 . . . . . . . . . . . . . . . . . . c) Erläuterungen zu Ziffer 2.3 . . . . . . . . . . . . . . . . . . d) Erläuterungen zu Ziffer 2.4 . . . . . . . . . . . . . . . . . . e) Erläuterungen zu Ziffer 2.5 . . . . . . . . . . . . . . . . . . f) Erläuterungen zu Ziffer 2.6 . . . . . . . . . . . . . . . . . .
12 12 13 14 15 16 17 18
52 52 52 52 52 53 53 53
II. Vertrag über die Beauftragung eines externen Datenschutzbeauftragten (Henkel)
3. Erläuterungen zu Ziffer 1 . . . . E 1. Gegenstand des Vertrags a) Erläuterungen zu Ziffer 1.1 . b) Erläuterungen zu Ziffer 1.2 .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
XIII
Inhaltsverzeichnis Rz.
Seite
. . . .
19 19 20 21
53 53 53 54
6. Erläuterungen zu Ziffer 4 . . . . . . . . . . . . . . . . . . . . . E 4. Gesetzliche Aufgabenbeschreibung . . . . . . . . . . .
22 22
54 54
7. Erläuterungen zu Ziffer 5 . . . . . . . . . . . . . . . E 5. Konkretisierung der gesetzlichen Aufgaben a) Erläuterungen zu Ziffer 5.1 . . . . . . . . . . . . b) Erläuterungen zu Ziffer 5.2 . . . . . . . . . . . . c) Erläuterungen zu Ziffer 5.3 . . . . . . . . . . . . d) Erläuterungen zu Ziffer 5.4 . . . . . . . . . . . . e) Erläuterungen zu Ziffer 5.5 . . . . . . . . . . . . f) Erläuterungen zu Ziffer 5.6 . . . . . . . . . . . . g) Erläuterungen zu Ziffer 5.7 . . . . . . . . . . . . h) Erläuterungen zu Ziffer 5.8 . . . . . . . . . . . . i) Erläuterungen zu Ziffer 5.9 . . . . . . . . . . . . j) Erläuterungen zu Ziffer 5.10 . . . . . . . . . . .
. . . . . . . . . . . .
24 24 26 27 28 29 30 31 32 33 34 35
55 55 56 56 56 56 57 57 57 58 58 59
8. Erläuterungen zu Ziffer 6 . . . . . . . . . . . . . . . . . . . . . E 6. Beschränkung der Beratungs- und Prüfpflichten . . . .
36 36
59 59
9. Erläuterungen zu Ziffer 7 . . . . . . . E 7. Fachkunde und Zuverlässigkeit a) Erläuterungen zu Ziffer 7.1 . . . . b) Erläuterungen zu Ziffer 7.2 . . . . c) Erläuterungen zu Ziffer 7.3 . . . .
5. Erläuterungen zu Ziffer 3 . . . . . . . . . . . . . . . . . E 3. Zeit, Ort und Personal zur Leistungserbringung a) Erläuterungen zu Ziffer 3.1 und 3.2 . . . . . . . . . b) Erläuterungen zu Ziffer 3.3 . . . . . . . . . . . . . .
. . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . .
. . . . . . . . . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
38 38 39 40 41
60 60 60 60 61
10. Erläuterungen zu Ziffer 8 . . . . . . . . . . . E 8. Verschwiegenheitspflicht . . . . . . . a) Erläuterungen zu Ziffer 8.1, 8.2 und 8.4 . b) Erläuterungen zu Ziffer 8.3.1 . . . . . . . c) Erläuterungen zu Ziffer 8.3.2 . . . . . . . d) Erläuterungen zu Ziffer 8.3.3 und 8.3.4 . e) Erläuterungen zu Ziffer 8.5 . . . . . . . . f) Erläuterungen zu Ziffer 8.6 . . . . . . . . g) Erläuterungen zu Ziffer 8.7 . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
42 42 43 44 45 46 47 48 49
62 62 62 63 63 63 63 63 64
11. Erläuterungen zu Ziffer 9 . . . . . . . . . E 9. Vergütung . . . . . . . . . . . . . . a) Erläuterungen zu Ziffer 9.1–9.5 . . . b) Erläuterungen zur Alternativklausel
XIV
. . . . .
. . . . . . . . . . . .
. . . .
. . . . .
12. Erläuterungen zu Ziffer 10 E 10. Haftung . . . . . . a) Erläuterungen zu Ziffer b) Erläuterungen zu Ziffer c) Erläuterungen zu Ziffer
. . . . .
. . . . . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
50 50 51 54
64 64 65 65
. . . . . . . . . . . . . . . . . . 10.1 . . . . . . 10.2 und 10.3 . 10.4 . . . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
56 56 57 58 59
66 66 66 66 67
Inhaltsverzeichnis Rz.
Seite
13. Erläuterungen zu Ziffer 11 . . . . . . . . . E 11. Vertragslaufzeit und Abberufung . a) Erläuterungen zu Ziffer 11.1 und 11.2 . b) Erläuterungen zu Ziffer 11.3 . . . . . . c) Erläuterungen zu Ziffer 11.4 . . . . . . d) Erläuterungen zu Ziffer 11.5 . . . . . . e) Erläuterungen zu Ziffer 11.6 . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
60 60 61 62 63 64 65
67 67 67 68 68 68 68
14. Erläuterungen zu Ziffer 12 . . . . . . . . . E 12. Schlussbestimmungen . . . . . . . a) Erläuterungen zu Ziffer 12.1 und 12.2 . b) Erläuterungen zu Ziffer 12.3 . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
66 66 67 68
68 68 69 69
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
70
I. Datenschutzaudits . . . . . . . . . . . . . . . . . . . . . . . .
2
71
II. Praktische Durchführung von Datenschutzaudits . . . . . . .
8
72
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Vertrag über die Durchführung eines Datenschutzaudits .
12 12
73 73
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
79
I. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
79
II. Erläuterung der einzelnen Klauseln . . . . . . . . . . . . . . .
14
80
1. Erläuterungen zu Ziffer 1 . E 1. Allgemeines . . . . . a) Ratio . . . . . . . . . . b) Erläuterungen zu Ziffer c) Erläuterungen zu Ziffer d) Erläuterungen zu Ziffer
III. Vertrag über die Durchführung eines Datenschutzaudits (Hansen-Oest)
. . . . . . 1.1 1.2 1.3
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
14 14 15 16 17 18
80 80 80 80 80 81
2. Erläuterungen zu Ziffer 2 . . . E 2. Gegenstand des Audits a) Ratio . . . . . . . . . . . . b) Erläuterungen zu Ziffer 2.1 c) Erläuterungen zu Ziffer 2.2 d) Erläuterungen zu Ziffer 2.3
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
19 19 20 21 24 26
81 81 82 82 83 83
3. Erläuterungen zu Ziffer 3 . . . . . . . . . . E 3. Vertragsschluss und Vertragsbeginn a) Ratio . . . . . . . . . . . . . . . . . . . b) Erläuterungen zu Ziffer 3.1 . . . . . . . c) Erläuterungen zu Ziffer 3.2 . . . . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
28 28 29 30 31
83 83 83 84 84 XV
Inhaltsverzeichnis
4. Erläuterungen zu Ziffer 4 . . . . . . . . E 4. Leistungen des Auftragnehmers a) Ratio . . . . . . . . . . . . . . . . . b) Erläuterungen zu Ziffer 4.1 . . . . . c) Erläuterungen zu Ziffer 4.2 . . . . . d) Erläuterungen zu Ziffer 4.3 . . . . . e) Erläuterungen zu Ziffer 4.4 . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
32 32 33 34 36 38 40
84 84 85 85 85 86 86
5. Erläuterungen zu Ziffer 5 . . . . . . . . . . . E 5. Unabhängigkeit des Auftragnehmers a) Ratio . . . . . . . . . . . . . . . . . . . . b) Erläuterungen zu Ziffer 5 . . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
43 43 44 46
87 87 87 87
6. Erläuterungen zu Ziffer 6 . E 6. Auditplan . . . . . . a) Ratio . . . . . . . . . . b) Erläuterungen zu Ziffer c) Erläuterungen zu Ziffer d) Erläuterungen zu Ziffer
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
47 47 48 50 51 56
87 87 88 88 88 89
7. Erläuterungen zu Ziffer 7 . . . . . . . . . . . . . E 7. Mitwirkungspflichten des Auftraggebers a) Ratio . . . . . . . . . . . . . . . . . . . . . . b) Erläuterungen zu Ziffer 7.1 . . . . . . . . . . c) Erläuterungen zu Ziffer 7.2 . . . . . . . . . . d) Erläuterungen zu Ziffer 7.3 . . . . . . . . . . e) Erläuterungen zu Ziffer 7.4 . . . . . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
59 59 60 62 65 67 68
90 90 90 91 91 92 92
8. Erläuterungen zu Ziffer 8 . . . . . . . . . . . . E 8. Abschlussbesprechung und Prüfbericht a) Ratio . . . . . . . . . . . . . . . . . . . . . b) Erläuterungen zu Ziffer 8.1 . . . . . . . . . c) Erläuterungen zu Ziffer 8.2 . . . . . . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
70 70 71 73 76
92 92 93 93 94
9. Erläuterungen zu Ziffer 9 . E 9. Abnahme . . . . . . a) Ratio . . . . . . . . . . b) Erläuterungen zu Ziffer c) Erläuterungen zu Ziffer d) Erläuterungen zu Ziffer
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
79 79 80 82 83 86
94 94 95 95 95 96
10. Erläuterungen zu Ziffer 10 . . . . . . . E 10. Zertifikat und Nutzungsrechte . a) Ratio . . . . . . . . . . . . . . . . . b) Erläuterungen zu Ziffer 10.1 . . . . c) Erläuterungen zu Ziffer 10.2 . . . . d) Erläuterungen zu Ziffer 10.3 . . . . e) Erläuterungen zu Ziffer 10.4 . . . . f) Erläuterungen zu Ziffer 10.5 . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
87 87 88 91 93 94 96 99
96 96 97 97 98 98 98 98
XVI
. . . . . . 9.1 9.2 9.3
. . . . . .
. . . . . . .
Seite
. . . . . . .
. . . . . . 6.1 6.2 6.3
. . . . . . .
Rz.
Inhaltsverzeichnis Rz.
Seite
11. Erläuterungen zu Ziffer 11 . . . . . . . . . . . . . . E 11. Wiederholungsaudit und Rezertifizierung . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . b) Erläuterungen zu Ziffer 11.1 . . . . . . . . . . . c) Erläuterungen zu Ziffer 11.2 . . . . . . . . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
102 102 103 104 105
99 99 99 99 99
12. Erläuterungen zu Ziffer 12 E 12. Preise, Zahlung . . a) Ratio . . . . . . . . . . b) Erläuterungen zu Ziffer c) Erläuterungen zu Ziffer d) Erläuterungen zu Ziffer
. . . . . . . . . 12.1 12.2 12.3
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
106 106 107 108 109 110
100 100 100 100 100 100
13. Erläuterungen zu Ziffer 13 E 13. Vertraulichkeit . . a) Ratio . . . . . . . . . . b) Erläuterungen zu Ziffer c) Erläuterungen zu Ziffer d) Erläuterungen zu Ziffer e) Erläuterungen zu Ziffer f) Erläuterungen zu Ziffer
. . . . . . . . . 13.1 13.2 13.3 13.4 13.5
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
111 111 112 116 117 119 121 122
100 100 101 102 102 102 102 103
14. Erläuterungen zu Ziffer 14 E 14. Datenschutz . . . . a) Ratio . . . . . . . . . . b) Erläuterungen zu Ziffer c) Erläuterungen zu Ziffer
. . . . . . . . . 14.1 14.2
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
123 123 124 125 126
103 103 103 103 104
15. Erläuterungen zu Ziffer 15 . . . . . E 15. Gewährleistung und Verzug a) Ratio . . . . . . . . . . . . . . . b) Erläuterungen zu Ziffer 15.1 . . c) Erläuterungen zu Ziffer 15.2 . . d) Erläuterungen zu Ziffer 15.3 . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
128 128 129 130 132 133
104 104 104 105 105 105
16. Erläuterungen zu Ziffer 16 . . . E 16. Haftungsbeschränkung . a) Ratio . . . . . . . . . . . . . b) Erläuterungen zu Ziffer 16.1 c) Erläuterungen zu Ziffer 16.2 d) Erläuterungen zu Ziffer 16.3 e) Erläuterungen zu Ziffer 16.3
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
137 137 138 139 140 141 143
105 105 106 106 106 106 107
17. Erläuterungen zu Ziffer 17 . . . . E 17. Vertragsdauer/Kündigung a) Ratio . . . . . . . . . . . . . . b) Erläuterungen zu Ziffer 17.1 . c) Erläuterungen zu Ziffer 17.2 .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
144 144 145 146 147
107 107 107 107 107 XVII
Inhaltsverzeichnis Rz.
Seite
. . . . . .
148 148 149 150 151 152
108 108 108 108 109 109
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
110
I. Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
110
II. Ausgangssituation . . . . . . . . . . . . . . . . . . . . . . . .
2
110
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Vertraulichkeitsvereinbarung . . . . . . . . . . . . . . . .
10 10
113 113
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
116
I. Erläuterungen zur Präambel . . . . . . . . . . . . . . . . . . . E Präambel . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11 11
116 116
II. Erläuterungen zu Ziffer 1 . . . . . . . . . . . . . . . . . . . . . E 1. Überlassung von Informationen . . . . . . . . . . . . . .
13 13
117 117
III. Erläuterungen zu Ziffer 2 . . . . . . . . . . . . . . . . . . . . . E 2. Vertraulichkeit . . . . . . . . . . . . . . . . . . . . . . .
15 15
118 118
18. Erläuterungen zu Ziffer 18 . . . E 18. Schlussbestimmungen . a) Ratio . . . . . . . . . . . . . b) Erläuterungen zu Ziffer 18.1 c) Erläuterungen zu Ziffer 18.2 d) Erläuterungen zu Ziffer 18.3
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
IV. Vertraulichkeitsvereinbarung (Nowak)
1. Erläuterungen zu Ziffer 2.1 und 2.2 . . . . . . . . . . . . . . .
16
119
2. Erläuterungen zu Ziffer 2.3 . . . . . . . . . . . . . . . . . . . .
19
120
3. Erläuterungen zu Ziffer 2.4 . . . . . . . . . . . . . . . . . . . .
20
120
4. Erläuterungen zu Ziffer 2.5 . . . . . . . . . . . . . . . . . . . .
21
121
5. Erläuterungen zu Ziffer 2.6 und 2.7 . . . . . . . . . . . . . . .
22
121
. . . .
23 23 23 23
121 121 121 122
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
124
I. Verwendung des Vertragsmusters . . . . . . . . . . . . . . . .
1
124
IV. Erläuterungen zu Ziffer 4, 5 und 6 . . . . . . . E 4. Änderungen und Ergänzungen . . . . . E 5. Salvatorische Klausel . . . . . . . . . . . E 6. Anwendbares Recht und Gerichtsstand
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
Teil 2 Auftragsdatenverarbeitungsverträge I. Allgemeiner Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich (Moos)
XVIII
Inhaltsverzeichnis
1. Auftraggeberfreundlichkeit des Musters . . . . . . . . . . . .
Rz.
Seite
2
124
. . . . . . . .
3 4 5 6 7 9 10 11
124 124 124 125 126 127 127 128
II. Schriftformerfordernis . . . . . . . . . . . . . . . . . . . . . .
12
128
III. Bußgeldbewehrung . . . . . . . . . . . . . . . . . . . . . . . .
13
129
IV. Zusätzliche Verpflichtungen bei Auftragsdatenverarbeitungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
14
129
2. Ergänzungs-/Änderungsbedürftigkeit . . . . . . . . . . a) Auftragsdatenverarbeitungen in Sondersituationen aa) Auftragsdatenverarbeitung von Sozialdaten . . bb) Cloud Computing . . . . . . . . . . . . . . . . . b) Auftragsdatenverarbeitung im Konzern . . . . . . . c) Auftragsdatenverarbeitungen außerhalb des EWR . aa) Zulässigkeit auf der 1. Stufe . . . . . . . . . . . bb) Zulässigkeit auf der 2. Stufe . . . . . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Auftragsdatenverarbeitungsvertrag (auftraggeberfreundlich) . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
130
15
130
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
16
144
I. Vorbemerkungen . . . . . . . . . . . . . . . . . . . . . . . . .
16
144
1. Anwendungsbereich des Vertragsmusters . . . . . . . . . a) Auftragsdatenverarbeitungen im Sinne von § 11 BDSG b) Abgrenzung zur Funktionsübertragung . . . . . . . . . aa) Gegenstand der Tätigkeit . . . . . . . . . . . . . . bb) Fallgruppen . . . . . . . . . . . . . . . . . . . . . . c) Abgrenzung zu reinen Hilfsleistungen ohne Datenverarbeitungselement . . . . . . . . . . . . . . . . . . . . .
. . . . .
16 17 18 19 21
144 145 145 145 146
. .
22
146
2. Gesetzliche Anforderungen an Auftragsdatenverarbeitungsverträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
147
II. Erläuterung der einzelnen Klauseln . . . . . . . . . . . . . . .
27
150
1. Erläuterungen zu Ziffer 1 . . . . . . . . . E 1. Vertragsgegenstand . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . b) Definition des Auftragsgegenstandes
. . . .
27 27 28 29
150 150 150 150
2. Erläuterungen zu Ziffer 2 . . . . . . . . . . . . . . . . . . . . . E 2. Art, Umfang und Zweck der Auftragsdatenverarbeitung a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Begründung der Auftragsdatenverarbeitung (Ziffer 2.1) . . c) Festlegung von Art, Umfang und Zweck der Datenverarbeitung, Datenarten und Kreis der Betroffenen (Ziffer 2.2) aa) Spezifizierung der Angaben . . . . . . . . . . . . . . . bb) Spätere Festlegung . . . . . . . . . . . . . . . . . . . .
30 30 31 32
151 151 152 152
33 33 35
152 152 153
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . . .
. . . .
XIX
Inhaltsverzeichnis
cc) Verbot zweckwidriger Verwendungen der Daten . d) Ort der Datenverarbeitung (Ziffer 2.3–2.4) . . . . . . . aa) Auftragsdatenverarbeitung nur innerhalb des EWR bb) Lokale Beschränkung unter Kontrollaspekten . . . cc) Datenverarbeitungen außerhalb der Hauptniederlassung . . . . . . . . . . . . . . . . . . . . . . . . . e) Rechte an den Daten und Zurückbehaltungsrechte (Ziffer 2.5) . . . . . . . . . . . . . . . . . . . . . . . . .
Rz.
Seite
. . . .
36 37 37 39
154 154 154 155
. .
40
156
. .
41
156
. . . .
3. Erläuterungen zu Ziffer 3 . . . . . . . . . . . . . . . . . . E 3. Weisungsbefugnisse des Auftraggebers . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Weisungsrecht des Auftraggebers (Ziffer 3.1) . . . . . c) Form der Weisungen (Ziffer 3.2) . . . . . . . . . . . . d) Weisungs- und Empfangsberechtigte (Ziffer 3.3–3.6) e) Frist zur Umsetzung von Weisungen (Ziffer 3.7) . . . f) Remonstration des Auftragnehmers (Ziffer 3.8) . . . g) Vertragsändernde Weisungen (Ziffer 3.9) . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
43 43 44 45 47 48 49 50 51
157 157 158 159 159 160 160 160 161
4. Erläuterungen zu Ziffer 4 . . . . . . . . . . . . . E 4. Rechtsstellung des Auftraggebers . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . b) Verantwortlichkeit des Auftraggebers (Ziffer c) Rechte an den Daten (Ziffer 4.2) . . . . . . .
. . . . .
. . . . .
. . . . .
52 52 53 54 55
161 161 161 161 162
5. Erläuterungen zu Ziffer 5 . . . . . . . . . . . . . . . . . . . . . E 5. Pflichten des Auftragnehmers . . . . . . . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Auftragskonformität der Datenverarbeitung (Ziffer 5.1) . . c) Änderungen des Auftrags (Ziffer 5.2) . . . . . . . . . . . . aa) Verwendungsverbot für anonymisierte Daten . . . . . bb) Zustimmungspflicht zu Änderungen der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . d) Kopien und Datenweitergaben (Ziffer 5.3) . . . . . . . . . e) Kennzeichnungs- und Aussonderungspflichten (Ziffer 5.4) f) Eigenkontrolle (Ziffer 5.5) . . . . . . . . . . . . . . . . . . g) Informationspflichten (Ziffer 5.6) . . . . . . . . . . . . . . h) Unterstützungspflichten (Ziffer 5.7–5.8) . . . . . . . . . . aa) Unterstützung bei Drittauskünften (Ziffer 5.7) . . . . bb) Erstellung des Verfahrensverzeichnisses (Ziffer 5.8) . i) Eigene gesetzliche Pflichten des Auftragnehmers (Ziffer 5.9–5.10) . . . . . . . . . . . . . . . . . . . . . . . . aa) Bestellung eines Datenschutzbeauftragten . . . . . . . bb) Hinweis auf Bußgeld- und Kontrollvorschriften . . . .
56 56 57 58 59 60
162 162 164 164 164 165
61 62 63 65 66 67 68 70
165 165 166 166 167 167 167 168
71 73 76
168 169 170
6. Erläuterungen zu Ziffer 6 . . . . . . . . . . . . . . . . . E 6. Verpflichtung auf das Datengeheimnis . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . b) Verpflichtung auf das Datengeheimnis (Ziffer 6.1) .
77 77 78 79
170 170 171 171
XX
. . . . . . . . . 4.1) . . .
. . . . .
. . . . .
. . . .
. . . .
. . . .
. . . .
Inhaltsverzeichnis
c) Dokumentations- und Nachweispflicht (Ziffer 6.2) . . . .
Rz.
Seite
80
171
. . .
81 81 82
171 171 172
.
83
173
. . . . .
86 89 90 91 92
174 175 175 176 176
8. Erläuterungen zu Ziffer 8 . . . . . . . . . . . . . . . . . . . . . E 8. Mitteilungs- und Unterstützungspflichten des Auftragnehmers bei Datensicherheitsvorfällen . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Informationspflicht bei Datensicherheitsvorfällen . . . . . aa) Keine gesetzliche Informationspflicht des Auftragsdatenverarbeiters . . . . . . . . . . . . . . . . . . . . . bb) Vertragliche Informationspflicht des Auftragsdatenverarbeiters (Ziffer 8.1) . . . . . . . . . . . . . . . . . . cc) Inhalt der Information (Ziffer 8.2) . . . . . . . . . . . . dd) Reaktionszeit (Ziffer 8.3) . . . . . . . . . . . . . . . . . c) Unterstützungspflicht und Abhilfemaßnahmen (Ziffer 8.4) d) Untersuchung und Nachbesserung (Ziffer 8.5) . . . . . . . e) Führung eines Verzeichnisses der Datenpannen (Ziffer 8.6)
94
177
94 95 96
177 178 178
97
178
98 99 100 101 102 104
179 179 180 180 181 181
105 105 106 107 108 109 110 111 113
182 182 184 184 184 184 185 185 186
114
186
115 116 117
187 187 188
119 119 120 121
189 189 190 191
7. Erläuterungen zu Ziffer 7 . . . . . . . . . . . . . . . . . . . . E 7. Technische und organisatorische Maßnahmen . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Spezifizierung der technischen und organisatorischen Maßnahmen (Ziffer 7.1) . . . . . . . . . . . . . . . . . . . c) Änderung und Fortschreibung der Maßnahmen (Ziffer 7.2–7.3) . . . . . . . . . . . . . . . . . . . . . . . . d) Sicherheitsrelevante Entscheidungen (Ziffer 7.4) . . . . e) Nachweispflicht (Ziffer 7.5) . . . . . . . . . . . . . . . . f) Ordnungsmäßigkeit und Dokumentation (Ziffer 7.6) . . g) Datenschutz- und Datensicherheitskonzept (Ziffer 7.7) .
9. Erläuterungen zu Ziffer 9 . . . . . . . . . . . . . . . . . . . . . E 9. Kontrollrechte des Auftraggebers . . . . . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Kontrollrecht des Auftraggebers (Ziffer 9.1) . . . . . . . . . aa) Gegenstand der Kontrollen . . . . . . . . . . . . . . . bb) Häufigkeit der Kontrollen . . . . . . . . . . . . . . . . c) Art der Kontrollen . . . . . . . . . . . . . . . . . . . . . . . aa) Vor-Ort-Kontrollen (Ziffer 9.2) . . . . . . . . . . . . . bb) Zugangs-, Auskunfts- und Einsichtsrechte (Ziffer 9.2) cc) Vorlage von Zertifikaten und Auditberichten (Ziffer 9.3) . . . . . . . . . . . . . . . . . . . . . . . . . dd) Anrufung des betrieblichen Datenschutzbeauftragten (Ziffer 9.4) . . . . . . . . . . . . . . . . . . . . . . . . . d) Kontrolle durch Bevollmächtigte (Ziffer 9.5) . . . . . . . . e) Behördliche Kontrollen (Ziffer 9.6) . . . . . . . . . . . . . 10. Erläuterungen zu Ziffer 10 . . . . . . . . . . . . . . . . E 10. Unterauftragsverhältnisse . . . . . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . b) Begründung von Unterauftragsverhältnissen (Ziffer
. . . . . . . . . . . . 10.1) .
XXI
Inhaltsverzeichnis Rz.
Seite
. .
124 125
192 192
. . .
126 127 128
192 193 193
.
129
194
. .
130 131
195 195
. . . .
132 132 133 134
195 195 196 196
. . . . . .
135 136 137
196 197 197
12. Erläuterungen zu Ziffer 12 . . . . . . . . . . . . . . . . . . . . E 12. Auskunft an Dritte . . . . . . . . . . . . . . . . . . . .
139 139
198 198
13. Erläuterungen zu Ziffer 13 . . . . . . . . . . . . . . . . . . . E 13. Rückgabe und Löschung überlassener Daten . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Datenumgang nach Vertragsbeendigung (Ziffer 13.1) . . c) Datenlöschung und Datenrückgabe (Ziffer 13.2–13.5) . . aa) Löschpflicht (Ziffer 13.2) . . . . . . . . . . . . . . . . bb) Ankündigung der Löschung (Ziffer 13.3) . . . . . . . cc) Vernichtung von Datenträgern (Ziffer 13.4) . . . . . dd) Erstreckung auf alle Vervielfältigungen (Ziffer 13.5) d) Protokollierung der Löschung (Ziffer 13.6) . . . . . . . . e) Aufbewahrung von Nachweisen (Ziffer 13.7) . . . . . . .
. . . . . . . . . . .
141 141 142 143 144 145 146 147 148 149 150
198 198 199 200 200 200 200 201 201 201 202
14. Erläuterungen zu Ziffer 14 . . . . . . . . . . . . . . . . E 14. Vertragsdauer und Kündigung . . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . b) Dauer des Auftrags (Ziffer 14.1) . . . . . . . . . . . c) Kündigung des Auftragsdatenverarbeitungsvertrags (Ziffer 14.1–14.3) . . . . . . . . . . . . . . . . . . . . aa) Ordentliche Kündigung (Ziffer 14.1) . . . . . . bb) Außerordentliche Kündigung (Ziffer 14.2–14.3) cc) Gleichlauf mit Hauptvertrag (Ziffer 14.4) . . .
c) Erteilung der Zustimmung (Ziffer 10.2 und 10.5) . . . . d) Verpflichtung des Unterauftragnehmers (Ziffer 10.3) . . aa) Spiegelung der Regelungen des übergeordneten Auftragsdatenvertrags . . . . . . . . . . . . . . . . . . . bb) Eigene Kontrollrechte des Auftraggebers . . . . . . . e) Unterauftragnehmer außerhalb des EWR (Ziffer 10.4) . . f) Kontrollpflichten gegenüber dem Unterauftragnehmer (Ziffer 10.6) . . . . . . . . . . . . . . . . . . . . . . . . . . g) Freigabe der Datenverarbeitung durch den Unterauftragnehmer (Ziffer 10.7) . . . . . . . . . . . . . . . . . . . . . h) Datensicherheitsvorfälle (Ziffer 10.8) . . . . . . . . . . . 11. Erläuterungen zu Ziffer 11 . . . . . . . . . . . . . . . . . . E 11. Rechte der Betroffenen . . . . . . . . . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Zuständigkeit des Auftraggebers (Ziffer 11.1, Satz 1) . c) Verweisungspflicht des Auftragnehmers (Ziffer 11.1, Satz 2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Unterstützung durch den Auftragnehmer (Ziffer 11.2) e) Einzelweisungen des Auftraggebers (Ziffer 11.3) . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
151 151 152 153
202 202 203 203
. . . .
. . . .
. . . .
. . . .
154 154 155 156
203 203 203 204
15. Erläuterungen zu Ziffer 15 . . . . . . . . . . . . . . . . . . . . E 15. Haftung und Vertragsstrafe . . . . . . . . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
157 157 158
205 205 205
XXII
Inhaltsverzeichnis Rz.
Seite
159 160 161
205 206 206
. . . . . .
162 162 163 164 165 166
207 207 207 207 207 207
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
209
I. Verwendung des Vertragsmusters . . . . . . . . . . . . . . . .
1
209
II. Auftragnehmerfreundlichkeit des Musters . . . . . . . . . . .
2
209
III. Ergänzungs-/Änderungsbedürftigkeit . . . . . . . . . . . . . .
4
210
IV. Stellung des Musters durch den Auftragsdatenverarbeiter . .
5
210
V. Sonstige gesetzliche Anforderungen an eine Auftragsdatenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
212
b) Haftung des Auftragnehmers und Haftungsfreistellung (Ziffer 15.1) . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Beweislast (Ziffer 15.2) . . . . . . . . . . . . . . . . . . . . d) Vertragsstrafe (Ziffer 15.3) . . . . . . . . . . . . . . . . . . 16. Erläuterungen zu Ziffer 16 . . . . . . . E 16. Schlussbestimmungen . . . . . a) Ratio . . . . . . . . . . . . . . . . . b) Schriftformerfordernis (Ziffer 16.1) c) Salvatorische Klausel (Ziffer 16.2) . d) Vorrangregelung (Ziffer 16.3) . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
II. Allgemeiner Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich (Moos)
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Auftragsdatenverarbeitungsvertrag (auftragnehmerfreundlich) . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
212
7
212
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
8
219
I. Vorbemerkungen . . . . . . . . . . . . . . . . . . . . . . . . .
8
219
1. Anwendungsbereich des Vertragsmusters . . . . . . . . . . .
8
219
2. Gesetzliche Anforderungen an Auftragsdatenverarbeitungsverträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
219
II. Erläuterung der einzelnen Klauseln . . . . . . . . . . . . . . .
11
220
1. Erläuterungen zu Ziffer 1 . . . . . . . . . E 1. Vertragsgegenstand . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . b) Definition des Auftragsgegenstandes
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
11 11 12 13
220 220 221 221
2. Erläuterungen zu Ziffer 2 . . . . . . . . . . . . . . . . . . . . E 2. Art, Umfang, Zweck und Laufzeit der Auftragsdatenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Begründung der Auftragsdatenverarbeitung (Ziffer 2.1) .
.
14
221
. . .
14 15 16
221 222 222 XXIII
Inhaltsverzeichnis
c) Festlegung von Art, Umfang und Zweck der Datenverarbeitung, Datenarten und Kreis der Betroffenen (Ziffer 2.2) d) Anderweitige Verwendung der Daten durch den Auftragnehmer (Ziffer 2.3) . . . . . . . . . . . . . . . . . . . . . . . e) Ort der Datenverarbeitung (Ziffer 2.4) . . . . . . . . . . . . aa) Auftragsdatenverarbeitung innerhalb des EWR . . . . bb) Datenverwendung außerhalb des EWR . . . . . . . . . f) Dauer und Kündigung des Auftrags (Ziffer 2.5) . . . . . . . aa) Dauer des Auftrags . . . . . . . . . . . . . . . . . . . . bb) Kündigung des Auftrags . . . . . . . . . . . . . . . . .
Rz.
Seite
17
222
18 20 20 21 23 24 25
223 224 224 224 225 225 225
3. Erläuterungen zu Ziffer 3 . . . . . . . . . . . . . . . . . . . . E 3. Weisungsbefugnisse des Auftraggebers . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Weisungsrecht des Auftraggebers (Ziffer 3.1) . . . . . . . aa) Beschränkung auf vertragliche Weisungen . . . . . . bb) Ergänzende Einzelweisungen mit Zustimmung des Auftragnehmers . . . . . . . . . . . . . . . . . . . . . c) Remonstration des Auftragnehmers (Ziffer 3.2) . . . . .
. . . . .
26 26 27 28 29
226 226 226 227 227
. .
30 33
227 228
4. Erläuterungen zu Ziffer 4 . . . . . . . . . . . . . . . . E 4. Pflichten des Auftraggebers . . . . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . b) Verantwortlichkeit des Auftraggebers (Ziffer 4.1) c) Rechte an den Daten (Ziffer 4.2) . . . . . . . . . . d) Obliegenheiten des Auftraggebers (Ziffer 4.3) . .
. . . . . .
. . . . . .
34 34 35 36 38 39
229 229 229 229 230 230
5. Erläuterungen zu Ziffer 5 . . . . . . . . . . . . . . . . . . . . E 5. Pflichten des Auftragnehmers . . . . . . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Eigenkontrolle der Auftragskonformität der Datenverarbeitung (Ziffer 5.1) . . . . . . . . . . . . . . . . . . . . . . c) Kopien (Ziffer 5.2) . . . . . . . . . . . . . . . . . . . . . . d) Unterstützung bei behördlichen Kontrollen (Ziffer 5.3) . e) Angaben für das Verfahrensverzeichnis (Ziffer 5.4) . . . f) Verpflichtung auf das Datengeheimnis (Ziffer 5.5) . . . . g) Bestellung eines Datenschutzbeauftragten (Ziffer 5.6) . h) Weitere gesetzliche Pflichten des Auftragnehmers (Ziffer 5.7) . . . . . . . . . . . . . . . . . . . . . . . . . .
. . .
41 41 42
231 231 231
. . . . . .
43 46 47 48 49 50
231 232 233 233 233 234
.
51
234
6. Erläuterungen zu Ziffer 6 . . . . . . . . . . . . . . . . . . . . . E 6. Technische und organisatorische Maßnahmen . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Spezifizierung der technischen und organisatorischen Maßnahmen (Ziffer 6.1) . . . . . . . . . . . . . . . . . . . . c) Änderung und Fortschreibung der Maßnahmen (Ziffer 6.2)
52 52 53
234 234 235
54 57
235 236
7. Erläuterungen zu Ziffer 7 . . . . . . . . . . . . . . . . . . . . . E 7. Mitzuteilende Verstöße des Auftragnehmers . . . . . .
59 59
237 237
XXIV
. . . . . .
. . . . . .
. . . . . .
Inhaltsverzeichnis
a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Informationspflichten des Auftragnehmers (Ziffer 7.1) . . c) Unterstützungspflicht des Auftragnehmers (Ziffer 7.2) . .
Rz.
Seite
60 61 65
237 237 238
8. Erläuterungen zu Ziffer 8 . . . . . . . . . . . . . . . . . . . . E 8. Kontrollrechte des Auftraggebers . . . . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Kontrollrecht des Auftraggebers (Ziffer 8.1) . . . . . . . . aa) Gegenstand der Kontrolle . . . . . . . . . . . . . . . bb) Art der Kontrolle . . . . . . . . . . . . . . . . . . . . cc) Beschränkung der Kontrolltätigkeit . . . . . . . . . . (1) Geschäftsräume des Auftragnehmers . . . . . . . . . (2) Während der üblichen Geschäftszeiten . . . . . . . . (3) Auf eigene Kosten . . . . . . . . . . . . . . . . . . . . (4) Ohne Störung des Betriebsablaufs . . . . . . . . . . . (5) Unter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen . . . . . . . . . . . . . . . . . . . . . . c) Zugangs-, Auskunfts- und Einsichtsrechte (Ziffer 8.2) . d) Ausnahmen von der Offenlegungspflicht (Ziffer 8.3) . . e) Ankündigung und Häufigkeit der Kontrolle (Ziffer 8.4) . aa) Ankündigung der Kontrollen . . . . . . . . . . . . . bb) Häufigkeit der Kontrollen . . . . . . . . . . . . . . . f) Kostentragung (Ziffer 8.5) . . . . . . . . . . . . . . . . . . g) Anforderungen an die Kontrolle durchführende Dritte (Ziffer 8.6) . . . . . . . . . . . . . . . . . . . . . . . . . . h) Alternative Kontrollmöglichkeiten (Ziffer 8.7) . . . . . . aa) Arten der Kontrolle . . . . . . . . . . . . . . . . . . . bb) Wahlrecht des Auftragnehmers . . . . . . . . . . . .
. . . . . . . . . . .
66 66 67 68 69 70 71 72 73 74 75
239 239 240 240 241 241 241 242 242 242 242
. . . . . . .
76 77 78 79 80 81 83
242 243 243 244 244 244 245
. . . .
84 86 87 89
245 246 246 247
9. Erläuterungen zu Ziffer 9 . . . . . . . . . . . . . . . . . . . . E 9. Unterauftragsverhältnisse . . . . . . . . . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Zulassung von Unterauftragsverhältnissen (Ziffer 9.1) . aa) Verweigerung der Zustimmung . . . . . . . . . . . . bb) Pauschalzustimmung für verbundene Unternehmen c) Zustimmungsfreiheit für Nebenleistungen (Ziffer 9.2) . d) Erteilung der Zustimmung (Ziffer 9.3) . . . . . . . . . . aa) Voraussetzungen für die Erteilung der Zustimmung (1) Schutzniveau des Unterauftragsdatenverarbeitungsvertrags . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Eigene Kontrollrechte des Auftraggebers . . . . . . . e) Unterauftragnehmer außerhalb des EWR (Ziffer 9.4) . .
. . . . . . . . .
90 90 91 92 93 94 95 98 99
248 248 248 249 249 249 250 251 251
. . .
100 101 102
251 252 252
. . . . .
105 105 106 107 108
253 253 254 254 254
10. Erläuterungen zu Ziffer 10 . . . . . . . . . . . . . . . . . E 10. Rechte der Betroffenen . . . . . . . . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Zuständigkeit des Auftraggebers (Ziffer 10.1) . . . . . c) Verweisungspflicht des Auftragnehmers (Ziffer 10.2)
. . . . .
. . . . .
XXV
Inhaltsverzeichnis
d) Unterstützung durch den Auftragnehmer (Ziffer 10.3) . . e) Durchführung der Berichtigung, Sperrung und Löschung (Ziffer 10.4) . . . . . . . . . . . . . . . . . . . . . . . . . . .
Rz.
Seite
109
255
110
255
11. Erläuterungen zu Ziffer 11 . . . . . . . . . . . . . . . . . . E 11. Rückgabe und Löschung überlassener Daten und Datenträger . . . . . . . . . . . . . . . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Datenlöschung und Datenträgerrückgabe (Ziffer 11.1) aa) Datenlöschung . . . . . . . . . . . . . . . . . . . . bb) Rückgabe von Datenträgern . . . . . . . . . . . . . c) Protokollierung der Löschung (Ziffer 11.2) . . . . . . . d) Aufbewahrung von Nachweisen (Ziffer 11.3) . . . . . .
. .
111
256
. . . . . . .
. . . . . . .
111 112 113 114 116 117 118
256 256 256 256 257 257 258
12. Erläuterungen zu Ziffer 12 . . . . . . . . . . . . . . . . . E 12. Verhältnis zum Hauptvertrag . . . . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Verhältnis zum Hauptvertrag . . . . . . . . . . . . . aa) Ergänzende Geltung des Hauptvertrags . . . . . . bb) Vorrang des Auftragsdatenverarbeitungsvertrags
. . . . . .
. . . . . .
119 119 120 121 122 123
258 258 258 258 258 259
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
260
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Datenschutzklausel Outsourcingvertrag . . . . . . . . . . E Anlage – Datenschutz zum Outsourcingvertrag vom […] .
2 2 3
260 260 261
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
4
265
I. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . .
4
265
II. Erläuterungen zur Datenschutzklausel für den Outsourcingvertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E 1. Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . .
10 10
269 269
a) Erläuterungen zu Ziffer 1.1 . . . . . . . . . . . . . . . . . . . .
11
269
b) Erläuterungen zu Ziffer 1.2 . . . . . . . . . . . . . . . . . . . .
12
269
c) Erläuterungen zu Ziffer 1.3 . . . . . . . . . . . . . . . . . . . . E 1. Change Management . . . . . . . . . . . . . . . . . . .
14 15
270 270
III. Erläuterungen zur Anlage Datenschutz . . . . . . . . . . . . .
. . . . . .
III. Datenschutzvereinbarung Outsourcingvertrag (Nowak/Zieger)
1. Erläuterungen zu Ziffer 1 . . . . . . . . . . . . . . . . . . E 1. Gegenstand und Dauer des Auftrags, Umfang der Datenverwendung . . . . . . . . . . . . . . . . . . a) Erläuterungen zu Ziffer 1.1 . . . . . . . . . . . . . . . b) Erläuterungen zu Ziffer 1.2 . . . . . . . . . . . . . . . XXVI
16
271
. . .
16
271
. . . . . . . . .
16 17 18
271 272 272
Inhaltsverzeichnis
c) Erläuterungen zu Ziffer 1.3 . . . . . . . . . . . . . . . . . . d) Erläuterungen zu Ziffer 1.4 . . . . . . . . . . . . . . . . . .
Rz.
Seite
19 20
273 273
2. Erläuterungen zu Ziffer 2 . . . . . . . . E 2. Weisungen des Auftraggebers . a) Erläuterungen zu Ziffer 2.1 . . . . . b) Erläuterungen zu Ziffer 2.2 und 2.3 c) Erläuterungen zu Ziffer 2.4 . . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
21 21 22 23 26
273 273 274 274 275
3. Erläuterungen zu Ziffer 3 . . . . . . E 3. Pflichten des Auftraggebers . a) Erläuterungen zu Ziffer 3.1 . . . b) Erläuterungen zu Ziffer 3.2 . . . c) Erläuterungen zu Ziffer 3.3 . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
27 27 28 29 30
275 275 275 275 275
4. Erläuterungen zu Ziffer 4 . . . . . . . . E 4. Pflichten des Auftragnehmers . a) Erläuterungen zu Ziffer 4.1 und 4.2 b) Erläuterungen zu Ziffer 4.3 . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
31 31 32 33
276 276 276 276
. .
34
277
. . . .
. . . .
34 35 36 38
277 277 278 278
6. Erläuterungen zu Ziffer 6 . . . . . . . . . . . . . . . . . . . . . E 6. Berichtigung, Löschung und Sperrung von Daten . . .
41 41
279 279
7. Erläuterungen zu Ziffer 7 . . . . . . . . . . . . . . . . . . . . . E 7. Rechte der Betroffenen . . . . . . . . . . . . . . . . . .
43 43
279 279
8. Erläuterungen zu Ziffer 8 . . . . . . . . . . . . . . . . . . . . . E 8. Berechtigung zur Begründung von Unterauftragsverhältnissen . . . . . . . . . . . . . . . . . . . . . . . .
45
280
45
280
9. Erläuterungen zu Ziffer 9 . . . . . . . . . . . . . . . . . . . . . E 9. Kontrollrechte des Auftraggebers, Duldungs- und Mitwirkungspflichten des Auftragnehmers, Zusammenarbeit mit Aufsichtsbehörden . . . . . . . . . . . . . . .
47
280
47
280
10. Erläuterungen zu Ziffer 10 . . . . . . . . . . . . . . . . . . . . E 10. Herausgabe- und Löschungspflichten bei Beendigung des Auftrags . . . . . . . . . . . . . . . . . . . . . . . .
49
281
49
281
11. Erläuterungen zu Ziffer 11 . . . . . . . . . . . . . . . . . . . . E 11. Schlussbestimmungen . . . . . . . . . . . . . . . . . .
52 52
282 282
. . . . .
5. Erläuterungen zu Ziffer 5 . . . . . . . . . . . . . . . . . . . E 5. Allgemeine Organisationspflichten, technische und organisatorische Maßnahmen . . . . . . . . . . . . a) Erläuterungen zu Ziffer 5.1 und 5.2 . . . . . . . . . . . b) Erläuterungen zu Ziffer 5.3 . . . . . . . . . . . . . . . . c) Erläuterungen zu Ziffer 5.4 . . . . . . . . . . . . . . . .
XXVII
Inhaltsverzeichnis Rz.
Seite
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
283
I. Entsorgung von Datenträgern durch spezialisierte Dienstleister . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
283
II. Dogmatische Einordnung . . . . . . . . . . . . . . . . . . . .
3
283
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Vereinbarung über die datenschutzkonforme Vernichtung von Datenträgern . . . . . . . . . . . . . . . .
5
284
5
284
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
289
I. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
289
II. Erläuterung der einzelnen Klauseln . . . . . . . . . . . . . . .
9
289
1. Erläuterung der Präambel . . . . . . . . . . . . . . . . . . . . . E Präambel . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9 9
289 289
IV. Vertrag zur Datenträger- und Aktenvernichtung (von Sonnleithner)
2. Erläuterungen zu Ziffer 1 . E 1. Allgemeines . . . . . a) Erläuterungen zu Ziffer b) Erläuterungen zu Ziffer
. . . . 1.1 1.2
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
12 12 13 15
290 290 290 291
3. Erläuterungen zu Ziffer 2 . . . . . E 2. Abholung der Datenträger a) Erläuterungen zu Ziffer 2.1 . . b) Erläuterungen zu Ziffer 2.2 . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
16 16 17 19
291 291 291 292
4. Erläuterungen zu Ziffer 3 . . . . . . . . E 3. Vernichtung der Datenträger . . a) Allgemeines . . . . . . . . . . . . . b) Erläuterungen zu Ziffer 3.1 . . . . . c) Erläuterungen zu Ziffer 3.2 und 3.3
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
21 21 22 26 27
292 292 293 293 294
5. Erläuterungen zu Ziffer 4 . . . . . . . . . . . . . . . . . . . . . E 4. Technisch-organisatorische Maßnahmen . . . . . . . .
29 29
294 294
6. Erläuterungen zu Ziffer 5 . . . . . . . E 5. Pflichten des Auftragnehmers a) Erläuterungen zu Ziffer 5.1 . . . . b) Erläuterungen zu Ziffer 5.2 . . . . c) Erläuterungen zu Ziffer 5.3 . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
32 32 33 35 36
295 295 295 296 296
7. Erläuterungen zu Ziffer 6 . . . . . . . . . . . . E 6. Verpflichtung auf das Datengeheimnis a) Erläuterungen zu Ziffer 6.1 . . . . . . . . . b) Erläuterungen zu Ziffer 6.2 . . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
38 38 39 40
297 297 297 297
XXVIII
. . . . .
. . . . .
. . . . .
. . . . .
Inhaltsverzeichnis Rz.
Seite
8. Erläuterungen zu Ziffer 7 . . . . . . . . . . . . . . . . . . . . . E 7. Weisungsbefugnisse des Auftraggebers . . . . . . . . .
41 41
297 297
9. Erläuterungen zu Ziffer 8 . . . . . . . . . . . . . . . . . . . . . E 8. Berichtigung, Löschung und Sperrung . . . . . . . . . .
43 43
298 298
10. Erläuterungen zu Ziffer 9 . . . . . . . . . . . . . . . . . . . . . E 9. Rückgabe von Datenträgern . . . . . . . . . . . . . . .
46 46
299 299
11. Erläuterungen zu Ziffer 10 . . . . . . . . . E 10. Kontrollrechte des Auftraggebers . a) Erläuterungen zu Ziffer 10.1 . . . . . . b) Erläuterungen zu Ziffer 10.2 . . . . . . c) Erläuterungen zu Ziffer 10.3 . . . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
49 49 51 52 53
299 299 300 300 300
12. Erläuterungen zu Ziffer 11 . . . . . . . . . E 11. Mitteilungspflichten bei Verstößen a) Erläuterungen zu Ziffer 11.1 . . . . . . b) Erläuterungen zu Ziffer 11.2 . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
54 54 55 57
300 300 301 301
13. Erläuterungen zu Ziffer 12 . . . . . . . . . E 12. Einsatz von Unterauftragnehmern a) Erläuterungen zu Ziffer 12.1 . . . . . . b) Erläuterungen zu Ziffer 12.2 und 12.3 .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
58 58 59 60
301 301 302 302
14. Erläuterungen zu Ziffer 13 . . . . . . . . . . . . . E 13. Eigentumsvorbehalt an den Datenträgern a) Erläuterungen zu Ziffer 13.1 . . . . . . . . . . b) Erläuterungen zu Ziffer 13.2 . . . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
62 62 63 65
302 302 303 303
15. Erläuterungen zu Ziffer 14 . . . . . . . . . . . . . . . . . . . . E 14. Laufzeit und Kündigung . . . . . . . . . . . . . . . . .
66 66
303 303
16. Erläuterungen zu Ziffer 15 . . . . . . . . . . . . . . . . . . . . E 15. Schlussbestimmungen . . . . . . . . . . . . . . . . . .
68 68
303 303
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
305
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Auskunfteivertrag . . . . . . . . . . . . . . . . . . . . . . .
2 2
305 305
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
316
I. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
316
II. Erläuterung der einzelnen Klauseln . . . . . . . . . . . . . . .
4
316
Teil 3 Datennutzungsverträge I. Auskunfteivertrag (Kamlah)
XXIX
Inhaltsverzeichnis Rz.
Seite
1. Erläuterungen zum Rubrum . . . . . . . . . . . . . . . . . . . E Auskunfteivertrag . . . . . . . . . . . . . . . . . . . . . . .
4 4
316 316
2. Erläuterungen zur Präambel . . . . . . . . . . . . . . . . . . . E Die Präambel . . . . . . . . . . . . . . . . . . . . . . . . . .
6 6
316 316
3. Erläuterungen zu Ziffer 1 . . . . . . . . . . . . . . . . . . . . . E 1. Vertragsgegenstand (evtl. ergänzend noch „Verfahren“)
8 8
317 317
. . . . . . . . . . . . . .
13 13 13 15 15 24 24 28 28 31 33 33 35 35
318 318 318 319 319 323 323 325 325 326 326 326 327 327
5. Erläuterungen zu Ziffer 3 . . . . . . . . . . . . . . . . . . . . . E 3. Pflichten des Datenempfängers . . . . . . . . . . . . . .
37 37
327 327
6. Erläuterungen zu Ziffer 4: Scoring . . . . . . . . . . . . . . . . E 4. Scoring . . . . . . . . . . . . . . . . . . . . . . . . . . . .
43 43
329 329
7. Erläuterungen zu Ziffer 5 . . . . . . . . . . . . . . . . . . . . . E 5. Intervall der Leistungserbringung . . . . . . . . . . . .
49 49
330 330
8. Erläuterung zu Ziffer 6 . . . . . . . . . . . . . . . . . . . . . . E 6. Vergütung . . . . . . . . . . . . . . . . . . . . . . . . . .
51 51
331 331
9. Erläuterung zu Ziffer 7 . . . . . . . . . . . . . . . . . . . . . . E 7. Laufzeit und Kündigung/Inkrafttreten . . . . . . . . . .
53 53
331 331
10. Erläuterung zu Ziffer 8 . . . . . . . . . . . . . . . . . . . . . . E 8. Kommunikationsverfahren . . . . . . . . . . . . . . . .
55 55
332 332
11. Erläuterung zu Ziffer 9 . . . . . . . . . . . . . . . . . . . . . . E 9. Haftung . . . . . . . . . . . . . . . . . . . . . . . . . . .
57 57
333 333
12. Erläuterung zu Ziffer 10 . . . . . . . . . . . . . . . . . . . . . E 10. Informationsweitergabe und Geheimhaltung . . . . .
66 66
336 336
13. Erläuterungen zu Ziffer 11 . . . . . . . . . . . . . . . . . . . . E 11. Ansprechpartner . . . . . . . . . . . . . . . . . . . . .
68 68
337 337
14. Erläuterungen zu Ziffer 12 . . . . . . . . . . . . . . . . . . . . E 12. Sonstiges . . . . . . . . . . . . . . . . . . . . . . . . . .
70 70
337 337
4. Erläuterungen zu Ziffer 2 . . . . . . . . . . . . . . . . . a) Erläuterungen zu Ziffer 2.1 . . . . . . . . . . . . . . E 2. Grundlagen der Zusammenarbeit; Datenschutz b) Erläuterungen zu Ziffer 2.2 . . . . . . . . . . . . . . E 2.2 Datenschutz . . . . . . . . . . . . . . . . . . . . c) Erläuterungen zu Ziffer 2.3 . . . . . . . . . . . . . . E 2.3 Vorliegen des berechtigten Interesses . . . . . d) Erläuterungen zu Ziffer 2.4 . . . . . . . . . . . . . . E 2.4 Identität/Nutzungsverbot . . . . . . . . . . . . e) Erläuterungen zu Ziffer 2.5 . . . . . . . . . . . . . . f) Erläuterungen zu Ziffer 2.6 . . . . . . . . . . . . . . E 2.6 Löschfristen . . . . . . . . . . . . . . . . . . . . g) Erläuterungen zu Ziffer 2.7 . . . . . . . . . . . . . . E 2.7 Processingunternehmen/Erfüllungsgehilfen . .
XXX
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
Inhaltsverzeichnis Rz.
Seite
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
339
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Adressenlieferungsrahmenvertrag . . . . . . . . . . . . . .
7 7
341 341
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
8
352
I. Ausrichtung des Vertragsmusters . . . . . . . . . . . . . . . .
8
352
II. Datenschutzrechtliche und wettbewerbsrechtliche Grundkonstellation . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
352
1. Datenschutzrecht: § 28 Abs. 3 BDSG . . . . . . . . . . . . . .
10
352
2. Wettbewerbsrecht . . . . . . . . . . . . . . . . . . . . . . . . .
11
353
III. Erläuterung der einzelnen Klauseln . . . . . . . . . . . . . . .
12
354
1. Erläuterungen zu Ziffer 1 . . . . . . . . . . . . . . . . . . . . . E 1. Gegenstand des Vertrags . . . . . . . . . . . . . . . . .
12 12
354 354
2. Erläuterungen zu Ziffer 2 . . . . . . . . . . . . . . . . . . . . . E 2. Stornierung . . . . . . . . . . . . . . . . . . . . . . . . .
16 16
356 356
3. Erläuterungen zu Ziffer 3 . . . . . . . . . . . . . . . . . . . . . E 3. Grundsätze zur Vertragsdurchführung . . . . . . . . .
18 18
356 356
4. Erläuterungen zu Ziffer 4 . . . . . . . . . . . . . . . . . . . . . E 4. Unterauftragnehmer . . . . . . . . . . . . . . . . . . . .
21 21
358 358
5. Erläuterungen zu Ziffer 5 und 6 . . . . . . . . . . . . . E 5. Datenqualität in tatsächlicher Hinsicht . . . . . . a) Datenqualität in tatsächlicher Hinsicht . . . . . . . aa) Erläuterungen zu Ziffer 5.1 . . . . . . . . . . . bb) Erläuterungen zu Ziffer 5.2 . . . . . . . . . . . b) Datenqualität in rechtlicher Hinsicht . . . . . . . . aa) Anforderungen der Rechtsprechung . . . . . . bb) Erläuterungen zu Ziffer 6.1 . . . . . . . . . . . cc) Erläuterungen zu Ziffer 6.2 . . . . . . . . . . . dd) Erläuterungen zu Ziffer 6.3 . . . . . . . . . . . ee) Erläuterungen zu Ziffer 6.5 . . . . . . . . . . . ff) Erläuterungen zu Ziffer 6.6 . . . . . . . . . . . gg) Erläuterungen zur Perspektive des Lieferanten
II. Adressenkauf- und -überlassungsvertrag (Feldmann/Höppner)
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
24 24 26 26 31 32 33 35 36 38 39 40 41
359 359 363 363 365 365 366 366 367 367 368 369 369
6. Erläuterungen zu Ziffer 7 und 8 . . . . . . . . . . . . . . E 7. Datenabgleich und Abrechnung „netto erreicht“ a) Erläuterungen zu Ziffer 7.1 . . . . . . . . . . . . . . . b) Erläuterungen zu Ziffer 8.3 . . . . . . . . . . . . . . . c) Erläuterungen zu Ziffer 8.4 . . . . . . . . . . . . . . . d) Erläuterungen aus Sicht des Lieferanten . . . . . . .
. . . . . .
. . . . . .
. . . . . .
42 42 44 45 46 47
369 369 370 371 371 372 XXXI
Inhaltsverzeichnis Rz.
Seite
7. Erläuterungen zu Ziffer 10 . . . . . . . . . . . . . . . . . . . . E 10. Gewährleistung . . . . . . . . . . . . . . . . . . . . . .
48 48
372 372
8. Erläuterungen zu Ziffer 11 . . . . . . . . . . . . . . . . . . . . E 11. Haftung des Lieferanten und Freistellung . . . . . . .
50 50
373 373
9. Erläuterung zu Ziffer 14 . . . . . . . . . . . . . . . . . . . . . E 14. Aufrechnung und Zurückbehaltungsrecht . . . . . . .
55 55
375 375
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
376
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Marktforschungsvertrag/Social Media Monitoring-Vertrag
7 7
377 377
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
8
383
I. Vertragsgegenstand . . . . . . . . . . . . . . . . . . . . . . . .
8
383
II. Rechtsnatur . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
384
III. Erläuterung der einzelnen Ziffern . . . . . . . . . . . . . . . .
III. Marktforschungsvertrag/Social Media Monitoring-Vertrag (Baumgartner)
11
384
. . . .
11 11 12 14
384 384 384 385
2. Erläuterungen zu Ziffer 2 . . . . . . . . . . . . . . . . . . . . . E 2. Zugang zum System des Auftragnehmers . . . . . . . .
24 24
387 387
3. Erläuterungen zu Ziffer 3 . . . . . . . . . . . . . . . . . . . . . E 3. Mitwirkung des Kunden . . . . . . . . . . . . . . . . . .
26 26
388 388
4. Erläuterungen zu Ziffer 4 . . . . . . . . . . . . . . . . . . . . . E 4. Reporting . . . . . . . . . . . . . . . . . . . . . . . . . .
28 28
388 388
5. Erläuterungen zu Ziffer 5 . . . . . . . . . . . . . . . . . . . . . E 5. Vertragsdauer . . . . . . . . . . . . . . . . . . . . . . . .
31 31
389 389
6. Erläuterungen zu Ziffer 6 . . . . . . . . . . . . . . . . . . . . . E 6. Vergütung . . . . . . . . . . . . . . . . . . . . . . . . . .
33 33
389 389
7. Erläuterungen zu Ziffer 7 . . . . . . . . . . . . . . . . . . . . . E 7. Keine Rechte des Kunden an Daten . . . . . . . . . . .
35 35
390 390
8. Erläuterungen zu Ziffer 8 . . . . . . . . . . . . . . . . . . . . . E 8. Rechte an den Ergebnissen . . . . . . . . . . . . . . . .
38 38
391 391
9. Erläuterungen zu Ziffer 9 . . . . . . . . . . . . . . . . . . . . . E 9. Vertraulichkeit . . . . . . . . . . . . . . . . . . . . . . .
41 41
392 392
10. Erläuterungen zu Ziffer 10 . . . . . . . . . . . . . . . . . . . . E 10. Gewährleistung . . . . . . . . . . . . . . . . . . . . . .
43 43
392 392
1. Erläuterungen zu Ziffer 1 . . . . . . . . . E 1. Vertragsgegenstand . . . . . . . . a) Allgemeines . . . . . . . . . . . . . . b) Datenschutzrechtlicher Hintergrund
XXXII
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
Inhaltsverzeichnis Rz.
Seite
11. Erläuterungen zu Ziffer 11 . . . . . . . . . . . . . . . . . . . . E 11. Haftung . . . . . . . . . . . . . . . . . . . . . . . . . .
45 45
393 393
12. Erläuterungen zu Ziffer 12 . . . . . . . . . . . . . . . . . . . . E 12. Datenschutz . . . . . . . . . . . . . . . . . . . . . . . .
47 47
394 394
13. Erläuterungen zu Ziffer 13 . . . . . . . . . . . . . . . . . . . . E 13. Höhere Gewalt . . . . . . . . . . . . . . . . . . . . . .
51 51
395 395
14. Erläuterungen zu Ziffer 14 . . . . . . . . . . . . . . . . . . . . E 14. Schlussbestimmungen . . . . . . . . . . . . . . . . . .
53 53
395 395
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
397
I. Allgemeines zur Webanalyse . . . . . . . . . . . . . . . . . . .
1
397
II. Technische Funktionsweise der Webanalyse . . . . . . . . . .
8
398
III. Rechtliche und behördliche Vorgaben zur Webanalyse . . . .
16
401
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Vertrag zur Durchführung von Webanalysen („Webtracking“) . . . . . . . . . . . . . . . . . . . . . . . .
24
404
24
404
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
409
I. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
409
II. Erläuterung der einzelnen Klauseln . . . . . . . . . . . . . . .
26
409
1. Erläuterungen zu Ziffer 1 . E 1. Allgemeines . . . . . a) Ratio . . . . . . . . . . b) Erläuterungen . . . . . aa) Zu Ziffer 1.1 . . . . bb) Zu Ziffer 1.2 . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
26 26 27 28 28 30
409 409 410 410 410 410
2. Erläuterungen zu Ziffer 2 . E 2. Vertragsschluss . . . a) Ratio . . . . . . . . . . b) Erläuterungen . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
34 34 35 36
411 411 411 411
3. Erläuterungen zu Ziffer 3 . . . . . . . . E 3. Leistungen des Auftragnehmers a) Ratio . . . . . . . . . . . . . . . . . b) Erläuterungen . . . . . . . . . . . . aa) Zu Ziffer 3.1 . . . . . . . . . . . bb) Zu Ziffer 3.2 . . . . . . . . . . . cc) Zu Ziffer 3.3 . . . . . . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
38 38 39 41 41 43 45
411 411 412 412 412 412 412
IV. Vertrag zur Durchführung von Webanalysen („Webtracking“) (Hansen-Oest)
XXXIII
Inhaltsverzeichnis Rz.
dd) Zu Ziffer 3.4 . . . . . . . . . . . . . . . . . . . . . . . .
Seite
48
413
4. Erläuterungen zu Ziffer 4 . . . . . . E 4. Pflichten des Auftraggebers . a) Ratio . . . . . . . . . . . . . . . b) Erläuterungen . . . . . . . . . . aa) Zu Ziffer 4.1 . . . . . . . . . bb) Zu Ziffer 4.2 . . . . . . . . . cc) Zu Ziffer 4.3 . . . . . . . . . dd) Zu Ziffer 4.4 . . . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
49 49 50 51 51 52 55 57
413 413 414 414 414 414 414 415
5. Erläuterungen zu Ziffer 5 . E 5. Datenschutz . . . . . a) Ratio . . . . . . . . . . b) Erläuterungen . . . . . aa) Zu Ziffer 5.1 . . . . bb) Zu Ziffer 5.2 . . . . (1) Zu Ziffer 5.2.1 . . . (2) Zu Ziffer 5.2.2 . . . (3) Zu Ziffer 5.2.3 . . . (4) Zu Ziffer 5.2.4 . . . (5) Zu Ziffer 5.2.5 . . . (6) Zu Ziffer 5.2.6 . . . cc) Zu Ziffer 5.3 . . . . dd) Zu Ziffer 5.4 . . . . ee) Zu Ziffer 5.5 . . . . ff) Zu Ziffer 5.6 . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
61 61 62 64 64 66 67 70 73 75 77 80 82 84 85 87
415 415 416 417 417 417 418 418 418 419 419 420 420 420 421 421
6. Erläuterungen zu Ziffer 6 . . . . . E 6. Auftragsdatenverarbeitung a) Ratio . . . . . . . . . . . . . . b) Erläuterungen . . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
89 89 90 91
421 421 421 421
7. Erläuterungen zu Ziffer 7 . E 7. Nutzungsrechte . . . a) Ratio . . . . . . . . . . b) Erläuterungen . . . . . aa) Zu Ziffer 7.1 . . . . bb) Zu Ziffer 7.2 . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
94 94 95 96 96 97
422 422 422 422 422 422
8. Erläuterungen zu Ziffer 8 . E 8. Datensicherung . . . a) Ratio . . . . . . . . . . b) Erläuterungen . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
99 99 100 101
422 422 423 423
9. Erläuterungen zu Ziffer 9 . E 9. Preise und Zahlung . a) Ratio . . . . . . . . . . b) Erläuterungen . . . . . aa) Zu Ziffer 9.1 . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
104 104 105 106 106
423 423 423 423 423
XXXIV
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
Inhaltsverzeichnis Rz.
bb) Zu Ziffer 9.2 . . . . . . . . . . . . . . . . . . . . . . . .
Seite
108
424
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
109 109 110 112 112 113
424 424 424 424 424 425
11. Erläuterungen zu Ziffer 11 . . . E 11. Haftungsbeschränkung . a) Ratio . . . . . . . . . . . . . b) Erläuterungen . . . . . . . . aa) Zu Ziffer 11.1 . . . . . . bb) Zu Ziffer 11.2 . . . . . . cc) Zu Ziffer 11.3 . . . . . . dd) Zu Ziffer 11.4 . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
116 116 117 118 118 119 120 122
425 425 425 425 425 426 426 426
12. Erläuterungen zu Ziffer 12 . . E 12. Dauer und Kündigung a) Ratio . . . . . . . . . . . . b) Erläuterungen . . . . . . . aa) Zu Ziffer 12.1 . . . . . bb) Zu Ziffer 12.2 . . . . . cc) Zu Ziffer 12.3 . . . . . dd) Zu Ziffer 12.4 . . . . . ee) Zu Ziffer 12.5 . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
123 123 124 125 125 127 128 129 130
426 426 426 427 427 427 427 427 427
13. Erläuterung zu Ziffer 13 . . . E 13. Schlussbestimmungen a) Ratio . . . . . . . . . . . . b) Erläuterungen . . . . . . . aa) Zu Ziffer 13.1 . . . . . bb) Zu Ziffer 13.2 . . . . . cc) Zu Ziffer 13.3 . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
131 131 132 133 133 134 135
428 428 428 428 428 428 428
10. Erläuterungen zu Ziffer 10 E 10. Verfügbarkeit . . . a) Ratio . . . . . . . . . . b) Erläuterungen . . . . . aa) Zu Ziffer 10.1 . . . bb) Zu Ziffer 10.2 . . .
. . . . . .
. . . . . .
Teil 4 Unternehmensrichtlinien und Betriebsvereinbarungen I. Unternehmensrichtlinie Datenschutz (Meyer) A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
429
I. Sinn und Zweck von Unternehmensrichtlinien . . . . . . . .
1
429
II. Abgrenzung zu anderen Regelwerken . . . . . . . . . . . . . .
3
430
1. Binding Corporate Rules . . . . . . . . . . . . . . . . . . . . .
3
430
2. Branchenweite Verhaltensregeln . . . . . . . . . . . . . . . .
5
431 XXXV
Inhaltsverzeichnis Rz.
Seite
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Unternehmensrichtlinie Datenschutz . . . . . . . . . . . .
7 7
431 431
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
8
442
I. Erläuterungen zu Ziffer 1 . . . . . . . . . . . . . . . . . . . . . E 1. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . .
8 8
442 442
1. Erläuterungen zu Ziffer 1.1 . . . . . . . . . . . . . . . . . . . .
10
442
2. Erläuterungen zu Ziffer 1.2 . . . . . . . . . . . . . . . . . . . .
11
442
3. Erläuterungen zu Ziffer 1.3 . . . . . . . . . . . . . . . . . . . .
12
442
II. Erläuterungen zu Ziffer 2 . . . . . . . . . . . . . . . . . . . . . E 2. Ziel der Unternehmensrichtlinie . . . . . . . . . . . . .
13 13
443 443
1. Erläuterungen zu Ziffer 2.1 . . . . . . . . . . . . . . . . . . . .
15
443
2. Erläuterungen zu Ziffer 2.2 . . . . . . . . . . . . . . . . . . . .
16
443
3. Erläuterungen zu Ziffer 2.3 . . . . . . . . . . . . . . . . . . . .
17
443
III. Erläuterungen zu Ziffer 3 . . . . . . . . . . . . . . . . . . . . . E 3. Anwendungsbereich der Unternehmensrichtlinie . . .
18 18
444 444
1. Erläuterungen zu Ziffer 3.1 . . . . . . . . . . . . . . . . . . . .
20
444
2. Erläuterungen zu Ziffer 3.2 . . . . . . . . . . . . . . . . . . . .
25
445
3. Erläuterungen zu Ziffer 3.3 . . . . . . . . . . . . . . . . . . . .
26
446
4. Erläuterungen zu Ziffer 3.4 . . . . . . . . . . . . . . . . . . . .
27
446
IV. Erläuterungen zu Ziffer 4 . . . . . . . . . . . . . . . . . . . . . E 4. Definitionen . . . . . . . . . . . . . . . . . . . . . . . . .
28 28
446 446
1. Erläuterungen zu Ziffer 4.1 . . . . . . . . . . . . . . . . . . . .
30
447
2. Erläuterungen zu Ziffer 4.2 . . . . . . . . . . . . . . . . . . . .
32
447
3. Erläuterungen zu Ziffer 4.3 . . . . . . . . . . . . . . . . . . . .
33
447
V. Erläuterungen zu Ziffer 5 . . . . . . . . . . . . . . . . . . . . . E 5. Zulässigkeit der Datenverarbeitung . . . . . . . . . . .
37 37
448 448
1. Erläuterungen zu Ziffer 5.1 . . . . . . . . . . . . . . . . . . . .
39
449
2. Erläuterungen zu Ziffer 5.2 und 5.3 . . . . . . . . . . . . . . .
40
449
VI. Erläuterungen zu Ziffer 6 . . . . . . . . . . . . . . . . . . . . . E 6. Gesetzliche Ermächtigungsgrundlagen . . . . . . . . .
41 41
449 449
1. Erläuterungen zu Ziffer 6.1 . . . . . . . . . . . . . . . . . . . .
43
450
2. Erläuterungen zu Ziffer 6.2 . . . . . . . . . . . . . . . . . . . .
44
450
3. Erläuterungen zu Ziffer 6.3 . . . . . . . . . . . . . . . . . . . .
45
450
4. Erläuterungen zu Ziffer 6.4 . . . . . . . . . . . . . . . . . . . .
47
451
VII. Erläuterungen zu Ziffer 7 . . . . . . . . . . . . . . . . . . . . . E 7. Einwilligung und Protokollierung . . . . . . . . . . . .
48 48
451 451
XXXVI
Inhaltsverzeichnis Rz.
Seite
1. Erläuterungen zu Ziffer 7.1 . . . . . . . . . . . . . . . . . . . .
50
452
2. Erläuterungen zu Ziffer 7.2 . . . . . . . . . . . . . . . . . . . .
51
452
3. Erläuterungen zu Ziffer 7.3 . . . . . . . . . . . . . . . . . . . .
54
452
4. Erläuterungen zu Ziffer 7.4 . . . . . . . . . . . . . . . . . . . .
56
453
5. Erläuterungen zu Ziffer 7.5 . . . . . . . . . . . . . . . . . . . .
57
453
VIII. Erläuterungen zu Ziffer 8 . . . . . . . . . . . . . . . . . . . . . E 8. Zweckbindung . . . . . . . . . . . . . . . . . . . . . . .
58 58
454 454
1. Erläuterungen zu Ziffer 8.1 . . . . . . . . . . . . . . . . . . . .
59
454
2. Erläuterungen zu Ziffer 8.2 . . . . . . . . . . . . . . . . . . . .
62
454
IX. Erläuterungen zu Ziffer 9 . . . . . . . . . . . . . . . . . . . . . E 9. Verhältnismäßigkeit . . . . . . . . . . . . . . . . . . . .
63 63
455 455
1. Erläuterungen zu Ziffer 9.1 . . . . . . . . . . . . . . . . . . . .
65
455
2. Erläuterungen zu Ziffer 9.2 . . . . . . . . . . . . . . . . . . . .
67
456
3. Erläuterungen zu Ziffer 9.3 . . . . . . . . . . . . . . . . . . . .
68
456
X. Erläuterungen zu Ziffer 10 . . . . . . . . . . . . . . . . . . . . E 10. Datenvermeidung und Datensparsamkeit . . . . . . .
69 69
456 456
1. Erläuterungen zu Ziffer 10.1 . . . . . . . . . . . . . . . . . . .
70
457
2. Erläuterungen zu Ziffer 10.2 . . . . . . . . . . . . . . . . . . .
72
457
3. Erläuterungen zu Ziffer 10.3 . . . . . . . . . . . . . . . . . . .
73
458
XI. Erläuterungen zu Ziffer 11 . . . . . . . . . . . . . . . . . . . . E 11. Direkterhebung und Information des Betroffenen . .
75 75
458 458
1. Erläuterungen zu Ziffer 11.1 . . . . . . . . . . . . . . . . . . .
76
458
2. Erläuterungen zu Ziffer 11.2 . . . . . . . . . . . . . . . . . . .
77
459
XII. Erläuterungen zu Ziffer 12 . . . . . . . . . . . . . . . . . . . . E 12. Datenqualität . . . . . . . . . . . . . . . . . . . . . . .
79 79
459 459
1. Erläuterungen zu Ziffer 12.1 . . . . . . . . . . . . . . . . . . .
81
459
2. Anmerkungen zu Ziffer 12.2 . . . . . . . . . . . . . . . . . . .
82
460
XIII. Erläuterungen zu Ziffer 13 . . . . . . . . . . . . . . . . . . . . E 13. Datensicherheit . . . . . . . . . . . . . . . . . . . . . .
83 83
460 460
1. Erläuterungen zu Ziffer 13.1 und 13.2 . . . . . . . . . . . . .
85
460
2. Erläuterungen zu Ziffer 13.3 und 13.4 . . . . . . . . . . . . .
86
461
XIV. Erläuterungen zu Ziffer 14 . . . . . . . . . . . . . . . . . . . . E 14. Werbemaßnahmen . . . . . . . . . . . . . . . . . . . .
87 87
461 461
1. Erläuterungen zu Ziffer 14.1 . . . . . . . . . . . . . . . . . . .
89
461
2. Erläuterungen zu Ziffer 14.2 . . . . . . . . . . . . . . . . . . .
90
462
3. Erläuterungen zu Ziffer 14.3 . . . . . . . . . . . . . . . . . . .
91
462
XXXVII
Inhaltsverzeichnis Rz.
Seite
XV. Erläuterungen zu Ziffer 15 . . . . . . . . . . . . . . . . . . E 15. Erstellung von Nutzerprofilen . . . . . . . . . . . .
93 93
462 462
1. Erläuterungen zu Ziffer 15.1 . . . . . . . . . . . . . . . . .
96
463
2. Erläuterungen zu Ziffer 15.2 . . . . . . . . . . . . . . . . .
97
463
XVI. Erläuterungen zu Ziffer 16 . . . . . . . . . . . . . . . . . . E 16. Auftragsdatenverarbeitung . . . . . . . . . . . . .
98 98
463 463
1. Erläuterungen zu Ziffer 16.1 . . . . . . . . . . . . . . . . .
102
465
2. Erläuterungen zu Ziffer 16.2 . . . . . . . . . . . . . . . . .
103
465
3. Erläuterungen zu Ziffer 16.3 . . . . . . . . . . . . . . . . .
104
465
XVII. Erläuterungen zu Ziffer 17 . . . . . . . . . . . . . . . . . . E 17. Automatisierte Einzelentscheidungen . . . . . . .
105 105
465 465
1. Erläuterungen zu Ziffer 17.1 . . . . . . . . . . . . . . . . .
108
466
2. Erläuterungen zu Ziffer 17.2 . . . . . . . . . . . . . . . . .
109
466
XVIII. Erläuterungen zu Ziffer 18 . . . . . . . . . . . . . . . . . . E 18. Übermittlung von Daten . . . . . . . . . . . . . . .
110 110
466 466
1. Erläuterungen zu Ziffer 18.1 . . . . . . . . . . . . . . . . .
112
467
2. Erläuterungen zu Ziffer 18.2 . . . . . . . . . . . . . . . . .
113
467
XIX. Erläuterungen zu Ziffer 19 . . . . . . . . . . . . . . . . . . E 19. Anforderungen an Mitarbeiter . . . . . . . . . . .
114 114
467 467
1. Erläuterungen zu Ziffer 19.1 . . . . . . . . . . . . . . . . .
116
468
2. Erläuterungen zu Ziffer 19.2 . . . . . . . . . . . . . . . . .
117
468
3. Erläuterungen zu Ziffer 19.3 . . . . . . . . . . . . . . . . .
118
468
XX. Erläuterungen zu Ziffer 20 . . . . . . . . . . . . . . . . . . E 20. Dokumentationspflichten . . . . . . . . . . . . . .
119 119
469 469
1. Erläuterungen zu Ziffer 20.1 . . . . . . . . . . . . . . . . .
121
469
2. Erläuterungen zu Ziffer 20.2 . . . . . . . . . . . . . . . . .
123
469
XXI. Erläuterungen zu Ziffer 21 . . . . . . . . . . . . . . . . . . E 21. Einführung neuer Systeme zur Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . .
124
470
124
470
XXII. Erläuterungen zu Ziffer 22 . . . . . . . . . . . . . . . . . . E 22. Recht auf Auskunft . . . . . . . . . . . . . . . . . .
128 128
470 470
1. Erläuterungen zu Ziffer 22.1 . . . . . . . . . . . . . . . . .
130
471
2. Erläuterungen zu Ziffer 22.2 . . . . . . . . . . . . . . . . .
131
471
3. Erläuterungen zu Ziffer 22.3 . . . . . . . . . . . . . . . . .
133
471
4. Erläuterungen zu Ziffer 22.4 . . . . . . . . . . . . . . . . .
134
472
5. Erläuterungen zu Ziffer 22.5 . . . . . . . . . . . . . . . . .
135
472
XXXVIII
Inhaltsverzeichnis
XXIII. Erläuterungen zu Ziffer 23 . . . . . . . . . . . . . . . . . . E 23. Recht auf Löschung und Sperrung . . . . . . . . .
Rz.
Seite
138 138
472 472
1. Erläuterungen zu Ziffer 23.1 . . . . . . . . . . . . . . . . .
140
473
2. Erläuterungen zu Ziffer 23.2 . . . . . . . . . . . . . . . . .
141
473
XXIV. Erläuterungen zu Ziffer 24 . . . . . . . . . . . . . . . . . . E 24. Recht auf Berichtigung . . . . . . . . . . . . . . . .
142 142
474 474
1. Erläuterungen zu Ziffer 24.1 . . . . . . . . . . . . . . . . .
144
474
2. Erläuterungen zu Ziffer 24.2 . . . . . . . . . . . . . . . . .
145
474
XXV. Erläuterungen zu Ziffer 25 . . . . . . . . . . . . . . . . . . E 25. Recht auf Widerruf, Widerspruch und Beschwerde
146 146
474 474
1. Erläuterungen zu Ziffer 25.1 . . . . . . . . . . . . . . . . .
148
475
2. Erläuterungen zu Ziffer 25.2 . . . . . . . . . . . . . . . . .
149
475
3. Erläuterungen zu Ziffer 25.3 . . . . . . . . . . . . . . . . .
150
476
XXVI. Erläuterungen zu Ziffer 26 . . . . . . . . . . . . . . . . . . E 26. Verantwortung . . . . . . . . . . . . . . . . . . . .
153 153
476 476
1. Erläuterungen zu Ziffer 26.1 . . . . . . . . . . . . . . . . .
155
477
2. Erläuterungen zu Ziffer 26.2 . . . . . . . . . . . . . . . . .
156
477
3. Erläuterungen zu Ziffer 26.3 . . . . . . . . . . . . . . . . .
157
478
4. Erläuterungen zu Ziffer 26.4 . . . . . . . . . . . . . . . . .
158
478
XXVII. Erläuterungen zu Ziffer 27 . . . . . . . . . . . . . . . . . . E 27. Datenschutzbeauftragter als Ansprechpartner . .
159 159
478 478
1. Erläuterungen zu Ziffer 27.1 . . . . . . . . . . . . . . . . .
161
479
2. Erläuterungen zu Ziffer 27.2 . . . . . . . . . . . . . . . . .
162
479
3. Erläuterungen zu Ziffer 27.3 . . . . . . . . . . . . . . . . .
163
479
4. Erläuterungen zu Ziffer 27.4 . . . . . . . . . . . . . . . . .
164
480
5. Erläuterungen zu Ziffer 27.5 . . . . . . . . . . . . . . . . .
165
480
XXVIII. Erläuterungen zu Ziffer 28 . . . . . . . . . . . . . . . . . . E 28. Meldung von Verstößen und Zusammenarbeit mit Aufsichtsbehörden . . . . . . . . . . . . . . . . . .
166
480
166
480
1. Erläuterungen zu Ziffer 28.1 . . . . . . . . . . . . . . . . .
168
481
2. Erläuterungen zu Ziffer 28.2 . . . . . . . . . . . . . . . . .
170
481
XXIX. Erläuterungen zu Ziffer 29 . . . . . . . . . . . . . . . . . . E 29. Publizität . . . . . . . . . . . . . . . . . . . . . . . .
172 172
482 482
1. Erläuterungen zu Ziffer 29.1 . . . . . . . . . . . . . . . . .
174
482
2. Erläuterungen zu Ziffer 29.2 . . . . . . . . . . . . . . . . .
176
482
XXX. Erläuterungen zu Ziffer 30 . . . . . . . . . . . . . . . . . . E 30. Änderungen dieser Unternehmensrichtlinie . . . .
177 177
483 483 XXXIX
Inhaltsverzeichnis Rz.
Seite
1. Erläuterungen zu Ziffer 30.1 . . . . . . . . . . . . . . . . .
179
483
2. Erläuterungen zu Ziffer 30.2 . . . . . . . . . . . . . . . . .
180
483
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
484
I. Tatsächliche Rahmenbedingungen für Videoüberwachung am Arbeitsplatz . . . . . . . . . . . . . . . . . . . . . . . . . .
1
484
II. Rechtsgrundlagen für Videoüberwachung am Arbeitsplatz . .
3
485
1. Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
485
2. Vorschriften des BDSG . . . . . . . . . . . . . . . . . . . . . . a) Differenzierung: Öffentlich und nicht öffentlich zugängliche Bereiche . . . . . . . . . . . . . . . . . . . . . . . . . b) Videoüberwachung öffentlich zugänglicher Arbeitsplätze aa) Rechtsgrundlage § 6b Abs. 1 Nr. 3 BDSG . . . . . . . . bb) Hinweispflicht gem. § 6b Abs. 2 BDSG . . . . . . . . . c) Videoüberwachung nicht öffentlich zugänglicher Arbeitsplätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Rechtsgrundlage § 32 Abs. 1 BDSG . . . . . . . . . . . bb) Rechtsgrundlage § 28 Abs. 1 Satz 1 Nr. 2 BDSG . . . .
7
486
7 10 10 14
486 486 486 487
16 16 19
488 488 489
3. Betriebsvereinbarung als Rechtsgrundlage und Zulässigkeitsgrenze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
22
490
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Betriebsvereinbarung zur Videoüberwachung . . . . . .
23 23
491 491
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
24
496
I. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . .
24
496
II. Erläuterung der einzelnen Klauseln . . . . . . . . . . . . . . .
25
497
1. Erläuterungen zur Bezeichnung der Vertragsparteien und zur Präambel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Betriebsvereinbarung zur Videoüberwachung . . . . . . . a) Mitbestimmung bei Videoüberwachung am Arbeitsplatz . b) Vertragsparteien . . . . . . . . . . . . . . . . . . . . . . . . c) Präambel . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25 25 26 28 32
497 497 497 498 499
2. Erläuterungen zu Ziffer 1 . . . . . . . . . . . . . . . . . . . . . E 1. Geltungsbereich . . . . . . . . . . . . . . . . . . . . . .
35 35
500 500
3. Erläuterungen zu Ziffer 2 . . . . . . . . . . . . . . . . . . . . . E 2. Zweck der Videoüberwachung . . . . . . . . . . . . . .
40 40
500 500
4. Erläuterungen zu Ziffer 3 . . . . . . . . . . . . . . . . . . . . . E 3. Erfasste Bereiche, Einsatzform und Kenntlichmachung a) Erläuterungen zu Ziffer 3.1 . . . . . . . . . . . . . . . . . .
47 47 48
502 502 502
II. Betriebsvereinbarung zur Videoüberwachung (Lang)
XL
Inhaltsverzeichnis Rz.
Seite
. . . . .
50 51 54 56 58
503 503 504 504 504
. .
59
505
5. Erläuterungen zu Ziffer 4 . . . . . . . . . . . . . . . . . . . . . E 4. Dokumentation . . . . . . . . . . . . . . . . . . . . . . .
69 69
507 507
6. Erläuterungen zu Ziffer 5 . . . . . . . . . . . . . . . . . . . . . E 5. Übermittlung der Bilder und Schnittstellen . . . . . . .
74 74
509 509
7. Erläuterungen zu Ziffer 6 . . . . . . . . . . . . . . . . . . . . . E 6. Aufzeichnung und Speicherung von Bildern . . . . . .
77 77
509 509
8. Erläuterungen zu Ziffer 7 . . . . . . . . . . . . . . . . . . . . . E 7. Zugriff auf Aufzeichnungen und Auswertung . . . . .
87 87
512 512
9. Erläuterungen zu Ziffer 8 . . . . . . . . . . . . . . . . . . . . . E 8. Rechte der Arbeitnehmer . . . . . . . . . . . . . . . . .
92 92
513 513
10. Erläuterungen zu Ziffer 9 . . . . . . . . . . . . . . . . . . . . . E 9. Zutritt zu Räumen mit Komponenten des Videoüberwachungssystems . . . . . . . . . . . . . . . . . . .
95
514
95
514
11. Erläuterungen zu Ziffer 10 . . . . . . . . . . . . . . . . . . . . E 10. Änderungen am Videoüberwachungssystem . . . . .
101 101
515 515
12. Erläuterungen zu Ziffer 11 . . . . . . . . . . . . . . . . . . . . E 11. Schlussbestimmungen . . . . . . . . . . . . . . . . . .
104 104
516 516
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
518
I. Die Mitarbeiterortung in der betrieblichen Praxis . . . . . . .
1
518
II. Betriebsvereinbarungen zur Mitarbeiterortung . . . . . . . .
2
518
1. Mitbestimmungsrechte des Betriebsrats . . . . . . . . . . . .
2
518
2. Zuständigkeiten . . . . . . . . . . . . . . . . . . . . . . . . . .
4
519
III. Inhaltliche Grenzen der Betriebsvereinbarung . . . . . . . . .
11
520
b) Erläuterungen zu Ziffer 3.2 und 3.3 . . . . . . . . . . . aa) Kamera-Monitor-Prinzip und Aufzeichnung . . . . bb) Keine Audioüberwachung . . . . . . . . . . . . . . cc) Offene und verdeckte Videoüberwachung . . . . . dd) Kenntlichmachung . . . . . . . . . . . . . . . . . . c) Zulässigkeit einer Videoüberwachung – Eckpunkte der Erforderlichkeit und der Interessenabwägung . . . . .
. . . . .
III. Betriebsvereinbarung zur Mitarbeiterortung (Weberndörfer/Zieger)
1. Datenschutzrechtliche Vorgaben des TKG . . . . . . . . . . .
12
520
2. Datenschutzrechtliche Vorgaben des TMG . . . . . . . . . .
16
521
3. Allgemeine datenschutzrechtliche Vorgaben des BDSG . . . a) Datenschutzrechtliche Einwilligung . . . . . . . . . . . . b) Die Erlaubnistatbestände der §§ 32 und 28 Abs. 1 Satz 1 Nr. 2 BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . .
17 18
522 522
19
522 XLI
Inhaltsverzeichnis Rz.
Seite
c) Die Betriebvereinbarung als „andere Rechtsvorschrift“ . .
23
523
4. „Arbeitsrechtlicher Datenschutz“ – Schutz von Persönlichkeitsrechten gem. § 75 BetrVG . . . . . . . . . . . . . . . . .
25
523
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Betriebsvereinbarung zur Mitarbeiterortung . . . . . . . .
26 26
524 524
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
527
I. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
527
II. Erläuterung der einzelnen Klauseln . . . . . . . . . . . . . . .
29
528
1. Erläuterungen zu Ziffer 1 . . . . . . . . . . . . . . . . . . . . . E 1. Gegenstand und Zweck der Betriebsvereinbarung . . .
29 29
528 528
2. Erläuterungen zu Ziffer 2 . . . . . . . . . . . . . . . . . . . . . E 2. Anwendungsbereich . . . . . . . . . . . . . . . . . . . .
31 31
528 528
3. Erläuterungen zu Ziffer 3 . . . . . . . . . . . . . . . . . . . . . E 3. Einführung einer Ortungseinrichtung . . . . . . . . . .
38 38
529 529
4. Erläuterungen zu Ziffer 4 . . . . . . . . . E 4. Nutzung der Ortungseinrichtung . a) Erläuterungen zu Ziffer 4.1 . . . . . . b) Erläuterungen zu Ziffer 4.2 . . . . . . c) Erläuterungen zu Ziffer 4.3 . . . . . . d) Erläuterungen zu Ziffer 4.4 . . . . . . e) Erläuterungen zu Ziffer 4.5 . . . . . .
. . . . . . .
41 41 42 46 47 48 50
531 531 532 533 533 533 533
5. Erläuterungen zu Ziffer 5 . . . . . . . . . . . . . . . . . . . . . E 5. Speicherung, Löschung und Sperrung von Daten . . . .
51 51
534 534
6. Erläuterungen zu Ziffer 6 . . . . . . . . . . . . . . . . . . . . . E 6. Änderungen und Erweiterungen der Ortungseinrichtung . . . . . . . . . . . . . . . . . . . . . . . . .
55
534
55
534
7. Erläuterungen zu Ziffer 7 . . . . . . . . . . . . . . . . . . . . . E 7. Information der Arbeitnehmer; Ansprechpartner . . .
57 57
535 535
8. Erläuterungen zu Ziffer 8 . . . . . . . . . . . . . . . . . . . . . E 8. Meinungsverschiedenheiten . . . . . . . . . . . . . . .
61 61
535 535
9. Erläuterungen zu Ziffer 9 . . . . . . . . . . . . . . . . . . . . . E 9. Beginn, Laufzeit und Beendigung . . . . . . . . . . . .
63 63
536 536
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
537
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Whistleblowing-Richtlinie . . . . . . . . . . . . . . . . . .
6 6
539 539
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
IV. Whistleblowing-Richtlinie (Bauer)
XLII
Inhaltsverzeichnis Rz.
Seite
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
552
I. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
552
II. Erläuterung der einzelnen Klauseln . . . . . . . . . . . . . . .
9
552
1. Erläuterungen zu Ziffer 1 . E 1. Einleitung . . . . . . a) Ratio . . . . . . . . . . b) Erläuterungen . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
9 9 10 11
552 552 553 553
2. Erläuterungen zu Ziffer 2 . . . E 2. Begriffsbestimmungen . a) Ratio . . . . . . . . . . . . b) Erläuterungen . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
13 13 14 15
554 554 555 555
3. Erläuterungen zu Ziffer 3 . . E 3. Grundsätze . . . . . . . a) Ratio . . . . . . . . . . . b) Erläuterungen . . . . . . aa) Zu Ziffer 3.1 . . . . . bb) Zu Ziffer 3.2 und 3.3 cc) Zu Ziffer 3.4 . . . . . dd) Zu Ziffer 3.5 . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
16 16 17 18 18 19 21 25
555 555 557 557 557 557 558 559
4. Erläuterungen zu Ziffer 4 . . . . . E 4. Meldeverfahren . . . . . . a) Ratio . . . . . . . . . . . . . . b) Erläuterungen . . . . . . . . . aa) Zu Ziffer 4.1 . . . . . . . . (1) Zu Ziffer 4.1.1 . . . . . . . (2) Zu Ziffer 4.1.3 . . . . . . . bb) Zu Ziffer 4.2 . . . . . . . . (1) Internes Whistleblowing . (2) Externes Whistleblowing
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
27 27 28 29 29 29 30 31 33 38
560 560 564 564 564 564 565 565 565 567
5. Erläuterungen zu Ziffer 5 . . . . . . . . E 5. Verfahrensablauf nach Meldung a) Ratio . . . . . . . . . . . . . . . . . b) Erläuterungen . . . . . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
39 39 40 41
567 567 568 568
6. Erläuterungen zu Ziffer 6 . . . . . . . . . . . . . . . . . . . . . E 6. Schutz des Hinweisgebers und der bei der Aufklärung mitwirkenden Personen . . . . . . . . . . . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . aa) Zu Ziffer 6.1 . . . . . . . . . . . . . . . . . . . . . . . . bb) Zu Ziffer 6.2 . . . . . . . . . . . . . . . . . . . . . . . .
44
569
44 45 46 46 48
569 570 570 570 571
7. Erläuterungen zu Ziffer 7 . . . . . . . . . . . . . . . . . . . . . E 7. Missbrauch des Hinweisgebersystems . . . . . . . . . .
49 49
571 571
. . . . . . . .
XLIII
Inhaltsverzeichnis
a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . .
Rz.
Seite
50 51
572 572
8. Erläuterungen zu Ziffer 8 . . . . . . . E 8. Schutz der gemeldeten Person a) Ratio . . . . . . . . . . . . . . . . b) Erläuterungen . . . . . . . . . . . aa) Zu Ziffer 8.1 . . . . . . . . . . bb) Zu Ziffer 8.2 . . . . . . . . . . cc) Zu Ziffer 8.3 . . . . . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
52 52 53 54 54 55 56
572 572 573 573 573 573 574
9. Erläuterungen zu Ziffer 9 . E 9. Beschwerderechte . a) Ratio . . . . . . . . . . b) Erläuterungen . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
57 57 58 59
574 574 574 575
10. Erläuterungen zu Ziffer 10 E 10. Datenschutz . . . . a) Ratio . . . . . . . . . . b) Erläuterungen . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
62 62 63 64
575 575 576 576
11. Erläuterungen zu Ziffer 11 . . . . . . . E 11. Umsetzung/Verantwortlichkeit a) Ratio . . . . . . . . . . . . . . . . . b) Erläuterungen . . . . . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
67 67 68 69
577 577 578 578
12. Erläuterungen zu Ziffer 12 . . . . . . . . . . . . . . . . E 12. Informationen, Schulungen, Ansprechpartner . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . b) Erläuterungen . . . . . . . . . . . . . . . . . . . . .
. . . .
. . . .
. . . .
. . . .
71 71 72 73
578 578 578 579
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
580
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Betriebsvereinbarung zur Internet- und E-Mail-Nutzung .
4 4
581 581
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
591
I. Vorbemerkungen . . . . . . . . . . . . . . . . . . . . . . . . .
5
591
1. Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Risiken bei nicht ausreichender Regelung der Privatnutzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Ausgestaltung der Privatnutzung durch Betriebsvereinbarung und/oder Zusatzvereinbarung . . . . . . . . . . . c) Typische Varianten der Gestattung/Einschränkung der Privatnutzung . . . . . . . . . . . . . . . . . . . . . . . .
.
6
591
.
6
591
.
9
592
.
12
593
V. Betriebsvereinbarung zur Internet- und E-Mail-Nutzung (Rücker)
XLIV
Inhaltsverzeichnis Rz.
2. Rechtliche Hintergründe – Arbeitgeber als „Diensteanbieter“ gemäß § 3 Abs. 6 TKG . . . . . . . . . . . . . . . . . . . . . .
Seite
14
593
17
594
18 20 22
594 595 595
23 24
595 595
25
595
29
596
30
597
32 36
597 598
37
598
.
38
598
.
40
599
. .
42 45
599 600
II. Erläuterung der einzelnen Klauseln . . . . . . . . . . . . . . .
46
600
1. Erläuterungen zu Ziffer 1 . . . . . . . . . . . . . . . . . . . . . E 1. Präambel . . . . . . . . . . . . . . . . . . . . . . . . . .
46 46
600 600
2. Erläuterungen zu Ziffer 2 . . . . . . . . E 2. Allgemeine Bestimmungen . . . a) Erläuterungen zu Ziffer 2.1 . . . . . b) Erläuterungen zu Ziffer 2.2 und 2.3 c) Erläuterungen zu Ziffer 2.4 . . . . . d) Erläuterungen zu Ziffer 2.5 . . . . .
3. Folgen der Anwendbarkeit des TKG . . . . . . . . . . . . . . . a) Spezialgesetzliche Datenschutzvorschriften der §§ 91 ff. TKG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Fernmeldegeheimnis nach § 88 TKG . . . . . . . . . . . . aa) Geschützte Inhalte . . . . . . . . . . . . . . . . . . . . bb) Differenzierung zwischen E-Mail- und Internetnutzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . cc) Reichweite und Dauer des Fernmeldegeheimnisses . . (1) Begrenzung des Fernmeldegeheimnisses auf die Dauer des Übermittlungsvorgangs . . . . . . . . . . . (2) Ausdehnung des Fernmeldegeheimnisses über den Übermittlungsvorgang hinaus . . . . . . . . . . . . . . (3) Entscheidende Bedeutung der Zugriffsmöglichkeiten des Arbeitgebers . . . . . . . . . . . . . . . . . . . . . . (4) Ausdehnung des Fernmeldegeheimnisses durch elektronische Archivierung . . . . . . . . . . . . . . . (5) Sondersituation: Abwesende Mitarbeiter . . . . . . . . (6) Ergebnis zur Reichweite und Dauer des Fernmeldegeheimnisses . . . . . . . . . . . . . . . . . . . . . . . 4. Möglichkeiten zur Rechtfertigung von Eingriffen . . . . . . a) Keine Rechtfertigung von Eingriffen in das Fernmeldegeheimnis durch Betriebsvereinbarung . . . . . . . . . . b) Betriebsvereinbarung als Rechtfertigungstatbestand im Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . c) Reduzierung von Risiken in der Praxis . . . . . . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
48 48 49 50 51 53
601 601 601 601 602 602
3. Erläuterungen zu Ziffer 3 . . . . . . . . . . . . . . . . . . . . E 3. Grundregeln zur Nutzung von E-Mail- und InternetAccounts . . . . . . . . . . . . . . . . . . . . . . . . . . a) Erläuterungen zu Ziffer 3.1 . . . . . . . . . . . . . . . . . b) Erläuterungen zu Ziffer 3.2 . . . . . . . . . . . . . . . . .
.
54
602
. . .
54 55 56
602 603 603
4. Erläuterungen zu Ziffer 4 . . . . . . . . . . . . . . . . . . . . . E 4. Privatnutzung . . . . . . . . . . . . . . . . . . . . . . . .
60 60
604 604 XLV
Inhaltsverzeichnis
a) b) c) d) e) f) g) h)
Erläuterungen zu Ziffer Erläuterungen zu Ziffer Erläuterungen zu Ziffer Erläuterungen zu Ziffer Erläuterungen zu Ziffer Erläuterungen zu Ziffer Erläuterungen zu Ziffer Erläuterungen zu Ziffer
4.1.1 . . . . . . 4.1.2 . . . . . . 4.1.3 und 4.1.4 4.1.5 . . . . . . 4.2 . . . . . . . 4.3.1 und 4.3.2 4.3.3 . . . . . . 4.3.4 und 4.3.5
Rz.
Seite
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
61 62 64 65 66 68 71 72
606 606 607 607 607 608 608 608
5. Erläuterungen zu Ziffer 5 . . . . . . . . . . . E 5. Spezielle Regeln für E-Mail-Accounts a) Erläuterungen zu Ziffer 5.1.1 und 5.1.2 . b) Erläuterungen zu Ziffer 5.1.3 . . . . . . . c) Erläuterungen zu Ziffer 5.1.4 . . . . . . . d) Erläuterungen zu Ziffer 5.2.1 . . . . . . . e) Erläuterungen zu Ziffer 5.2.2 und 5.2.3 . f) Erläuterungen zu Ziffer 5.2.4 und 5.2.5 . g) Erläuterungen zu Ziffer 5.3.1 . . . . . . . h) Erläuterungen zu Ziffer 5.3.2 . . . . . . . i) Erläuterungen zu Ziffer 5.3.3 . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
75 75 76 79 82 85 86 88 91 92 93
609 609 611 611 612 612 612 613 613 613 614
6. Erläuterungen zu Ziffer 6 . . . . . . . . . . . . E 6. Spezielle Regeln für Internet-Accounts a) Erläuterungen zu Ziffer 6.1 . . . . . . . . . b) Erläuterungen zu Ziffer 6.2 . . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
95 95 96 98
614 614 615 615
7. Erläuterungen zu Ziffer 7 . . . . . E 7. Missbrauchskontrolle . . . a) Erläuterungen zu Ziffer 7.1 . . b) Erläuterungen zu Ziffer 7.2.1 . c) Erläuterungen zu Ziffer 7.2.2 . d) Erläuterungen zu Ziffer 7.2.3 . e) Erläuterungen zu Ziffer 7.3 . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
103 103 104 105 108 109 110
616 616 617 617 617 618 618
8. Erläuterungen zu Ziffer 8 . . . . . . . . . . E 8. Schlussbestimmungen . . . . . . . . a) Erläuterungen zu Ziffer 8.1 . . . . . . . b) Erläuterungen zu Ziffer 8.2 . . . . . . . c) Erläuterungen zu Ziffer 8.3.1 und 8.3.2 d) Erläuterungen zu Ziffer 8.3.3 . . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
112 112 113 114 115 116
618 618 619 619 619 620
9. Erläuterungen zur Schlussformel . . . . . . . . . . . . . . . .
117
620
119 120 121 122 123 125 127
620 622 622 622 622 623 623
10. Erläuterungen zur Anlage . . . . . . . . a) Allgemeines . . . . . . . . . . . . . . b) Erläuterungen zu Absatz 1 . . . . . . c) Erläuterungen zu Absatz 2 . . . . . . d) Erläuterungen zu Absatz 3 . . . . . . e) Erläuterungen der restlichen Absätze (1) Freiwilligkeit der Einwilligung . XLVI
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
Inhaltsverzeichnis
(2) (3) (4) (5)
Rz.
Seite
130 131 133
624 624 625
Informierte Einwilligung . . . . . . . . . . . . . . . . . Widerruflichkeit der Einwilligung . . . . . . . . . . . Einschränkungen des jederzeitigen Widerrufsrechts . Administrative Absicherung eines Einwilligungsmanagements . . . . . . . . . . . . . . . . . . . . . . . (6) Restrisiken bei der Rechtfertigung von Eingriffen in das Fernmeldegeheimnis durch eine Einwilligung – fehlende Einwilligung des Kommunikationspartners .
138
625
139
626
11. Erläuterungen zum Regierungsentwurf zum Beschäftigtendatenschutz (BR-Drucks. 535/10) . . . . . . . . . . . . . . . .
142
627
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
628
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Betriebsvereinbarung zu Bring Your Own Device . . . . .
5 5
630 630
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
638
I. Generelle Erläuterungen . . . . . . . . . . . . . . . . . . . . .
6
638
1. Mitbestimmungsrechte des Betriebsrats nach § 87 Abs. 1 Nr. 1 und Nr. 6 BetrVG . . . . . . . . . . . . . . . . . . . . . .
6
638
2. Verwendung eines „Mobile Device Management“-Tools . . .
8
638
3. Keine Auftragsdatenverarbeitung durch den Mitarbeiter . . .
12
640
II. Erläuterungen zum Muster der Betriebsvereinbarung . . . . .
13
640
1. Erläuterungen zu Ziffer 1 . E 1. Präambel . . . . . . a) Ratio . . . . . . . . . . b) Erläuterungen . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
14 14 15 16
641 641 641 641
2. Erläuterungen zu Ziffer 2 . E 2. Geltungsbereich . . a) Ratio . . . . . . . . . . b) Erläuterungen . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
17 17 18 19
641 641 641 642
3. Erläuterungen zu Ziffer 3 . . . . . . . . . . . . . . . E 3. Nutzung privater mobiler Geräte . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . b) Erläuterungen zu Ziffer 3.1 . . . . . . . . . . . . aa) Zugelassene Nutzungen . . . . . . . . . . . bb) Einwilligung als Voraussetzung für BYOD . c) Erläuterungen zu Ziffer 3.2 . . . . . . . . . . . . d) Erläuterungen zu Ziffer 3.3 . . . . . . . . . . . . e) Erläuterungen zu Ziffer 3.4 . . . . . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
20 20 21 22 22 24 26 27 28
642 642 642 643 643 643 644 644 645
VI. Betriebsvereinbarung zu Bring Your Own Device (BYOD) (Arning/Moos)
XLVII
Inhaltsverzeichnis
4. Erläuterungen zu Ziffer 4 . . . E 4. Sicherheitsmaßnahmen a) Ratio . . . . . . . . . . . . b) Erläuterungen zu Ziffer 4.1 c) Erläuterungen zu Ziffer 4.2 d) Erläuterungen zu Ziffer 4.3 e) Erläuterungen zu Ziffer 4.4
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
30 30 31 32 33 35 38
645 645 646 646 647 647 648
5. Erläuterungen zu Ziffer 5 . . . . . . . . . . . . . . E 5. Datenspeicherung und Zugang zu Daten . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . b) Erläuterungen zu Ziffer 5.1 . . . . . . . . . . . c) Erläuterungen zu Ziffer 5.2 . . . . . . . . . . . aa) Zugriff auf dienstliche und private Daten bb) Löschung von Daten . . . . . . . . . . . . cc) Ändern von Daten . . . . . . . . . . . . . d) Erläuterungen zu Ziffer 5.3 . . . . . . . . . . . e) Erläuterungen zu Ziffer 5.4 . . . . . . . . . . . f) Erläuterungen zu Ziffer 5.5 . . . . . . . . . . . g) Erläuterungen zu Ziffer 5.6 . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
39 39 40 41 45 45 51 55 57 58 61 62
649 649 650 650 651 651 653 655 655 656 657 657
6. Erläuterungen zu Ziffer 6 . E 6. Informationspflicht . a) Ratio . . . . . . . . . . b) Erläuterungen . . . . .
. . . .
. . . .
. . . . . . .
. . . .
. . . . . . .
. . . .
. . . . . . .
. . . .
. . . . . . .
. . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
63 63 64 65
657 657 658 658
7. Erläuterungen zu Ziffer 7 . . . . . . . . . . . . E 7. Nutzung von Kommunikationsdiensten a) Ratio . . . . . . . . . . . . . . . . . . . . . b) Erläuterungen . . . . . . . . . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
69 69 70 71
659 659 659 659
8. Erläuterungen zu Ziffer 8 . . . . . . . . . . . . . . . E 8. Installation von Apps durch den Mitarbeiter a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . b) Erläuterungen zu Ziffer 8.1 . . . . . . . . . . . . c) Erläuterungen zu Ziffer 8.2 . . . . . . . . . . . . d) Erläuterungen zu Ziffer 8.3 . . . . . . . . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
72 72 73 74 76 77
660 660 660 660 661 662
9. Erläuterungen zu Ziffer 9 . E 9. Kosten . . . . . . . . a) Ratio . . . . . . . . . . b) Erläuterungen . . . . .
XLVIII
. . . .
. . . . . . .
. . . .
10. Erläuterungen zu Ziffer 10 E 10. Haftung . . . . . . a) Ratio . . . . . . . . . . b) Erläuterungen zu Ziffer c) Erläuterungen zu Ziffer
. . . .
. . . . . . .
. . . .
. . . .
. . . .
. . . . . . .
. . . .
. . . .
. . . .
. . . . . . .
Seite
. . . . . . .
. . . .
. . . . . . .
Rz.
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
78 78 79 80
662 662 662 663
. . . . . . . . . 10.1 10.2
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
84 84 85 86 87
664 664 664 664 664
Inhaltsverzeichnis
11. Erläuterungen zu Ziffer 11 E 11. Arbeitszeit . . . . . a) Ratio . . . . . . . . . . b) Erläuterungen . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
91 91 92 93
666 666 666 666
12. Erläuterungen zu Ziffer 12 . . . . . . . . . . . E 12. Beendigung der dienstlichen Nutzung a) Ratio . . . . . . . . . . . . . . . . . . . . . b) Erläuterungen . . . . . . . . . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
95 95 96 97
667 667 667 667
13. Erläuterungen zu Ziffer 13 E 13. Herausgabepflicht a) Ratio . . . . . . . . . . b) Erläuterungen . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
98 98 99 100
668 668 668 668
14. Erläuterungen zu Ziffer 14 . . . . . . . . . . . . . . . . . . . . E 14. Salvatorische Klausel . . . . . . . . . . . . . . . . . . .
103 103
669 669
15. Erläuterungen zu Ziffer 15 . . . . . . . . . . . . . . . . . . . . E 15. Inkrafttreten und Geltungsdauer . . . . . . . . . . . .
105 105
669 669
III. Erläuterungen zum Muster der Einwilligungserklärung . . . E Einwilligungserklärung zur Betriebsvereinbarung zu Bring Your Own Device . . . . . . . . . . . . . . . . . . . .
107
670
107
670
1. Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
108
671
2. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
109
671
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
674
I. Social Media-Richtlinien in der Praxis . . . . . . . . . . . . .
1
674
II. Rechtlicher Rahmen . . . . . . . . . . . . . . . . . . . . . . .
3
675
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
Seite
. . . .
. . . .
. . . .
Rz.
. . . .
. . . .
VII. Social Media-Richtlinie (Weberndörfer/Zieger)
1. Möglichkeiten zur Einführung von Social Media-Richtlinien
3
675
. . . . .
10 11 12 16 19
676 677 677 678 679
3. Kontrolle der Social Media-Nutzung . . . . . . . . . . . . . .
20
680
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Social Media-Richtlinie . . . . . . . . . . . . . . . . . . . .
31 31
683 683
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
685
I. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
685
II. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
33
685
2. Grenzen der Regelungsbefugnisse . . . . . . . a) Verbot der Nutzung sozialer Medien . . . b) Pflicht zur Nutzung sozialer Medien . . . c) Vorgaben für die Nutzung sozialer Medien d) „Herausgabe“ von Benutzerkonten . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
XLIX
Inhaltsverzeichnis Rz.
Seite
1. Erläuterungen zu Ziffer 1 . . . . . . . . . . . . . . . . . . . . . E 1. Handeln Sie verantwortungsvoll . . . . . . . . . . . . .
33 33
685 685
2. Erläuterungen zu Ziffer 2 . . . . . . . . . . . . . . . . . . . . . E 2. Sprechen Sie für sich selbst . . . . . . . . . . . . . . . .
35 35
686 686
3. Erläuterungen zu Ziffer 3 . . . . . . . . . . . . . . . . . . . . . E 3. Trennen Sie Privates von Dienstlichem . . . . . . . . . .
41 41
687 687
4. Erläuterungen zu Ziffer 4 . . . . . . . . . . . . . . . . . . . . . E 4. Behalten Sie Vertrauliches für sich . . . . . . . . . . . .
45 45
688 688
5. Erläuterungen zu Ziffer 5 . . . . . . . . . . . . . . . . . . . . . E 5. Unterlassen Sie unternehmensschädigende Äußerungen . . . . . . . . . . . . . . . . . . . . . . . . .
49
689
49
689
6. Erläuterungen zu Ziffer 6 und 7 . . . . . . . . . . . . . . . . . E 6. Respektieren Sie das geltende Recht . . . . . . . . . . . E 7. Seien Sie sich der Konsequenzen von Rechtsverstößen bewusst . . . . . . . . . . . . . . . . . . . . . . . . . . .
55 55
690 690
56
690
7. Erläuterungen zu Ziffer 8 . . . . . . . . . . . . . . . . . . . . . E 8. Kontaktieren Sie uns bei Fragen . . . . . . . . . . . . .
58 58
691 691
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
693
I. Datenübermittlung in Drittländer . . . . . . . . . . . . . . . .
2
693
II. Vorteile von EU-Standardvertragsklauseln . . . . . . . . . . .
8
696
III. Arten der EU-Standardvertragsklauseln . . . . . . . . . . . . .
12
698
IV. Änderung der EU-Standardvertragsklauseln und Genehmigungsfreiheit . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17
700
Teil 5 Verträge über internationale Datentransfers I. EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Standardvertrag I) (Lang)
L
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Standardvertragsklauseln im Sinne von Art. 26 Abs. 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten in Drittländer, die kein angemessenes Schutzniveau gewährleisten (Standardvertrag I) . . . . . .
22
702
22
702
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
711
I. Inhalt und Aufbau von Standardvertrag I . . . . . . . . . . . .
23
711
II. Erläuterung der einzelnen Klauseln . . . . . . . . . . . . . . .
25
711
Inhaltsverzeichnis Rz.
Seite
1. Erläuterungen zur Bezeichnung der Vertragsparteien und zur Präambel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Präambel . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Vertragsparteien bei der Datenweitergabe im Konzern . . b) Mehrparteienverhältnis beim Standardvertrag I . . . . . .
25 25 28 34
711 711 712 715
2. Erläuterungen zu Klausel 1 . . . . . . . . . . . . . . . . . . . . E 1. Begriffsbestimmungen . . . . . . . . . . . . . . . . . . .
36 36
716 716
3. Erläuterungen zu Klausel 2 und Anlage 1 zum Standardvertrag I . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Erläuterungen zu Klausel 2 . . . . . . . . . . . . . . . E 2. Einzelheiten der Übermittlung . . . . . . . . . . . b) Erläuterungen zu Anlage 1 zum Standardvertrag I . . E Anlage 1 zu den Standardvertragsklauseln . . . . . . aa) Datenexporteur und Datenimporteur . . . . . . . bb) Betroffene Personen . . . . . . . . . . . . . . . . . cc) Übermittlungszwecke . . . . . . . . . . . . . . . dd) Kategorie übermittelter Daten . . . . . . . . . . . ee) Sensible Daten . . . . . . . . . . . . . . . . . . . ff) Empfänger . . . . . . . . . . . . . . . . . . . . . . gg) Aufbewahrungszeitraum . . . . . . . . . . . . . .
. . . . . . . . . . . .
38 38 38 40 40 44 45 46 47 49 50 51
717 717 717 717 717 719 719 720 720 720 721 721
4. Erläuterungen zu Klausel 3 . . . . . . . . . . . . . . . . . . . . E 3. Drittbegünstigtenklausel . . . . . . . . . . . . . . . . .
52 52
721 721
5. Erläuterungen zu Klausel 4 . . . . . . . . . . . . . . . . . . . . E 4. Pflichten des Datenexporteurs . . . . . . . . . . . . . .
56 56
722 722
62 62 62 64 66 72 73 74 75 75 78 79 82 85
723 723 723 725 725 727 727 728 728 728 730 730 731 732
87 91 93 94
733 733 734 734
. . . . . . . . . . . .
. . . . . . . . . . . .
6. Erläuterungen zu Klausel 5 sowie zu Anlage 2 und 3 des Standardvertrags I . . . . . . . . . . . . . . . . . . . . . . . . . a) Erläuterungen zu Klausel 5 . . . . . . . . . . . . . . . . . . E 5. Pflichten des Datenimporteurs . . . . . . . . . . . . . . aa) Erläuterungen zu Klausel 5 Buchst. a) . . . . . . . . . bb) Erläuterungen zu Klausel 5 Buchst. b) . . . . . . . . . cc) Erläuterungen zu Klausel 5 Buchst. c) . . . . . . . . . dd) Erläuterungen zu Klausel 5 Buchst. d) . . . . . . . . . ee) Erläuterungen zu Klausel 5 Buchst. e) . . . . . . . . . b) Erläuterungen zu Anlage 2 zum Standardvertrag I . . . . . E Anlage 2 zu den Standardvertragsklauseln . . . . . . . . . aa) Zweckbindung (Ziffer 1) . . . . . . . . . . . . . . . . . bb) Datenqualität und -verhältnismäßigkeit (Ziffer 2) . . cc) Transparenz (Ziffer 3) . . . . . . . . . . . . . . . . . . dd) Sicherheit und Vertraulichkeit (Ziffer 4) . . . . . . . . ee) Rechte auf Zugriff, Berichtigung, Löschung, Sperrung und Widerspruch (Ziffer 5) . . . . . . . . . . . . . . . . ff) Beschränkung der Weiterübermittlung (Ziffer 6) . . . gg) Besondere Datenkategorien (Ziffer 7) . . . . . . . . . . hh) Direktmarketing (Ziffer 8) . . . . . . . . . . . . . . . .
LI
Inhaltsverzeichnis Rz.
Seite
ii) Automatisierte Einzelentscheidungen (Ziffer 9) . . . . c) Erläuterungen zu Anlage 3 zum Standardvertrag I . . . . . E Anlage 3 zu den Standardvertragsklauseln . . . . . . . . .
95 96 96
734 735 735
7. Erläuterungen zu Klausel 6 . . . . . . . . . . . . . . . . . . . . E 6. Haftung . . . . . . . . . . . . . . . . . . . . . . . . . . .
99 99
736 736
8. Erläuterungen zu Klausel 7 . . . . . . . . . . . . . . . . . . . . E 7. Schlichtungsverfahren und Zuständigkeit . . . . . . . .
103 103
737 737
9. Erläuterungen zu Klausel 8 . . . . . . . . . . . . . . . . . . . . E 8. Zusammenarbeit mit Kontrollstellen . . . . . . . . . . .
106 106
738 738
10. Erläuterungen zu Klausel 9 . . . . . . . . . . . . . . . . . . . . E 9. Kündigung der Klauseln . . . . . . . . . . . . . . . . . .
108 108
738 738
11. Erläuterungen zu Klausel 10 . . . . . . . . . . . . . . . . . . . E 10. Anwendbares Recht . . . . . . . . . . . . . . . . . . . .
110 110
739 739
12. Erläuterungen zu Klausel 11 und zum Feld für die Unterschriften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E 11. Änderung des Vertrags . . . . . . . . . . . . . . . . . .
112 112
739 739
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
741
I. Vorteile von EU-Standardvertragsklauseln . . . . . . . . . . .
5
742
II. Arten der EU-Standardvertragsklauseln . . . . . . . . . . . . .
8
743
III. Änderung der EU-Standardvertragsklauseln und Genehmigungsfreiheit . . . . . . . . . . . . . . . . . . . . . .
16
746
II. Alternative EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Standardvertrag II) (Lang)
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Alternative Standardvertragsklauseln im Sinne von Art. 26 Abs. 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten in Drittländer, die kein angemessenes Schutzniveau gewährleisten (Standardvertrag II) . . .
19
747
19
747
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
20
757
I. Inhalt und Aufbau von Standardvertrag II . . . . . . . . . . .
20
757
II. Erläuterung der einzelnen Klauseln . . . . . . . . . . . . . . .
22
757
1. Erläuterungen zur Bezeichnung der Vertragsparteien und zur Präambel . . . . . . . . . . . . . . . . . . . . . . . . . . E Bezeichnung der Vertragsparteien um Präambel . . . a) Vertragsparteien bei der Datenweitergabe im Konzern b) Mehrparteienverhältnis beim Standardvertrag II . . . .
22 22 25 27
757 757 758 759
LII
. . . .
. . . .
Inhaltsverzeichnis Rz.
Seite
2. Erläuterungen zu den Begriffsbestimmungen . . . . . . . . . E Begriffsbestimmungen . . . . . . . . . . . . . . . . . . . .
29 29
759 759
3. Erläuterungen zu Klausel I . . . . . . E I. Pflichten des Datenexporteurs . E Klausel I . . . . . . . . . . . . . . . E Anhang B . . . . . . . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
33 33 38 38
760 760 762 762
4. Erläuterungen zu Klausel II und Anhang A des Standardvertrags II . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Erläuterungen zu Klausel II . . . . . . . . . . . . . . . . E II. Pflichten des Datenimporteurs . . . . . . . . . . . . aa) Erläuterungen zu Klausel II Buchst. a) . . . . . . . bb) Erläuterungen zu Klausel II Buchst. b) . . . . . . . cc) Erläuterungen zu Klausel II Buchst. c) . . . . . . . dd) Erläuterungen zu Klausel II Buchst. d) . . . . . . . ee) Erläuterungen zu Klausel II Buchst. e) . . . . . . . ff) Erläuterungen zu Klausel II Buchst. f) . . . . . . . gg) Erläuterungen zu Klausel II Buchst. g) . . . . . . . hh) Erläuterungen zu Klausel II Buchst. h) . . . . . . . ii) Erläuterungen zu Klausel II Buchst. i) . . . . . . . b) Erläuterungen zu Anhang A des Standardvertrags II . . E Anhang A . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
42 42 42 44 45 46 47 48 50 51 52 56 57 57
763 763 763 765 766 766 766 766 767 767 767 768 769 769
5. Erläuterungen zu Klausel III . . . . . . . . . . . . . E III. Haftung und Rechte Dritter . . . . . . . . . a) Haftung (Klausel III Buchst. a) . . . . . . . . . . b) Drittbegünstigtenklausel (Klausel III Buchst. b)
. . . .
. . . .
60 60 61 63
771 771 772 773
6. Erläuterungen zu Klausel IV . . . . . . . . . . . . . . . . . . . E IV. Anwendbares Recht . . . . . . . . . . . . . . . . . . . .
65 65
773 773
7. Erläuterungen zu Klausel V . . . . . . . . . . . . . . . . . . . E V. Beilegung von Streitigkeiten mit betroffenen Personen oder der Kontrollstelle . . . . . . . . . . . . .
67
773
67
773
8. Erläuterungen zu Klausel VI . . . . . . . . . . . . . . . . . . . E VI. Beendigung des Vertrags . . . . . . . . . . . . . . . . .
69 69
774 774
9. Erläuterungen zu Klausel VII . . . . . . . . . . . . . . . . . . . E VII. Änderung der Klauseln . . . . . . . . . . . . . . . . . .
72 72
775 775
. . . . .
74 74 75 77 77
776 776 776 777 777
11. Erläuterungen zu den veranschaulichenden Geschäftsklauseln E Veranschaulichende Geschäftsklauseln (Fakultativ) . . . .
82 82
779 779
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
10. Erläuterungen zu Klausel VIII und Anhang B des Standardvertrags II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E VIII. Beschreibung der Übermittlung . . . . . . . . . . . a) Erläuterungen zu Klausel VIII . . . . . . . . . . . . . . . b) Erläuterungen zu Anhang B des Standardvertrags II . . . E Anhang B . . . . . . . . . . . . . . . . . . . . . . . . . . .
LIII
Inhaltsverzeichnis Rz.
Seite
84
780
85 86
780 780
87
780
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
781
I. Die Übermittlung personenbezogener Daten in Drittländer .
2
782
II. Die Auftragsdatenverarbeitung in Drittländern mithilfe der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung
9
784
1. Die Auftragsdatenverarbeitung . . . . . . . . . . . . . . . . .
9
784
2. Die EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
786
III. Anwendungsbereich der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung in Drittländern . . . . . . . . . . .
25
790
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Standardvertragsklausel (Auftragsverarbeiter) . . . . . . .
29 29
792 792
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
30
804
I. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . .
30
804
II. Erläuterung der einzelnen Klauseln . . . . . . . . . . . . . . .
36
806
1. Erläuterungen zu Klausel 1 . . . . . . . . . . . . . . . E 1. Begriffsbestimmungen . . . . . . . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . b) Erläuterungen . . . . . . . . . . . . . . . . . . . . E Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen . . . . . . . . . . . . . . .
. . . .
36 36 37 38
806 806 807 807
a) Erläuterungen zur Klausel „Wechselseitige Entschädigung von Datenexporteur und Datenimporteur“ . . . . . . . . . b) Erläuterungen zur Klausel „Streitbeilegung zwischen Datenexporteur und Datenimporteur“ . . . . . . . . . . . c) Erläuterungen zur Klausel „Kostenteilung“ . . . . . . . . d) Erläuterungen zur Klausel „Zusätzliche Beendigungsklausel“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
III. EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern (von dem Bussche)
. . . .
. . . .
. . . .
. . . .
. . . . .
41
807
2. Erläuterungen zu Klausel 2 . . . . . . . . . . . . . . . . . . . . E 2. Einzelheiten der Übermittlung . . . . . . . . . . . . . . Ratio und Erläuterungen . . . . . . . . . . . . . . . . . . . . .
42 42 43
808 808 808
3. Erläuterungen zu Klausel 3 . . . E 3. Drittbegünstigtenklausel a) Ratio . . . . . . . . . . . . . b) Erläuterung . . . . . . . . . .
44 44 45 47
808 808 809 810
LIV
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
Inhaltsverzeichnis Rz.
Seite
4. Erläuterungen zu Klausel 4 . . . . . . E 4. Pflichten des Datenexporteurs a) Ratio . . . . . . . . . . . . . . . . b) Erläuterungen . . . . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
52 52 53 55
811 811 812 812
5. Erläuterungen zu Klausel 5 . . . . . . E 5. Pflichten des Datenimporteurs a) Ratio . . . . . . . . . . . . . . . . b) Erläuterungen . . . . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
64 64 65 67
814 814 816 816
6. Erläuterungen zu Klausel 6 . E 6. Haftung . . . . . . . . a) Ratio . . . . . . . . . . . b) Erläuterungen . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
75 75 76 79
818 818 818 819
7. Erläuterungen zu Klausel 7 . . . . . . . . . . . . . . . . . . . . E 7. Schlichtungsverfahren und Gerichtsstand . . . . . . . . Ratio und Erläuterungen . . . . . . . . . . . . . . . . . . . . .
82 82 83
819 819 820
8. Erläuterungen zu Klausel 8 . . . . . . . . . . . . . . . . . . . . E 8. Zusammenarbeit mit Kontrollstellen . . . . . . . . . . Ratio und Erläuterungen . . . . . . . . . . . . . . . . . . . . .
88 88 89
821 821 821
9. Erläuterungen zu Klausel 9 . . . . . . . . . . . . . . . . . . . . E 9. Anwendbares Recht . . . . . . . . . . . . . . . . . . . . Ratio und Erläuterungen . . . . . . . . . . . . . . . . . . . . .
90 90 91
822 822 822
10. Erläuterungen zu Klausel 10 . . . . . . . . . . . . . . . . . . . E 10. Änderung des Vertrags . . . . . . . . . . . . . . . . . Ratio und Erläuterungen . . . . . . . . . . . . . . . . . . . . .
92 92 93
822 822 822
. . . .
95 95 96 100
824 824 824 826
12. Erläuterung zu Klausel 12 . . . . . . . . . . . . . . . . . . . . E 12. Pflichten nach Beendigung der Datenverarbeitungsdienste . . . . . . . . . . . . . . . . . . . . . . . . . . . Ratio und Erläuterung . . . . . . . . . . . . . . . . . . . . . .
103
826
103 104
826 827
III. Erläuterungen zu Anhang 1 . . . . . . . . . . . . . . . . . . . E Anhang 1 zu den Standardvertragsklauseln . . . . . . . .
107 107
827 827
. . . .
. . . .
. . . .
. . . .
. . . .
11. Erläuterung zu Klausel 11 . . . . . . E 11. Vergabe eines Unterauftrags a) Ratio . . . . . . . . . . . . . . . . b) Erläuterungen . . . . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
1. Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
108
829
2. Erläuterung . . . . . . . . . . . . . . . . . . . . . . . . . . a) Erläuterung zu Datenexporteur und Datenimporteur . b) Erläuterung zu betroffenen Personen . . . . . . . . . . c) Erläuterung zu Kategorien von Daten und Besonderen Datenkategorien . . . . . . . . . . . . . . . . . . . . . . d) Erläuterungen zur Verarbeitung . . . . . . . . . . . . . aa) Erläuterung zum Gegenstand . . . . . . . . . . . .
. . . . . .
110 110 111
830 830 830
. . . . . .
112 114 115
831 831 831 LV
Inhaltsverzeichnis
bb) cc) dd) ee) ff)
Rz.
Seite
Erläuterung zur Dauer . . . . . . . . . . . . . . . . . . Erläuterung zu Umfang, Art, Zweck . . . . . . . . . . Erläuterung zu Unteraufträgen . . . . . . . . . . . . . Erläuterung zu Weisungsbefugnissen . . . . . . . . . . Erläuterung zur Rückgabe überlassener Datenträger und die Löschung gespeicherter Daten bei Beendigung des Auftrags . . . . . . . . . . . . . . . . . . . . . . . .
116 120 122 123
832 832 833 833
125
833
IV. Erläuterungen zu Anhang 2 . . . . . . . . . . . . . . . . . . . E Anhang 2 zu den Standardvertragsklauseln . . . . . . . .
126 126
834 834
1. Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
127
835
2. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
130
836
V. Erläuterungen zu fakultativer Entschädigungsklausel . . . . E Beispiel für eine Entschädigungsklausel (Fakultativ) . . . .
141 141
839 839
Ratio und Erläuterungen . . . . . . . . . . . . . . . . . . . . .
142
839
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
840
I. Kontext des Vertragsmusters . . . . . . . . . . . . . . . . . . .
1
840
II. Verwendung des Vertragsmusters . . . . . . . . . . . . . . . .
5
842
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Rahmenvertrag für EU-Standardvertragsklauseln . . . . .
6 6
843 843
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
853
IV. Rahmenvertrag für EU-Standardvertragsklauseln (Moos)
I. Vorbemerkungen . . . . . . . . . . . . . . . . . . . . . . . . .
7
853
1. Ausgestaltung als Mehrparteienvertrag . . . . . . . . . . . . .
8
853
2. Ausgestaltung als Rahmenvertrag unter Einbeziehung der EU-Standardvertragsklauseln . . . . . . . . . . . . . . . . . .
9
854
II. Erläuterung der einzelnen Klauseln . . . . . . . . . . . . . . .
10
854
1. Erläuterungen zur Präambel . . . . . E Präambel . . . . . . . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . b) Parteien des Rahmenvertrags . . . c) Zielsetzung des Rahmenvertrags .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
10 10 11 12 13
854 854 855 855 856
2. Erläuterungen zu Ziffer 1 . . . . . . . . . . . . . . . . E 1. Begriffe und Definitionen . . . . . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . b) Eigenständige Begriffsdefinitionen (Ziffer 1.1) . . aa) Anwendbares Datenschutzrecht (Ziffer 1.1.1)
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
14 14 15 16 17
856 856 858 858 859
LVI
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
Inhaltsverzeichnis Rz.
Seite
.
18
859
. . .
19 20 21
859 859 860
. . . . . . . . . .
22 23 24 25 26 27 28 29 30 31
860 860 860 861 861 861 861 861 862 862
3. Erläuterungen zu Ziffer 2 . . . . . . . . . . . . . . . . . . . . . E 2. Anwendungsbereich und Vertragsgegenstand . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Anwendung auf Datenübermittlungen gemäß der Matrix (Ziffer 2.1) . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Erfassung durch den Rahmenvertrag (Ziffer 2.2) . . . . . .
32 32 33
862 862 862
34 35
862 863
4. Erläuterungen zu Ziffer 3 . . . . . . . . . . . . . . . . . E 3. Rangfolge und Widersprüche . . . . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . b) Rangfolge und Widerspruchsregelung (Ziffer 3.1) . c) Keine Änderung der EU-Standardvertragsklauseln (Ziffer 3.2) . . . . . . . . . . . . . . . . . . . . . . .
. . . .
37 37 38 39
863 863 864 864
. . . .
40
864
5. Erläuterungen zu Ziffer 4 . . . . . . . . . . . . . . . . . . . . . E 4. Datenübermittlungen zwischen Relevanten XY-Unternehmenseinheiten . . . . . . . . . . . . . . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Regelungssystematik (Ziffer 4.1) . . . . . . . . . . . . . . . c) Einbeziehung mehrerer EU-Standardvertragsklauselwerke (Ziffer 4.2) . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Spezifizierung der EU-Standardvertragsklauseln (Ziffern 4.3 und 4.4) . . . . . . . . . . . . . . . . . . . . . . aa) Verwendung und Befüllung der Matrix gemäß Anlage 2 bb) Spezifizierung der Controller-to-Controller-Klauseln (Ziffer 4.3) . . . . . . . . . . . . . . . . . . . . . . . . . cc) Spezifizierung der Controller-to-Processor-Klauseln (Ziffer 4.4) . . . . . . . . . . . . . . . . . . . . . . . . . e) Beschreibung der technischen und organisatorischen Maßnahmen (Ziffer 4.5) . . . . . . . . . . . . . . . . . . . .
41
865
41 42 43
865 868 869
44
869
45 46
869 870
49
873
50
873
51
874
bb) Definitionen zur Festlegung des persönlichen Anwendungsbereichs . . . . . . . . . . . . . . . . . . (1) Datenexporteur und Datenimporteur (Ziffer 1.1.2 und 1.1.3) . . . . . . . . . . . . . . . . . . . . . . . . (2) Relevante XY-Unternehmenseinheit (Ziffer 1.1.13) . (3) Sonstige XY-Unternehmenseinheit (Ziffer 1.1.14) . (4) XY-Drittstaat-Unternehmenseinheit und XY-EWRUnternehmenseinheit (Ziffer 1.1.17 und 1.1.18) . . . (5) XY-Unternehmensgruppe (Ziffer 1.1.17 und 1.1.18) . cc) Drittstaat (Ziffer 1.1.4) . . . . . . . . . . . . . . . . . dd) EU-Datenschutzinstrumente (Ziffer 1.1.5–1.1.8) . . ee) Matrix (Ziffer 1.1.9) . . . . . . . . . . . . . . . . . . . ff) Personenbezogene Daten (Ziffer 1.1.10) . . . . . . . gg) Relevante Datenübermittlung (Ziffer 1.1.12) . . . . hh) Verarbeiten (Ziffer 1.1.15) . . . . . . . . . . . . . . . ii) Whitelist-Staat (Ziffer 1.1.16) . . . . . . . . . . . . . c) Sonstige Begriffsbestimmungen (Ziffer 1.2) . . . . . . . .
. . . .
. . . .
. . . .
LVII
Inhaltsverzeichnis
f) Regelungen zu Weiterübermittlungen (Ziffer 4.6 und 4.7)
Rz.
Seite
52
874
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
53 53 54 55
875 875 875 875
7. Erläuterungen zu Ziffer 6 . . . . . . . . . . . . . E 6. Zusammenarbeit mit Aufsichtsbehörden a) Ratio . . . . . . . . . . . . . . . . . . . . . . b) Befugnis zur Vorlage des Rahmenvertrags . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
56 56 57 58
876 876 876 876
8. Erläuterungen zu Ziffer 7 . . . . . . . . . . . . . . E 7. Vertragsschluss, Inkrafttreten . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . b) Mehrere Ausfertigungen (Ziffer 7.1) . . . . . . c) Inkrafttreten (Ziffer 7.2) . . . . . . . . . . . . . d) Außerkrafttreten von Altverträgen (Ziffer 7.3) e) Beitritt (Ziffer 7.4) . . . . . . . . . . . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
59 59 60 61 62 63 64
877 877 877 877 877 878 878
. . . . . . . . . . . .
65 65 66
878 878 879
. . . . . . . .
67 68
879 879
10. Erläuterungen zu Ziffer 9 . . . . . . . . . . . . . . . . . . . . . E 9. Anwendbares Recht, Gerichtsstand . . . . . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Anwendbares Recht und Gerichtsstand (Ziffer 9.1 und 9.2)
69 69 70 71
880 880 880 880
1
881
6. Erläuterungen zu Ziffer 5 . . . . . . E 5. Rechte Dritter . . . . . . . . . a) Ratio . . . . . . . . . . . . . . . b) Kein Vertrag zugunsten Dritter
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
9. Erläuterungen zu Ziffer 8 . . . . . . . . . . . . . . . . . E 8. Vertragsbeitritt, Änderungen und Beendigung . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . b) Bevollmächtigung der Konzernmuttergesellschaft (Ziffer 8.1) . . . . . . . . . . . . . . . . . . . . . . . c) Beendigung der Standardverträge (Ziffer 8.2) . . . .
V. Verbindliche Unternehmensregelungen (Binding Corporate Rules) (Abel/Schulte) A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Verbindliche Unternehmensregelungen als rechtssicherer Rahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
881
1. Sinn und Zweck von BCR . . . . . . . . . . . . . . . . . . . .
1
881
2. Rechtsgrundlage für BCR . . . . . . . . . . . . . . . . . . . . .
3
882
3. Inhaltliche Vorgaben für BCR . . . . . . . . . . . . . . . . . .
6
883
II. Rechtliche Zulässigkeit von Datentransfers ins Ausland . . .
10
884
1. Gesetzliche Regelungen . . . . . . . . . . . . . . . . . . . . .
10
884
2. Ausnahme USA: Safe-Harbor-Prinzipien . . . . . . . . . . . .
12
885
3. Standardisierte vertragliche Rechtsinstrumente (Standardvertragsklauseln) . . . . . . . . . . . . . . . . . . . . . . . . .
13
886
4. BCR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
14
887
LVIII
Inhaltsverzeichnis Rz.
Seite
III. Hinweis für die Verwendung des Musters . . . . . . . . . . .
15
887
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Verbindliche Unternehmensregelungen der [Firma] zum Schutz von personenbezogenen Daten [im internationalen konzerninternen Datentransfer] . . . . . . . .
19
889
19
889
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
20
898
I. Erläuterungen zu der Überschrift . . . . . . . . . . . . . . . .
20
898
II. Erläuterungen zu Ziffer 1 . . . . . . . . . . . . . . . . . . . . . E 1. Zielsetzung . . . . . . . . . . . . . . . . . . . . . . . . .
21 21
899 899
1. Erläuterungen zu Ziffer 1.1 . . . . . . . . . . . . . . . . . . . .
23
900
2. Erläuterungen zu Ziffer 1.2 . . . . . . . . . . . . . . . . . . . .
24
900
3. Erläuterungen zu Ziffer 1.3 . . . . . . . . . . . . . . . . . . . .
25
900
4. Erläuterungen zu Ziffer 1.4 . . . . . . . . . . . . . . . . . . . .
28
902
5. Erläuterungen zu Ziffer 1.5 . . . . . . . . . . . . . . . . . . . .
29
902
III. Erläuterungen zu Ziffer 2 . . . . . . . . . . . . . . . . . . . . . E 2. Begriffsbestimmungen . . . . . . . . . . . . . . . . . . .
30 30
903 903
1. Erläuterungen zu Ziffer 2.1 . . . . . . . . . . . . . . . . . . . .
32
904
2. Erläuterungen zu Ziffer 2.2 . . . . . . . . . . . . . . . . . . . .
33
904
3. Erläuterungen zu Ziffer 2.3 . . . . . . . . . . . . . . . . . . . .
34
904
4. Erläuterungen zu Ziffer 2.4 . . . . . . . . . . . . . . . . . . . .
35
904
IV. Erläuterungen zu Ziffer 3 . . . . . . . . . . . . . . . . . . . . . E 3. Anwendungs- und Geltungsbereich . . . . . . . . . . .
36 36
905 905
1. Erläuterungen zu Ziffer 3.1 . . . . . . . . . . . . . . . . . . . .
38
905
2. Erläuterungen zu Ziffer 3.2 . . . . . . . . . . . . . . . . . . . .
39
905
3. Erläuterungen zu Ziffer 3.3 . . . . . . . . . . . . . . . . . . . .
40
906
V. Erläuterungen zu Ziffer 4 . . . . . . . . . . . . . . . . . . . . . E 4. Grundsatz der Zweckbestimmung und Zweckbindung .
41 41
906 906
1. Erläuterungen zu Ziffer 4.1 . . . . . . . . . . . . . . . . . . . .
43
907
2. Erläuterungen zu Ziffer 4.2 . . . . . . . . . . . . . . . . . . . .
44
907
3. Erläuterungen zu Ziffer 4.3 . . . . . . . . . . . . . . . . . . . .
45
907
4. Erläuterungen zu Ziffer 4.4 . . . . . . . . . . . . . . . . . . . .
46
907
VI. Erläuterungen zu Ziffer 5 . . . . . . . . . . . . . . . . . . . . . E 5. Datenqualität und Datenverhältnismäßigkeit . . . . .
47 47
908 908
1. Erläuterungen zu Ziffer 5.1 . . . . . . . . . . . . . . . . . . . .
49
908
2. Erläuterungen zu Ziffer 5.2 . . . . . . . . . . . . . . . . . . . .
50
908
3. Erläuterungen zu Ziffer 5.3 . . . . . . . . . . . . . . . . . . . .
51
908 LIX
Inhaltsverzeichnis Rz.
Seite
52
909
VII. Erläuterungen zu Ziffer 6 . . . . . . . . . . . . . . . . . . . . . E 6. Rechtsgrundlagen für die Verarbeitung personenbezogener Daten . . . . . . . . . . . . . . . . . . . . . .
52
909
1. Erläuterungen zu Ziffer 6.1 . . . . . . . . . . . . . . . . . . . .
54
909
2. Erläuterungen zu Ziffer 6.2 . . . . . . . . . . . . . . . . . . . .
55
909
VIII. Erläuterungen zu Ziffer 7 . . . . . . . . . . . . . . . . . . . . . E 7. Transparenz und Recht auf Information . . . . . . . . .
56 56
910 910
1. Erläuterungen zu Ziffer 7.1 . . . . . . . . . . . . . . . . . . . .
59
910
2. Erläuterungen zu Ziffer 7.2 . . . . . . . . . . . . . . . . . . . .
60
911
IX. Erläuterungen zu Ziffer 8 . . . . . . . . . . . . . . . . . . . . . E 8. Rechte der betroffenen Personen . . . . . . . . . . . .
61 61
911 911
1. Erläuterungen zu Ziffer 8.1 . . . . . . . . . . . . . . . . . . . .
63
912
2. Erläuterungen zu Ziffer 8.2 . . . . . . . . . . . . . . . . . . . .
64
913
3. Erläuterungen zu Ziffer 8.3 . . . . . . . . . . . . . . . . . . . .
65
913
4. Erläuterungen zu Ziffer 8.4 . . . . . . . . . . . . . . . . . . . .
66
914
5. Erläuterungen zu Ziffer 8.5 . . . . . . . . . . . . . . . . . . . .
67
914
6. Erläuterungen zu Ziffer 8.6 . . . . . . . . . . . . . . . . . . . .
68
914
7. Erläuterungen zu Ziffer 8.7 . . . . . . . . . . . . . . . . . . . .
69
914
8. Erläuterungen zu Ziffer 8.8 . . . . . . . . . . . . . . . . . . . .
70
915
X. Erläuterungen zu Ziffer 9 . . . . . . . . . . . . . . . . . . . . . E 9. Automatisierte Einzelentscheidungen . . . . . . . . . .
71 71
915 915
1. Erläuterungen zu Ziffer 9.1 . . . . . . . . . . . . . . . . . . . .
73
916
2. Erläuterungen zu Ziffer 9.2 . . . . . . . . . . . . . . . . . . . .
74
916
XI. Erläuterungen zu Ziffer 10 . . . . . . . . . . . . . . . . . . . . E 10. Sicherheit und Vertraulichkeit . . . . . . . . . . . . . .
75 75
917 917
1. Erläuterungen zu Ziffer 10.1 . . . . . . . . . . . . . . . . . . .
77
918
2. Erläuterungen zu Ziffer 10.2 . . . . . . . . . . . . . . . . . . .
78
918
3. Erläuterungen zu Ziffer 10.3 . . . . . . . . . . . . . . . . . . .
79
918
XII. Erläuterungen zu Ziffer 11 . . . . . . . . . . . . . . . . . . . . E 11. Beschränkung der Weiterübermittlung . . . . . . . .
80 80
918 918
1. Erläuterungen zu Ziffer 11.1 . . . . . . . . . . . . . . . . . . .
82
919
2. Erläuterungen zu Ziffer 11.2 . . . . . . . . . . . . . . . . . . .
83
919
3. Erläuterungen zu Ziffer 11.3 . . . . . . . . . . . . . . . . . . .
84
920
XIII. Erläuterungen zu Ziffer 12 . . . . . . . . . . . . . . . . . . . . E 12. Schulungsprogramm . . . . . . . . . . . . . . . . . . .
85 85
920 920
XIV. Erläuterungen zu Ziffer 13 . . . . . . . . . . . . . . . . . . . . E 13. Datenschutzaudit . . . . . . . . . . . . . . . . . . . . .
87 87
921 921
LX
Inhaltsverzeichnis Rz.
Seite
1. Erläuterungen zu Ziffer 13.1 . . . . . . . . . . . . . . . . .
89
921
2. Erläuterungen zu Ziffer 13.2 . . . . . . . . . . . . . . . . .
90
922
3. Erläuterungen zu Ziffer 13.3 . . . . . . . . . . . . . . . . .
91
922
XV. Erläuterungen zu Ziffer 14 . . . . . . . . . . . . . . . . . . E 14. Einhaltung der BCR und Überwachung . . . . . . .
92 92
922 922
1. Erläuterungen zu Ziffer 14.1 . . . . . . . . . . . . . . . . .
94
923
2. Erläuterungen zu Ziffer 14.2 . . . . . . . . . . . . . . . . .
95
923
XVI. Erläuterungen zu Ziffer 15 . . . . . . . . . . . . . . . . . . E 15. Abweichende einzelstaatliche Vorschriften . . . .
96 96
923 923
XVII. Erläuterungen zu Ziffer 16 . . . . . . . . . . . . . . . . . . E 16. Beschwerdemöglichkeiten . . . . . . . . . . . . . .
98 98
924 924
1. Erläuterungen zu Ziffer 16.1 . . . . . . . . . . . . . . . . .
100
924
2. Erläuterungen zu Ziffer 16.2 . . . . . . . . . . . . . . . . .
101
924
XVIII. Erläuterungen zu Ziffer 17 . . . . . . . . . . . . . . . . . . E 17. Drittbegünstigung . . . . . . . . . . . . . . . . . .
102 102
925 925
1. Erläuterungen zu Ziffer 17.1 . . . . . . . . . . . . . . . . .
104
925
2. Erläuterungen zu Ziffer 17.2 . . . . . . . . . . . . . . . . .
105
926
XIX. Erläuterungen zu Ziffer 18 . . . . . . . . . . . . . . . . . . E 18. Haftung . . . . . . . . . . . . . . . . . . . . . . . .
106 106
926 926
1. Erläuterungen zu Ziffer 18.1 . . . . . . . . . . . . . . . . .
109
927
2. Erläuterungen zu Ziffer 18.2 . . . . . . . . . . . . . . . . .
110
928
3. Erläuterungen zu Ziffer 18.3 (Alternative 1.1) . . . . . . .
111
928
4. Erläuterungen zu Ziffer 18.4 (Alternative 1.2) . . . . . . .
112
928
5. Erläuterungen zu Ziffer 18.5 (Alternative 2.1) . . . . . . .
113
929
6. Erläuterungen zu Ziffer 18.6 (Alternative 2.2) . . . . . . .
114
929
XX. Erläuterungen zu Ziffer 19 . . . . . . . . . . . . . . . . . . E 19. Gegenseitige Unterstützung und Zusammenarbeit mit den Datenschutzbehörden . . . . . . . .
115
930
115
930
1. Erläuterungen zu Ziffer 19.1 . . . . . . . . . . . . . . . . .
117
930
2. Erläuterungen zu Ziffer 19.2 . . . . . . . . . . . . . . . . .
118
930
XXI. Erläuterungen zu Ziffer 20 . . . . . . . . . . . . . . . . . . E 20. Aktualisierung der Vorschriften und Veränderungen im Unternehmen . . . . . . . . . . . . . . . . .
119
931
119
931
1. Erläuterungen zu Ziffer 20.1 . . . . . . . . . . . . . . . . .
121
931
2. Erläuterungen zu Ziffer 20.2 . . . . . . . . . . . . . . . . .
122
932
3. Erläuterungen zu Ziffer 20.3 . . . . . . . . . . . . . . . . .
123
932 LXI
Inhaltsverzeichnis Rz.
Seite
XXII. Erläuterungen zu Ziffer 21 . . . . . . . . . . . . . . . . . . E 21. Verhältnis zwischen einzelstaatlichem Recht und BCR . . . . . . . . . . . . . . . . . . . . . . . .
124
932
124
932
XXIII. Erläuterungen zu Ziffer 22 . . . . . . . . . . . . . . . . . . E 22. Gerichtsstand . . . . . . . . . . . . . . . . . . . . .
126 126
932 932
1. Erläuterungen zu Ziffer 22.1 . . . . . . . . . . . . . . . . .
128
933
2. Erläuterungen zu Ziffer 22.2 . . . . . . . . . . . . . . . . .
129
933
XXIV. Erläuterung zu Ziffer 23 . . . . . . . . . . . . . . . . . . . E 23. [Fakultativ:] Schlussbestimmungen . . . . . . . . .
130 130
933 933
1. Erläuterung zu Ziffer 23.1 . . . . . . . . . . . . . . . . . .
132
933
2. Erläuterung zu Ziffer 23.2 . . . . . . . . . . . . . . . . . .
133
934
XXV. Weiteres Vorgehen nach Erstellung der BCR . . . . . . . .
134
934
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
935
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Datenschutzklausel Funktionsübertragung . . . . . . . . .
4 4
936 936
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
939
I. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
939
II. Erläuterung der einzelnen Klauseln . . . . . . . . . . . . . . .
9
940
1. Erläuterungen zu Ziffer 1.1. . . . . . . . . . . . . . . . . . . . E 1.1. Funktionsübertragung . . . . . . . . . . . . . . . . . .
9 9
940 940
2. Erläuterungen zu Ziffer 1.2. . . . . . . . . . . . . . . . . . . . E 1.2. Zweckbindung . . . . . . . . . . . . . . . . . . . . . .
13 13
941 941
3. Erläuterungen zu Ziffer 1.3. . . . . . . . . . . . . . . . . . . . E 1.3. Technische und organisatorische Schutzmaßnahmen .
15 15
942 942
4. Erläuterungen zu Ziffer 1.4. . . . . . . . . . . . . . . . . . . . E 1.4. Geheimnisschutz . . . . . . . . . . . . . . . . . . . . .
18 18
943 943
5. Erläuterungen zu Ziffer 1.5. . . . . . . . . . . . . . . . . . . . E 1.5. Prüfungs- und Kontrollhandlungen . . . . . . . . . . .
20 20
943 943
6. Erläuterungen zu Ziffer 1.6. . . . . . . . . . . . . . . . . . . . E 1.6. Unterauftragsverhältnisse . . . . . . . . . . . . . . . .
24 24
945 945
Teil 6 Datenschutzklauseln I. Datenschutzklausel Funktionsübertragung (Gabel/Wieczorek)
LXII
Inhaltsverzeichnis Rz.
Seite
7. Erläuterungen zu Ziffer 1.7. . . . . . . . . . . . . . . . . . . . E 1.7. Informationspflichten . . . . . . . . . . . . . . . . . .
26 26
946 946
8. Erläuterungen zu Ziffer 1.8. . . . . . . . . . . . . . . . . . . . E 1.8. Datenrückgabe und -löschung . . . . . . . . . . . . .
28 28
946 946
9. Erläuterungen zu Ziffer 1.9. . . . . . . . . . . . . . . . . . . . E 1.9. Drittstaatentransfer . . . . . . . . . . . . . . . . . . . .
30 30
947 947
10. Erläuterungen zu Ziffer 1.10. . . . . . . . . . . . . . . . . . . E 1.10. Entsprechensklausel . . . . . . . . . . . . . . . . . . .
32 32
948 948
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
949
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Datenschutzklausel Kaufvertrag . . . . . . . . . . . . . . .
2 2
949 949
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
950
I. Erläuterungen zu Ziffer 1 . . . . . . . . . . . . . . . . . . . . .
3
950
II. Erläuterungen zu Ziffer 2 . . . . . . . . . . . . . . . . . . . . .
6
951
III. Erläuterungen zu Ziffer 3 . . . . . . . . . . . . . . . . . . . . .
13
954
IV. Erläuterungen zu Ziffer 4 . . . . . . . . . . . . . . . . . . . . .
15
955
V. Erläuterungen zu Ziffer 5 . . . . . . . . . . . . . . . . . . . . .
22
956
VI. Erläuterungen zu Ziffer 6 . . . . . . . . . . . . . . . . . . . . .
24
957
VII. Erläuterungen zu Ziffer 7 . . . . . . . . . . . . . . . . . . . . .
26
957
VIII. Erläuterungen zu Ziffer 8 . . . . . . . . . . . . . . . . . . . . .
28
958
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
959
I. Grundlagen der Informationspflicht bei Internet-Angeboten .
1
959
II. Einwilligungserklärungen . . . . . . . . . . . . . . . . . . . .
3
961
III. Europarechtliche und internationale Aspekte . . . . . . . . .
5
962
IV. Verstöße und Sanktionen . . . . . . . . . . . . . . . . . . . . .
7
962
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Internet Privacy Policy . . . . . . . . . . . . . . . . . . . . .
4 4
963 963
II. Datenschutzklausel Kaufvertrag (Nowak/Zieger)
Teil 7 Datenschutzerklärungen und Einwilligungen I. Internet Privacy Policy (Jansen)
LXIII
Inhaltsverzeichnis Rz.
Seite
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
8
966
I. Erläuterungen zur Einleitung . . . . . . . . . . . . . . . . . . E Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8 8
966 966
II. Erläuterungen zu Ziffer 1 . . . . . . . . . . . . . . . . . . . . . E 1. Erheben personenbezogener Daten . . . . . . . . . . .
12 12
967 967
1. Bestands- und Nutzungsdaten . . . . . . . . . . . . . . . . . .
13
968
2. Personenbezug, Anonymisierung und Pseudonymisierung . .
16
969
III. Erläuterungen zu Ziffer 2 . . . . . . . . . . . . . . . . . . . . . E 2. Verwendungszweck . . . . . . . . . . . . . . . . . . . .
19 19
970 970
1. Zweckbindungsgrundsatz . . . . . . . . . . . . . . . . . . . .
20
971
2. Erläuterungen zu Ziffer 2.1–2.5 . . . . . . . . . . . . . . . . .
21
971
IV. Erläuterungen zu Ziffer 3 . . . . . . . . . . . . . . . . . . . . . E 3. Informationen über Ihren Computer, Cookies und Targeting . . . . . . . . . . . . . . . . . . . . . . . . . .
22
972
22
972
1. Erhebung und Verwendung von Nutzungsdaten . . . . . . . .
23
973
2. Erläuterungen zu Ziffer 3.1 . . . . . . . . . . . . . . . . . . . .
24
974
3. Erläuterungen zu Ziffer 3.2–3.6 . . . . . . . . . . a) Einsatz und Funktionsweise von Cookies . . b) Zulässigkeit von Cookies . . . . . . . . . . . . c) Verwendung von Cookies für Nutzertracking
. . . .
25 25 26 28
974 974 975 976
V. Erläuterungen zu Ziffer 4 . . . . . . . . . . . . . . . . . . . . . E 4. Datensicherheit . . . . . . . . . . . . . . . . . . . . . . .
32 32
979 979
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
1. Grenzüberschreitender Datentransfer . . . . . . . . . . . . . .
33
979
2. Technische und organisatorische Maßnahmen . . . . . . . .
34
979
VI. Erläuterungen zu Ziffer 5 . . . . . . . . . . . . . . . . . . . . . E 5. Keine Weitergabe Ihrer personenbezogenen Daten . .
35 35
980 980
VII. Erläuterungen zu Ziffer 6 . . . . . . . . . . . . . . . . . . . . . E 6. Datenschutz und Websites Dritter . . . . . . . . . . . .
38 38
980 980
VIII. Erläuterungen zu Ziffer 7 . . . . . . . . . . . . . . . . . . . . . E 7. Änderungen dieser Datenschutzbestimmungen . . . .
40 40
981 981
IX. Erläuterungen zu Ziffer 8 . . . . . . . . . . . . . . . . . . . . . E 8. Ihre Rechte und Kontakt . . . . . . . . . . . . . . . . . .
42 42
981 981
1
982
II. Datenschutzbestimmungen und Einwilligungserklärungen für soziale Netzwerke (Krieg) A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . LXIV
Inhaltsverzeichnis Rz.
Seite
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Datenschutzbestimmungen und Einwilligungserklärungen für soziale Netzwerke . . . . . . . . . . . . . . . . . . . . .
6
984
6
984
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
989
I. Vorbemerkungen . . . . . . . . . . . . . . . . . . . . . . . . .
7
989
II. Erläuterung der einzelnen Klauseln . . . . . . . . . . . . . . .
14
991
1. Erläuterungen zum einleitenden Teil . . . . . . . . . . . . . . E Datenschutzbestimmungen . . . . . . . . . . . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Bezeichnung des Textes . . . . . . . . . . . . . . . . . . . . c) Grundsätzliche Anforderungen an Hinweise zum Datenschutz und an vorformulierte Einwilligungserklärungen . aa) Informationspflichten . . . . . . . . . . . . . . . . . . (1) Unterrichtung über Art, Umfang und Zwecke der Erhebung und Verwendung der Daten . . . . . . . . . (2) Unterrichtung über den Ort der Verarbeitung . . . . . bb) Einwilligungserklärungen . . . . . . . . . . . . . . . . (1) Allgemeines Transparenzgebot . . . . . . . . . . . . . (2) Freiwilligkeit der Einwilligung . . . . . . . . . . . . . (3) „Drucktechnische“ Hervorhebung . . . . . . . . . . . (4) Opt-in vs. Opt-out . . . . . . . . . . . . . . . . . . . .
14 14 15 16
991 991 992 992
17 17
993 993
17 18 19 20 21 22 23
993 993 994 994 994 995 995
2. Erläuterungen zu Ziffer 1 . . . . . . . . . . . . . . . . . . . . . E 1. Mindestalter für die Anmeldung bei Network XYZ . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Grundsätzliches zur Einwilligungs- und Einsichtsfähigkeit c) (Keine) gesetzliche Erlaubnis bei Minderjährigen . . . . . d) Alternative Lösungsansätze . . . . . . . . . . . . . . . . .
25 25 26 27 28 29
996 996 996 996 997 997
3. Erläuterungen zu Ziffer 2 . . . . . . . . . . . . . . . . . . . . E 2. Ihre von uns erhobenen Daten sowie Art und Zweck von deren Verarbeitung und Nutzung . . . . . . . . . a) Erläuterungen zu Ziffer 2.1 . . . . . . . . . . . . . . . . . aa) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Anonyme Nutzung vs. pseudonyme Nutzung vs. Klarnamenzwang . . . . . . . . . . . . . . . . . . . . b) Erläuterungen zu Ziffer 2.2 . . . . . . . . . . . . . . . . . aa) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Rechtliche Qualifizierung freiwilliger Angaben . . . cc) Information über die Freiwilligkeit von Angaben gem. § 4 Abs. 3 Satz 2 BDSG . . . . . . . . . . . . . . c) Erläuterungen zu Ziffer 2.3 . . . . . . . . . . . . . . . . . aa) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Erforderlichkeit der Einwilligung . . . . . . . . . . .
.
30
998
. . .
30 998 32 1000 32 1000
. . . .
33 40 40 41
1000 1002 1002 1002
. . . .
43 44 44 45
1003 1003 1003 1003 LXV
Inhaltsverzeichnis
d) e) f)
g)
cc) Erforderliche Voreinstellungen der Privatsphäreneinstellungen nach dem Entwurf der Datenschutz-Grundverordnung . . . . . . . . . . . . . . . . . . . . . . . . Erläuterungen zu Ziffer 2.4 . . . . . . . . . . . . . . . . . . aa) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Erforderlichkeit der Einwilligung . . . . . . . . . . . . Erläuterungen zu Ziffer 2.5 . . . . . . . . . . . . . . . . . . Erläuterungen zu Ziffer 2.6 . . . . . . . . . . . . . . . . . . aa) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) IP-Adressen als personenbezogene Daten . . . . . . . cc) Rechtliche Gestattung zur Verwendung von IP-Adressen . . . . . . . . . . . . . . . . . . . . . . . . Erläuterungen zu Ziffer 2.7 . . . . . . . . . . . . . . . . . . aa) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Unterrichtungspflichten nach § 13 Abs. 1 Satz 2 TMG cc) Anforderungen gemäß der E-Privacy-Richtlinie . . . .
4. Erläuterungen zu Ziffer 3 . . . . . . . . . . . . . . . . . . . . E 3. Übermittlung oder Weitergabe Ihrer Daten an Dritte a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Erlaubnispflichtige „Übermittlung“ und erlaubnisfreie „Weitergabe“ von Daten . . . . . . . . . . . . . . . . . . c) Weitergabe an zuständige Stellen . . . . . . . . . . . . . d) Zusätzlicher Klauseltext bei Angebot auch kostenpflichtiger Dienste . . . . . . . . . . . . . . . . . . . . . . e) Weiterführende Vertragsmuster . . . . . . . . . . . . . .
Rz.
Seite
47 48 48 49 50 53 53 54
1004 1004 1004 1004 1005 1005 1005 1005
56 57 57 58 60
1006 1006 1006 1006 1007
. . .
64 1008 64 1008 65 1008
. .
66 1008 68 1009
. .
69 1009 70 1009
5. Erläuterungen zu Ziffer 4 . . . . . . . . . . . . . . . . . . . . . E 4. Schutz Ihrer Daten . . . . . . . . . . . . . . . . . . . . .
71 1009 71 1009
6. Erläuterungen zu Ziffer 5 . . . . . . . . . . . . . . . . . . . . . E 5. Aktuelle Version und Änderung dieser Datenschutzbestimmungen . . . . . . . . . . . . . . . . . . . . . . .
74 1010
7. Erläuterungen zu Ziffer 6 . . . . . . . . . . . . . . . . . . . . . E 6. Auskunft, Widerruf Ihrer Einwilligungen und Berichtigung, Sperrung oder Löschung Ihrer Daten . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Praxisnahe Handhabung . . . . . . . . . . . . . . . . . . . c) Handhabung von Nutzerkommentaren bei AccountLöschung . . . . . . . . . . . . . . . . . . . . . . . . . . . .
74 1010 76 1011 76 1011 77 1011 79 1012 80 1012
8. Erläuterungen zu Ziffer 7 . . . . . . . . . . . . . . . . . . . . . E 7. Verantwortliche Stelle, Datenschutzbeauftragter und Kontakt . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Ratio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Zusätzlicher möglicher Klauseltext . . . . . . . . . . . . .
81 1012 82 1013 83 1013
III. Weitere Anmerkungen, Muster für weitere zusätzliche Klauseltexte . . . . . . . . . . . . . . . . . . . . . . . . . . . .
85 1013
LXVI
81 1012
Inhaltsverzeichnis Rz.
Seite
1. Abrechnungsdaten bei Anbieten kostenpflichtiger Funktionalitäten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E 2.X Abrechnungsdaten . . . . . . . . . . . . . . . . . . . .
85 1013 86 1013
2. Dritt-Applikationen . . . . . . . . . . . . . . . . . . . . . . . . E 2.X Applikationen . . . . . . . . . . . . . . . . . . . . . . .
87 1014 88 1014
3. Personalisierte Werbung . . . . . . . . . . . . . . . . . . . . .
89 1014
III. Werbe-Einwilligungserklärung (Rohwedder) A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1 1016
B.1 Muster 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2 1016
E Werbe-Einwilligungserklärung bei Abschluss eines Vertrags: Offline-Variante (Brief-, E-Mail- und TelefonWerbung) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2 1016
B.1 Muster 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2 1017
E Werbe-Einwilligungserklärung bei Abschluss eines Vertrags: Online-Variante (Brief-, E-Mail- und TelefonWerbung) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3 1017
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
3 1017
I. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . .
4 1017
II. Erläuterung der einzelnen Klauseln . . . . . . . . . . . . . . .
6 1019
1. Erläuterungen zu Vertragsmuster 1 . . . . . . . . . . . . . . . E Werbe-Einwilligungserklärung bei Abschluss eines Vertrags: Offline-Variante (Brief-, E-Mail- und TelefonWerbung) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6 1019
2. Erläuterungen zu Vertragsmuster 2 . . . . . . . . . . . . . . . E Werbe-Einwilligungserklärung bei Abschluss eines Vertrags: Online-Variante (Brief-, E-Mail- und TelefonWerbung) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15 1022
B.2 Muster 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23 1025
E Werbe-Einwilligungserklärung im Rahmen eines Gewinnspiels: Offline-Variante (Brief-, E-Mail- und Telefon-Werbung für mehrere Werber) . . . . . . . . . . .
23 1025
B.2 Muster 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24 1025
E Werbe-Einwilligungserklärung im Rahmen eines Gewinnspiels: Online-Variante (nur E-Mail-Werbung für mehrere Werber) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24 1025
7 1019
15 1022
LXVII
Inhaltsverzeichnis Rz.
Seite
C.2 Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
25 1026
I. Erläuterungen zu Vertragsmuster 1 . . . . . . . . . . . . . . . E Werbe-Einwilligungserklärung im Rahmen eines Gewinnspiels: Offline-Variante (Brief-, E-Mail- und TelefonWerbung für mehrere Werber) . . . . . . . . . . . . . . . .
25 1026
II. Erläuterungen zu Vertragsmuster 2 . . . . . . . . . . . . . . . E Werbe-Einwilligungserklärung im Rahmen eines Gewinnspiels: Online-Variante (nur E-Mail-Werbung für mehrere Werber) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25 1026 29 1027
29 1027
IV. Die SCHUFA-Klausel (Lang/Kamlah) A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1 1029
B. Muster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E SCHUFA-Klausel . . . . . . . . . . . . . . . . . . . . . . . .
3 1030 3 1030
C. Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
4 1031
I. Inhalt und Aufbau der SCHUFA-Klausel . . . . . . . . . . . .
4 1031
II. Erläuterung der einzelnen Absätze . . . . . . . . . . . . . . .
7 1032
1. Erläuterungen zu Absatz 1 a) Institutsklausel . . . . b) Kundenstammklausel . c) Kombiklausel . . . . . d) Integrierte Klausel . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
7 13 15 16 17
1032 1034 1034 1034 1035
2. Erläuterungen zu Absatz 2 . . . . . . . . . . . . . . . . . . . .
19 1035
3. Erläuterungen zu Absatz 3 . . . . . . . . . . . . . . . . . . . .
22 1036
4. Erläuterungen zu Absatz 4 . . . . . . . . . . . . . . . . . . . .
24 1036
5. Erläuterungen zu Absatz 5 . . . . . . . . . . . . . . . . . . . .
27 1037
6. Erläuterungen zu Absatz 6 . . . . . . . . . . . . . . . . . . . .
37 1040
Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
LXVIII
1041
Abkürzungsverzeichnis a.A. Abl. Abs. Abschn. a.E. AEUV AG AGB AiB AktG Alt. AnwBl AnwZert ITR AO AP ArbG ArbNErfG ArbRAktuell ArbZG Art. AuA Aufl.
anderer Ansicht Amtsblatt Absatz Abschnitt am Ende Vertrag über die Arbeitsweise der Europäischen Union Amtsgericht; Aktiengesellschaft Allgemeine Geschäftsbedingungen Arbeitsrecht im Betrieb (Zeitschrift) Aktiengesetz Alternative Anwaltsblatt AnwaltZertifikatOnline IT-Recht Abgabenordnung Arbeitsrechtliche Praxis Arbeitsgericht Gesetz über Arbeitnehmererfindungen Arbeitsrecht Aktuell (Zeitschrift) Arbeitszeitgesetz Artikel Arbeit und Arbeitsrecht (Zeitschrift) Auflage
B2B B2C BAG BAT BB BCR BDSG BeckRS BetrVG BfDI
Business-to-business Business-to-customer Bundesarbeitsgericht Bundesangestelltentarifvertrag Betriebs-Berater (Zeitschrift) Binding Corporate Rules Bundesdatenschutzgesetz Beck-Rechtsprechung Betriebsverfassungsgesetz Bundesbeauftragter für Datenschutz und die Informationsfreiheit Bürgerliches Gesetzbuch Bundesgerichtshof Bundespersonalvertretungsgesetz beispielsweise Bundestagsdrucksache Buchstabe Bundesurlaubsgesetz Bundesverfassungsgericht Sammlung der Entscheidungen des BVerfG Bring Your Own Device
BGB BGH BPersVG bspw. BT-Drucks. Buchst. BUrlG BVerfG BVerfGE BYOD
LXIX
Abkürzungsverzeichnis
bzgl. bzw.
bezüglich beziehungsweise
CCZ CISG COPE CR Cri CuA CYOD
Corporate Compliance Zeitschrift Convention on Contracts for the International Sale of Goods Corporate Owned, Personally Enabled Computer und Recht (Zeitschrift) Computer Law Review International (Zeitschrift) Computer und Arbeit (Zeitschrift) Choose Your Own Device
DB d.h. DRiZ DSB DuD
Der Betrieb (Zeitschrift) das heißt Deutsche Richterzeitung Datenschutz-Berater (Zeitschrift) Datenschutz und Datensicherheit (Zeitschrift)
EFZG EG etc. EU EU-DSGVO-E EuGH EuGVVO
e.V. EWR
Entgeltfortzahlungsgesetz Europäische Gemeinschaft et cetera Europäische Union Vorschlag für EU-Datenschutzgrundverordnung Gerichtshof der Europäischen Union Verordnung des Rates über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelsrechtssachen eingetragener Verein Europäischer Wirtschaftsraum
f., ff. Fn.
folgende, fortfolgende Fußnote
gem. GewO GG ggf. GmbH GmbHG GRUR
GwG GWR
gemäß Gewerbeordnung Grundgesetz gegebenenfalls Gesellschaft mit beschränkter Haftung GmbH-Gesetz Zeitschrift der Deutschen Vereinigung für Gewerblichen Rechtsschutz und Urheberrecht Gewerblicher Rechtsschutz und Urheberrecht, Praxis im Immaterialgüter- und Wettbewerbsrecht (Zeitschrift) Geldwäschegesetz Gesellschafts- und Wirtschaftsrecht (Zeitschrift)
Halbs.
Halbsatz
GRUR-Prax
LXX
Abkürzungsverzeichnis
HGB h.M.
Handelsgesetzbuch herrschende Meinung
i.d.R. i.Erg. IP i.S.d. i.S.v. ITRB i.V.m.
in der Regel im Ergebnis Internet Protocol im Sinne des/der im Sinne von Der IT-Rechts-Berater (Zeitschrift) in Verbindung mit
K&R Kap. KG KOM krit. KSchG KUG KWG
Kommunikation & Recht (Zeitschrift) Kapitel Kammergericht; Kommanditgesellschaft Dokument der EG-Kommission kritisch Kündigungsschutzgesetz Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie Kreditwesengesetz
LAG LG LT-Drucks.
Landesarbeitsgericht Landgericht Landtagsdrucksache
m. Anm. MaRisk BA
MMR m.w.N.
mit Anmerkungen Mindestanforderungen an das Risikomanagement für Kreditinstitute Mindestanforderungen an das Risikomanagement für Versicherungsunternehmen MultiMedia und Recht (Zeitschrift) mit weiteren Nachweisen
NJ NJOZ NJW Nr. NZA NZG
Neue Justiz (Zeitschrift) Neue Juristische Online Zeitschrift Neue Juristische Wochenschrift Nummer Neue Zeitschrift für Arbeitsrecht Neue Zeitschrift für Gesellschaftsrecht
o.Ä. o.g. OLG
oder Ähnliches oben genannte/n/r Oberlandesgericht
PBCR PbD PflegeZG
Processor Binding Corporate Rules Privacy by Design Pflegezeitgesetz
MaRisk VA
LXXI
Abkürzungsverzeichnis
RDV RFID RStV Rz.
Recht der Datenverarbeitung (Zeitschrift) radio-frequency identification Rundfunkstaatsvertrag Randzahl
s./S. s.a. SGB s.o. sog. SSL StGB s.u.
siehe; Seite siehe auch Sozialgesetzbuch siehe oben so genannte/r Secure Socket Layer (Codierungssystem) Strafgesetzbuch siehe unten
TKG TLS TMG TzBfG
Telekommunikationsgesetz Transport Layer Security (Codierungssystem) Telemediengesetz Teilzeit- und Befristungsgesetz
u.a. UrhG usw. u.U. UVV Kassen UWG
unter anderem Urheberrechtsgesetz und so weiter unter Umständen Unfallverhütungsvorschrift Kassen Gesetz gegen den unlauteren Wettbewerb
v. v.a. VAG
vom vor allem Gesetz über die Beaufsichtigung der Versicherungsunternehmen Verwaltungsgerichtshof vergleiche Verordnung Verbraucher und Recht (Zeitschrift) Verwaltungsverfahrensgesetz
VGH vgl. VO VuR VwVfG WM WP WpHG WRP
Wertpapier-Mitteilungen (Zeitschrift für Wirtschafts- und Bankrecht) Workingpaper Gesetz über den Wertpapierhandel Wettbewerb in Recht und Praxis (Zeitschrift)
z.B. ZD Ziff. ZPO
zum Beispiel Zeitschrift für Datenschutz Ziffer Zivilprozessordnung
LXXII
Teil 1 Verträge zur Datenschutzorganisation I. Arbeitsvertrag mit einem Datenschutzbeauftragten Literaturverzeichnis: Ascheid/Preis/Schmidt, Großkommentar zum Kündigungsrecht, 4. Aufl. 2012; Bongers, Der Kündigungs- und Bestellungsschutz des betrieblichen Datenschutzbeauftragten, ArbRAktuell 2010, 300147; Däubler/Klebe/Wedde/Weichert, Bundesdatenschutzgesetz, 3. Aufl. 2010; Dzida/Kröpelin, Sonderkündigungsschutz des Datenschutzbeauftragten bei Umstrukturierung und Personalabbau, BB 2010, 1026; Dzida/ Kröpelin, Kann ein Betriebsratsmitglied zugleich Datenschutzbeauftragter sein?, NZA 2011, 1018; Ehrich, Die Bedeutung des § 36 III 4 BDSG für die Kündigung des betrieblichen Datenschutzbeauftragten durch den Arbeitgeber, NZA 1993, 248; Ernst, Interessenkonflikt bei Personalunion zwischen Revisionsabteilung und Datenschutzbeauftragtem, NJOZ 2010, 2443; Gehlhaar, Der Kündigungsschutz des betrieblichen Datenschutzbeauftragten, NZA 2010, 373; Gola/Klug, Neuregelungen zur Bestellung betrieblicher Datenschutzbeauftragter, NJW 2007, 118; Schwab/Ehrhard, Sonderkündigungsschutz für Datenschutzbeauftragte – Gelten mit Inkrafttreten der BDSG-Novelle II neue Spielregeln?, NZA 2009, 1118; Gola/Schomerus, BDSG, 11. Aufl. 2012; Müller-Glöge/Preis/ Schmidt, Erfurter Kommentar zum Arbeitsrecht, 13. Aufl. 2013; Plath, BDSG, 2013; Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2011; Staudinger, BGB – Buch 2: Recht der Schuldverhältnisse – §§ 305–310, UKlaG (Recht der Allgemeinen Geschäftsbedingungen), Neubearbeitung 2006; Wolff/Brink, Beck’scher Online-Kommentar Datenschutzrecht (zit.: BeckOK DatenschutzR/Bearbeiter), Stand: 1.2.2013; Wybitul, Neue Anforderungen an betriebliche Datenschutzbeauftragte – Vorgaben der Datenschutzaufsichtsbehörden, MMR 2011, 372.
A. Einleitung Private Arbeitgeber sind als nicht-öffentliche Stellen gem. § 4f Abs. 1 Satz 1, 3 und 4 BDSG zur Bestellung eines Beauftragten für den Datenschutz verpflichtet, wenn sie in der Regel mindestens zehn Personen mit der automatisierten bzw. mindestens 20 Personen mit einer anderweitigen, d.h. nicht automatisierten Verarbeitung personenbezogener Daten beschäftigen. Unabhängig von der Anzahl der mit der Verarbeitung personenbezogener Daten regelmäßig beschäftigen Personen kann eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten gem. § 4f Abs. 1 Satz 6 BDSG auch im Falle von besonders gefahrträchtigen Datenverarbeitungen bestehen, etwa für Auskunfteien, Adresshandelsunternehmen und Markt- und Meinungsforschungsinstitute1. Die Bestellung muss gem. § 4f Abs. 1 Satz 2 BDSG spätestens innerhalb eines Monats nach Eintritt der Bestellungsvoraussetzungen erfolgen2. Außerhalb der gesetzlichen Verpflichtung zur Bestellung eines Datenschutzbeauftragten ist 1 Gola/Schomerus, § 4f BDSG Rz. 10; BeckOK DatenschutzR/Moos, § 4f BDSG Rz. 19. 2 Gola/Schomerus, § 4f BDSG Rz. 15; Simitis/Simitis, § 4f BDSG Rz. 55; Plath/v. d. Bussche, § 4f BDSG Rz. 16.
Weberndörfer/Zieger
|
1
1
Teil 1 I
Rz. 2
Arbeitsvertrag mit einem Datenschutzbeauftragten
eine Bestellung durch die verantwortliche Stelle selbstverständlich auch freiwillig möglich1. 2
Als Datenschutzbeauftragte kommen Personen innerhalb der verantwortlichen Stelle und gem. § 4f Abs. 2 Satz 3 Halbs. 1 BDSG auch außerhalb der verantwortlichen Stelle in Betracht. Die verantwortliche Stelle kann zwischen der Bestellung eines internen oder eines externen Datenschutzbeauftragten zunächst grundsätzlich frei wählen2. Die Wahl stellt jedoch keinen wichtigen Grund für die Abberufung eines einmal bestellten Datenschutzbeauftragten i.S.d. §§ 4f Abs. 3 Satz 4 BDSG, 626 BGB dar (vgl. hierzu noch Rz. 97 ff.).
3
Vertragliche Grundlage für die Tätigkeit eines externen Datenschutzbeauftragten wird regelmäßig ein Geschäftsbesorgungsvertrag i.S.d. §§ 675, 611 BGB sein3. Die Tätigkeit eines internen Datenschutzbeauftragten wird dagegen in der Regel auf Basis eines Arbeitsvertrags erfolgen. Den Abschluss eines neben dem Arbeitsvertrag stehenden Vertrags werden die Parteien regelmäßig nicht beabsichtigen4.
B.1 Muster 4
E Arbeitsvertrag mit einem Datenschutzbeauftragten Arbeitsvertrag zwischen […] (nachfolgend „Arbeitgeber“) und […] (nachfolgend „Arbeitnehmer“) – beide Vertragsparteien nachfolgend auch einzeln Partei und gemeinsam Parteien genannt – 1. Beginn des Arbeitsverhältnisses, Arbeitsort und Aufgaben des Arbeitnehmers 1.1 Der Arbeitnehmer wird mit Wirkung ab dem [Datum] am Standort [Ort] als – [Position]; und – Beauftragter für den Datenschutz i.S.d. §§ 4f und 4g BDSG [Datenschutzbeauftragter]; angestellt. 1 2 3 4
2
Gola/Schomerus, § 4f BDSG Rz. 16. Gola/Schomerus, § 4f BDSG Rz. 17 ff.; Simitis/Simitis, § 4f BDSG Rz. 40 ff. S. hierzu das Muster in Teil 1 II. Gehlhaar, NZA 2010, 373 (375).
|
Weberndörfer/Zieger
Rz. 4 Teil 1 I
Vertragstext
Der Arbeitnehmer ist dem Arbeitgeber für die effektive Durchführung seiner Aufgaben verantwortlich. Er hat seine Aufgaben sorgfältig auszuführen. 1.2 In seiner Funktion als Datenschutzbeauftragter ist der Arbeitnehmer unmittelbar der Geschäftsleitung unterstellt. Er ist berechtigt, seine Vorschläge oder Bedenken jederzeit unmittelbar der Geschäftsleitung vorzutragen. Hauptansprechpartner innerhalb der Geschäftsleitung ist derzeit [Name]. Bei Anwendung seiner Fachkunde auf dem Gebiet des Datenschutzes ist der Arbeitnehmer weisungsfrei. 1.3 In seiner Funktion als [Position] berichtet der Arbeitnehmer an [Position des Vorgesetzten]. Der Arbeitgeber behält sich vor, einen anderen Vorgesetzten zu benennen. 2. Widerruf der Bestellung zum Datenschutzbeauftragten, Versetzungsvorbehalt 2.1 Der Arbeitgeber ist jederzeit aus wichtigem Grund (§ 626 BGB) oder auf Verlangen der Aufsichtsbehörde zum Widerruf der Bestellung zum Datenschutzbeauftragen berechtigt (§ 4f Abs. 3 Satz 4 BDSG). Im Falle des Widerrufs enden auch die vertraglichen Aufgaben des Arbeitnehmers als Datenschutzbeauftragter. Der Arbeitsvertrag im Übrigen bleibt von dem Widerruf unberührt. 2.2 Der Arbeitgeber behält sich vor, dem Arbeitnehmer, soweit hierdurch dessen Aufgaben als Datenschutzbeauftragter nicht berührt werden, unter Berücksichtigung seiner Interessen auch andere gleichwertige, nach seinen Kenntnissen und Fähigkeiten zumutbare Aufgaben, ggf. auch an einem anderen Arbeitsort zu übertragen. Dieses Recht wird auch durch eine lang währende Betrauung mit denselben Aufgaben bzw. Beschäftigung am selben Ort nicht eingeschränkt. 3. Arbeitszeit 3.1 Die regelmäßige wöchentliche Arbeitszeit beträgt 40 Stunden. 3.2 Der Arbeitnehmer bestimmt die für seine Aufgaben als Datenschutzbeauftragter aufzuwendende Arbeitszeit im Rahmen des Erforderlichen selbst. Insoweit ist er von seinen Aufgaben als [Position] befreit. Die Parteien gehen derzeit davon aus, dass von der regelmäßigen wöchentlichen Arbeitszeit ca. 80 % auf die Aufgaben als [Position] und ca. 20 % auf die Aufgaben als Datenschutzbeauftragter entfallen. 3.3 Beginn, Ende und Dauer der täglichen Arbeitszeit sowie die Lage der Pausen richten sich im Übrigen nach den Vorgaben des Arbeitgebers und orientieren sich an den betrieblichen Erfordernissen. 3.4 Der Arbeitnehmer ist verpflichtet, bei Bedarf im gesetzlich zulässigen Umfang an Samstagen, Sonntagen und Feiertagen zu arbeiten sowie Mehrarbeit und Überstunden zu leisten. Weberndörfer/Zieger
|
3
Teil 1 I
Rz. 4
Arbeitsvertrag mit einem Datenschutzbeauftragten
3.5 Durch das vereinbarte Grundgehalt gem. Ziffer 4.1 sind bis zu 20 Überstunden monatlich mit abgegolten. 4. Gehalt und Aufwendungsersatz, Freiwilligkeitsvorbehalt 4.1 Der Arbeitnehmer erhält ein Jahresgehalt in Höhe von EUR [Betrag] brutto, zahlbar bargeldlos in zwölf monatlichen Raten jeweils zum Ende des Monats. 4.2 Der Arbeitgeber erstattet dem Arbeitnehmer alle im Zusammenhang mit der Ausübung seiner Arbeitsaufgaben anfallenden erforderlichen Aufwendungen, soweit diese allgemein oder im Einzelfall genehmigt wurden. Auf Verlangen hat der Arbeitnehmer entsprechende Belege als Nachweis vorzulegen. 4.3 Etwaige Sonderleistungen, die über das in Ziffer 4.1 definierte Grundgehalt hinausgehen, z.B. etwaige Gratifikationszahlungen, Weihnachtsgeld, Urlaubsgeld, 13. Monatsgehalt, werden freiwillig, d.h. ohne Anerkennung einer Rechtspflicht, gewährt. Auch die wiederholte freiwillige Leistung begründet keinen Rechtsanspruch auf weitere Leistungen in der Zukunft. 5. Urlaub 5.1 Der Arbeitnehmer erhält für jedes volle Kalenderjahr 30 Arbeitstage Urlaub (Jahresurlaub); Arbeitstage sind Wochentage von Montag bis Freitag. 5.2 Bei Beginn oder Ende des Arbeitsverhältnisses während eines laufenden Kalenderjahrs erhält der Arbeitnehmer 1/12 des Jahresurlaubs für jeden vollen Monat des Bestehens des Arbeitsverhältnisses in diesem Kalenderjahr. Für den gesetzlichen Mindesturlaub erfolgt eine etwaige anteilige Berechnung ausschließlich nach den Bestimmungen des Bundesurlaubsgesetzes. 5.3 Der Urlaub ist grundsätzlich im laufenden Kalenderjahr zu nehmen. Die Lage des Urlaubs hat der Arbeitnehmer vorab mit dem Arbeitgeber abzustimmen. Bei der Festlegung des Urlaubs werden die Interessen des Arbeitnehmers angemessen berücksichtigt; betriebliche Belange gehen vor. 5.4 Mit Erteilung des Urlaubs wird bis zur vollständigen Erfüllung des jeweiligen Urlaubsanspruchs zunächst der gesetzliche Mindesturlaub, dann ein etwaiger Schwerbehindertenzusatzurlaub und schließlich ein nach Ziffern 5.1 oder 5.2 etwaig über den gesetzlichen Mindesturlaub hinausgehender Urlaub eingebracht. 5.5 Ein nach Ziffern 5.1 oder 5.2 etwaig über den gesetzlichen Mindesturlaub hinausgehender Urlaub verfällt in jedem Fall am 31. Dezember des betreffenden Kalenderjahres; es erfolgt insoweit bei Beendigung des Arbeitsverhältnisses auch keine Abgeltung etwaig noch offener Urlaubstage. Die Übertragung des Urlaubs auf das Folgejahr, der Verfall und die Abgeltung des Urlaubs im Übrigen richten sich nach den gesetzlichen Bestimmungen. 4
|
Weberndörfer/Zieger
Vertragstext
Rz. 4 Teil 1 I
6. Arbeitsverhinderung und Arbeitsunfähigkeit infolge Krankheit 6.1 Der Arbeitnehmer ist verpflichtet, dem Arbeitgeber jede Arbeitsverhinderung oder Verlängerung einer Arbeitsverhinderung und deren voraussichtliche Dauer unverzüglich mitzuteilen. Auf Verlangen sind die Gründe der Arbeitsverhinderung anzugeben. 6.2 Im Falle der Arbeitsunfähigkeit infolge Krankheit ist der Arbeitnehmer verpflichtet, spätestens vor Ablauf des dritten Kalendertages nach Beginn der Arbeitsunfähigkeit eine ärztliche Bescheinigung über das Bestehen der Arbeitsunfähigkeit sowie deren voraussichtliche Dauer vorzulegen. Der Arbeitgeber ist berechtigt, die vorgenannte Frist auf einen Tag zu verkürzen. Dauert die Arbeitsunfähigkeit länger als in der Bescheinigung angegeben, so hat der Arbeitnehmer dies unverzüglich mitzuteilen und eine Anschlussbescheinigung vorzulegen. Die Pflicht zur Vorlage einer ärztlichen Bescheinigung besteht ungeachtet der Verpflichtung zur Entgeltfortzahlung. 6.3 Im Falle der Arbeitsunfähigkeit infolge Krankheit zahlt der Arbeitgeber dem Arbeitnehmer das Gehalt entsprechend den Regelungen des Entgeltfortzahlungsgesetzes für bis zu sechs Wochen fort. 6.4 Kann der Arbeitnehmer aufgrund gesetzlicher Vorschriften von einem Dritten Ersatz des Schadens beanspruchen, der ihm durch die Arbeitsunfähigkeit entstanden ist, so geht dieser Anspruch insoweit auf den Arbeitgeber über, als dieser dem Arbeitnehmer Arbeitsentgelt fortgezahlt und darauf entfallende vom Arbeitgeber zu tragende Beiträge zur gesetzlichen Sozialversicherung abgeführt hat. Der Arbeitnehmer ist verpflichtet, dem Arbeitgeber die zur Erhebung der Ansprüche erforderlichen Angaben zu machen und an der Geltendmachung und Durchsetzung mitzuwirken. 6.5 § 616 BGB findet keine Anwendung. Der Arbeitnehmer hat abgesehen von den Fällen der Ziffer 6.3 keinen Vergütungsanspruch, wenn er durch einen in seiner Person liegenden Grund an der Arbeitsleistung verhindert ist. 7. Nebentätigkeiten, Wettbewerbsverbot 7.1 Jede die Erfüllung der Pflichten aus dem Arbeitsverhältnis beeinträchtigende anderweitige entgeltliche oder unentgeltliche Tätigkeit des Arbeitnehmers ist während der Dauer des Arbeitsverhältnisses untersagt. 7.2 Dem Arbeitnehmer ist während der Dauer des Arbeitsverhältnisses insbesondere untersagt, in selbständiger, unselbständiger oder sonstiger Weise für ein Unternehmen tätig zu werden, welches mit dem Arbeitgeber in unmittelbarem oder mittelbarem Wettbewerb steht. In gleicher Weise ist dem Arbeitnehmer untersagt, ein solches Unternehmen zu errichten, zu erwerben oder sich hieran unmittelbar oder mittelbar zu beteiligen. Eine Beteiligung an börsennotierten Unternehmen ist dem Arbeitnehmer jedoch erlaubt, sofern er aufgrund seiner Beteiligung keinen bestimmenden Einfluss auf die Geschäftsführung des Unternehmens ausüben kann. Weberndörfer/Zieger
|
5
Teil 1 I
Rz. 4
Arbeitsvertrag mit einem Datenschutzbeauftragten
8. Arbeitsergebnisse, Erfindungen, Urheberrecht 8.1 Sämtliche Arbeitsergebnisse aus der Tätigkeit des Arbeitnehmers für den Arbeitgeber stehen im Eigentum des Arbeitgebers. 8.2 Für Erfindungen des Arbeitnehmers gelten die gesetzlichen Vorschriften über Arbeitnehmererfindungen und die hierzu ergangenen Durchführungsvorschriften und Richtlinien. 8.3 Der Arbeitnehmer überträgt dem Arbeitgeber mit Abschluss dieses Vertrags sämtliche ihm im Rahmen des Arbeitsverhältnisses erwachsenden Nutzungs- und Verwertungsrechte an Urheber- und sonstigen Immaterialgüterrechten. Die Übertragung erfolgt ausschließlich und ohne inhaltliche, zeitliche oder räumliche Beschränkung. Sie gilt auch für noch unbekannte Nutzungs- oder Verwertungsarten. Durch die Übertragung erhält der Arbeitgeber auch das Recht, das betreffende Nutzung- oder Verwertungsrecht auf Dritte zu übertragen oder diesen weitere Nutzungs- oder Verwertungsrechte einzuräumen. 8.4 § 69b Urheberrechtsgesetz bleibt unberührt. 8.5 Die Übertragung der Rechte an Arbeitsergebnissen ist durch das vereinbarte Grundgehalt abschließend abgegolten. Dies gilt auch für die Zeit nach Beendigung des Arbeitsverhältnisses. 9. Laufzeit und Beendigung des Arbeitsverhältnisses 9.1 Das Arbeitsverhältnis wird auf unbestimmte Zeit geschlossen. 9.2 Für die ordentliche Kündigung des Arbeitsverhältnisses gilt beiderseits eine Kündigungsfrist von vier Wochen zum 15. oder zum Ende eines Kalendermonats. Eine für den Arbeitgeber kraft Gesetzes verbindliche Verlängerung der ordentlichen Kündigungsfrist oder Veränderung des Kündigungstermins gilt auch für den Arbeitnehmer. 9.3 Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. 9.4 Jede Kündigung bedarf zu ihrer Rechtswirksamkeit der Schriftform. 9.5 Das Arbeitsverhältnis endet, ohne dass es einer Kündigung bedarf, mit Ablauf des Monats, in dem der Arbeitnehmer das gesetzliche Regelrentenalter vollendet. Es endet ebenfalls, ohne dass es einer Kündigung bedarf, wenn der Arbeitnehmer vor Vollendung des gesetzlichen Regelrentenalters eine gesetzliche Vollrente wegen Alters oder unbefristete Rente wegen voller Erwerbsminderung in Anspruch nimmt. 9.6 Die Bestellung zum Datenschutzbeauftragten endet spätestens mit Beendigung des Arbeitsverhältnisses. 10. Verschwiegenheitspflicht, Herausgabe von Gegenständen 10.1 Der Arbeitnehmer verpflichtet sich, über alle vertraulichen Angelegenheiten, die ihm im Rahmen des Arbeitsverhältnisses zur Kenntnis gelan6
|
Weberndörfer/Zieger
Vertragstext
Rz. 4 Teil 1 I
gen, insbesondere über Betriebs- und Geschäftsgeheimnisse, während der Dauer und auch nach dem Ende des Arbeitsverhältnisses Stillschweigen zu wahren. § 4f Abs. 4 und 4a BDSG sind zu beachten. 10.2 Auf Verlangen des Arbeitgebers, spätestens aber bei Beendigung des Arbeitsverhältnisses hat der Arbeitnehmer sämtliche ihm im Rahmen des Arbeitsverhältnisses überlassenen Gegenstände und Daten, gleich auf welchem Medium, herauszugeben. Auf Verlangen des Arbeitgebers hat er zu bescheinigen, dass er keine solchen Gegenstände und Daten sowie Vervielfältigungen von Daten mehr im Besitz hat. Der Arbeitnehmer wird dem Arbeitgeber spätestens am Tag der Beendigung des Arbeitsverhältnisses eine Aufstellung aller Passwörter, Schreibschutzcodes und ähnliche Zugangscodes, die er auf den von ihm im Betrieb genutzten PCs und anderen IT- oder Telekommunikations-Ressourcen verwendet hat, zur Verfügung stellen. Zurückbehaltungsrechte jedweder Art sind ausgeschlossen. 11. Verfallfristen 11.1 Alle beiderseitigen Ansprüche aus oder im Zusammenhang mit dem Arbeitsverhältnis verfallen, wenn sie nicht innerhalb von drei Monaten nach der Fälligkeit gegenüber der anderen Partei schriftlich geltend gemacht werden. 11.2 Lehnt die andere Partei die Erfüllung des Anspruchs ab oder erklärt sie sich nicht innerhalb von zwei Wochen nach der schriftlichen Geltendmachung des Anspruches, so verfällt dieser, wenn er nicht innerhalb von weiteren drei Monaten nach der Ablehnung oder dem Fristablauf gerichtlich geltend gemacht wird. 12. Vollständigkeit Dieser Vertrag beinhaltet die vollständigen Vereinbarungen der Parteien in Bezug auf den Vertragsgegenstand. Insoweit ersetzt er alle etwaigen vorangegangenen Vereinbarungen zwischen den Parteien. Nebenabreden sind nicht getroffen. 13. Schriftform Individuelle Änderungen oder Ergänzungen dieses Vertrags sind formlos gültig (§ 305b BGB). Im Übrigen bedürfen Änderungen oder Ergänzungen dieses Vertrags zu ihrer Rechtswirksamkeit der Schriftform. Dies gilt auch für eine Aufhebung des Schriftformerfordernisses. Ausgeschlossen sind damit insbesondere Vertragsänderungen durch betriebliche Übung. 14. Salvatorische Klausel Sollten einzelne Bestimmungen dieses Vertrags ganz oder teilweise unwirksam sein oder werden, wird hierdurch die Wirksamkeit des Vertrags im Übrigen nicht berührt. Die Parteien werden die unwirksame Bestimmung durch eine Weberndörfer/Zieger
|
7
Teil 1 I
Rz. 5
Arbeitsvertrag mit einem Datenschutzbeauftragten
dieser nach Sinn und Zweck möglichst nahe kommende wirksame Bestimmung ersetzen. Die vorstehende Regelung gilt im Falle unbeabsichtigter Vertragslücken entsprechend. … Ort, Datum
… Ort, Datum
… Arbeitgeber
… Arbeitnehmer
C.1 Erläuterungen I. Vorbemerkung 5
Das Muster des Arbeitsvertrags betrifft den Fall einer Neueinstellung eines Arbeitnehmers als Datenschutzbeauftragten. Die Erweiterung der bestehenden Aufgaben eines Arbeitnehmers um diejenigen eines Datenschutzbeauftragten ist im Muster des Ergänzungsvertrags geregelt. Beide Vertragsmuster berücksichtigen keine etwaig einschlägigen Regelungen in Betriebsvereinbarungen oder Tarifverträgen. Insbesondere an derartige Regelungen müssten die Vertragsmuster ggf. noch angepasst werden. Das Muster des Bestellungsschreibens hat die Bestellung zum Datenschutzbeauftragen zum Gegenstand.
6
Das Arbeitsverhältnis ist rechtlich jeweils strikt von dem Bestellungsverhältnis zu trennen. Der Arbeitnehmer wird für den Arbeitgeber zwar auf Basis seines Arbeitsvertrags als Datenschutzbeauftragter tätig. Der Arbeitsvertrag ist mithin vertragliche Grundlage seiner Bestellung zum Datenschutzbeauftragten. Gleichwohl handelt es sich um zwei voneinander rechtlich unabhängige Rechtsverhältnisse (vgl. hierzu noch Rz. 57).
7
Ein im (künftigen) Beschäftigungsbetrieb existierender Betriebsrat hat weder bei dem Abschluss eines Arbeits- bzw. Ergänzungsvertrags1 noch bei dem Bestellungsakt2 ein Mitbestimmungsrecht. Allerdings ist gem. § 99 BetrVG die vorherige Zustimmung des Betriebsrats zu der tatsächlichen Einstellung eines Datenschutzbeauftragten einzuholen3. Dasselbe gilt bzgl. der tatsächlichen Versetzung eines Arbeitnehmers auf die Position des Datenschutzbeauftragten i.S.v. § 95 Abs. 3 BetrVG4. Der Betriebsrat ist gem. § 99 Abs. 2 Nr. 1 BetrVG zur Verweigerung der Zustimmung berechtigt, wenn der Arbeitnehmer nicht die gem. § 4f Abs. 2 BDSG erforderliche Fachkunde und Zuverlässigkeit besitzt5. 1 2 3 4
Erfurter Kommentar zum Arbeitsrecht/Kania, § 99 BetrVG Rz. 4. Gola/Schomerus, § 4f BDSG Rz. 33; BeckOK DatenschutzR/Moos, § 4f BDSG Rz. 27. Gola/Schomerus, § 4f BDSG Rz. 33. BAG v. 22.3.1994 – 1 ABR 51/93, AP BetrVG 1972 § 99 Versetzung Nr. 4; Gola/Schomerus, § 4f BDSG Rz. 33. 5 BAG v. 22.3.1994 – 1 ABR 51/93, AP BetrVG 1972 § 99 Versetzung Nr. 4; LAG Hamm v. 8.4.2011 – 13 TaBV 92/10, DuD 2011, 737 (738); BeckOK DatenschutzR/Moos, § 4f BDSG Rz. 27.
8
|
Weberndörfer/Zieger
Rz. 9 Teil 1 I
Erläuterungen
Vorstehendes gilt nicht im Falle der Einstellung bzw. Versetzung eines i.S.d. § 5 Abs. 3 BetrVG in leitender Position angestellten Datenschutzbeauftragten. Die Einstellung bzw. Versetzung eines solchen Arbeitnehmers ist dem Betriebsrat gem. § 105 BetrVG lediglich anzuzeigen1. Ein Datenschutzbeauftragter ist aber nicht automatisch als leitender Angestellter i.S.d. § 5 Abs. 3 BetrVG zu qualifizieren2.
II. Erläuterungen zum Arbeitsvertrag 1. Erläuterungen zu Ziffer 1 E 1. Beginn des Arbeitsverhältnisses, Arbeitsort und Aufgaben des Arbeitnehmers
8
1.1 Der Arbeitnehmer wird mit Wirkung ab dem [Datum] am Standort [Ort] als – [Position]; und – Beauftragter für den Datenschutz i.S.d. §§ 4f und 4g BDSG (Datenschutzbeauftragter); angestellt. Der Arbeitnehmer ist dem Arbeitgeber für die effektive Durchführung seiner Aufgaben verantwortlich. Er hat seine Aufgaben sorgfältig auszuführen. 1.2 In seiner Funktion als Datenschutzbeauftragter ist der Arbeitnehmer unmittelbar der Geschäftsleitung unterstellt. Er ist berechtigt, seine Vorschläge oder Bedenken jederzeit unmittelbar der Geschäftsleitung vorzutragen. Hauptansprechpartner innerhalb der Geschäftsleitung ist derzeit [Name]. Bei Anwendung seiner Fachkunde auf dem Gebiet des Datenschutzes ist der Arbeitnehmer weisungsfrei. 1.3 In seiner Funktion als [Position] berichtet der Arbeitnehmer an [Position des Vorgesetzten]. Der Arbeitgeber behält sich vor, einen anderen Vorgesetzten zu benennen.
a) Erläuterungen zu Ziffer 1.1 Beginn des Arbeitsvertrags und Bestellung zum Datenschutzbeauftragten fallen nach Ziffer 1.1 zeitlich zusammen. Soll der Arbeitnehmer nicht schon zu Beginn des Arbeitsverhältnisses als Datenschutzbeauftragter bestellt werden, sondern etwa erst nach Ablauf einer Probezeit (zur Probezeit vgl. auch Rz. 55 und 91), wäre dies unter Ziffer 1.1. entsprechend zu regeln. Dies wäre allerdings nur zulässig, solange gem. § 4f Abs. 1 BDSG keine Pflicht zur Bestellung 1 Gola/Schomerus, § 4f BDSG Rz. 33. 2 Gola/Schomerus, § 4f BDSG Rz. 33; Simitis/Simitis, § 4f BDSG Rz. 71.
Weberndörfer/Zieger
|
9
9
Teil 1 I
Rz. 10
Arbeitsvertrag mit einem Datenschutzbeauftragten
eines Datenschutzbeauftragten besteht oder, im Falle einer solchen Pflicht, der existierende obligatorische Datenschutzbeauftragte bis zur Bestellung des neuen Datenschutzbeauftragten im Amt bleibt. 10
Ziffer 1.1 geht davon aus, dass der Arbeitnehmer neben seiner Tätigkeit als Datenschutzbeauftragter noch einer anderen Tätigkeit im Unternehmen nachgehen wird. Die nebenamtliche Tätigkeit als Datenschutzbeauftragter ist grundsätzlich zulässig1. Allerdings darf hierdurch nicht die gem. § 4f Abs. 2 Satz 1 BDSG erforderliche Zuverlässigkeit des Datenschutzbeauftragten in Frage gestellt werden.
11
So muss insbesondere der für die Tätigkeit als Datenschutzbeauftragter erforderliche Zeitaufwand eine andere Tätigkeit überhaupt zulassen2. Hierfür wird insbesondere die Größe des Unternehmens eine maßgebliche Rolle spielen. Feste Grenzwerte gibt es nicht, vielmehr muss dies im Einzelfall beurteilt werden3. Einen Anhaltspunkt gab in der Vergangenheit bspw. das ArbG Offenbach am Main4. Nach diesem soll in einem Betrieb mit weniger als 300 Arbeitnehmern die Position des Datenschutzbeauftragten in der Regel mit 20 % der Vollzeitarbeitszeit wahrgenommen werden können.
12
Auch darf aufgrund der anderen Tätigkeit keine die Zuverlässigkeit des Datenschutzbeauftragten in Frage stellende Interessenkollision entstehen. Dies wäre bei der Bestellung des Unternehmensinhabers oder des Leiters der verantwortlichen Stelle, wie etwa dem Geschäftsführer, immer der Fall5. Auch die Positionen des Leiters der EDV-Abteilung, des Leiters der Personalabteilung, des Leiters der Rechtsabteilung, des Vertriebs- oder Betriebsleiters oder des Personalleiters werden teils als mit dem Amt des Datenschutzbeauftragten grundsätzlich unverträglich angesehen6. Gleiche Bedenken werden in der Literatur teilweise in Bezug auf die Bestellung von Mitarbeitern der genannten Abteilungen geäußert7. Eine Tätigkeit in der Revisionsabteilung wird dagegen teils als empfehlenswerte Kombination mit der Tätigkeit als Datenschutzbeauftragter angesehen8. Das Risiko möglicher Interessenkollisionen muss aber jeweils im Einzelfall beurteilt werden9. Nach der Rechtsprechung des BAG kommt es dabei darauf an, ob der Beschäftigte in erster Linie die Ergebnisse seiner eigenen Arbeit kontrollieren müsste10.
1 2 3 4 5 6 7 8 9 10
10
Simitis/Simitis, § 4f BDSG Rz. 41. Gola/Schomerus, § 4f BDSG Rz. 25; Simitis/Simitis, § 4f BDSG Rz. 148 ff. Simitis/Simitis, § 4f BDSG Rz. 149. ArbG Offenbach am Main v. 19.2.1992 – 1 BV 79/91, RDV 1993, 83. Gola/Schomerus, § 4f BDSG Rz. 26; Simitis/Simitis, § 4f BDSG Rz. 97 f., der darüber hinausgehend auch jede Beteiligung am Unternehmen als schädlich ansieht. Gola/Schomerus, § 4f BDSG Rz. 26; Simitis/Simitis, § 4f BDSG Rz. 99 ff. Simitis/Simitis, § 4f BDSG Rz. 106. Gola/Schomerus, § 4f BDSG Rz. 27; a.A. Simitis/Simitis, § 4f BDSG Rz. 104; vgl. hierzu auch ausführlich Ernst, NJOZ 2010, 2443. So wohl auch Gola/Schomerus, § 4f BDSG Rz. 26. BAG v. 22.3.2994 – 1 ABR 51/93, CR 1994, 688.
|
Weberndörfer/Zieger
Erläuterungen
Rz. 16 Teil 1 I
b) Erläuterungen zu Ziffer 1.2 Ziffer 1.2 regelt die organisatorische Eingliederung des Datenschutzbeauftragten entsprechend § 4f Abs. 3 Satz 1 und 2 BDSG.
13
Der Datenschutzbeauftragte ist gem. § 4f Abs. 3 Satz 1 BDSG organisatorisch unmittelbar der Leitung der verantwortlichen Stelle zu unterstellen. Dies beinhaltet auch ein unmittelbares Vortragsrecht des Datenschutzbeauftragten bei der Leitung1. Hierdurch soll dem Datenschutzbeauftragten die zur Erfüllung seiner Aufgaben erforderliche Autorität verliehen werden. Die angeordnete organisatorische Eingliederung ist funktionsbezogen zu verstehen2. Sie gilt nur, soweit es um die Tätigkeit als Datenschutzbeauftragter geht. Sie berührt daher insbesondere nicht die Einordnung des Datenschutzbeauftragten in die betriebliche Hierarchie im Übrigen. Der Datenschutzbeauftragte ist gem. § 4f Abs. 3 Satz 2 BDSG in der Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes nicht an Weisungen gebunden. Dies soll die zur Ausübung seiner gesetzlichen Aufgaben erforderliche Unabhängigkeit gewährleisten3. Die Weisungsfreiheit gilt auch für etwaige Mitarbeiter des Datenschutzbeauftragten4. Auch die Weisungsfreiheit ist rein funktionsbezogen; sie gilt allein für die Erfüllung der Aufgaben des Datenschutzbeauftragten und nicht für die Ausübung anderer Tätigkeiten5.
14
Mit der Weisungsfreiheit werden dem Datenschutzbeauftragten keine Entscheidungsbefugnisse über Maßnahmen zur Gewährleistung des Datenschutzes eingeräumt6. Diese fallen in den alleinigen Verantwortungsbereich der Leitung der verantwortlichen Stelle. Auch darf diese die ordnungsgemäße Aufgabenerfüllung durch den Datenschutzbeauftragten überwachen7. Dass die verantwortliche Stelle dem Datenschutzbeauftragten (verbindliche) Prüfaufträge erteilen darf, wird teils unter Hinweis auf europarechtliche Vorgaben verneint8. Nach zutreffender Ansicht ist dies allerdings möglich, jedenfalls solange der Datenschutzbeauftragte hierdurch nicht von Aufgaben abgehalten wird, die er in Ausübung seiner Fachkunde für vordringlich hält9. Wann der Datenschutzbeauftragte welche Aufgaben im Rahmen seines Amts erfüllt, entscheidet er grundsätzlich selbst.
15
c) Erläuterungen zu Ziffer 1.3 Ziffer 1.3 trifft Regelungen zu den Berichtspflichten des Arbeitnehmers außerhalb seiner Funktion als Datenschutzbeauftragter. Dies ist zulässig, weil die 1 2 3 4 5 6 7 8 9
Gola/Schomerus, § 4f BDSG Rz. 47; Simitis/Simitis, § 4f BDSG Rz. 118. Gola/Schomerus, § 4f BDSG Rz. 47. Gola/Schomerus, § 4f BDSG Rz. 48; Simitis/Simitis, § 4f BDSG Rz. 121. Gola/Schomerus, § 4f BDSG Rz. 48; Simitis/Simitis, § 4f BDSG Rz. 123. Gola/Schomerus, § 4f BDSG Rz. 48; Simitis/Simitis, § 4f BDSG Rz. 122. Gola/Schomerus, § 4f BDSG Rz. 48; Simitis/Simitis, § 4f BDSG Rz. 125. Gola/Schomerus, § 4f BDSG Rz. 48; Simitis/Simitis, § 4f BDSG Rz. 125. BeckOK DatenschutzR/Moos, § 4f BDSG Rz. 66 f. m.w.N. BT-Drucks. 14/4329, 36; BAG v. 13.3.2007 – 9 AZR 612/05, NJW 2007, 2507 (2508); Gola/Schomerus, § 4f BDSG Rz. 48a; Simitis/Simitis, § 4f BDSG Rz. 124.
Weberndörfer/Zieger
|
11
16
Teil 1 I
Rz. 17
Arbeitsvertrag mit einem Datenschutzbeauftragten
gem. § 4f Abs. 3 Satz 1 und 2 BDSG angeordnete organisatorische Eingliederung und Weisungsfreiheit rein funktionsbezogen ist (vgl. Rz. 13 ff.).
2. Erläuterungen zu Ziffer 2 17
E 2. Widerruf der Bestellung zum Datenschutzbeauftragten, Versetzungsvorbehalt 2.1 Der Arbeitgeber ist jederzeit aus wichtigem Grund (§ 626 BGB) oder auf Verlangen der Aufsichtsbehörde zum Widerruf der Bestellung zum Datenschutzbeauftragen berechtigt (§ 4f Abs. 3 Satz 4 BDSG). Im Falle des Widerrufs enden auch die vertraglichen Aufgaben des Arbeitnehmers als Datenschutzbeauftragter. Der Arbeitsvertrag im Übrigen bleibt von dem Widerruf unberührt. 2.2 Der Arbeitgeber behält sich vor, dem Arbeitnehmer, soweit hierdurch dessen Aufgaben als Datenschutzbeauftragter nicht berührt werden, unter Berücksichtigung seiner Interessen auch andere gleichwertige, nach seinen Kenntnissen und Fähigkeiten zumutbare Aufgaben, ggf. auch an einem anderen Arbeitsort zu übertragen. Dieses Recht wird auch durch eine lang währende Betrauung mit denselben Aufgaben bzw. Beschäftigung am selben Ort nicht eingeschränkt.
a) Erläuterungen zu Ziffer 2.1 18
Ziffer 2.1 stellt zunächst klar, dass der Arbeitgeber gem. § 4f Abs. 3 Satz 4 BDSG aus wichtigem Grund oder auf Verlangen der Aufsichtsbehörde zum Widerruf der Bestellung des Arbeitnehmers zum Datenschutzbeauftragen berechtigt ist (zum Widerruf der Bestellung vgl. Rz. 97 ff.). Nach der im Vertragsmuster vorgesehenen Regelung entfallen mit dem wirksamen Widerruf zugleich auch die einen Teil der arbeitsvertraglichen Pflichten bildenden Aufgaben des Arbeitnehmers als Datenschutzbeauftragter. Im Übrigen bleibt der Arbeitsvertrag nach der im Vertragsmuster vorgesehenen Regelung von dem Widerruf unberührt.
19
Die im Vertragsmuster vorgesehene Regelung orientiert sich an zwei Entscheidungen des BAG1. Hiernach liegt im Falle der Bestellung zum Datenschutzbeauftragten im bestehenden Arbeitsverhältnis regelmäßig eine konkludente Vertragsänderung vor, sofern der Arbeitgeber dem Arbeitnehmer die Aufgaben des Datenschutzbeauftragten nicht einseitig im Rahmen seines Direktionsrechts zuweisen kann und auch nicht ausdrücklich eine entsprechende Änderung des Arbeitsvertrags vereinbart wird. Die vertraglichen Aufgaben des Arbeitnehmers erweitern sich. Neben die bisherigen Aufgaben treten die gesetzlichen Aufgaben als Datenschutzbeauftragter. Diese Erweiterung entfällt nach dem Willen der Parteien aber regelmäßig automatisch mit dem Widerruf der Bestellung. Einer Änderungs- oder Teilkündigung bedarf es nicht.
1 BAG v. 23.3.2011 – 10 AZR 562/09, AP BDSG § 4f Nr. 3; BAG v. 29.9.2010 – 10 AZR 588/09, AP BDSG § 4f Nr. 2.
12
|
Weberndörfer/Zieger
Erläuterungen
Rz. 22 Teil 1 I
Trotz der im Vertragsmuster vorgesehenen Regelung sollte mangels höchstrichterlicher Bestätigung zusammen mit dem Widerruf der Bestellung vorsorglich auch eine ggf. überflüssige und damit unwirksame Änderungs- bzw. Teilkündigung des Arbeitsvertrags ausgesprochen werden. Ein Automatismus dahingehend, dass mit einem Widerruf der Bestellung zum Datenschutzbeauftragten zugleich auch das Arbeitsverhältnis endet, lässt sich vertraglich nicht vereinbaren. Der Grund für den Widerruf kann zwar gem. § 626 BGB zur außerordentlichen Kündigung des Arbeitsverhältnisses berechtigen. Zwingend ist dies allerdings nicht1. Soll mit dem Widerruf auch das Arbeitsverhältnis enden, ist bei Vorliegen eines wichtigen Grundes daher gleichzeitig eine außerordentliche Kündigung auszusprechen.
20
b) Erläuterungen zu Ziffer 2.2 Ziffer 2.2 beinhaltet einen Versetzungsvorbehalt bzgl. der Arbeitsaufgaben und des Arbeitsorts des Arbeitnehmers. Versetzungen sind nur zulässig, soweit hierdurch die Aufgaben des Arbeitnehmers als Datenschutzbeauftragter nicht berührt werden. Insbesondere dürfen dem Arbeitnehmer daher keine Aufgaben übertragen werden, die wegen einer Interessenkollision seine Zuverlässigkeit als Datenschutzbeauftragter in Frage stellen (vgl. hierzu auch Rz. 12). Andernfalls könnte der Arbeitgeber durch die Versetzung einen wichtigen Grund für den Widerruf der Bestellung zum Datenschutzbeauftragten schaffen. Dies wäre mit dem Abberufungsschutz des § 4f Abs. 3 Satz 4 BDSG nicht zu vereinbaren. Zudem ist bei Versetzungen das Benachteiligungsverbot des § 4f Abs. 3 Satz 3 BDSG zu beachten.
21
3. Erläuterungen zu Ziffer 3 E 3. Arbeitszeit
22
3.1 Die regelmäßige wöchentliche Arbeitszeit beträgt 40 Stunden. 3.2 Der Arbeitnehmer bestimmt die für seine Aufgaben als Datenschutzbeauftragter aufzuwendende Arbeitszeit im Rahmen des Erforderlichen selbst. Insoweit ist er von seinen Aufgaben als [Position] befreit. Die Parteien gehen derzeit davon aus, dass von der regelmäßigen wöchentlichen Arbeitszeit ca. 80 % auf die Aufgaben als [Position] und ca. 20 % auf die Aufgaben als Datenschutzbeauftragter entfallen. 3.3 Beginn, Ende und Dauer der täglichen Arbeitszeit sowie die Lage der Pausen richten sich im Übrigen nach den Vorgaben des Arbeitgebers und orientieren sich an den betrieblichen Erfordernissen. 3.4 Der Arbeitnehmer ist verpflichtet, bei Bedarf im gesetzlich zulässigen Umfang an Samstagen, Sonntagen und Feiertagen zu arbeiten sowie Mehrarbeit und Überstunden zu leisten. 1 Simitis/Simitis, § 4f BDSG Rz. 186.
Weberndörfer/Zieger
|
13
Teil 1 I
Rz. 23
Arbeitsvertrag mit einem Datenschutzbeauftragten
3.5 Durch das vereinbarte Grundgehalt gemäß Ziffer 4.1 sind bis zu 20 Überstunden monatlich mit abgegolten.
a) Erläuterungen zu Ziffer 3.1 bis 3.4 23
Die unter Ziffer 3.1 festzulegende regelmäßige wöchentliche Arbeitszeit des Arbeitnehmers darf gem. § 3 ArbZG in der im Vertragsmuster vorgesehenen 5-Tage-Woche maximal 48 Stunden betragen1.
24
Ziffer 3.2 sichert dem Arbeitnehmer die gem. § 4f Abs. 3 Satz 2 BDSG erforderliche Weisungsfreiheit bei der Erfüllung seiner Aufgaben als Datenschutzbeauftragter in zeitlicher Hinsicht2 (vgl. hierzu auch Rz. 11). Der Arbeitnehmer bestimmt insoweit seine Arbeitszeit im Rahmen des Erforderlichen selbst. Er ist von seinen sonstigen Aufgaben entbunden.
25
Die in der Regelung festgehaltene Verteilung der regelmäßigen wöchentlichen Arbeitszeit auf die Aufgaben als Datenschutzbeauftragter und sonstige Aufgaben ist nicht bindend. Sie gibt lediglich das beiderseitige Verständnis der Parteien bei Vertragsschluss wieder. Sie kann aber Indiz dafür sein, ob sich die auf die Aufgaben als Datenschutzbeauftragter aufgewendete Arbeitszeit im Rahmen des Erforderlichen hält.
b) Erläuterungen zu Ziffer 3.5 26
Nach Ziffer 3.5 sind monatlich bis zu 20 Überstunden mit dem Grundgehalt abgegolten. Eine solche Abgeltungsklausel ist auch bei formularmäßiger Verwendung wirksam3. Die Grenze ist gem. § 138 BGB die zur Unwirksamkeit führende Sittenwidrigkeit der Abgeltungsklausel wegen Lohnwuchers. Dieser setzt in objektiver Hinsicht ein auffälliges Missverhältnis zwischen Leistung und Gegenleistung voraus. Ein solches liegt regelmäßig bei Unterschreitung von zwei Dritteln des in dem betreffenden Wirtschaftszweig üblicherweise gezahlten Tariflohns vor4. Die pauschale Abgeltung von 20 Überstunden monatlich stellt bei einer Wochenarbeitszeit von 40 Stunden im Falle eines tarifüblichen Grundgehalts daher kein Problem dar.
27
Eine formularmäßig verwendete pauschale Abgeltung aller Überstunden ist dagegen nach der Rechtsprechung des BAG5 wegen eines Verstoßes gegen das Transparenzgebot des § 307 Abs. 1 Satz 2 BGB unwirksam. Für den Arbeitnehmer ist hieraus die für die vereinbarte Vergütung maximal zu erbringende Leistung nicht zu erkennen.
1 Erfurter Kommentar zum Arbeitsrecht/Wank, § 3 ArbZG Rz. 5. 2 Zur Zweckmäßigkeit einer dahingehenden Regelung vgl. auch Gola/Schomerus, § 4f BDSG Rz. 25. 3 BAG v. 16.5.2012 – 5 AZR 331/11, NZA 2012, 908. 4 BAG v. 16.5.2012 – 5 AZR 331/11, NZA 2012, 908 (910); BAG v. 18.4.2012 – 5 AZR 630/10, BeckRS 2012, 71038. 5 BAG v. 22.2.2012 – 5 AZR 765/10, NZA 2012, 861 (862).
14
|
Weberndörfer/Zieger
Rz. 30 Teil 1 I
Erläuterungen
Ggf. ist dies allerdings dann anders zu beurteilen, wenn sich die Voraussetzungen und der maximal zulässige Umfang von Überstunden anderweitig aus dem Vertrag ergeben und die Regelung nicht insgesamt intransparent ist. Die Überstundenvergütung richtet sich im Falle einer unwirksamen Abgeltungsklausel nach § 612 BGB. Hiernach gilt eine Vergütung dann als stillschweigend vereinbart, wenn die Dienstleistung nur gegen eine Vergütung zu erwarten ist. Die erforderliche Vergütungserwartung wird in vielen Fällen vorliegen. Sie kann aber insbesondere dann fehlen, wenn arbeitszeitbezogene und arbeitszeitunabhängig vergütete Arbeitsleistungen zeitlich miteinander verschränkt sind1 oder wenn Dienste höherer Art geschuldet sind oder insgesamt eine deutlich herausgehobene Vergütung gezahlt wird2. Letzteres liegt regelmäßig bei einer Vergütung oberhalb der Beitragsbemessungsgrenze in der gesetzlichen Rentenversicherung vor3.
28
4. Erläuterungen zu Ziffer 4 E 4. Gehalt und Aufwendungsersatz, Freiwilligkeitsvorbehalt
29
4.1 Der Arbeitnehmer erhält ein Jahresgehalt in Höhe von EUR [Betrag] brutto, zahlbar bargeldlos in zwölf monatlichen Raten jeweils zum Ende des Monats. 4.2 Der Arbeitgeber erstattet dem Arbeitnehmer alle im Zusammenhang mit der Ausübung seiner Arbeitsaufgaben anfallenden erforderlichen Aufwendungen, soweit diese allgemein oder im Einzelfall genehmigt wurden. Auf Verlangen hat der Arbeitnehmer entsprechende Belege als Nachweis vorzulegen. 4.3 Etwaige Sonderleistungen, die über das in Ziffer 4.1 definierte Grundgehalt hinausgehen, z.B. etwaige Gratifikationszahlungen, Weihnachtsgeld, Urlaubsgeld, 13. Monatsgehalt, werden freiwillig, d.h. ohne Anerkennung einer Rechtspflicht, gewährt. Auch die wiederholte freiwillige Leistung begründet keinen Rechtsanspruch auf weitere Leistungen in der Zukunft.
a) Erläuterungen zu Ziffer 4.1 und 4.2 Ziffer 4.1 bestimmt das jährliche Bruttogehalt des Arbeitnehmers. Der Arbeitnehmer erhält gem. Ziffer 4.2 nach vorheriger Genehmigung des Arbeitgebers die für seine Tätigkeit erforderlichen Aufwendungen ersetzt. Insoweit ist der Arbeitgeber jedoch bei der Genehmigung von Aufwendungen nicht völlig frei. So sind dem Arbeitnehmer im Rahmen der allgemeinen Unterstützungspflicht gem. § 4f Abs. 5 Satz 1 BDSG neben Hilfspersonal, Räumen, Einrichtungen 1 BAG v. 22.2.2012 – 5 AZR 765/10, NZA 2012, 861 (862); BAG v. 21.9.2011 – 5 AZR 629/10, NZA 2012, 145 (148). 2 BAG v. 22.2.2012 – 5 AZR 765/10, NZA 2012, 861 (862); BAG v. 17.8.2011 – 5 AZR 406/10, NZA 2011, 1335 (1337). 3 BAG v. 22.2.2012 – 5 AZR 765/10, NZA 2012, 861 (862 f.).
Weberndörfer/Zieger
|
15
30
Teil 1 I
Rz. 31
Arbeitsvertrag mit einem Datenschutzbeauftragten
und Geräten insbesondere auch die zur Erfüllung der Aufgaben des Datenschutzbeauftragten erforderlichen finanziellen Mittel zu gewähren1.
b) Erläuterungen zu Ziffer 4.3 31
Der allgemeine Freiwilligkeitsvorbehalt unter Ziffer 4.3 soll insbesondere verhindern, dass aus betrieblicher Übung ein Anspruch des Arbeitnehmers auf neben dem vertraglichen Grundgehalt gewährte Leistungen entsteht. Ein formularmäßig verwendeter Freiwilligkeitsvorbehalt, der auch laufendes Arbeitsentgelt erfasst, ist nach der Rechtsprechung des BAG2 als unangemessene Benachteiligung i.S.d. § 307 Abs. 1 BGB unwirksam. Der Anwendungsbereich der Regelung wurde daher auf Sonderleistungen, wie bspw. Gratifikationszahlungen, Weihnachtsgeld, Urlaubsgeld oder ein 13. Monatsgehalt, beschränkt. Vor dem Hintergrund einer aktuellen Entscheidung des BAG3 ist allerdings dennoch zweifelhaft, ob der Freiwilligkeitsvorbehalt wirksam ist bzw. im Falle einer längerfristigen Gewährung von Zusatzleistungen Ansprüche aus betrieblicher Übung tatsächlich verhindern kann. Der Freiwilligkeitsvorbehalt sollte daher gegenüber dem Arbeitnehmer im Falle der Gewährung von Leistungen neben dem Grundgehalt jeweils wiederholt und dies auch dokumentiert werden.
5. Erläuterungen zu Ziffer 5 32
E 5. Urlaub 5.1 Der Arbeitnehmer erhält für jedes volle Kalenderjahr 30 Arbeitstage Urlaub (Jahresurlaub); Arbeitstage sind Wochentage von Montag bis Freitag. 5.2 Bei Beginn oder Ende des Arbeitsverhältnisses während eines laufenden Kalenderjahrs erhält der Arbeitnehmer 1/12 des Jahresurlaubs für jeden vollen Monat des Bestehens des Arbeitsverhältnisses in diesem Kalenderjahr. Für den gesetzlichen Mindesturlaub erfolgt eine etwaige anteilige Berechnung ausschließlich nach den Bestimmungen des Bundesurlaubsgesetzes. 5.3 Der Urlaub ist grundsätzlich im laufenden Kalenderjahr zu nehmen. Die Lage des Urlaubs hat der Arbeitnehmer vorab mit dem Arbeitgeber abzustimmen. Bei der Festlegung des Urlaubs werden die Interessen des Arbeitnehmers angemessen berücksichtigt; betriebliche Belange gehen vor. 5.4 Mit Erteilung des Urlaubs wird bis zur vollständigen Erfüllung des jeweiligen Urlaubsanspruchs zunächst der gesetzliche Mindesturlaub, dann ein etwaiger Schwerbehindertenzusatzurlaub und schließlich ein nach Ziffern 5.1 oder 5.2 etwaig über den gesetzlichen Mindesturlaub hinausgehender Urlaub eingebracht.
1 Vgl. hierzu im Einzelnen Gola/Schomerus, § 4f BDSG Rz. 54 ff.; Simitis/Simitis, § 4f BDSG Rz. 142 ff. 2 BAG v. 25.4.2007 – 5 AZR 627/06, AP BGB § 308 Nr. 7. 3 BAG v. 14.9.2011 – 10 AZR 526/10, NZA 2012, 81.
16
|
Weberndörfer/Zieger
Rz. 36 Teil 1 I
Erläuterungen
5.5 Ein nach Ziffern 5.1 oder 5.2 etwaig über den gesetzlichen Mindesturlaub hinausgehender Urlaub verfällt in jedem Fall am 31. Dezember des betreffenden Kalenderjahres; es erfolgt insoweit bei Beendigung des Arbeitsverhältnisses auch keine Abgeltung etwaig noch offener Urlaubstage. Die Übertragung des Urlaubs auf das Folgejahr, der Verfall und die Abgeltung des Urlaubs im Übrigen richten sich nach den gesetzlichen Bestimmungen.
a) Erläuterungen zu Ziffer 5.1 bis 5.3 Der in Ziffer 5.1 vorgesehene Jahresurlaub geht über den gesetzlichen Mindesturlaub hinaus. Der gesetzliche Mindesturlaubsanspruch beträgt gem. § 3 BUrlG im Falle der im Vertragsmuster vorgesehenen 5-Tage-Woche 20 Arbeitstage pro Kalenderjahr. Der volle Mindesturlaubsanspruch wird gem. § 4 BUrlG erstmalig nach sechsmonatigem Bestehen des Arbeitsverhältnisses erworben (sog. Wartezeit).
33
Ziffer 5.2 sieht bei unterjährigem Ein- oder Austritt des Arbeitnehmers grundsätzlich eine zeitanteilige Berechnung des Urlaubsanspruchs vor. Der Arbeitnehmer erhält pro vollem Beschäftigungsmonat in dem betreffenden Kalenderjahr 1/12 des Jahresurlaubs. Der gesetzliche Mindesturlaub ist allerdings nur entsprechend den Bestimmungen des BUrlG zu kürzen. Eine zeitanteilige Berechnung des gesetzlichen Mindesturlaubs erfolgt gem. § 5 Abs. 1 BUrlG nur dann, wenn der Arbeitnehmer im betreffenden Kalenderjahr die Wartezeit noch nicht erfüllt hat bzw. er vor erfüllter Wartezeit oder nach erfüllter Wartezeit in der ersten Hälfte eines Kalenderjahres aus dem Arbeitsverhältnis ausscheidet. Dabei sind gem. § 5 Abs. 2 BUrlG Bruchteile von mindestens einem halben Tag auf einen vollen Urlaubstag aufzurunden; eine Abrundung erfolgt nicht. Ansonsten hat der Arbeitnehmer Anspruch auf den vollen gesetzlichen Mindesturlaub.
34
Ziffer 5.3 entspricht im Wesentlichen § 7 Abs. 1 und 3 BUrlG.
35
b) Erläuterungen zu Ziffer 5.4 und 5.5 Ziffern 5.4 und 5.5 sollen insbesondere einer Anhäufung von Urlaubsansprüchen im Falle einer Langzeiterkrankung des Arbeitnehmers soweit möglich entgegenwirken. So soll nach der Rechtsprechung des EuGH1 und der darauf beruhenden Rechtsprechung des BAG2 der gesetzliche Mindesturlaub entgegen § 7 Abs. 3 BUrlG dann nicht zum Ende des Urlaubsjahres bzw. des 31.3. des Folgejahres erlöschen, wenn der Arbeitnehmer bis dahin arbeitsunfähig erkrankt war und seinen Urlaub deswegen nicht nehmen konnte. Die genannte Rechtsprechung ist nur auf den gesetzlichen Mindesturlaubsanspruch, nicht aber auf einen darüber hinausgehenden vertraglichen Urlaubsanspruch anwendbar3. 1 EuGH v. 20.1.2009 – C-350/06 und C-520/06, NZA 2009, 135. 2 BAG v. 24.3.2009 – 9 AZR 983/07, NZA 2009, 538. 3 BAG v. 24.3.2009 – 9 AZR 983/07, NZA 2009, 538 (546).
Weberndörfer/Zieger
|
17
36
Teil 1 I
Rz. 37
Arbeitsvertrag mit einem Datenschutzbeauftragten
37
Ziffer 5.4 regelt vor diesem Hintergrund zunächst, dass gewährter Urlaub vorrangig auf den gesetzlichen Mindesturlaub anzurechnen ist. Ohne eine solche Regelung wäre gewährter Urlaub gem. § 366 Abs. 2 BGB zunächst auf einen darüber hinausgehenden vertraglichen Urlaubsanspruch anzurechnen. Ziffer 5.5 bestimmt den Verfall des über den gesetzlichen Mindesturlaub hinausgehenden vertraglichen Urlaubs zum Jahresende.
38
Das Problem der Anhäufung von Urlaubsansprüchen im Falle von Langzeiterkrankungen hat sich mittlerweile allerdings in gewisser Hinsicht wieder entspannt. So soll nach der aktuellen Rechtsprechung des BAG1 § 7 Abs. 3 BUrlG dahingehend auszulegen sein, dass der gesetzliche Mindesturlaubsanspruch auch bei fortdauernder Arbeitsunfähigkeit infolge Krankheit spätestens mit Ablauf von 15 Monaten nach dem betreffenden Urlaubsjahr erlischt.
6. Erläuterungen zu Ziffer 6 39
E 6. Arbeitsverhinderung und Arbeitsunfähigkeit infolge Krankheit 6.1 Der Arbeitnehmer ist verpflichtet, dem Arbeitgeber jede Arbeitsverhinderung oder Verlängerung einer Arbeitsverhinderung und deren voraussichtliche Dauer unverzüglich mitzuteilen. Auf Verlangen sind die Gründe der Arbeitsverhinderung anzugeben. 6.2 Im Falle der Arbeitsunfähigkeit infolge Krankheit ist der Arbeitnehmer verpflichtet, spätestens vor Ablauf des dritten Kalendertages nach Beginn der Arbeitsunfähigkeit eine ärztliche Bescheinigung über das Bestehen der Arbeitsunfähigkeit sowie deren voraussichtliche Dauer vorzulegen. Der Arbeitgeber ist berechtigt, die vorgenannte Frist auf einen Tag zu verkürzen. Dauert die Arbeitsunfähigkeit länger als in der Bescheinigung angegeben, so hat der Arbeitnehmer dies unverzüglich mitzuteilen und eine Anschlussbescheinigung vorzulegen. Die Pflicht zur Vorlage einer ärztlichen Bescheinigung besteht ungeachtet der Verpflichtung zur Entgeltfortzahlung. 6.3 Im Falle der Arbeitsunfähigkeit infolge Krankheit zahlt der Arbeitgeber dem Arbeitnehmer das Gehalt entsprechend den Regelungen des Entgeltfortzahlungsgesetzes für bis zu sechs Wochen fort. 6.4 Kann der Arbeitnehmer aufgrund gesetzlicher Vorschriften von einem Dritten Ersatz des Schadens beanspruchen, der ihm durch die Arbeitsunfähigkeit entstanden ist, so geht dieser Anspruch insoweit auf den Arbeitgeber über, als dieser dem Arbeitnehmer Arbeitsentgelt fortgezahlt und darauf entfallende vom Arbeitgeber zu tragende Beiträge zur gesetzlichen Sozialversicherung abgeführt hat. Der Arbeitnehmer ist verpflichtet, dem Arbeitgeber die zur Erhebung der Ansprüche erforderlichen Angaben zu machen und an der Geltendmachung und Durchsetzung mitzuwirken. 1 BAG v. 7.8.2012 – 9 AZR 353/10, NZA 2012, 1216 (1221); vgl. hierzu auch EuGH v. 22.11.2011 – C-214/10, NZA 2011, 1333.
18
|
Weberndörfer/Zieger
Erläuterungen
Rz. 42 Teil 1 I
6.5 § 616 BGB findet keine Anwendung. Der Arbeitnehmer hat abgesehen von den Fällen der Ziffer 6.3 keinen Vergütungsanspruch, wenn er durch einen in seiner Person liegenden Grund an der Arbeitsleistung verhindert ist. Ziffern 6.1 bis 6.4 entsprechen im Wesentlichen der gesetzlichen Regelung des EFZG. Ziffer 6.5 schließt die Anwendung des § 616 BGB aus. Hiernach verliert der Arbeitnehmer seinen Vergütungsanspruch dann nicht, wenn er für eine verhältnismäßig unerhebliche Zeit durch einen in seiner Person liegenden Grund ohne sein Verschulden an der Arbeitsleistung verhindert wäre. Dies kann bspw. der Fall sein bei der eigenen Hochzeit, Niederkunft der Ehefrau, Pflege eines nahen Angehörigen gem. § 2 PflegeZG oder Beerdigungen im engsten Familienkreis1. Der Ausschluss des § 616 BGB ist auch formularmäßig grundsätzlich wirksam2.
40
7. Erläuterungen zu Ziffer 7 E 7. Nebentätigkeiten, Wettbewerbsverbot
41
7.1 Jede die Erfüllung der Pflichten aus dem Arbeitsverhältnis beeinträchtigende anderweitige entgeltliche oder unentgeltliche Tätigkeit des Arbeitnehmers ist während der Dauer des Arbeitsverhältnisses untersagt. 7.2 Dem Arbeitnehmer ist während der Dauer des Arbeitsverhältnisses insbesondere untersagt, in selbständiger, unselbständiger oder sonstiger Weise für ein Unternehmen tätig zu werden, welches mit dem Arbeitgeber in unmittelbarem oder mittelbarem Wettbewerb steht. In gleicher Weise ist dem Arbeitnehmer untersagt, ein solches Unternehmen zu errichten, zu erwerben oder sich hieran unmittelbar oder mittelbar zu beteiligen. Eine Beteiligung an börsennotierten Unternehmen ist dem Arbeitnehmer jedoch erlaubt, sofern er aufgrund seiner Beteiligung keinen bestimmenden Einfluss auf die Geschäftsführung des Unternehmens ausüben kann. Ziffer 7.1 untersagt dem Arbeitnehmer klarstellend alle die Erfüllung der Pflichten aus dem Arbeitsverhältnis beeinträchtigenden Nebentätigkeiten. Solche Tätigkeiten sind während der Dauer des Arbeitsverhältnisses auch ohne gesonderte Vereinbarung zu unterlassen3. Das Verbot erfasst bspw. Wettbewerbstätigkeiten4. Eine Tätigkeit des Datenschutzbeauftragten für direkte Wettbewerber kann nach einer Meinung in der Kommentarliteratur zudem eine der Bestellung als Datenschutzbeauftragten entgegenstehende Interessenkollision bedeuten5. Auch sind dem Arbeitnehmer bspw. entgegen dem Verbot des § 8 BUrlG dem Urlaubszweck widersprechende Erwerbstätigkeiten6 untersagt. Da gem. § 2 Abs. 1 Halbs. 2 ArbZG die Arbeitszeiten mehrerer Arbeits1 Erfurter Kommentar zum Arbeitsrecht/Dörner/Preis, § 616 BGB Rz. 4 ff. 2 BAG v. 7.2.2007 – 5 AZR 270/06, AP BGB § 611 Abhängigkeit Nr. 118; Erfurter Kommentar zum Arbeitsrecht/Dörner/Preis, § 616 BGB Rz. 13. 3 Erfurter Kommentar zum Arbeitsrecht/Preis, § 611 BGB Rz. 725. 4 Vgl. § 60 HGB; Erfurter Kommentar zum Arbeitsrecht/Preis, § 611 BGB Rz. 720 f. 5 Simitis/Simitis, § 4f BDSG Rz. 47. 6 Erfurter Kommentar zum Arbeitsrecht/Preis, § 611 BGB Rz. 727.
Weberndörfer/Zieger
|
19
42
Teil 1 I
Rz. 43
Arbeitsvertrag mit einem Datenschutzbeauftragten
verhältnisse zusammenzurechnen sind, kann die Ausübung von Nebentätigkeiten ferner den Höchstarbeitszeiten des ArbZG zuwiderlaufen. Auch solche Tätigkeiten sind von dem Arbeitnehmer zu unterlassen1. 43
Ziffer 7.2 greift als besonderen Fall der untersagten Nebentätigkeiten das Verbot von Wettbewerbstätigkeiten während der Dauer des Arbeitsverhältnisses auf. Nach Beendigung des Arbeitsverhältnisses sind dem Arbeitnehmer Wettbewerbstätigkeiten dagegen gestattet. Sollen derartige Tätigkeiten ausgeschlossen werden, ist eine gesonderte Vereinbarung zu treffen. Hierbei sind die Vorgaben der §§ 74 ff. HGB zu beachten. Insbesondere ist gem. § 74 Abs. 2 HGB während dem Verbot eine Entschädigung von mindestens der Hälfte der letzten vertraglichen Bezüge zu gewähren. Die Dauer des Verbots darf gem. § 74a Abs. 1 Satz 3 HGB zwei Jahre nach Beendigung des Arbeitsverhältnisses nicht überschreiten.
8. Erläuterungen zu Ziffer 8 44
E 8. Arbeitsergebnisse, Erfindungen, Urheberrecht 8.1 Sämtliche Arbeitsergebnisse aus der Tätigkeit des Arbeitnehmers für den Arbeitgeber stehen im Eigentum des Arbeitgebers. 8.2 Für Erfindungen des Arbeitnehmers gelten die gesetzlichen Vorschriften über Arbeitnehmererfindungen und die hierzu ergangenen Durchführungsvorschriften und Richtlinien. 8.3 Der Arbeitnehmer überträgt dem Arbeitgeber mit Abschluss dieses Vertrags sämtliche ihm im Rahmen des Arbeitsverhältnisses erwachsenden Nutzungs- und Verwertungsrechte an Urheber- und sonstigen Immaterialgüterrechten. Die Übertragung erfolgt ausschließlich und ohne inhaltliche, zeitliche oder räumliche Beschränkung. Sie gilt auch für noch unbekannte Nutzungs- oder Verwertungsarten. Durch die Übertragung erhält der Arbeitgeber auch das Recht, das betreffende Nutzung- oder Verwertungsrecht auf Dritte zu übertragen oder diesen weitere Nutzungs- oder Verwertungsrechte einzuräumen. 8.4 § 69b Urheberrechtsgesetz bleibt unberührt. 8.5 Die Übertragung der Rechte an Arbeitsergebnissen ist durch das vereinbarte Grundgehalt abschließend abgegolten. Dies gilt auch für die Zeit nach Beendigung des Arbeitsverhältnisses.
45
Ziffer 8 trifft Regelungen bzgl. der Übertragung von Arbeitsergebnissen bzw. Nutzungsrechten an den Arbeitgeber. Insbesondere mit Blick auf die §§ 32 Abs. 3 Satz 1 und 2, 32a Abs. 3 Satz 1 und 32c Abs. 3 Satz 1 UrhG sowie §§ 22, 23 ArbNErfG kann nicht ausgeschlossen werden, dass der Arbeitnehmer für von ihm geschaffene Werke entgegen Ziffer 8.5 in bestimmten Fällen eine gesonderte Vergütung verlangen kann.
1 Erfurter Kommentar zum Arbeitsrecht/Preis, § 611 BGB Rz. 727.
20
|
Weberndörfer/Zieger
Rz. 48 Teil 1 I
Erläuterungen
9. Erläuterungen zu Ziffer 9 E 9. Laufzeit und Beendigung des Arbeitsverhältnisses
46
9.1 Das Arbeitsverhältnis wird auf unbestimmte Zeit geschlossen. 9.2 Für die ordentliche Kündigung des Arbeitsverhältnisses gilt beiderseits eine Kündigungsfrist von vier Wochen zum 15. oder zum Ende eines Kalendermonats. Eine für den Arbeitgeber kraft Gesetzes verbindliche Verlängerung der ordentlichen Kündigungsfrist oder Veränderung des Kündigungstermins gilt auch für den Arbeitnehmer. 9.3 Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. 9.4 Jede Kündigung bedarf zu ihrer Rechtswirksamkeit der Schriftform. 9.5 Das Arbeitsverhältnis endet, ohne dass es einer Kündigung bedarf, mit Ablauf des Monats, in dem der Arbeitnehmer das gesetzliche Regelrentenalter vollendet. Es endet ebenfalls, ohne dass es einer Kündigung bedarf, wenn der Arbeitnehmer vor Vollendung des gesetzlichen Regelrentenalters eine gesetzliche Vollrente wegen Alters oder unbefristete Rente wegen voller Erwerbsminderung in Anspruch nimmt. 9.6 Die Bestellung zum Datenschutzbeauftragten endet spätestens mit Beendigung des Arbeitsverhältnisses.
a) Erläuterungen zu Ziffer 9.1 Ziffer 9.1 sieht den Abschluss eines unbefristeten Arbeitsvertrags vor. Innerhalb der Grenzen des TzBfG wäre auch eine Befristung möglich. Die Befristung eines Arbeitsverhältnisses bedarf gem. § 14 Abs. 1 TzBfG grundsätzlich eines Sachgrundes. Ein Sachgrund läge gem. § 14 Abs. 1 Satz 2 Nr. 3 TzBfG bspw. vor, wenn der Arbeitnehmer zur Vertretung eines anderen Arbeitnehmers, etwa in Elternzeit, eingestellt wird. Das Sachgrunderfordernis gilt allerdings nicht ausnahmslos. Insbesondere kann gem. § 14 Abs. 2 Satz 1 TzBfG das Arbeitsverhältnis im Falle einer Neueinstellung auf die Dauer von bis zu zwei Jahren auch grundlos befristet werden. Bis zu dieser Gesamtdauer sind maximal drei Verlängerungen der Befristung zulässig. Erforderlich hierfür ist gem. § 14 Abs. 2 Satz 2 TzBfG, dass der Arbeitnehmer nicht zuvor bei dem Arbeitgeber beschäftigt war. Dies erfordert nach der neueren Rechtsprechung des BAG1, dass das Ende einer etwaigen Vorbeschäftigung bei Abschluss des befristeten Arbeitsvertrags mehr als drei Jahre zurückliegt.
47
Ob der Abberufungsschutz des § 4f Abs. 3 Satz 4 BDSG und der Sonderkündigungsschutz des § 4f Abs. 3 Satz 5 BDSG die nach dem TzBfG bestehenden Befristungsmöglichkeiten einschränken, erscheint zweifelhaft. Zur Frage der befristeten Bestellung zum Datenschutzbeauftragten werden in der Literatur verschiedene Ansätze vertreten. So wird eine befristete Bestellung teils allgemein
48
1 BAG v. 21.9.2011 – 7 AZR 375/10, NZA 2012, 255; BAG v. 6.4.2011 – 7 AZR 716/09, NZA 2011, 905.
Weberndörfer/Zieger
|
21
Teil 1 I
Rz. 49
Arbeitsvertrag mit einem Datenschutzbeauftragten
kritisch gesehen1, teils wird deren Zulässigkeit vom Vorliegen eines wichtigen Grundes abhängig gemacht2. Eine verbreitete Ansicht hält eine Befristung der Bestellung grundsätzlich für zulässig, soweit hierdurch die effiziente Amtsausübung des Datenschutzbeauftragten nicht unterlaufen wird3. Dies könne nur für den Einzelfall entschieden werden4. Jedenfalls bei Einhaltung der von dem Düsseldorfer Kreis5 für externe Datenschutzbeauftragte empfohlenen Mindestdauer von ein bis zwei Jahren bei Erstverträgen bzw. ansonsten vier Jahren6 werden nach dieser Auffassung einer Befristung der Bestellung regelmäßig keine datenschutzrechtlichen Bedenken entgegenstehen. Die in der Literatur vertretenen Beschränkungen der Befristungsmöglichkeiten in Bezug auf die Bestellung sollen wohl gleichermaßen auch auf die Befristung des Arbeitsvertrags des Datenschutzbeauftragten Anwendung finden7. 49
Die vorstehenden Ansichten berücksichtigen jedenfalls in Bezug auf die Befristung des Arbeitsverhältnisses nach der hier vertretenen Auffassung nicht ausreichend, dass der Gesetzgeber einen besonderen Befristungsschutz, anders als einen Sonderkündigungsschutz (§ 4f Abs. 3 Satz 5 BDSG), gerade nicht geschaffen hat. Der Gesetzgeber hat somit insoweit den durch das TzBfG vermittelten Schutz auch für den Datenschutzbeauftragten als ausreichend erachtet. Hierfür spricht auch, dass der Gesetzgeber den Datenschutzbeauftragten bei Einführung des Sonderkündigungsschutzes kündigungsrechtlich mit anderen Funktionsträgern, wie Betriebsräten, gleichstellen wollte8. Im Fall des Sonderkündigungsschutzes von Betriebsräten gem. § 15 KSchG lässt das BAG9 Befristungen aber zu. Soweit es um die befristete Verlängerung eines befristeten Arbeitsvertrags eines Betriebsratsmitglieds geht, ist an den Sachgrund, soweit ein solcher erforderlich ist, nach dieser Rechtsprechung lediglich ein strenger Maßstab zu stellen. Die bestehenden Befristungsmöglichkeiten nach dem TzBfG werden durch datenschutzrechtliche Vorgaben daher nicht eingeschränkt.
50
Soweit man in Bezug auf die Befristung des Arbeitsverhältnisses einen über das TzBfG hinausgehenden datenschutzrechtlichen Befristungsschutz für den Datenschutzbeauftragten zur Gewährleistung einer effektiven Amtsausübung für wünschenswert hält, ist nach der hier vertretenen Auffassung der Gesetzgeber gefragt. Bis zu einer entsprechenden gesetzlichen Regelung wird man von einem derartigen Befristungsschutz auf Grundlage der bestehenden datenschutzrechtlichen Vorgaben aber nicht ausgehen können. Auf europäischer Ebene 1 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 75. 2 Gola/Schomerus, § 4f BDSG Rz. 32. 3 BeckOK DatenschutzR/Moos, § 4f BDSG Rz. 22; Simitis/Simitis, § 4f BDSG Rz. 62; Plath/v. d. Bussche, § 4f BDSG Rz. 19. 4 Plath/v. d. Bussche, § 4f BDSG Rz. 19; a.A. wohl Simitis/Simitis, § 4f BDSG Rz. 62 (grundsätzlich zwei Jahre). 5 https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/ Beschluesse_Duesseldorfer_Kreis/Inhalt/2010/Mindestanforderungen_an_Datenschutz beauftragte/Mindestanforderungen_an_DSB_nach_4f_II_und_III_BDSG.pdf. 6 BeckOK DatenschutzR/Moos, § 4f BDSG Rz. 22. 7 Ausdrücklich nur Plath/v. d. Bussche, § 4f BDSG Rz. 19. 8 BT-Drucks. 16/12011, 30. 9 BAG v. 17.2.1983 – 2 AZR 481/81, AP KSchG 1969 § 15 Nr. 14; Großkommentar zum Kündigungsrecht/Linck, § 15 KSchG Rz. 16.
22
|
Weberndörfer/Zieger
Erläuterungen
Rz. 54 Teil 1 I
werden ausdrückliche Regelungen zur Befristung des Amts des Datenschutzbeauftragten aktuell diskutiert. So wäre nach Art. 35 Abs. 7 des Entwurfs einer Datenschutz-Grundverordnung vom 25.1.2012 eine Befristung in Zukunft grundsätzlich zulässig, wobei die Mindestamtszeit zwei Jahre betragen soll1.
b) Erläuterungen zu Ziffer 9.2 bis 9.5 Das Arbeitsverhältnis des Datenschutzbeauftragten kann durch den Arbeitgeber gem. § 4f Abs. 3 Satz 5 BDSG nur außerordentlich aus wichtigem Grund i.S.d. § 626 BGB gekündigt werden. Dieser Sonderkündigungsschutz gilt gleichermaßen für haupt- und nebenamtliche Datenschutzbeauftragte2, soweit gem. § 4f Abs. 1 BDSG eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht. Der „nur“ freiwillig bestellte Datenschutzbeauftragte genießt keinen Sonderkündigungsschutz3. Der Sonderkündigungsschutz endet nicht mit der Bestellung. Er gilt gem. § 4f Abs. 3 Satz 6 BDSG vielmehr bis zum Ablauf eines Jahres nach Beendigung der Bestellung fort.
51
Ein wichtiger Grund für die außerordentliche Kündigung des Arbeitsvertrags kann in der Verletzung von Amts- oder arbeitsvertraglichen Pflichten liegen4. So liegt etwa ein die außerordentliche Kündigung rechtfertigender Grund bei Straftaten des Arbeitnehmers gegenüber dem Arbeitgeber, bspw. bei Untreue zu Lasten des Arbeitgebers, grundsätzlich vor. Ob die Straftat im Zusammenhang mit der Tätigkeit als Datenschutzbeauftragter begangen wurde, ist dabei unerheblich. Ein wichtiger Grund für den Widerruf der Bestellung i.S.d. § 4f Abs. 3 Satz 4 BDSG berechtigt nicht zwingend auch zu einer außerordentlichen Kündigung des Arbeitsvertrags5.
52
Die ordentliche Kündigung des Arbeitsvertrags kommt vor dem Hintergrund des § 4f Abs. 3 Satz 5 und 6 BDSG zunächst durch den Datenschutzbeauftragten selbst in Betracht. Durch den Arbeitgeber ist eine ordentliche Kündigung gegenüber einem freiwilligen Datenschutzbeauftragten jederzeit möglich. Dagegen scheidet eine ordentliche Kündigung des Arbeitgebers gegenüber einem obligatorischen Datenschutzbeauftragten vom Zeitpunkt der Bestellung bis zum Ablauf eines Jahres nach Beendigung der Bestellung aus. Soweit eine ordentliche Kündigung durch den Arbeitgeber möglich ist, sind die Grenzen des KSchG zu beachten.
53
Nach Ziffer 9.2 gilt für die ordentliche Kündigung grundsätzlich die gesetzliche Mindestkündigungsfrist des § 622 Abs. 1 BGB von vier Wochen zum 15. oder zum Ende eines Kalendermonats. Darüber hinaus ordnet Ziffer 9.2 im Falle einer für den Arbeitgeber kraft Gesetzes verbindlichen Verlängerung der
54
1 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:DE:PDF. 2 Gola/Schomerus, § 4f BDSG Rz. 42; Simitis/Simitis, § 4f BDSG Rz. 187. 3 Gola/Schomerus, § 4f BDSG Rz. 40; Simitis/Simitis, § 4f BDSG Rz. 188; Gehlhaar, NZA 2010, 373 (373). 4 Gola/Schomerus, § 4f BDSG Rz. 40; Erfurter Kommentar zum Arbeitsrecht/Franzen, § 4f BDSG Rz. 9; Gehlhaar, NZA 2010, 373 (374); a.A. wohl Simitis/Simitis, § 4f BDSG Rz. 183, 186. 5 Simitis/Simitis, § 4f BDSG Rz. 186.
Weberndörfer/Zieger
|
23
Teil 1 I
Rz. 55
Arbeitsvertrag mit einem Datenschutzbeauftragten
ordentlichen Kündigungsfrist oder Veränderung des Kündigungstermins die Geltung auch für den Arbeitnehmer an. Die gesetzliche Mindestkündigungsfrist für ordentliche Kündigungen des Arbeitgebers verlängert sich gem. § 622 Abs. 2 Satz 1 BGB abhängig von der Beschäftigungsdauer des Arbeitnehmers, erstmals nach zwei Jahren auf einen Monat zum Ende des Kalendermonats. § 622 Abs. 2 Satz 1 BGB, nach dem Beschäftigungszeiten vor dem 25. Lebensjahr des Arbeitnehmers nicht berücksichtigt werden, ist europarechtswidrig1 und damit unanwendbar2. 55
Grundsätzlich wäre es gem. § 622 Abs. 3 BGB auch denkbar, zu Beginn des Arbeitsverhältnisses eine maximal sechsmonatige Probezeit mit einer verkürzten ordentlichen Kündigungsfrist von mindestens zwei Wochen zu vereinbaren. Im Falle eines obligatorischen Datenschutzbeauftragten ist die ordentliche Kündigung durch den Arbeitgeber gem. § 4f Abs. 3 Satz 5 BDSG aber nicht möglich, sofern, wie im Vertragsmuster vorgesehen, Beginn des Arbeitsvertrags und Bestellung zum Datenschutzbeauftragten zeitlich zusammenfallen. Eine Probezeitvereinbarung könnte zugunsten des Arbeitgebers somit nicht zum Tragen kommen und ist daher im Vertragsmuster auch nicht vorgesehen. Eine solche Vereinbarung wäre aber dann denkbar, wenn die Bestellung zum Datenschutzbeauftragten erst nach Ablauf der Probezeit erfolgen soll (zur Probezeit vgl. auch Rz. 9 und 91).
56
Ziffern 9.3 und 9.43 haben nur klarstellende Bedeutung. Ziffer 9.5 sieht eine Beendigung des Arbeitsvertrags mit Renteneintritt vor.
c) Erläuterungen zu Ziffer 9.6 57
Ziffer 9.6 macht die Bestellung zum Datenschutzbeauftragten vom Fortbestand des Arbeitsverhältnisses abhängig. Die automatische Beendigung des Amts des Datenschutzbeauftragten mit Beendigung des Arbeitsvertrags kann ohne eine entsprechende Regelung jedenfalls seit Inkrafttreten des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14.8.2009 nicht mehr angenommen werden. Mit dem durch dieses Gesetz neben dem Abberufungsschutz des § 4f Abs. 3 Satz 4 BDSG eingefügten Sonderkündigungsschutz des § 4f Abs. 3 Satz 5 BDSG wurde klargestellt, dass es sich bei Arbeitsverhältnis und Amt des Datenschutzbeauftragten um zwei voneinander unabhängige Rechtsverhältnisse handelt4. Die im Vertragsmuster vorgesehene vertragliche Verknüpfung zwischen Arbeitsverhältnis und Amt ist aber unproblematisch möglich. Insbesondere wird hierdurch der Abberufungsschutz des § 4f Abs. 3 Satz 4 BDSG nicht ausgehebelt.
58
Die Beendigung des Arbeitsverhältnisses durch Aufhebungsvertrag oder Eigenkündigung des Arbeitnehmers berührt den Abberufungsschutz ohnehin nicht. 1 2 3 4
EuGH v. 19.1.2010 – C-555/07, NZA 2010, 85. BAG v. 9.9.2010 – 2 AZR 714/08, NZA 2011, 343. Vgl. hierzu § 623 BGB. Gehlhaar, NZA 2010, 373 (375 f.); BT-Drucks. 16/12011, 30; vor der Novelle bspw. a.A. LAG Niedersachsen v. 16.6.2003 – 8 Sa 1968/02, NZA-RR 2004, 354 (356); Ehrich, NZA 1993, 248 (251); Schwab/Ehrhard, NZA 2009, 1118 (1119 f.).
24
|
Weberndörfer/Zieger
Erläuterungen
Rz. 61 Teil 1 I
Eine solche Beendigung hat der Arbeitnehmer selbst in der Hand. § 4f Abs. 3 Satz 4 BDSG soll den Arbeitnehmer vor einem einseitigen Widerruf der Bestellung durch den Arbeitgeber schützen. Der Abberufungsschutz verschafft dem Arbeitnehmer aber keinen Anspruch auf das Amt ohne Arbeitsvertrag. Ansonsten könnte sich der Arbeitnehmer durch eine Eigenkündigung zum externen Datenschutzbeauftragten „aufschwingen“. Die Wahl zwischen externem und internem Datenschutzbeauftragten obliegt jedoch allein dem Arbeitgeber1. Auch sonst steht insoweit die im Vertragsmuster vorgesehene Regelung im Einklang mit dem BDSG. Insbesondere können Arbeitgeber und Arbeitnehmer die Bestellung einvernehmlich beenden2. Ebenso kann der Arbeitnehmer das Amt des Datenschutzbeauftragten jederzeit niederlegen3 (siehe hierzu Rz. 101 f.). Im Falle einer Arbeitgeberkündigung gegenüber einem Datenschutzbeauftragten ist eine Beeinträchtigung des Abberufungsschutzes durch die im Vertragsmuster vorgesehene Regelung ebenfalls in vielen Fällen von vornherein ausgeschlossen. Das Arbeitsverhältnis des obligatorischen Datenschutzbeauftragten kann gem. § 4f Abs. 3 Satz 5 BDSG durch den Arbeitgeber nur aus wichtigem Grund i.S.d. § 626 BGB gekündigt werden. Ein solcher wichtiger Grund für die außerordentliche Kündigung muss zwangsläufig auch einen wichtigen Grund für den Widerruf der Bestellung gem. § 4f Abs. 3 Satz 4 BDSG darstellen. Wenn dem Arbeitgeber die Fortsetzung des Arbeitsverhältnisses insgesamt nicht mehr zuzumuten ist, dann kann auch die Fortsetzung des Bestellungsverhältnisses nicht zumutbar sein.
59
Jedenfalls steht der Abberufungsschutz der im Vertragsmuster vorgesehenen Regelung aber auch deshalb nicht entgegen, weil nach zutreffender Auffassung schon die wirksame Beendigung des Arbeitsverhältnisses – gleich aus welchem Grund – für sich gesehen einen wichtigen Grund für den Widerruf der Bestellung darstellt4. Zwar ist die Bestellung von dem Arbeitsverhältnis rechtlich zu unterscheiden. Gleichwohl bildet das Arbeitsverhältnis die Grundlage für das Amt5.
60
10. Erläuterungen zu Ziffer 10 E 10. Verschwiegenheitspflicht, Herausgabe von Gegenständen
61
10.1 Der Arbeitnehmer verpflichtet sich, über alle vertraulichen Angelegenheiten, die ihm im Rahmen des Arbeitsverhältnisses zur Kenntnis gelangen, insbesondere über Betriebs- und Geschäftsgeheimnisse, während der Dauer und auch nach dem Ende des Arbeitsverhältnisses Stillschweigen zu wahren. § 4f Abs. 4 und 4a BDSG sind zu beachten. 1 2 3 4
Simitis/Simitis, § 4f BDSG Rz. 40. Simitis/Simitis, § 4f BDSG Rz. 176. Simitis/Simitis, § 4f BDSG Rz. 179. BAG v. 23.3.2011 – 10 AZR 562/09, AP BDSG § 4f Nr. 3, allerdings in einem obiter dictum; Plath/v. d. Bussche, § 4f BDSG Rz. 63; Dzida/Kröpelin, NZA 2011, 1018 (1020); Dzida/Kröpelin, BB 2010, 1026 (1030); Gehlhaar, NZA 2010, 373 (377); Bongers, ArbRAktuell 2010, 300147; a.A. bspw. Simitis/Simitis, § 4f BDSG Rz. 183. 5 So bspw. auch BAG v. 13.3.2007 – 9 AZR 612/05, AP BDSG § 4f Nr. 1.
Weberndörfer/Zieger
|
25
Teil 1 I
Rz. 62
Arbeitsvertrag mit einem Datenschutzbeauftragten
10.2 Auf Verlangen des Arbeitgebers, spätestens aber bei Beendigung des Arbeitsverhältnisses hat der Arbeitnehmer sämtliche ihm im Rahmen des Arbeitsverhältnisses überlassenen Gegenstände und Daten (gleich auf welchem Medium) herauszugeben. Auf Verlangen des Arbeitgebers hat er zu bescheinigen, dass er keine solchen Gegenstände und Daten sowie Vervielfältigungen von Daten mehr im Besitz hat. Der Arbeitnehmer wird dem Arbeitgeber spätestens am Tag der Beendigung des Arbeitsverhältnisses eine Aufstellung aller Passwörter, Schreibschutzcodes und ähnliche Zugangscodes, die er auf den von ihm im Betrieb genutzten PCs und anderen IT- oder Telekommunikations-Ressourcen verwendet hat, zur Verfügung stellen. Zurückbehaltungsrechte jedweder Art sind ausgeschlossen. 62
Ziffer 10.1 stellt klar, dass der Arbeitnehmer während der Dauer und nach Beendigung seines Arbeitsverhältnisses über vertrauliche Angelegenheiten Stillschweigen zu wahren hat. Dies gilt auch ohne entsprechende Vereinbarung1. Der Verrat von Betriebs- und Geschäftsgeheimnissen während des Arbeitsverhältnisses ist gem. § 17 UWG strafrechtlich sanktioniert. Die im Vertragsmuster vorgesehene Regelung verweist ferner auf die besonderen Verschwiegenheitsbestimmungen für den Datenschutzbeauftragten gem. § 4f Abs. 4 und 4a BDSG. Die Verschwiegenheitspflicht des § 4f Abs. 4 BDSG gilt auch gegenüber dem Arbeitgeber und Arbeitnehmervertretungen2. Ziffer 10.2 trifft Regelungen zur Herausgabe von Gegenständen und Daten des Arbeitgebers.
11. Erläuterungen zu Ziffer 11 63
E 11. Verfallfristen 11.1 Alle beiderseitigen Ansprüche aus oder im Zusammenhang mit dem Arbeitsverhältnis verfallen, wenn sie nicht innerhalb von drei Monaten nach der Fälligkeit gegenüber der anderen Partei schriftlich geltend gemacht werden. 11.2 Lehnt die andere Partei die Erfüllung des Anspruchs ab oder erklärt sie sich nicht innerhalb von zwei Wochen nach der schriftlichen Geltendmachung des Anspruches, so verfällt dieser, wenn er nicht innerhalb von weiteren drei Monaten nach der Ablehnung oder dem Fristablauf gerichtlich geltend gemacht wird.
64
Mehrstufige Verfallklauseln mit dem unter Ziffer 11 vorgesehenen Inhalt sind auch bei formularmäßiger Verwendung grundsätzlich wirksam. Sie dürfen gem. § 305c Abs. 1 BGB nach ihrer äußeren Gestaltung nicht überraschend sein3. Dies wäre bspw. bei Verfallklauseln unter dem Punkt „Schlussbestim1 Erfurter Kommentar zum Arbeitsrecht/Preis, § 611 BGB Rz. 711 ff. 2 Simitis/Simitis, § 4f BDSG Rz. 170. 3 BAG v. 28.9.2005 – 5 AZR 52/05, NZA 2006, 149 (151); BAG v. 25.5.2005 – 5 AZR 572/04, NZA 2005, 1111 (1113).
26
|
Weberndörfer/Zieger
Erläuterungen
Rz. 67 Teil 1 I
mungen“ der Fall1. Auch müssen sie dem Transparenzgebot gem. § 307 Abs. 1 Satz 2 BGB genügen. Ein Verstoß gegen das Transparenzgebot läge bspw. dann vor, wenn sie die Voraussetzungen und Rechtsfolgen des Verfalls nicht klar regeln2. Zudem dürfen sie gem. § 307 Abs. 1 Satz 1 BGB den Arbeitnehmer nicht unangemessen benachteiligen. Dies wäre insbesondere dann der Fall, wenn sie auf erster3 oder zweiter Stufe4 eine Verfallfrist von weniger als drei Monaten vorsehen oder die Verfallfrist auf erster Stufe zu einem Zeitpunkt vor Fälligkeit des Anspruchs beginnt5. Derartige Verfallklauseln sind auch dann nicht unwirksam, wenn sie Ansprüche aufgrund vorsätzlichen oder grob fahrlässigen Verhaltens bzw. Ansprüche aus einer schuldhaften Verletzung des Lebens, des Körpers oder der Gesundheit nicht explizit ausklammern. Nach der Rechtsprechung des BAG liegt ein Verstoß gegen § 202 Abs. 1 BGB nicht vor, weil eine Vorsatzhaftung von der Verfallklausel regelmäßig schon nicht erfasst werden soll; jedenfalls ist die Verfallklausel gem. §§ 134, 202 Abs. 1 BGB nur insoweit nichtig, als sie sich auch auf eine Vorsatzhaftung erstreckt6. § 309 Nr. 7 BGB ist auf die Verfallklausel nicht anwendbar, weil kein Haftungsausschluss und keine Haftungsbegrenzung vorliegt, sondern der Anspruch lediglich befristet wird; selbst wenn man dies anders sehen wollte, ist auch hier allenfalls eine Teilnichtigkeit anzunehmen, soweit das Klauselverbot des § 309 Nr. 7 BGB greift7.
65
12. Erläuterungen zu Ziffer 12 E 12. Vollständigkeit
66
Dieser Vertrag beinhaltet die vollständigen Vereinbarungen der Parteien in Bezug auf den Vertragsgegenstand. Insoweit ersetzt er alle etwaigen vorangegangenen Vereinbarungen zwischen den Parteien. Nebenabreden sind nicht getroffen. Vollständigkeitsklauseln mit dem Inhalt von Ziffer 12 sind nach der Rechtsprechung des BGH8 auch bei formularmäßiger Verwendung zulässig. Sie entsprechen der widerleglichen Vermutung der Vollständigkeit eines schriftlichen Vertrags. Dem Arbeitnehmer darf allerdings nicht der Nachweis von Nebenabreden abgeschnitten werden. Gleichwohl ist eine derartige Regelung jedenfalls zur Klarstellung sinnvoll. 1 BAG v. 31.8.2005 – 5 AZR 545/04, NZA 2006, 324 (326). 2 BAG v. 28.9.2005 – 5 AZR 52/05, NZA 2006, 149 (151); BAG v. 25.5.2005 – 5 AZR 572/04, NZA 2005, 1111 (1113). 3 BAG v. 28.9.2005 – 5 AZR 52/05, NZA 2006, 149 (153). 4 BAG v. 25.5.2005 – 5 AZR 572/04, NZA 2005, 1111 (1114). 5 BAG v. 28.9.2005 – 5 AZR 52/05, NZA 2006, 149 (153). 6 BAG v. 28.9.2005 – 5 AZR 52/05, NZA 2006, 149 (151); BAG v. 25.5.2005 – 5 AZR 572/04, NZA 2005, 1111 (1112). 7 BAG v. 28.9.2005 – 5 AZR 52/05, NZA 2006, 149 (152); BAG v. 25.5.2005 – 5 AZR 572/04, NZA 2005, 1111 (1113). 8 Vgl. bspw. BGH v. 26.11.1984 – VIII ZR 214/83, NJW 1985, 623 (630); Staudinger/ Schlosser, § 305b BGB Rz. 51 m.w.N.
Weberndörfer/Zieger
|
27
67
Teil 1 I
Rz. 68
Arbeitsvertrag mit einem Datenschutzbeauftragten
13. Erläuterungen zu Ziffer 13 68
E 13. Schriftform Individuelle Änderungen oder Ergänzungen dieses Vertrags sind formlos gültig (§ 305b BGB). Im Übrigen bedürfen Änderungen oder Ergänzungen dieses Vertrags zu ihrer Rechtswirksamkeit der Schriftform. Dies gilt auch für eine Aufhebung des Schriftformerfordernisses. Ausgeschlossen sind damit insbesondere Vertragsänderungen durch betriebliche Übung.
69
Ziffer 13 soll die Entstehung von Ansprüchen aus betrieblicher Übung verhindern. Die Parteien können von einer einfachen Schriftformklausel, d.h. einer Klausel, der zufolge Änderungen und Ergänzungen des Vertrags der Schriftform bedürfen, jederzeit schlüssig und formlos abweichen. Eine solche Klausel kann daher auch keine Ansprüche aus betrieblicher Übung verhindern1. Dies ist dagegen im Falle einer doppelten Schriftformklausel, d.h. einer Klausel nach der die Aufhebung des Schriftformerfordernisses ebenfalls der Schriftform bedarf, regelmäßig nicht möglich2.
70
Eine formularmäßig verwendete doppelte Schriftformklausel ist jedoch dann gem. § 307 Abs. 1 BGB unwirksam, wenn sie bei dem Arbeitnehmer den Eindruck erweckt, eine nach Vertragsabschluss getroffene mündliche Abrede sei unwirksam. Individuelle Vertragsabreden haben gem. § 305b BGB immer Vorrang vor Allgemeinen Geschäftsbedingungen. Sie setzen sich auch gegen eine doppelte Schriftformklausel durch3. Individualvereinbarungen wurden daher in der im Vertragsmuster vorgesehenen Regelung von dem Schriftformerfordernis ausgenommen. Die Wirksamkeit der im Vertragsmuster vorgesehenen Schriftformklausel ist höchstrichterlich nicht bestätigt. Die Gewährung von Leistungen neben dem vertraglich vereinbarten Gehalt sollte daher zur Vermeidung von Ansprüchen aus betrieblicher Übung jeweils unter einen Freiwilligkeitsvorbehalt gestellt werden (vgl. hierzu auch Rz. 31).
14. Erläuterungen zu Ziffer 14 71
E 14. Salvatorische Klausel Sollten einzelne Bestimmungen dieses Vertrags ganz oder teilweise unwirksam sein oder werden, wird hierdurch die Wirksamkeit des Vertrags im Übrigen nicht berührt. Die Parteien werden die unwirksame Bestimmung durch eine dieser nach Sinn und Zweck möglichst nahe kommende wirksame Bestimmung ersetzen. Die vorstehende Regelung gilt im Falle unbeabsichtigter Vertragslücken entsprechend.
72
Die salvatorische Klausel unter Ziffer 14 führt nicht dazu, dass im Falle der Unwirksamkeit einzelner Vertragsbestimmungen der Vertrag im Übrigen un1 BAG v. 20.5.2008 – 9 AZR 382/07, NZA 2008, 1233 (1234). 2 BAG v. 20.5.2008 – 9 AZR 382/07, NZA 2008, 1233 (1234 f.). 3 BAG v. 20.5.2008 – 9 AZR 382/07, NZA 2008, 1233 (1235 ff.).
28
|
Weberndörfer/Zieger
Rz. 73 Teil 1 I
Vertragstext
ter allen Umständen bestehen bleibt. Sie führt lediglich zu der widerleglichen Vermutung i.S.v. § 139 BGB, dass die Parteien den Vertrag auch ohne die unwirksame Bestimmung geschlossen hätten1.
B.2 Muster E Ergänzungsvertrag zum Arbeitsvertrag vom [Datum]
73
zwischen […] – Arbeitgeber – und […] – Arbeitnehmer – – beide Vertragsparteien nachfolgend auch einzeln Partei und gemeinsam Parteien genannt – In Änderung bzw. Ergänzung des Arbeitsvertrags vom [Datum] (Arbeitsvertrag) vereinbaren die Parteien folgendes: 1. Tätigkeit als Datenschutzbeauftragter 1.1 Mit Wirksamwerden der Bestellung übernimmt der Arbeitnehmer neben seiner bisherigen Tätigkeit die Aufgaben eines Beauftragten für den Datenschutz i.S.d. §§ 4f und 4g BDSG (Datenschutzbeauftragter). 1.2 Er ist in dieser Funktion unmittelbar der Geschäftsleitung unterstellt. Er ist berechtigt, seine Vorschläge oder Bedenken jederzeit unmittelbar der Geschäftsleitung vorzutragen. Hauptansprechpartner innerhalb der Geschäftsleitung ist derzeit [Name]. Bei Anwendung seiner Fachkunde auf dem Gebiet des Datenschutzes ist der Arbeitnehmer weisungsfrei. 1.3 Der Arbeitnehmer bestimmt die für seine Aufgaben als Datenschutzbeauftragter aufzuwendende Arbeitszeit im Rahmen des Erforderlichen selbst. Insoweit ist er von seinen Aufgaben als [Position] befreit. Die Parteien gehen derzeit davon aus, dass von der regelmäßigen wöchentlichen Arbeitszeit des Arbeitnehmers ca. 80 % auf die Aufgaben als [Position] und ca. 20 % auf die Aufgaben als Datenschutzbeauftragter entfallen. 1.4 Der Arbeitgeber ist jederzeit aus wichtigem Grund (§ 626 BGB) oder auf Verlangen der Aufsichtsbehörde zum Widerruf der Bestellung zum Datenschutzbeauftragen berechtigt (§ 4f Abs. 3 Satz 4 BDSG). Die Bestellung endet in jedem Fall spätestens mit Beendigung des Arbeitsvertrags. 1 BAG v. 23.4.2009 – 6 AZR 533/08, NZA 2009, 1260 (1263).
Weberndörfer/Zieger
|
29
Teil 1 I
Rz. 73
Arbeitsvertrag mit einem Datenschutzbeauftragten
2. Beginn, Laufzeit und Beendigung 2.1 Dieser Vertrag steht unter der aufschiebenden Bedingung des Wirksamwerdens der Bestellung zum Datenschutzbeauftragten. Er ist auf unbestimmte Zeit geschlossen. 2.2 Im Falle des Widerrufs der Bestellung zum Datenschutzbeauftragten endet auch dieser Vertrag. Der Arbeitsvertrag im Übrigen bleibt von dem Widerruf unberührt. 2.3 Dieser Vertrag endet in jedem Fall spätestens mit Beendigung des Arbeitsvertrags. 3. Fortgeltung des Arbeitsvertrags Soweit dieser Vertrag nichts Abweichendes bestimmt, gilt der zwischen den Parteien bestehende Arbeitsvertrag fort. 4. Vollständigkeit Dieser Vertrag beinhaltet die vollständigen Vereinbarungen der Parteien in Bezug auf die Tätigkeit des Arbeitnehmers als Datenschutzbeauftragter. Insoweit ersetzt er alle etwaigen vorangegangenen Vereinbarungen zwischen den Parteien. Nebenabreden sind nicht getroffen. 5. Schriftform Individuelle Änderungen oder Ergänzungen dieses Vertrags sind formlos gültig (§ 305b BGB). Im Übrigen bedürfen Änderungen oder Ergänzungen dieses Vertrags zu ihrer Rechtswirksamkeit der Schriftform. Dies gilt auch für eine Aufhebung des Schriftformerfordernisses. Ausgeschlossen sind damit insbesondere Vertragsänderungen durch betriebliche Übung. 6. Salvatorische Klausel Sollten einzelne Bestimmungen dieses Vertrags ganz oder teilweise unwirksam sein oder werden, wird hierdurch die Wirksamkeit des Vertrags im Übrigen nicht berührt. Die Parteien werden die unwirksame Bestimmung durch eine dieser nach Sinn und Zweck möglichst nahe kommende wirksame Bestimmung ersetzen. Die vorstehende Regelung gilt im Falle unbeabsichtigter Vertragslücken entsprechend. … Ort, Datum
… Ort, Datum
… Arbeitgeber
… Arbeitnehmer
30
|
Weberndörfer/Zieger
Erläuterungen
Rz. 76 Teil 1 I
C.2 Erläuterungen zum Ergänzungsvertrag I. Erläuterungen zu Ziffer 1 74
E 1. Tätigkeit als Datenschutzbeauftragter 1.1 Mit Wirksamwerden der Bestellung übernimmt der Arbeitnehmer neben seiner bisherigen Tätigkeit die Aufgaben eines Beauftragten für den Datenschutz i.S.d. §§ 4f und 4g BDSG (Datenschutzbeauftragter). 1.2 Er ist in dieser Funktion unmittelbar der Geschäftsleitung unterstellt. Er ist berechtigt, seine Vorschläge oder Bedenken jederzeit unmittelbar der Geschäftsleitung vorzutragen. Hauptansprechpartner innerhalb der Geschäftsleitung ist derzeit [Name]. Bei Anwendung seiner Fachkunde auf dem Gebiet des Datenschutzes ist der Arbeitnehmer weisungsfrei. 1.3 Der Arbeitnehmer bestimmt die für seine Aufgaben als Datenschutzbeauftragter aufzuwendende Arbeitszeit im Rahmen des Erforderlichen selbst. Insoweit ist er von seinen Aufgaben als [Position] befreit. Die Parteien gehen derzeit davon aus, dass von der regelmäßigen wöchentlichen Arbeitszeit des Arbeitnehmers ca. 80 % auf die Aufgaben als [Position] und ca. 20 % auf die Aufgaben als Datenschutzbeauftragter entfallen. 1.4 Der Arbeitgeber ist jederzeit aus wichtigem Grund (§ 626 BGB) oder auf Verlangen der Aufsichtsbehörde zum Widerruf der Bestellung zum Datenschutzbeauftragen berechtigt (§ 4f Abs. 3 Satz 4 BDSG). Die Bestellung endet in jedem Fall spätestens mit Beendigung des Arbeitsvertrags. Bzgl. der Ziffern 1.1 und 1.2 sei auf die Erläuterungen zu den Ziffern 1.1 und 1.2 des Arbeitsvertrags verwiesen (vgl. Rz. 9 ff. und 13 ff.). Bzgl. Ziffer 1.3 sei auf die Erläuterungen zu Ziffer 3.2 des Arbeitsvertrags (vgl. Rz. 24 f.) und bzgl. Ziffer 1.4 Satz 2 sei auf die Erläuterungen zu Ziffer 9.6 des Arbeitsvertrags (vgl. Rz. 57 ff.) verwiesen.
75
II. Erläuterungen zu Ziffer 2 E 2. Beginn, Laufzeit und Beendigung
76
2.1 Dieser Vertrag steht unter der aufschiebenden Bedingung des Wirksamwerdens der Bestellung zum Datenschutzbeauftragten. Er ist auf unbestimmte Zeit geschlossen. 2.2 Im Falle des Widerrufs der Bestellung zum Datenschutzbeauftragten endet auch dieser Vertrag. Der Arbeitsvertrag im Übrigen bleibt von dem Widerruf unberührt. 2.3 Dieser Vertrag endet in jedem Fall spätestens mit Beendigung des Arbeitsvertrags.
Weberndörfer/Zieger
|
31
Teil 1 I
Rz. 77
Arbeitsvertrag mit einem Datenschutzbeauftragten
77
Ziffer 2.1 knüpft den Beginn des Ergänzungsvertrags an das Wirksamwerden der Bestellung zum Datenschutzbeauftragten.
78
Bzgl. Ziffer 2.2 sei auf die Erläuterungen zu Ziffer 2.1 des Arbeitsvertrags (vgl. Rz. 18 ff.) verwiesen.
III. Erläuterungen zu Ziffer 3 79
E 3. Fortgeltung des Arbeitsvertrags Soweit dieser Vertrag nichts Abweichendes bestimmt, gilt der zwischen den Parteien bestehende Arbeitsvertrag fort.
80
Ziffer 3 stellt klar, dass die Regelungen des existierenden Arbeitsvertrags unberührt bleiben, soweit der Ergänzungsvertrag keine abweichende Regelung trifft.
IV. Erläuterungen zu Ziffer 4, 5 und 6 81
E 4. Vollständigkeit Dieser Vertrag beinhaltet die vollständigen Vereinbarungen der Parteien in Bezug auf die Tätigkeit des Arbeitnehmers als Datenschutzbeauftragter. Insoweit ersetzt er alle etwaigen vorangegangenen Vereinbarungen zwischen den Parteien. Nebenabreden sind nicht getroffen.
82
E 5. Schriftform Individuelle Änderungen oder Ergänzungen dieses Vertrags sind formlos gültig (§ 305b BGB). Im Übrigen bedürfen Änderungen oder Ergänzungen dieses Vertrags zu ihrer Rechtswirksamkeit der Schriftform. Dies gilt auch für eine Aufhebung des Schriftformerfordernisses. Ausgeschlossen sind damit insbesondere Vertragsänderungen durch betriebliche Übung.
83
E 6. Salvatorische Klausel Sollten einzelne Bestimmungen dieses Vertrags ganz oder teilweise unwirksam sein oder werden, wird hierdurch die Wirksamkeit des Vertrags im Übrigen nicht berührt. Die Parteien werden die unwirksame Bestimmung durch eine dieser nach Sinn und Zweck möglichst nahe kommende wirksame Bestimmung ersetzen. Die vorstehende Regelung gilt im Falle unbeabsichtigter Vertragslücken entsprechend.
84
Bzgl. der Ziffern 4 bis 6 sei auf die Erläuterungen zu den Ziffern 12 bis 14 des Arbeitsvertrags (vgl. Rz. 67, 69 f. und 72) verwiesen.
32
|
Weberndörfer/Zieger
Rz. 86 Teil 1 I
Erläuterungen
B.3 Muster E Bestellungsschreiben [Briefpapier des Arbeitgebers]
85
Frau/Herrn [Name] [Anschrift] [Datum] Bestellung zum Beauftragten für den Datenschutz i.S.d. §§ 4f und 4g BDSG Sehr geehrte/r Frau/Herr [Name], hiermit bestellen wir Sie mit [sofortiger Wirkung]/[Wirkung ab dem [Datum]] zur/zum Beauftragten für den Datenschutz i.S.d. §§ 4f und 4g BDSG. Die Bestellung erfolgt auf unbestimmte Zeit. Sie kann von uns jederzeit aus wichtigem Grund (§ 626 BGB) oder auf Verlangen der Aufsichtsbehörde widerrufen werden (§ 4f Abs. 3 Satz 4 BDSG). Die Bestellung endet in jedem Fall spätestens mit Beendigung Ihres Arbeitsvertrags. Wir wünschen Ihnen für Ihre Tätigkeit viel Erfolg. Mit freundlichen Grüßen … [Unterschrift Geschäftsleitung] Ich nehme hiermit meine Bestellung zur/zum Beauftragten für den Datenschutz entsprechend dem vorstehenden Schreiben vom [Datum] an. … Ort, Datum … [Unterschrift Arbeitnehmer]
C.3 Erläuterungen zum Bestellungsschreiben I. Erläuterungen 86
E Bestellungsschreiben [Datum] … hiermit bestellen wir Sie mit [sofortiger Wirkung]/[Wirkung ab dem [Datum]] zur/zum Beauftragten für den Datenschutz i.S.d. §§ 4f und 4g BDSG. Die Bestellung erfolgt auf unbestimmte Zeit. Sie kann von uns aus wichtigem Grund (§ 626 BGB) oder auf Verlangen der Aufsichtsbehörde jederzeit widerrufen werden (§ 4f Abs. 3 Satz 4 BDSG). Weberndörfer/Zieger
|
33
Teil 1 I
Rz. 87
Arbeitsvertrag mit einem Datenschutzbeauftragten
Die Bestellung endet in jedem Fall spätestens mit Beendigung Ihres Arbeitsvertrags.
1. Erläuterungen zur Bestellung und zur Bestellungsdauer 87
Zum Datenschutzbeauftragten darf gem. §§ 4f Abs. 2 Satz 2 und 3 BDSG nur bestellt werden, wer die hierfür erforderliche Fachkunde und Zuverlässigkeit besitzt; beide Voraussetzungen müssen bereits zur Zeit der Bestellung vorliegen1. Die Zuverlässigkeit kann insbesondere dann aufgrund von Interessenkonflikten in Frage stehen, wenn der Arbeitnehmer neben seinem Amt als Datenschutzbeauftragter weitere Tätigkeiten im Unternehmen ausüben soll (vgl. hierzu bereits Rz. 12). Die Mitgliedschaft des Arbeitnehmers im Betriebsrat ist nach der Rechtsprechung des BAG2 dagegen nicht mit dem Amt des Datenschutzbeauftragten unvereinbar3.
88
Besitzt der Arbeitnehmer nicht die für das Amt des Datenschutzbeauftragten erforderliche Fachkunde oder Zuverlässigkeit, ist die Bestellung dennoch rechtswirksam. Dies folgt aus §§ 38 Abs. 5 Satz 3 und 4f Abs. 3 Satz 4 BDSG. Die Aufsichtsbehörde kann in diesem Fall gem. § 38 Abs. 5 Satz 3 BDSG von nicht-öffentlichen Stellen die Abberufung des Datenschutzbeauftragten verlangen. Dies berechtigt (und verpflichtet) die nicht-öffentliche Stelle gem. § 4f Abs. 3 Satz 4 BDSG zum Widerruf der Bestellung. Allerdings kann die verantwortliche Stelle bei fehlender Fachkunde oder Zuverlässigkeit insbesondere gem. § 43 Abs. 1 Nr. 2 BDSG bußgeldpflichtig sein, weil sie den Datenschutzbeauftragten nicht bzw. nicht in der vorgeschriebenen Weise bestellt hat. Soweit in der Literatur4 darauf hingewiesen wird, dass ohne die erforderliche Fachkunde und Zuverlässigkeit kein Datenschutzbeauftragter bestellt sei, ist dies jedenfalls missverständlich. Diese Aussage bezieht sich wohl nur auf die bußgeldrechtlichen Folgen der mangelhaften Bestellung5.
89
Das BDSG schließt eine Befristung der Bestellung des Datenschutzbeauftragten nicht aus. Es trifft zu der Frage der Befristung schlichtweg keine Regelung. Die Zulässigkeit einer Befristung der Bestellung des Datenschutzbeauftragten wird in der Literatur uneinheitlich beantwortet. Teils wird eine Befristung generell kritisch gesehen6, teils wird deren Zulässigkeit vom Vorliegen eines wichtigen Grundes abhängig gemacht7. Nach einer verbreiteten Ansicht ist die 1 Vgl. ausführlich Gola/Schomerus, § 4f BDSG Rz. 20 ff., 23 ff.; Simitis/Simitis, § 4f BDSG Rz. 83 ff.; Plath/v. d. Bussche, § 4f BDSG Rz. 24 ff.; Wybitul, MMR 2011, 372 (374 ff.); Gola/Klug, NJW 2007, 118 (120); Düsseldorfer Kreis v. 24./25.11.2010 zu den „Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG)“, abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/Dues seldorferKreis/24112010-MindestanforderungenAnFachkunde.pdf. 2 BAG v. 23.3.2011 – 10 AZR 562/09, AP BDSG § 4f Nr. 3. 3 Vgl. hierzu auch Dzida/Kröpelin, NZA 2011, 1018. 4 Gola/Schomerus, § 4f BDSG Rz. 23; Simitis/Simitis, § 4f BDSG Rz. 111. 5 Wie hier wohl auch Plath/v. d. Bussche, § 4f BDSG Rz. 27, 68 f. 6 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 75. 7 Gola/Schomerus, § 4f BDSG Rz. 32.
34
|
Weberndörfer/Zieger
Erläuterungen
Rz. 92 Teil 1 I
Befristung der Bestellung grundsätzlich zulässig1. Die effiziente Amtsausübung des Datenschutzbeauftragten dürfe jedoch nicht unterlaufen werden2. Feste zeitliche Grenzen würde es insoweit nicht geben3. Vielmehr könne dies nur für den jeweiligen Einzelfall entschieden werden4. Jedenfalls bei Einhaltung der von dem Düsseldorfer Kreis5 für externe Datenschutzbeauftragte empfohlenen Mindestdauer von ein bis zwei Jahren bei Erstverträgen bzw. ansonsten vier Jahren6 werden nach dieser Ansicht einer Befristung der Bestellung regelmäßig keine datenschutzrechtlichen Bedenken entgegenstehen. Jedenfalls soweit im konkreten Fall eine Befristung des Arbeitsverhältnisses zulässig ist, muss auch eine entsprechende Befristung der Bestellung möglich sein, denn die wirksame Beendigung des Arbeitsverhältnisses stellt für sich gesehen einen wichtigen Grund für den Widerruf der Bestellung des Datenschutzbeauftragten dar (vgl. Rz. 60). Der gesetzliche Abberufungsschutz gem. 4f Abs. 3 Satz 4 BDSG wird insoweit also nicht berührt. Nach der hier vertretenen Ansicht beurteilt sich die Zulässigkeit der Befristung des Arbeitsverhältnisses allein nach dem TzBfG. Ein besonderer datenschutzrechtlicher Befristungsschutz existiert nicht (vgl. Rz. 48 ff.).
90
Soweit eine Befristung der Bestellung zur Probe (vgl. zur Probezeit auch Rz. 9 und 55) in der Literatur teilweise für unzulässig und damit wohl für unwirksam gehalten wird, weil der Datenschutzbeauftragte die erforderliche Fachkunde und Zuverlässigkeit von Beginn an besitzen müsse7, scheint dies zwei unterschiedliche Fragestellungen miteinander zu vermischen. Eine Bestellung zum Zweck der Erprobung der Fachkunde und Zuverlässigkeit des Datenschutzbeauftragten wäre in der Tat wegen eines Verstoßes gegen § 4f Abs. 2 Satz 2 und 3 BDSG unzulässig. Besitzt der Datenschutzbeauftragte zur Zeit seiner Bestellung nicht die erforderliche Fachkunde und Zuverlässigkeit, darf er nicht zum Datenschutzbeauftragten bestellt werden. Erfolgt die Bestellung dennoch, ist sie allerdings wirksam, aber zu widerrufen (vgl. hierzu schon Rz. 88). Dies gilt unabhängig davon, ob die Bestellung befristet oder unbefristet erfolgt. Auch im Falle einer Befristung zur Probe endet die Bestellung daher mit Fristablauf von selbst; dies gilt auch, wenn die Eignung des Datenschutzbeauftragten tatsächlich besteht. Auf die Rechtswirksamkeit der Befristungsabrede hat das Motiv „Erprobung“ somit keine Auswirkungen.
91
Die Bestellung ist kein einseitiger Akt des Arbeitgebers, sondern erfordert eine Zustimmungserklärung des Arbeitnehmers8. Eine entsprechende Verpflich-
92
1 BeckOK DatenschutzR/Moos, § 4f BDSG Rz. 22; Simitis/Simitis, BDSG § 4f Rz. 62; Plath/v. d. Bussche, § 4f BDSG Rz. 19. 2 BeckOK DatenschutzR/Moos, § 4f BDSG Rz. 22; Simitis/Simitis, BDSG § 4f Rz. 62; Plath/v. d. Bussche, § 4f BDSG Rz. 19. 3 A.A. wohl Simitis/Simitis, § 4f BDSG Rz. 62 (grundsätzlich zwei Jahre). 4 Plath/v. d. Bussche, § 4f BDSG Rz. 19. 5 https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/ Beschluesse_Duesseldorfer_Kreis/Inhalt/2010/Mindestanforderungen_an_Datenschutz beauftragte/Mindestanforderungen_an_DSB_nach_4f_II_und_III_BDSG.pdf. 6 BeckOK DatenschutzR/Moos, § 4f BDSG Rz. 22. 7 Simitis/Simitis, § 4f BDSG Rz. 63; Plath/v. d. Bussche, § 4f BDSG Rz. 20. 8 Plath/v. d. Bussche, § 4f BDSG Rz. 17; Simitis/Simitis, § 4f BDSG Rz. 57; jeweils m.w.N.
Weberndörfer/Zieger
|
35
Teil 1 I
Rz. 93
Arbeitsvertrag mit einem Datenschutzbeauftragten
tung im Arbeitsvertrag kann diese nicht ersetzen. Im Falle einer Verweigerung der Zustimmung entgegen einer arbeitsvertraglichen Pflicht kann der Arbeitgeber hieraus ggf. arbeitsrechtliche Konsequenzen ziehen. Der Arbeitnehmer ist allerdings nicht wirksam zum Datenschutzbeauftragten bestellt. Soweit hier teils1 unterschieden wird, ob der Arbeitnehmer arbeitsvertraglich einseitig durch den Arbeitgeber auf die Position eines Datenschutzbeauftragen versetzt werden kann oder nicht, vermischt dies zwei unterschiedliche Fragen. Arbeitsvertrag und Bestellung sind zwei voneinander unabhängige Rechtsgeschäfte (vgl. hierzu schon Rz. 57). 93
Die Bestellung muss gem. § 4f Abs. 1 Satz 1 BDSG schriftlich erfolgen. Die Schriftform ist für die Bestellung konstitutiv, d.h. bei Nichteinhaltung der Schriftform ist die Bestellung unwirksam2. Die Schriftform bezieht sich sowohl auf die Bestellungserklärung der verantwortlichen Stelle, als auch auf die Zustimmungserklärung des Arbeitnehmers3. Die Bestellung zum Datenschutzbeauftragten i.S.d. §§ 4f und 4g BDSG, der Beginn der Bestellung (im Zweifel: mit sofortiger Wirkung) und eine etwaige Befristung (im Zweifel: unbefristet) müssen aus den betreffenden Erklärungen eindeutig hervorgehen. Darüber hinaus erfordert die Bestellungserklärung entgegen einer verbreiteten Ansicht in der Literatur4 keinen bestimmten Mindestinhalt5. Hierfür gibt es in der gesetzlichen Regelung des Bundesd atenschutzgesetzes keinen Anhaltspunkt.
94
Insbesondere ergeben sich die Aufgaben des Datenschutzbeauftragten bereits aus dem Gesetz und müssen nicht umschrieben werden6. Die Vorgaben für die organisatorische Eingliederung folgen aus der gesetzlichen Bestimmung des § 4f Abs. 3 Satz 2 BDSG. Die Eingliederung selbst ist ein tatsächlicher Akt und muss diesen Vorgaben entsprechen. Insoweit ist nichts Näheres zu konkretisieren7. Die Unterstützungspflicht des Arbeitgebers ergibt sich unmittelbar aus § 4f Abs. 5 Satz 1 BDSG. Die erforderliche Unterstützung ist für jeden Einzelfall zu beurteilen und unterliegt einem laufenden Wandel. Auch insoweit ist eine Präzisierung weder erforderlich noch in jedem Fall sinnvoll8.
95
Soweit darüber hinaus sogar teilweise gefordert wird, die Bestellung müsse stets gesondert erfolgen9, dürfe also insbesondere nicht in den Arbeitsvertrag aufgenommen werden, ist dem ebenfalls nicht zu folgen. Das BDSG fordert nichts dergleichen. Vielmehr ist der Bedeutung der Bestellung bereits mit der Warnund Nachweisfunktion der Schriftform selbst hinreichend Rechnung getragen. Die Bestellung kann daher auch in den Arbeitsvertrag aufgenommen werden. Eine etwaige Bestellung im Rahmen des Arbeitsvertrags muss allerdings ganz eindeutig erklärt werden. Da Arbeitsvertrag und Amt zwei voneinander zu 1 Gola/Schomerus, § 4f BDSG Rz. 30. 2 Simitis/Simitis, § 4f BDSG Rz. 59; Gola/Schomerus, § 4f BDSG Rz. 30; Plath/v. d. Bussche, § 4f BDSG Rz. 17. 3 Plath/v. d. Bussche, § 4f BDSG Rz. 17; Simitis/Simitis, § 4f BDSG Rz. 57 m.w.N. 4 Gola/Schomerus, § 4f BDSG Rz. 30; Simitis/Simitis, § 4f BDSG Rz. 58 m.w.N. 5 So wohl auch Plath/v. d. Bussche, § 4f BDSG Rz. 17. 6 So aber Simitis/Simitis, § 4f BDSG Rz. 58; Gola/Schomerus, § 4f BDSG Rz. 30. 7 So aber Simitis/Simitis, § 4f BDSG Rz. 58; Gola/Schomerus, § 4f BDSG Rz. 30. 8 So aber Simitis/Simitis, § 4f BDSG Rz. 58. 9 Simitis/Simitis, § 4f BDSG Rz. 58 m.w.N.
36
|
Weberndörfer/Zieger
Erläuterungen
Rz. 99 Teil 1 I
unterscheidende Rechtsverhältnisse sind (vgl. hierzu schon Rz. 57), kann nicht ohne Weiteres davon ausgegangen werden, dass die Parteien mit der Einstellung zugleich die Bestellung vornehmen wollten. Soweit die Aufsichtsbehörden1 eine Pflicht zur Publikation der organisatorischen Stellung des Datenschutzbeauftragten innerhalb und außerhalb der verantwortlichen Stelle annehmen, fehlt es hierfür ebenfalls an einer gesetzlichen Grundlage2.
96
2. Erläuterungen zum Widerruf und zur anderweitigen Beendigung der Bestellung Die Bestellung zum Datenschutzbeauftragten kann durch den privaten Arbeitgeber als nicht-öffentliche Stelle gem. § 4f Abs. 3 Satz 4 BDSG nur aus wichtigem Grund entsprechend § 626 BGB oder auf Verlangen der Aufsichtsbehörde gem. § 38 Abs. 5 Satz 3 BDSG widerrufen werden. Die Aufsichtsbehörde kann gem. § 38 Abs. 5 Satz 3 BDSG von nicht-öffentlichen Stellen die Abberufung des Datenschutzbeauftragten bei fehlender Fachkunde oder Zuverlässigkeit verlangen.
97
Als wichtiger Grund für den Widerruf kommt insbesondere die wirksame Beendigung des Arbeitsvertrags3 oder die Verletzung von Amts- oder allgemeinen arbeitsvertraglichen Pflichten durch den Datenschutzbeauftragten in Betracht4. Beispiele für Amtspflichtverletzungen, die den Widerruf ggf. rechtfertigen können, sind insbesondere Versäumnisse bei der Beratung der verantwortlichen Stelle über die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen, die Vernachlässigung der Prüfung von Verarbeitungsbereichen, Verstöße gegen Verschwiegenheitspflichten oder die Verweigerung der Erfüllung von Schulungsverpflichtungen5.
98
Daneben ist ein Widerruf insbesondere dann zulässig und geboten, wenn der Datenschutzbeauftragte nicht (mehr) die gem. § 4f Abs. 2 Satz 1 und 2 BDSG erforderliche Fachkunde oder Zuverlässigkeit besitzt6. Die Wahl des Datenschutzbeauftragten in den Betriebsrat rechtfertigt keinen Widerruf seiner Bestellung. Beide Ämter schließen sich nach der Rechtsprechung des BAG7 nicht
99
1 Düsseldorfer Kreis v. 24./25.11.2010 zu den „Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG)“, abrufbar unter http://www.bfdi.bund.de/SharedDocs/Pu blikationen/Entschliessungssammlung/DuesseldorferKreis/24112010-Mindestanforde rungenAnFachkunde.pdf. 2 Wybitul, MMR 2011, 372 (375). 3 BAG v. 23.3.2011 – 10 AZR 562/09, AP BDSG § 4f Nr. 3; Plath/v. d. Bussche, § 4f BDSG Rz. 63; Dzida/Kröpelin, NZA 2011, 1018 (1020); Dzida/Kröpelin, BB 2010, 1026 (1030); Gehlhaar, NZA 2010, 373 (377); Bongers, ArbRAktuell 2010, 300147; a.A. Simitis/Simitis, § 4f BDSG Rz. 183. 4 Gola/Schomerus, § 4f BDSG Rz. 38; a.A. bspw. Simitis/Simitis, § 4f BDSG Rz. 183, der für den Widerruf nur funktionsbezogene Gründe ausreichen lassen will. 5 Simitis/Simitis, § 4f BDSG Rz. 183. 6 Simitis/Simitis, § 4f BDSG Rz. 183. 7 BAG v. 23.3.2011 – 10 AZR 562/09, AP BDSG § 4f Nr. 3.
Weberndörfer/Zieger
|
37
Teil 1 I
Rz. 100
Arbeitsvertrag mit einem Datenschutzbeauftragten
grundsätzlich gegenseitig aus1. Auch die organisatorische Entscheidung des Arbeitgebers, anstelle eines internen Datenschutzbeauftragten künftig einen externen Datenschutzbeauftragten zu bestellen, rechtfertigt keinen Widerruf2. Ansonsten könnte der Arbeitgeber mit seiner Entscheidung den Abberufungsschutz des § 4f Abs. 3 Satz 4 BDSG umgehen. Organisatorische Änderungen erlauben einen Widerruf allenfalls in besonderen Situationen, bspw. bei der Stilllegung des Betriebs oder organisatorischen Änderungen zur Abwendung einer betrieblichen Notsituation3. 100
Ob der Widerruf zu seiner Wirksamkeit auch einer entsprechenden Änderung des zugrunde liegenden Arbeitsvertrags bedarf, erscheint zweifelhaft. Das BAG4 hielt dies in der Vergangenheit zwar für erforderlich. Hieran ist aber jedenfalls seit Inkrafttreten des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14.8.2009 nicht mehr ohne Weiteres festzuhalten. Der neben dem Abberufungsschutz des § 4f Abs. 3 Satz 4 BDSG als § 4f Abs. 3 Satz 5 und 6 BDSG eingefügte Sonderkündigungsschutz des Datenschutzbeauftragten stellt klar, dass die Beendigung des Arbeitsverhältnisses und des Amts des Datenschutzbeauftragten grundsätzlich unabhängig voneinander zu beurteilen sind5 (vgl. hierzu auch schon Rz. 57).
101
Der Arbeitnehmer kann das Amt des Datenschutzbeauftragten jederzeit niederlegen6, ohne dass es hierfür eines besonderen Grundes bedarf. Ist der Arbeitnehmer arbeitsvertraglich zur Übernahme des Amts des Datenschutzbeauftragten verpflichtet, verletzt er mit einer grundlosen Amtsniederlegung allerdings seine Pflichten aus dem Arbeitsvertrag. Der Arbeitgeber kann in diesem Fall ggf. arbeitsrechtliche Schritte einleiten, bspw. eine Abmahnung aussprechen oder das Arbeitsverhältnis unter Umständen sogar gem. § 626 BGB wegen beharrlicher Arbeitsverweigerung außerordentlich kündigen.
102
Fraglich ist insoweit, ob der Arbeitnehmer durch die Amtsniederlegung eine Pflichtverletzung begeht, wenn ihm der Arbeitgeber die Aufgaben des Datenschutzbeauftragten nicht einseitig im Rahmen des Direktionsrechts zuweisen konnte und auch nicht ausdrücklich eine entsprechende Änderung des Arbeitsvertrags vereinbart wurde. Nach der Rechtsprechung des BAG7 liegt in derartigen Fällen regelmäßig eine konkludente Erweiterung der vertraglichen Aufgaben des Arbeitnehmers um die gesetzlichen Aufgaben des Datenschutzbeauftragten vor. Diese Erweiterung entfällt, so das BAG, automatisch mit dem Widerruf der Bestellung. Ob die Erweiterung, wie das BAG8 ebenfalls ausführte, auch bei jeder anderen Beendigung des Amts entfällt, erscheint für den Fall der Amtsniederlegung dagegen zweifelhaft. Regelmäßig haben die Parteien nicht 1 2 3 4 5 6 7
Vgl. hierzu auch Dzida/Kröpelin, NZA 2011, 1018. BAG v. 23.3.2011 – 10 AZR 562/09, AP BDSG § 4f Nr. 3. BAG v. 23.3.2011 – 10 AZR 562/09, AP BDSG § 4f Nr. 3. BAG v. 13.3.2007 – 9 AZR 612/05, AP BDSG § 4f Nr. 1. Gehlhaar, NZA 2010, 373 (375 f.), vgl. auch BT-Drucks. 16/12011, 30. Simitis/Simitis, § 4f BDSG Rz. 179. BAG v. 29.9.2010 – 10 AZR 588/09, AP BDSG § 4f Nr. 2; BAG v. 23.3.2011 – 10 AZR 562/09, AP BDSG 4f Nr. 3. 8 BAG v. 29.9.2010 – 10 AZR 588/09, AP BDSG § 4f Nr. 2.
38
|
Weberndörfer/Zieger
Rz. 104 Teil 1 I
Erläuterungen
den übereinstimmenden Willen, dem Arbeitnehmer ein einseitiges „Rückkehrrecht“ in das Arbeitsverhältnis ohne das Amt des Datenschutzbeauftragten einräumen. Dies gilt insbesondere dann, wenn der Arbeitgeber mit der Bestellung gerade seiner gesetzlichen Pflicht gem. § 4f Abs. 1 BDSG nachkommt. Etwas anderes kann man daher allenfalls dann annehmen, wenn dem Arbeitnehmer die Möglichkeit der Amtsniederlegung im Rahmen der Bestellung ausdrücklich eingeräumt wurde. Arbeitnehmer und Arbeitgeber können das Amt des Datenschutzbeauftragten selbstverständlich auch einvernehmlich beenden1. Hierfür ist kein besonderer Grund erforderlich. Das Amt des Datenschutzbeauftragten endet zudem mit Ablauf einer Befristung, soweit man diese, wie hier vertreten (vgl. Rz. 48 ff.), für rechtswirksam hält2.
103
Anders als die Bestellung sind Widerruf, Niederlegung oder einvernehmliche Beendigung des Amts nicht an eine bestimmte Form gebunden. Soweit hierfür in der Literatur teilweise3 die Einhaltung der Schriftform gefordert wird, fehlt es an einer gesetzlichen Grundlage. Allerdings ist die Schriftform zu Dokumentationszwecken sinnvollerweise einzuhalten.
104
1 Simitis/Simitis, § 4f BDSG Rz. 176. 2 Simitis/Simitis, § 4f BDSG Rz. 175. 3 Vgl. bspw. Simitis/Simitis, § 4f BDSG Rz. 178, 180, 199.
Weberndörfer/Zieger
|
39
II. Vertrag über die Beauftragung eines externen Datenschutzbeauftragten Literaturverzeichnis: Bergmann/Möhrle/Herb, Datenschutzrecht, Band 1–3, Loseblattwerk, Stand 45. Ergänzungslieferung 2012; Däubler/Klebe/Wedde/Weichert, Bundesdatenschutzgesetz, 3. Aufl. 2010; Gola/Schomerus, BDSG, 11. Aufl. 2012; Hümmerich/ Lücke/Mauer, Arbeitsrecht, 7. Aufl. 2011; Plath, BDSG, 2013; Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2011; Taeger/Gabel, Kommentar zum BDSG, 2010; Wolff/Brink, Beck’scher Online-Kommentar Datenschutzrecht, Stand: 1.2.2013 (zit.: BeckOK DatenschutzR/Bearbeiter).
A. Einleitung 1
Von wenigen Ausnahmen abgesehen unterliegen Unternehmen regelmäßig der gesetzlichen Pflicht, einen betrieblichen Datenschutzbeauftragten zu bestellen (siehe § 4f Abs. 1 BDSG). Dabei haben Unternehmen die Wahl, ob sie einen schon vorhandenen oder neu einzustellenden Arbeitnehmer mit diesem „Amt“ betrauen wollen (sog. interner Datenschutzbeauftragter) oder einen externen Dienstleister (externer Datenschutzbeauftragter) bevorzugen1. Es bestehen zumindest drei gute Gründe, sich als Unternehmen genau zu überlegen, welche Lösung verfolgt wird: Der erste Grund liegt in dem gesetzlichen Kündigungsschutz des internen betrieblichen Datenschutzbeauftragten gem. § 4f Abs. 3 Satz 5 und 6 BDSG. Für die Dauer der Bestellung bis ein Jahr nach seiner wirksamen Abberufung als Datenschutzbeauftragter kann das Arbeitsverhältnis mit ihm nur aus wichtigem Grund gekündigt werden. Der zweite Grund besteht in der Freistellungs- und Kostenübernahmepflicht des Unternehmens für Fortbildungsveranstaltungen des internen Datenschutzbeauftragten. Der dritte Grund liegt in der Schwierigkeit vieler Unternehmen begründet, einen fachlich geeigneten internen Kandidaten zu finden, der die nötige Beratungsqualität gewährleistet. Die technischen Verarbeitungsprozesse werden zunehmend komplexer. Damit einhergehend setzen die rechtlichen Bewertungen der Zulässigkeit der Verarbeitungen entsprechend tiefgreifende und aktuelle Kenntnisse des Datenschutzrechts voraus. Die Praxis mancher Unternehmen, durch Bestellung eines „Alibi-Datenschutzbeauftragten“ nur dem äußeren Anschein nach der gesetzlichen Bestellpflicht nachzukommen, erscheint vor diesem Hintergrund höchst bedenklich und mit Blick auf die Sorgfaltspflichten der Geschäftsleitungen aus §§ 91, 93 AktG und § 43 GmbHG haftungsträchtig. Letztlich ist die Entscheidung für einen internen oder externen Datenschutzbeauftragten nach den Umständen im Einzelfall genau abzuwägen, wobei auch die Unternehmensgröße eine wichtige Rolle spielt. Je größer ein Unternehmen ist, desto wichtiger werden auch organisatorische Kenntnisse des Datenschutzbeauftragten und erfordern eine stärkere organisatorische Einbindung ins Unternehmen, was für externe Datenschutzbeauftragte schwer zu gewährleisten ist. Für kleine und mittelständische Unternehmen kann eine externe Lösung dagegen vorteilhaft sein. 1 Simitis/Simitis, § 4f BDSG Rz. 41.
40
|
Henkel
Rz. 2 Teil 1 II
Vertragstext
B. Muster E Vertrag über die Beauftragung eines externen Datenschutzbeauftragten Vertrag zwischen der Firma …, – nachfolgend „Auftraggeber“ genannt – und Herrn/Frau/Firma …, … (Anschrift) – nachfolgend „Auftragnehmer“ genannt – Präambel Nach den gesetzlichen Bestimmungen des Bundesdatenschutzgesetzes (vgl. § 4f Abs. 1 BDSG) unterliegen nicht-öffentliche Stellen unter bestimmten Voraussetzungen der Pflicht, einen betrieblichen Datenschutzbeauftragten zu bestellen. Nach eigener Prüfung durch den Auftraggeber besteht auch für ihn eine derartige Bestellpflicht. Der Auftraggeber hat sich entschieden, diese Funktion nicht intern zu besetzen, sondern an den Auftragnehmer als externen Dienstleister auszulagern. Die näheren Anforderungen zur Übertragung dieser Aufgaben regelt dieser Vertrag. Der Auftragnehmer konnte sich im Rahmen der Vorgespräche zu diesem Vertrag ein überschlägiges Bild über die Verarbeitungen personenbezogener Daten und den dabei eingesetzten IT-Systemen beim Auftraggeber verschaffen. Er verfügt somit über genügend Informationen, um das gesetzlich erforderliche Maß an Fachkunde zur Übernahme der Funktion als betrieblicher Datenschutzbeauftragter nach § 4f Abs. 2 BDSG einschätzen zu können. Belege zur vorhandenen Fachkunde beim Auftragnehmer wurden im Vorfeld des Vertragsabschlusses zur Verfügung gestellt. 1. Gegenstand des Vertrags 1.1 Der Auftragnehmer übernimmt mit Wirksamkeit dieses Vertrags die gesetzlichen Aufgaben als betrieblicher Datenschutzbeauftragter nach § 4g BDSG für den Auftraggeber. Der Vertrag legt in Konkretisierung der gesetzlichen Anforderungen die Einzelheiten zu den Aufgaben des Auftragnehmers fest. 1.2 Die gesetzlich erforderliche schriftliche Bestellung zum betrieblichen Datenschutzbeauftragten nach § 4f BDSG erfolgt in einer gesonderten Bestellungsurkunde außerhalb dieser Vertragsurkunde. Der Auftragnehmer stellt hierfür auf Wunsch des Auftraggebers ein geeignetes Formular zur Verfügung. Mit Wirksamkeit dieses Vertrags ist die Bestellungsurkunde unverzüglich von beiden Vertragsparteien zu unterzeichnen. Henkel
|
41
2
Teil 1 II Rz. 2
Beauftragung eines externen Datenschutzbeauftragten
2. Organisatorisches zur Einbindung des Auftragnehmers 2.1 Der Auftragnehmer ist direkt der Geschäftsleitung des Auftraggebers unterstellt. In Wahrnehmung seiner Aufgaben ist er weisungsfrei. Weisungsrechte gegenüber der Belegschaft stehen dem Auftragnehmer nicht zu. 2.2 Dem Auftragnehmer wird für Fragen zum Datenschutz und zur Datensicherheit ein zuständiger Ansprechpartner benannt. 2.3 Auf Wunsch des Auftragnehmers stellt der Auftraggeber geeignete Räumlichkeiten zur Verfügung, die das Führen vertraulicher Gespräche im Unternehmen ermöglichen. 2.4 Der Auftraggeber ermöglicht eine direkte, unkontrollierte Kontaktaufnahme zwischen internen und externen Betroffenen mit dem Auftragnehmer. Die Kontaktdaten des Auftragnehmers werden hierfür beim Auftraggeber einschließlich der Unternehmenswebseite des Auftraggebers verfügbar gemacht. 2.5 Der Auftragnehmer erhält zur Durchführung seiner Beratungs- und Prüftätigkeit die erforderlichen Zutritts- und Zugriffsrechte für alle betrieblichen Bereiche und IT-Systeme beim Auftraggeber. 2.6 Der Auftraggeber informiert den Auftragnehmer rechtzeitig und umfassend über sämtliche vorhandenen oder geplanten datenschutzrelevanten IT-Systeme und Verarbeitungsprozesse. 3. Zeit, Ort und Personal zur Leistungserbringung 3.1 Der Auftragnehmer entscheidet über Zeit und Ort des Einsatzes für den Auftraggeber nach eigenem Ermessen. In dringenden Fällen steht der Auftragnehmer auch kurzfristig zur Verfügung. 3.2 Der Auftragnehmer übt seine Tätigkeit in seinen eigenen Räumlichkeiten aus. Er verpflichtet sich jedoch, einen angemessenen Teil seines Zeitbudgets beim Auftraggeber vor Ort zu erbringen; die Vertragsparteien verständigen sich auf zunächst 50 % des in 9.2 angenommenen Zeitumfangs [alternativ bei vereinbartem Stundenhonorar: „die Vertragsparteien verständigen sich auf eine Anwesenheit von … Stunden/Tage pro Woche/ Monat/Quartal“] Näheres regeln die Vertragsparteien im gegenseitigen Einvernehmen. 3.3 Dem Auftragnehmer ist es gestattet, zur Erfüllung dieses Vertrags geeignetes eigenes Personal sowie fachkundige und zuverlässige Dritte als Subunternehmer einzusetzen. Die eigene Verantwortlichkeit des Auftragnehmers bleibt hiervon unangetastet. 4. Gesetzliche Aufgabenbeschreibung Die gesetzlichen Aufgaben des Auftragnehmers ergeben sich aus §§ 4g, 4d Abs. 5 und 6 BDSG. Hierzu gehört es insbesondere, 42
|
Henkel
Vertragstext
Rz. 2 Teil 1 II
– in allen Fragen des Datenschutzes und der Datensicherheit zu beraten und auf die Einhaltung der geltenden Datenschutzvorschriften hinzuwirken, – die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu überwachen, mit deren Hilfe personenbezogene Daten verarbeitet werden (sollen), – die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften des BDSG sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen, – Verfahrensverzeichnisse zu führen und sie auf Antrag jedermann verfügbar zu machen; – eine Vorabkontrolle durchzuführen, soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, insbesondere bei der Verarbeitung von besonderen Arten personenbezogener Daten nach § 3 Abs. 9 BDSG oder der Erstellung von Persönlichkeitsprofilen. Der Auftragnehmer hat sich in Zweifelsfällen an die zuständige Aufsichtsbehörde zu wenden. 5. Konkretisierung der gesetzlichen Aufgaben 5.1 Der Auftraggeber stellt dem Auftragnehmer Verfahrensverzeichnisse mit den Angaben nach § 4e BDSG sowie den zugriffsberechtigten Personen zur Verfügung. Der Auftragnehmer wird auf Wunsch des Auftraggebers hierfür geeignete Formulare in elektronischer Form zur Verfügung stellen und berät bei der Erstellung der Verfahrensübersichten. Der Auftragnehmer macht die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar. Der Auftraggeber stellt organisatorisch sicher, dass entsprechende Anfragen zeitnah an den Auftragnehmer weitergeleitet werden. 5.2 Der Auftragnehmer ist berechtigt, nach eigenem Ermessen Audits durchzuführen. Gegenstand eines Audits können sämtliche Geschäftsprozesse sein, die einen Bezug zur Verarbeitung personenbezogener Daten haben wie bspw. die Personal- und Kundenverwaltung, das Betreiben einer Firmenwebseite oder von Telekommunikationsanlagen. Bei der Durchführung eines Audits ist eine Störung im Betriebsablauf zu vermeiden. 5.3 Der Auftragnehmer hat ein direktes Berichtsrecht gegenüber der Geschäftsleitung des Auftraggebers. 5.4 Einmal pro Jahr erstellt der Auftragnehmer einen separaten Tätigkeitsbericht, der über die Situation zum Datenschutz und zur Datensicherheit Auskunft gibt, etwaige Mängel benennt und Lösungsvorschläge enthält. Der Bericht ist direkt und ausschließlich an die Geschäftsleitung zu richten. 5.5 Art und Umfang der gesetzlich erforderlichen Schulungen zum Datenschutz werden zwischen den Vertragsparteien abgestimmt. Für die Schulungsinhalte ist der Auftragnehmer allein verantwortlich. Henkel
|
43
Teil 1 II Rz. 2
Beauftragung eines externen Datenschutzbeauftragten
5.6
Der Auftragnehmer erstellt die erforderlichen datenschutzrelevanten Dokumente wie insbesondere datenschutzrelevante Klauseln in Betriebsvereinbarungen, Richtlinien, Arbeitsanweisungen, Einwilligungsklauseln und Vertragsklauseln zum Datenschutz nach näherer Abstimmung mit dem Auftraggeber oder wirkt an ihrer Erstellung mit.
5.7
Der Auftragnehmer prüft die Zusammenarbeit mit externen Geschäftspartnern auf datenschutzkonforme Datenverarbeitung und Vertragsgestaltung insbesondere hinsichtlich der Anforderungen zur Auftragsdatenverarbeitung nach § 11 BDSG.
5.8
Neue Entwicklungen in Gesetzgebung und Rechtsprechung werden vom Auftragnehmer rechtzeitig an den Auftraggeber kommuniziert.
5.9
Bei der Beantwortung externer Anfragen zum Datenschutz ist der Auftragnehmer inhaltlich keinen Weisungen unterworfen. Im Rahmen der gebotenen gegenseitigen Rücksichtnahme sind derartige Stellungnahmen in der Regel unter vorheriger Beteiligung des Auftraggebers abzugeben.
5.10 Sofern beim Auftraggeber ein Betriebsrat, Gesamtbetriebsrat und/oder in der Firmengruppe ein Konzernbetriebsrat oder sonstige Arbeitnehmervertretungen vorhanden sind, erfolgt die Zusammenarbeit und der Informationsaustausch nach eigenem Ermessen des Auftragnehmers. Insbesondere ist der Auftragnehmer berechtigt, Datenschutzanfragen der jeweiligen Arbeitnehmervertretungen eigenständig, d.h. ohne Rücksprache und Information gegenüber dem Auftraggeber, zu beantworten. 6. Beschränkung der Beratungs- und Prüfpflichten Die Beratungs- und Prüfpflichten des Auftragnehmers gehen vor allem in technischer und rechtlicher Hinsicht qualitativ nur soweit, wie es der Ausbildungs- und Qualifikationsstand sowie das finanzielle und zeitliche Budget des Auftragnehmers erwarten lassen. Der Auftragnehmer hat jedoch die Pflicht, dem Auftraggeber unverzüglich anzuzeigen, wenn bestimmte Aufgabenstellungen eine Prüfung durch besonders qualifizierte Experten (wie z.B. Rechtsexperten, IT-Fachleute, Mathematiker oder Betriebswirtschaftler) erforderlich machen. In solchen Fällen stimmen die betreffenden Unternehmen das weitere Vorgehen mit dem Auftragnehmer gemeinsam ab. Die Kosten für derartigen zusätzlichen Beratungsaufwand trägt der Auftraggeber. 7. Fachkunde und Zuverlässigkeit 7.1 Der Auftragnehmer sichert unter Berücksichtigung von Punkt 6 des Vertrags zu, über die für die Aufgabenwahrnehmung als betrieblicher Datenschutzbeauftragter erforderliche Fachkunde zu verfügen. Er verpflichtet sich, die nötige Fachkunde ggf. durch den Besuch von Fort- und Weiterbildungsveranstaltungen auch während der Laufzeit des Vertrags zu erhalten. Etwaige Kosten zum Erhalt der Fachkunde sind mit dem vereinbarten Honorar pauschal abgegolten. 44
|
Henkel
Vertragstext
Rz. 2 Teil 1 II
7.2 Die zur rechtmäßigen Bestellung gesetzlich geforderte Zuverlässigkeit des betrieblichen Datenschutzbeauftragten sichert der Auftragnehmer zu. Hierzu erklärt der Auftragnehmer, dass er über keine Informationen verfügt, die Zweifel an seiner Zuverlässigkeit begründen könnten. Sollten nachträglich Zweifel an der nötigen Zuverlässigkeit des Auftragnehmers aufkommen, unterliegt der Auftragnehmer einer unverzüglichen Hinweispflicht gegenüber dem Auftraggeber. 7.3 Der nachträgliche Wegfall der Fachkunde und Zuverlässigkeit berechtigt den Auftraggeber zur sofortigen Abberufung des Auftragnehmers als betrieblichen Datenschutzbeauftragten. 8. Verschwiegenheitspflicht 8.1 Der Auftragnehmer ist verpflichtet, über alle Informationen zum Auftraggeber, die dem Auftragnehmer im Zusammenhang mit der Erledigung seiner Aufgaben zur Kenntnis gelangen, Stillschweigen zu bewahren. 8.2 Die Verschwiegenheitspflicht besteht nicht, wenn und soweit der Auftragnehmer vom Auftraggeber schriftlich von dieser Verpflichtung entbunden wurde. 8.3 Die Verschwiegenheitspflicht besteht auch dann nicht, 8.3.1 soweit die Offenlegung von Informationen zur Wahrung berechtigter Interessen des Auftragnehmers auch unter Berücksichtigung etwaiger entgegenstehender Interessen des Auftraggebers unerlässlich ist; 8.3.2 soweit der Auftragnehmer nach den Versicherungsbedingungen seiner Berufshaftpflicht zur Information und Mitwirkung verpflichtet ist; 8.3.3 soweit der Auftragnehmer gesetzlich zur Offenbarung verpflichtet ist, insbesondere gegenüber Aufsichtsbehörden oder berufsständischen Kammern, oder 8.3.4 soweit der Auftragnehmer in seiner Eigenschaft als betrieblicher Datenschutzbeauftragter gem. § 4g Abs. 1 Satz 2 und 3 BDSG zur Einschaltung der Aufsichtsbehörde berechtigt ist. 8.4 Diese Verschwiegenheitspflicht des Auftragnehmers besteht über die Dauer des Vertragsverhältnisses fort. 8.5 Mitarbeiter und weitere Erfüllungsgehilfen des Auftragnehmers sind im gleichen Umfang wie der Auftragnehmer selbst zur Verschwiegenheit zu verpflichten. Der Auftragnehmer weist dies auf Verlangen des Auftraggebers nach. 8.6 Unberührt von den vorstehenden Regelungen bleiben die besonderen Verschwiegenheitsverpflichtungen des betrieblichen Datenschutzbeauftragten zum Schutz des Betroffenen nach § 4f Abs. 4 und Abs. 4a BDSG. Henkel
|
45
Teil 1 II Rz. 2
Beauftragung eines externen Datenschutzbeauftragten
8.7 Soweit nach den vorstehenden Regelungen eine Befreiung von der Verschwiegenheitspflicht vereinbart ist, gelten diese gleichzeitig als Befreiung von etwaigen gesetzlichen Auskunfts- und Aussageverweigerungsrechten (z.B. nach § 102 AO, § 53 StPO, § 383 ZPO). 9. Vergütung 9.1 Als Pauschalhonorar wird ein jährlicher Betrag von … Euro (in Worten: … Euro) zuzüglich der jeweils geltenden gesetzlichen Mehrwertsteuer von derzeit 19 % vereinbart. 9.2 Bei der Bemessung des Pauschalhonorars gehen die Vertragsparteien davon aus, dass der jährliche Zeitaufwand des Auftragnehmers im Durchschnitt … Personentage nicht überschreitet. Ergeben sich nachträglich wesentliche Abweichungen vom anfänglich prognostizierten Zeitaufwand, nehmen die Vertragsparteien eine entsprechende Vertragsanpassung vor. 9.3 Falls zur Erfüllung der von dem Auftragnehmer mit diesem Vertrag übernommenen Tätigkeit Reisen erforderlich sind, werden die Reisekosten gegen Nachweis nach tatsächlichem Aufwand erstattet. 9.4 Sämtliche (ggf. anteilige) Pauschalhonorare nach Abs. 1 werden jeweils zum Beginn eines Kalendervierteljahres für das laufende Quartal im Voraus fällig. Die Auftraggeberin nimmt die Zahlung spätestens zwei Wochen nach Erhalt einer vom Auftragnehmer ausgestellten Rechnung vor. 9.5 Sämtliche Beträge sind auf folgendes Konto zu überweisen: Konto-Nr.: … BLZ: … Bank: … Alternative bei zeitabhängigem Honorar: Der Auftragnehmer erhält für seine Tätigkeit eine Vergütung auf Basis von Stundensätzen. Der vereinbarte Stundensatz beträgt … Euro (in Worten: … Euro) zuzüglich der gesetzlichen Mehrwertsteuer von derzeit 19 %. Die erfassten Zeiten werden jeweils auf volle fünf Minuten aufgerundet. Erforderliche Reisezeiten einschließlich Wartezeiten werden lediglich mit dem halben Stundensatz berechnet. Der Auftragnehmer wird Aufzeichnungen über die geleistete Arbeitszeit führen und mit den Rechnungen zur Verfügung stellen. Die Aufzeichnungen dürfen angesichts der Verschwiegenheitspflicht des Auftragnehmers keine Rückschlüsse auf Betroffene zulassen. Die jeweils geleisteten Stunden werden sofort fällig und zum Monatsende in Rechnung gestellt. Der Auftragnehmer behält sich vor, weitere Leistungen erst zu erbringen, wenn die Rechnung durch Zahlung anerkannt worden ist.
46
|
Henkel
Vertragstext
Rz. 2 Teil 1 II
10. Haftung 10.1 Der Auftragnehmer haftet gegenüber dem Auftraggeber für eigenes Verschulden und für das Verschulden eigener Mitarbeiter und sonstiger Erfüllungsgehilfen. 10.2 Der Auftragnehmer hat eine Berufshaftpflichtversicherung mit einer Deckungssumme von … Euro pro Einzelfall abgeschlossen. Er verpflichtet sich, die Versicherung in dieser Höhe mindestens für die Dauer dieses Vertragsverhältnisses aufrechtzuerhalten. Der Auftraggeber ist berechtigt, jederzeit einen entsprechenden Nachweis zu verlangen. 10.3 In einem Haftpflichtfall kann der Auftragnehmer nur bis zur Höhe der in 10.2 benannten Deckungssumme in Anspruch genommen werden. Wegen eines weitergehenden Schadens wird eine Haftung des Auftragnehmers hiermit ausdrücklich ausgeschlossen. 10.4 Der Schadenersatzanspruch ist innerhalb von sechs Monaten geltend zu machen, nachdem der Auftraggeber von dem Schaden Kenntnis erlangt hat. 11. Vertragslaufzeit und Abberufung 11.1 Der Vertrag wird zunächst für eine Mindestdauer von einem Jahr abgeschlossen. 11.2 Die Vertragslaufzeit verlängert sich jeweils um weitere vier Jahre, wenn der Vertrag nicht von einer Vertragspartei unter Einhaltung einer Kündigungsfrist von zwei Monaten zum Ende der jeweiligen Mindestvertragslaufzeit schriftlich gekündigt wird. 11.3 Im Übrigen endet der Vertrag in dem Fall einer wirksamen Abberufung des Auftragnehmers als betrieblicher Datenschutzbeauftragter oder einer Amtsniederlegung durch den Auftragnehmer. Wie die Abberufung darf auch eine Amtsniederlegung nur aus wichtigem Grund und schriftlich erfolgen. 11.4 Das Recht zur außerordentlichen Kündigung des Vertrags bleibt unberührt. 11.5 Im Falle einer wirksamen Kündigung des Vertrags wird zum Ende des Vertrags auch das Bestellungsverhältnis beendet, ohne dass es einer expliziten Erklärung zur Abberufung oder Amtsniederlegung bedarf. 11.6 Entfällt für den Auftraggeber nach Vertragsabschluss dauerhaft die gesetzliche Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten, besteht für beide Vertragsparteien das Recht zur außerordentlichen Kündigung des Vertrags. 12. Schlussbestimmungen 12.1 Nebenabreden zu diesem Vertrag bestehen nicht. Änderungen des Vertrags bedürfen der Schriftform. Henkel
|
47
Teil 1 II Rz. 3
Beauftragung eines externen Datenschutzbeauftragten
12.2 Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, wird dadurch die Wirksamkeit der übrigen Regelungen nicht berührt. Die Vertragspartner verpflichten sich, unwirksame Bestimmungen durch Regelungen zu ersetzen, die dem ursprünglich verfolgten Zweck so nahe wie möglich kommen und deren Wirksamkeit keine Bedenken entgegenstehen. Das Gleiche gilt für den Fall von Vertragslücken. 12.3 Ändern sich abgesehen von der Bestellpflicht die gesetzlichen Bestimmungen zum betrieblichen Datenschutzbeauftragten (z.B. hinsichtlich seiner Rechte und Pflichten, Stellung im Unternehmen) werden die Vertragsparteien die entsprechenden vertraglichen Anpassungen einvernehmlich vornehmen. … Ort, Datum
… Ort, Datum
… Auftragnehmer
… Auftraggeber
C. Erläuterungen I. Vorbemerkung 3
Der betriebliche Datenschutzbeauftragte hat auf die Einhaltung der Datenschutzvorschriften im Unternehmen hinzuwirken; einen Erfolg schuldet er somit nicht. Bei dem Vertrag zur Beauftragung eines externen betrieblichen Datenschutzbeauftragten handelt es sich daher um einen Dienstvertrag in der Ausprägung eines entgeltlichen Geschäftsbesorgungsvertrags gem. § 675 BGB1.
4
Soweit sich die Datenschutzaufsichtsbehörden zu den Vertragsinhalten im Verhältnis zum (externen) betrieblichen Datenschutzbeauftragten geäußert haben, wird versucht, dies in den betreffenden Klauseln umzusetzen.
II. Erläuterung der einzelnen Klauseln 1. Erläuterung des Rubrums 5
E Vertrag über die Beauftragung eines externen Datenschutzbeauftragten Vertrag zwischen der Firma …, – nachfolgend „Auftraggeber“ genannt – 1 Plath/v. d. Bussche, § 4f BDSG Rz. 23; Taeger/Gabel/Scheja, § 4f BDSG Rz. 36; Simitis/Simitis, § 4f BDSG Rz. 60.
48
|
Henkel
Erläuterungen
Rz. 7 Teil 1 II
und Herrn/Frau/Firma …, … (Anschrift) – nachfolgend „Auftragnehmer“ genannt – Auf der Seite des Auftragnehmers kommt es in der Praxis zu unterschiedlichen Konstellationen:
6
a) Ein selbständiger Datenschutzexperte bietet sich als natürliche Person (und meist als Inhaber einer bestimmten Firma) als externer Datenschutzbeauftragter an. Diese Person soll auch als betrieblicher Datenschutzbeauftragter bestellt werden (Vertragspartner und bestellter Datenschutzbeauftragter sind personenidentisch). b) Eine Firma als juristische Person wird Auftragnehmer und als juristische Person auch zum betrieblichen Datenschutzbeauftragten bestellt. Datenschutzbeauftragter und Vertragspartner sind auch hier identisch. Die Zulässigkeit dieser Variante ist allerdings umstritten, nach richtiger Ansicht jedoch zu bejahen. Die gegensätzliche Literatur nimmt teilweise an, dass die gesetzlichen Voraussetzungen „Fachkunde“ und „Zuverlässigkeit“ eines betrieblichen Datenschutzbeauftragten nur auf natürliche und nicht auf juristische Personen passen1. c) Um den unter b) skizzierten rechtlichen Problemen aus dem Wege zu gehen, wird häufig der Geschäftsbesorgungsvertrag zwischen den juristischen Personen abgeschlossen und als betrieblicher Datenschutzbeauftragter ein bestimmter angestellter Mitarbeiter oder Subunternehmer (natürliche Person) bestellt. d) Als weitere Variante kommt es vor, dass der Auftragnehmer mit der Konzernmutter als Auftraggeber kontrahiert, die Aufgaben als betrieblicher Datenschutzbeauftragter allerdings für weitere Konzernunternehmen übernehmen soll. Die Konzernmutter erbringt die Aufgaben zum betrieblichen Datenschutz gegenüber den Tochterunternehmen als Serviceleistung, die in der Regel im Wege der Konzernumlage vergütet wird. Grundsätzliche Bedenken gegen diese Konstruktion bestehen nicht, allerdings wären einige Besonderheiten in den Vertrag einzuarbeiten, die in dem Vertragsmuster aus Gründen der Übersichtlichkeit außer Betracht geblieben sind. In dem Vertragsmuster werden die Varianten a) und b) abgebildet.
2. Erläuterung der Präambel E Präambel
7
Nach den gesetzlichen Bestimmungen des Bundesdatenschutzgesetzes (vgl. § 4f Abs. 1 BDSG) unterliegen nicht-öffentliche Stellen unter bestimmten Voraussetzungen der Pflicht, einen betrieblichen Datenschutzbeauftragten zu bestellen. Nach eigener Prüfung durch den Auftraggeber besteht auch für ihn eine derartige Bestellpflicht. Der Auftraggeber hat sich entschieden, diese 1 Zum Meinungsstreit s. Simitis/Simitis, § 4f BDSG Rz. 48 m.w.N.
Henkel
|
49
Teil 1 II Rz. 8
Beauftragung eines externen Datenschutzbeauftragten
Funktion nicht intern zu besetzen, sondern an den Auftragnehmer als externen Dienstleister auszulagern. Die näheren Anforderungen zur Übertragung dieser Aufgaben regelt dieser Vertrag. Der Auftragnehmer konnte sich im Rahmen der Vorgespräche zu diesem Vertrag ein überschlägiges Bild über die Verarbeitungen personenbezogener Daten und den dabei eingesetzten IT-Systemen beim Auftraggeber verschaffen. Er verfügt somit über genügend Informationen, um das gesetzlich erforderliche Maß an Fachkunde zur Übernahme der Funktion als betrieblicher Datenschutzbeauftragter nach § 4f Abs. 2 BDSG einschätzen zu können. Belege zur vorhandenen Fachkunde beim Auftragnehmer wurden im Vorfeld des Vertragsabschlusses zur Verfügung gestellt. 8
Die Präambel macht deutlich, dass der Auftraggeber die gesetzliche Bestellpflicht eigenständig geprüft hat und diesbezüglich keine Beratung durch den Auftragnehmer erfolgt ist. Auch die Entscheidung über eine interne oder externe Besetzung dieser Funktion ist der Präambel zufolge allein eine Entscheidung des Auftraggebers. Der zweite Absatz zeigt auf, dass es dem Auftragnehmer im Rahmen der Vertragsanbahnung ermöglicht wurde, Einblicke in die Verarbeitungsprozesse beim Auftraggeber zu bekommen. Im Hinblick auf die gesetzlich geforderte Fachkunde des betrieblichen Datenschutzbeauftragten, die im Vertrag vom Auftragnehmer ausdrücklich zugesichert wird, ist dies nicht unerheblich. Der Auftragnehmer weiß somit, worauf er sich bei der Auftragsübernahme einlässt und kann das Maß der beim Auftraggeber erforderlichen Fachkunde abschätzen. Die im Rahmen der Vertragsanbahnung vom Auftragnehmer vorgelegten Belege zum Nachweis seiner Fachkunde sind in diesem Vertragsmuster bewusst nicht explizit aufgelistet1. Die Vorlage der Belege sollte im Vertrag nur kurz erwähnt werden; eine Auflistung würde den Vertrag nur unnötig aufblähen. Aus zweierlei Gründen ist dem Auftraggeber allerdings zu empfehlen, die Belege im Hinblick auf seine Sorgfaltspflichten bei Auswahl des Auftragnehmers zu dokumentieren. Zum einen hat er gegenüber der Aufsichtsbehörde die ordnungsgemäße Bestellung darzulegen und zu belegen, widrigenfalls ein Bußgeld nach § 43 Abs. 1 Nr. 2 BDSG droht. Zum anderen stellt die nicht ordnungsgemäße Bestellung eine Verletzung der Organisationspflichten des Unternehmers dar, welche im Streitfall zu einem Schadensersatz nach § 823 BGB2 oder nach § 7 BDSG führen kann. Zumindest § 7 BDSG sieht bezüglich des Verschuldens die Beweislast bei der verantwortlichen Stelle.
1 Anders das Vertragsmuster in Hümmerich/Lücke/Mauer/Lücke, § 1 Rz. 355, der auf eine Verbandsmitgliedschaft des Auftragnehmers und einen bestimmten von ihm absolvierten Datenschutz-Lehrgang verweist. 2 Simitis/Simitis, § 4f BDSG Rz. 114.
50
|
Henkel
Erläuterungen
Rz. 11 Teil 1 II
3. Erläuterungen zu Ziffer 1 9
E 1. Gegenstand des Vertrags 1.1 Der Auftragnehmer übernimmt mit Wirksamkeit dieses Vertrags die gesetzlichen Aufgaben als betrieblicher Datenschutzbeauftragter nach § 4g BDSG für den Auftraggeber. Der Vertrag legt in Konkretisierung der gesetzlichen Anforderungen die Einzelheiten zu den Aufgaben des Auftragnehmers fest. 1.2 Die gesetzlich erforderliche schriftliche Bestellung zum betrieblichen Datenschutzbeauftragten nach § 4f BDSG erfolgt in einer gesonderten Bestellungsurkunde außerhalb dieser Vertragsurkunde. Der Auftragnehmer stellt hierfür auf Wunsch des Auftraggebers ein geeignetes Formular zur Verfügung. Mit Wirksamkeit dieses Vertrags ist die Bestellungsurkunde unverzüglich von beiden Vertragsparteien zu unterzeichnen.
a) Erläuterungen zu Ziffer 1.1 Die gesetzlichen Aufgaben des betrieblichen Datenschutzbeauftragten sind allgemein in § 4g BDSG definiert, so dass an dieser Stelle ein Verweis auf diese Norm genügt. Eine nähere Erläuterung der gesetzlichen Aufgaben enthält außerdem Ziffer 4 des Vertragsmusters.
10
b) Erläuterungen zu Ziffer 1.2 Juristisch ist zwischen dem Grundverhältnis (Geschäftsbesorgungsvertrag) und der gesetzlich erforderlichen schriftlichen Bestellung zu trennen. In dem Vertragsmuster wurde lediglich eine Pflicht zur sofortigen Unterzeichnung einer Bestellungsurkunde aufgenommen. Denkbar wäre, eine Bestellungsurkunde in den Vertrag zu integrieren, etwa als Anlage zum Vertrag1. Von einer Verbindung mit dem Vertrag wurde hier aus Gründen der Praktikabilität abgesehen, da es durchaus vorkommen kann, die Bestellungsurkunde externen Stellen vorlegen zu müssen, z.B. gegenüber Aufsichtsbehörden oder Geschäftskunden. Die Bestellung ist von der Geschäftsleitung vorzunehmen und muss daneben vom betrieblichen Datenschutzbeauftragten unterzeichnet werden, um der Schriftform zu genügen. Dem Gesetz sind keine weiteren Pflichtinhalte direkt zu entnehmen. Etabliert haben sich Bestellungsurkunden, die eine kurze Aufgabenbeschreibung und Angaben zur Stellung im Unternehmen enthalten (Weisungsfreiheit, direkte Unterstellung unter die Geschäftsleitung)2. Sofern wie hier vorgeschlagen ein ausführliches Vertragsmuster verwendet wird, kann die Bestellungsurkunde sehr knapp, insbesondere ohne Aufgabenbeschreibung unter bloße Bezugnahme auf die §§ 4f, 4g BDSG, ausfallen.
1 S. Vertragsmuster in Hümmerich/Lücke/Mauer/Lücke, § 1 Rz. 355. 2 Vgl. die beiden Muster einer Bestellungsurkunde des ULD Unabhängiges Landeszentrum für Datenschutz in Schleswig-Holstein unter https://www.datenschutzzentrum.de/ wirtschaft/mustbdsb.htm.
Henkel
|
51
11
Teil 1 II Rz. 12
Beauftragung eines externen Datenschutzbeauftragten
4. Erläuterungen zu Ziffer 2 12
E 2. Organisatorisches zur Einbindung des Auftragnehmers 2.1 Der Auftragnehmer ist direkt der Geschäftsleitung des Auftraggebers unterstellt. In Wahrnehmung seiner Aufgaben ist er weisungsfrei. Weisungsrechte gegenüber der Belegschaft stehen dem Auftragnehmer nicht zu. 2.2 Dem Auftragnehmer wird für Fragen zum Datenschutz und zur Datensicherheit ein zuständiger Ansprechpartner benannt. 2.3 Auf Wunsch des Auftragnehmers stellt der Auftraggeber geeignete Räumlichkeiten zur Verfügung, die das Führen vertraulicher Gespräche im Unternehmen ermöglichen. 2.4 Der Auftraggeber ermöglicht eine direkte, unkontrollierte Kontaktaufnahme zwischen internen und externen Betroffenen mit dem Auftragnehmer. Die Kontaktdaten des Auftragnehmers werden hierfür beim Auftraggeber einschließlich der Unternehmenswebseite des Auftraggebers verfügbar gemacht. 2.5 Der Auftragnehmer erhält zur Durchführung seiner Beratungs- und Prüftätigkeit die erforderlichen Zutritts- und Zugriffsrechte für alle betrieblichen Bereiche und IT-Systeme beim Auftraggeber. 2.6 Der Auftraggeber informiert den Auftragnehmer rechtzeitig und umfassend über sämtliche vorhandenen oder geplanten datenschutzrelevanten IT-Systeme und Verarbeitungsprozesse.
a) Erläuterungen zu Ziffer 2.1 13
§ 4f Abs. 3 Satz 1 und 2 BDSG verlangen die direkte Unterstellung des betrieblichen Datenschutzbeauftragten unter die Geschäftsleitung und seine Weisungsfreiheit auf dem Gebiet des Datenschutzes. Gesetzlich nicht direkt geregelt ist die Frage des Weisungsrechts des betrieblichen Datenschutzbeauftragten gegenüber der Belegschaft, was hier verneint wird. Mittelbar wirkt sich seine fehlende unmittelbare Einwirkungsmöglichkeit auf einzelne Mitarbeiter haftungsrechtlich für ihn entlastend aus.
b) Erläuterungen zu Ziffer 2.2 14
In Fällen dauerhafter Zusammenarbeit mit einem externen Dienstleister ist es generell für beide Seiten wichtig, feste Ansprechpartner im Unternehmen vorzusehen, so auch für den externen betrieblichen Datenschutzbeauftragten. Damit werden Verantwortlichkeiten klar zugewiesen.
c) Erläuterungen zu Ziffer 2.3 15
Der betriebliche Datenschutzbeauftragte ist einerseits zentraler Ansprechpartner für Datenschutzfragen im Unternehmen, unterliegt andererseits aber einer Verschwiegenheitspflicht im Verhältnis zum Betroffenen. Nach § 4f Abs. 5 52
|
Henkel
Erläuterungen
Rz. 20 Teil 1 II
Satz 1 BDSG hat ihm die verantwortliche Stelle im Rahmen der umfassenden Unterstützungspflicht geeignete Räume zur Verfügung zu stellen.
d) Erläuterungen zu Ziffer 2.4 Die Klausel setzt § 4f Abs. 5 Satz 2 BDSG um, wonach es den Betroffenen ermöglicht werden muss, sich jederzeit an den Datenschutzbeauftragten wenden zu können.
16
e) Erläuterungen zu Ziffer 2.5 Nach dem Beschluss des Düsseldorfer Kreises vom 24./25. November 20101 müssen dem betrieblichen Datenschutzbeauftragten „die zur Aufgabenerfüllung erforderlichen Zutritts- und Einsichtsrechte in alle betrieblichen Bereiche eingeräumt werden“. Der Umsetzung dieser Anforderung dient Ziff. 2.5 des Musters, indem es die Zutritts- und Einsichtsrechte vertraglich absichert.
17
f) Erläuterungen zu Ziffer 2.6 Die Klausel erinnert den Auftraggeber an seine entsprechenden gesetzlichen Informationspflichten aus § 4g Abs. 1 Satz 4 Nr. 1 Halbs. 2 BDSG.
18
5. Erläuterungen zu Ziffer 3 E 3. Zeit, Ort und Personal zur Leistungserbringung
19
3.1 Der Auftragnehmer entscheidet über Zeit und Ort des Einsatzes für den Auftraggeber nach eigenem Ermessen. In dringenden Fällen steht der Auftragnehmer auch kurzfristig zur Verfügung. 3.2 Der Auftragnehmer übt seine Tätigkeit in seinen eigenen Räumlichkeiten aus. Er verpflichtet sich jedoch, einen angemessenen Teil seines Zeitbudgets beim Auftraggeber vor Ort zu erbringen; die Vertragsparteien verständigen sich auf zunächst 50 % des in 9.2 angenommenen Zeitumfangs (alternativ bei vereinbartem Stundenhonorar: „die Vertragsparteien verständigen sich auf eine Anwesenheit von … Stunden/Tage pro Woche/ Monat/Quartal“) Näheres regeln die Vertragsparteien im gegenseitigen Einvernehmen. 3.3 Dem Auftragnehmer ist es gestattet, zur Erfüllung dieses Vertrags geeignetes eigenes Personal sowie fachkundige und zuverlässige Dritte als Subunternehmer einzusetzen. Die eigene Verantwortlichkeit des Auftragnehmers bleibt hiervon unangetastet.
a) Erläuterungen zu Ziffer 3.1 und 3.2 Als selbständiger Dienstleister entscheidet der Auftragnehmer grundsätzlich allein über Zeit und Ort seiner Tätigkeiten. Da eine vollständige Aufgaben1 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 24./25. November 2010), S. 3.
Henkel
|
53
20
Teil 1 II Rz. 21
Beauftragung eines externen Datenschutzbeauftragten
erfüllung als betrieblicher Datenschutzbeauftragter aus der Ferne kaum denkbar ist, verlangen die Datenschutzaufsichtsbehörden, dass ein angemessener Teil seines Zeitbudgets in den Räumlichkeiten der verantwortlichen Stellen verbracht werden muss und vertraglich vereinbart sein soll1.
b) Erläuterungen zu Ziffer 3.3 21
Anders als abhängig Beschäftigte schuldet der externe Dienstleister grundsätzlich keine Leistung in Person, soweit nicht ausdrücklich im Vertrag etwas anderes geregelt ist. Der betriebliche Datenschutzbeauftragte darf allerdings nicht durch Dritte substituiert werden, schließlich ist er bestellt und nicht der Dritte. Aufgrund der geforderten Fachkunde und Zuverlässigkeit des betrieblichen Datenschutzbeauftragten müssen auch die Erfüllungsgehilfen hinreichend fachkundig und zuverlässig sein zur ordnungsgemäßen Durchführung ihrer Teilaufgaben. Hierfür trägt der Datenschutzbeauftragte die vertragliche Verantwortung.
6. Erläuterungen zu Ziffer 4 22
E 4. Gesetzliche Aufgabenbeschreibung Die gesetzlichen Aufgaben des Auftragnehmers ergeben sich aus §§ 4g, 4d Abs. 5 und 6 BDSG. Hierzu gehört es insbesondere, – in allen Fragen des Datenschutzes und der Datensicherheit zu beraten und auf die Einhaltung der geltenden Datenschutzvorschriften hinzuwirken, – die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu überwachen, mit deren Hilfe personenbezogene Daten verarbeitet werden (sollen), – die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften des BDSG sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen, – Verfahrensverzeichnisse zu führen und sie auf Antrag jedermann verfügbar zu machen; – eine Vorabkontrolle durchzuführen, soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, insbesondere bei der Verarbeitung von besonderen Arten personenbezogener Daten nach § 3 Abs. 9 BDSG oder der Erstellung von Persönlichkeitsprofilen. Der Auftragnehmer hat sich in Zweifelsfällen an die zuständige Aufsichtsbehörde zu wenden.
23
Punkt 4 gibt die in verschiedenen gesetzlichen Bestimmungen enthaltenen Aufgabenbeschreibungen zum betrieblichen Datenschutzbeauftragten wieder.
1 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 24./25. November 2010), S. 3.
54
|
Henkel
Erläuterungen
Rz. 24 Teil 1 II
7. Erläuterungen zu Ziffer 5 24
E 5. Konkretisierung der gesetzlichen Aufgaben 5.1 Der Auftraggeber stellt dem Auftragnehmer Verfahrensverzeichnisse mit den Angaben nach § 4e BDSG sowie den zugriffsberechtigten Personen zur Verfügung. Der Auftragnehmer wird auf Wunsch des Auftraggebers hierfür geeignete Formulare in elektronischer Form zur Verfügung stellen und berät bei der Erstellung der Verfahrensverzeichnisse. Der Auftragnehmer macht die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar. Der Auftraggeber stellt organisatorisch sicher, dass entsprechende Anfragen zeitnah an den Auftragnehmer weitergeleitet werden. 5.2 Der Auftragnehmer ist berechtigt, nach eigenem Ermessen Audits durchzuführen. Gegenstand eines Audits können sämtliche Geschäftsprozesse sein, die einen Bezug zur Verarbeitung personenbezogener Daten haben wie bspw. die Personal- und Kundenverwaltung, das Betreiben einer Firmenwebseite oder von Telekommunikationsanlagen. Bei der Durchführung eines Audits ist eine Störung im Betriebsablauf zu vermeiden. 5.3 Der Auftragnehmer hat ein direktes Berichtsrecht gegenüber der Geschäftsleitung des Auftraggebers. 5.4 Einmal pro Jahr erstellt der Auftragnehmer einen separaten Tätigkeitsbericht, der über die Situation zum Datenschutz und zur Datensicherheit Auskunft gibt, etwaige Mängel benennt und Lösungsvorschläge enthält. Der Bericht ist direkt und ausschließlich an die Geschäftsleitung zu richten. 5.5 Art und Umfang der gesetzlich erforderlichen Schulungen zum Datenschutz werden zwischen den Vertragsparteien abgestimmt. Für die Schulungsinhalte ist der Auftragnehmer allein verantwortlich. 5.6 Der Auftragnehmer erstellt die erforderlichen datenschutzrelevanten Dokumente wie insbesondere datenschutzrelevante Klauseln in Betriebsvereinbarungen, Richtlinien, Arbeitsanweisungen, Einwilligungsklauseln und Vertragsklauseln zum Datenschutz nach näherer Abstimmung mit dem Auftraggeber oder wirkt an ihrer Erstellung mit. 5.7 Der Auftragnehmer prüft die Zusammenarbeit mit externen Geschäftspartnern auf datenschutzkonforme Datenverarbeitung und Vertragsgestaltung insbesondere hinsichtlich der Anforderungen zur Auftragsdatenverarbeitung nach § 11 BDSG. 5.8 Neue Entwicklungen in Gesetzgebung und Rechtsprechung werden vom Auftragnehmer rechtzeitig an den Auftraggeber kommuniziert. 5.9 Bei der Beantwortung externer Anfragen zum Datenschutz ist der Auftragnehmer inhaltlich keinen Weisungen unterworfen. Im Rahmen der gebotenen gegenseitigen Rücksichtnahme sind derartige Stellungnahmen in der Regel unter vorheriger Beteiligung des Auftraggebers abzugeben. Henkel
|
55
Teil 1 II Rz. 25
Beauftragung eines externen Datenschutzbeauftragten
5.10 Sofern beim Auftraggeber ein Betriebsrat, Gesamtbetriebsrat und/oder in der Firmengruppe ein Konzernbetriebsrat oder sonstige Arbeitnehmervertretungen vorhanden sind, erfolgt die Zusammenarbeit und der Informationsaustausch nach eigenem Ermessen des Auftragnehmers. Insbesondere ist der Auftragnehmer berechtigt, Datenschutzanfragen der jeweiligen Arbeitnehmervertretungen eigenständig, d.h. ohne Rücksprache und Information gegenüber dem Auftraggeber, zu beantworten. 25
Die in Punkt 4 entsprechend dem gesetzlichen Wortlaut beschriebenen gesetzlichen Aufgaben des Datenschutzbeauftragten werden in Punkt 5 konkretisiert. Die Regelungen können und sollten je nach Situation bei der verantwortlichen Stelle angepasst bzw. ergänzt werden.
a) Erläuterungen zu Ziffer 5.1 26
Der Begriff Verfahrensverzeichnis existiert im Gesetz nicht, ist aber gebräuchlich. Die Regelung macht deutlich, dass zwar die verantwortliche Stelle diesbezüglich eine Bringschuld gegenüber seinem Datenschutzbeauftragten hat. Erstellung, Pflege und Verfügbarmachen derselben stellt jedoch einen interaktiven Prozess dar.
b) Erläuterungen zu Ziffer 5.2 27
Bei der Durchführung von Prüfungen ist der Datenschutzbeauftragte weisungsfrei und von der verantwortlichen Stelle zu unterstützen (vgl. § 4f Abs. 5 Satz 1 BDSG). Die beispielhafte Auflistung der Prüfbereiche zeigt einerseits die wesentlichen Tätigkeitsfelder des betrieblichen Datenschutzbeauftragten auf, macht andererseits aber auch deutlich, dass ihm keine personenbezogenen Verarbeitungen vorenthalten werden können, unabhängig davon, welche Technik im jeweiligen Unternehmen gerade zum Einsatz kommt. Bei der Durchführung der Audits ist jedoch Rücksicht zu nehmen auf die betrieblichen Belange.
c) Erläuterungen zu Ziffer 5.3 28
Das direkte Berichtsrecht des Datenschutzbeauftragten gegenüber der Geschäftsleitung folgt aus der direkten Unterstellung unter die Geschäftsleitung gemäß § 4f Abs. 3 Satz 1 BDSG1.
d) Erläuterungen zu Ziffer 5.4 29
Eine Pflicht des Datenschutzbeauftragten zur jährlichen Erstellung eines Tätigkeitsberichts ist zwar dem Gesetz nicht unmittelbar zu entnehmen, ist aber gleichfalls Konsequenz aus der direkten Unterstellung unter die Geschäftsleitung2. Jede Geschäftsleitung hat sich zudem aus ihrer Gesamtverantwortung für das Unternehmen regelmäßig ein Bild über den Datenschutz und die Daten1 Simitis/Simitis, § 4f BDSG Rz. 118 m.w.N. 2 Simitis/Simitis, § 4f BDSG Rz. 115.
56
|
Henkel
Erläuterungen
Rz. 32 Teil 1 II
sicherheit im Unternehmen zu verschaffen (vgl. §§ 91 Abs. 2, 93 Abs. 1 AktG; § 43 Abs. 2 GmbHG).
e) Erläuterungen zu Ziffer 5.5 Das Gesetz legt die Art und den Umfang der Schulung nicht näher fest, so dass mangels Weisungsbefugnis des Datenschutzbeauftragten diesbezüglich Abstimmungen mit dem Auftraggeber vorgenommen werden müssen. Dies betrifft Fragen der zeitlichen Dimension und der Methodik (z.B. Präsenzveranstaltungen, E-Learning-Tools) der Schulungen. Für die Inhalte ist allerdings allein der Datenschutzbeauftragte zuständig1. Nur er vermag zu beurteilen, welche Vorschriften im Unternehmen zur Anwendung kommen, von welchen Mitarbeitern sie zu beachten sind und wer entsprechend geschult werden muss. Stets relevant sind Fragen des Beschäftigten- und Kundendatenschutzes, aber auch des Fernmeldegeheimnisses und alle Fragen der Datensicherheit, insbesondere am Arbeitsplatz. Eine nähere Ausgestaltung im Vertragstext sollte jedoch unterbleiben, zumal bei Vertragsabschluss noch keine abschließende Beurteilung des Schulungsbedarfs im Unternehmen möglich sein wird.
30
f) Erläuterungen zu Ziffer 5.6 Der betriebliche Datenschutzbeauftragte sollte nicht nur in der Lage sein, vorhandene Datenschutz-Dokumente zu prüfen, sondern auch sie zu erstellen, mit der Einschränkung gem. Punkt 6. Aufgrund der begrenzten Zuständigkeit des betrieblichen Datenschutzbeauftragten schuldet er keine komplette Ausarbeitung von Dokumenten wie z.B. Betriebsvereinbarungen, sondern nur der datenschutzrelevanten Textpassagen. Die Klausel zeigt gleichzeitig auf, dass der Datenschutzbeauftragte in diesen Angelegenheiten einzubeziehen ist.
31
g) Erläuterungen zu Ziffer 5.7 Die Prüfung der Datenflüsse an externe Empfänger besitzt in der Praxis eine hohe Priorität. Fehler können zu Rufschädigungen und Bußgeldern nach § 43 BDSG führen, insbesondere wegen Verstoßes gegen die Vorschriften zur Auftragsdatenverarbeitung nach § 11 BDSG. Nach § 11 Abs. 2 Satz 1 und 4 BDSG ist der Dienstleister als Auftragsdatenverarbeiter unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen und vor Beginn der Datenverarbeitung (sog. Erstkontrolle) und sodann regelmäßig auf Einhaltung der beim Auftragsdatenverarbeiter getroffenen technischen und organisatorischen Maßnahmen zu überprüfen. Seit dem 1.9.2009 bestehen daneben erweiterte Anforderungen an die inhaltliche Ausgestaltung der erforderlichen schriftlichen Vereinbarung zur Auftragsdatenverarbeitung (vgl. § 11 Abs. 2 Satz 2 BDSG)2. Formelle Mängel bei der vertraglichen Ausge1 Simitis/Simitis, § 4g BDSG Rz. 56. 2 S. hierzu die Muster der Auftragsdatenverarbeitungsverträge in Teil 2 I und 2 II.
Henkel
|
57
32
Teil 1 II Rz. 33
Beauftragung eines externen Datenschutzbeauftragten
staltung oder eine unterbliebene Erstkontrolle sind bußgeldbewehrt und daher in der Kontrollpraxis des Datenschutzbeauftragten sehr bedeutsam. Fraglich ist, ob der betriebliche Datenschutzbeauftragte eines Auftraggebers i.S.v. § 11 BDSG die dort verankerten Kontrollpflichten der verantwortlichen Stelle selbst erfüllen muss oder sich darauf beschränken darf, die auftraggebende Stelle auf Erfüllung dieser Kontrollpflichten zu überwachen. Letzteres dürfte zutreffend sein, da ansonsten ein Konflikt mit der Weisungsfreiheit des betrieblichen Datenschutzbeauftragten bestünde. Zwar mögen Prüfaufträge seitens der verantwortlichen Stelle gegenüber dem Datenschutzbeauftragten keine Weisungen und somit grundsätzlich zulässig sein1; eine vollständige Übertragung der Verantwortlichkeit zur Durchführung der Kontrollen gegenüber den Auftragsdatenverarbeitern würde jedoch zu einer Verlagerung der eigentlich der verantwortlichen Stelle obliegenden Pflicht führen und damit zu weit gehen. Allerdings ist das Prüfkonzept in diesem Zusammenhang mit dem Datenschutzbeauftragten abzustimmen und Prüfergebnisse ihm vorzulegen, so dass er faktisch stark in den Kontrollprozess der verantwortlichen Stelle eingebunden ist2. Auf den Datenschutzbeauftragten können jedoch nur einzelne Prüftätigkeiten übertragen werden, nicht die Kontrollaufgabe als Ganzes3. Eine Abstimmung zwischen Datenschutzbeauftragtem und verantwortlicher Stelle im Rahmen des Prüfkonzepts ist daher unerlässlich.
h) Erläuterungen zu Ziffer 5.8 33
Ein externer Datenschutzbeauftragter hat sich so zu organisieren, dass aktuelle Entwicklungen in Gesetzgebung und Rechtsprechung ihn zeitnah erreichen. Er hat zudem selbst für seine erforderliche Fachkunde zu sorgen (siehe unter 7.1, Rz. 39). Eine Unterstützungspflicht des Auftraggebers besteht, anders als gegenüber einem internen Datenschutzbeauftragten, nicht. Insoweit besteht die berechtigte Erwartung des Auftraggebers, über neue Entwicklungen vom Datenschutzbeauftragten informiert zu werden.
i) Erläuterungen zu Ziffer 5.9 34
Die Beantwortung externer Anfragen gegenüber dem betrieblichen Datenschutzbeauftragten korrespondiert mit seiner inhaltlichen Weisungsfreiheit einerseits und dem Recht der Betroffenen, sich direkt an den Datenschutzbeauftragten wenden zu können. Aufgrund vertraglicher Rücksichtnahmepflichten sollten Stellungnahmen nach Extern nicht ohne Absprache mit dem Auftraggeber erfolgen.
1 Simitis/Simitis, § 4f BDSG Rz. 124; BAG v. 13.3.2007 – 9 AZR 612/05, NJW 2007, 2507 (2508); ablehnend BeckOK DatenschutzR/Moos, § 4f Rz. 66 ff. (68) m.w.N. 2 In diesem Sinne zur Hinwirkungspflicht des betrieblichen Datenschutzbeauftragten im Rahmen der Auftragsdatenverarbeitung auch Simitis/Simitis, § 4f BDSG Rz. 39; vgl. auch Bergmann/Möhrle/Herb, § 4g Rz. 34. 3 Vgl. Gola/Schomerus, § 11 BDSG Rz. 21.
58
|
Henkel
Erläuterungen
Rz. 37 Teil 1 II
j) Erläuterungen zu Ziffer 5.10 Betriebsrat und Datenschutzbeauftragter haben vielfältige Berührungspunkte: Beide sind sie zuständig für die Überwachung der Einhaltung von Vorschriften zum Beschäftigtendatenschutz und unterstützen sich gegenseitig im Rahmen ihrer Aufgabenerfüllung1. Unstreitig sind Arbeitnehmervertretungen und die Arbeitgeberseite auch berechtigt, dem Datenschutzbeauftragten Prüfaufträge vorzulegen2. Insoweit besteht auch eine Verpflichtung des Datenschutzbeauftragten, sich dieser Datenschutzanfragen anzunehmen. Wie er die Zusammenarbeit im Einzelnen ausgestaltet, insbesondere welcher Informationsaustausch stattfindet, liegt im Ermessen des Datenschutzbeauftragten, der sich insoweit auf seine Weisungsfreiheit im Verhältnis zum Auftraggeber berufen kann. Eine Kontrolle des Betriebsrats durch den Datenschutzbeauftragten kommt nach einer Entscheidung des BAG nicht in Betracht3.
35
8. Erläuterungen zu Ziffer 6 E 6. Beschränkung der Beratungs- und Prüfpflichten
36
Die Beratungs- und Prüfpflichten des Auftragnehmers gehen vor allem in technischer und rechtlicher Hinsicht qualitativ nur soweit, wie es der Ausbildungs- und Qualifikationsstand sowie das finanzielle und zeitliche Budget des Auftragnehmers erwarten lassen. Der Auftragnehmer hat jedoch die Pflicht, dem Auftraggeber unverzüglich anzuzeigen, wenn bestimmte Aufgabenstellungen eine Prüfung durch besonders qualifizierte Experten (wie z.B. Rechtsexperten, IT-Fachleute, Mathematiker oder Betriebswirtschaftler) erforderlich machen. In solchen Fällen stimmen die betreffenden Unternehmen das weitere Vorgehen mit dem Auftragnehmer gemeinsam ab. Die Kosten für derartigen zusätzlichen Beratungsaufwand trägt der Auftraggeber. Datenschutz ist eine Querschnittsmaterie und konfrontiert den Datenschutzbeauftragten mit unterschiedlich tiefgehenden Fragestellungen insbesondere aus den weiten Bereichen Recht und Technik. Der Datenschutzbeauftragte vermag aufgrund seiner Berufsausbildung und -erfahrung diese Anforderungen regelmäßig nicht in Gänze abzudecken4. Er hat meistens entweder seine Stärken im rechtlichen oder technischen Bereich, selten auf beiden Gebieten. Diesen Punkt greift die Klausel auf und verlagert das Kostenrisiko des zusätzlichen Beratungsaufwands aufgrund spezieller Fragestellungen auf den Auftraggeber.
1 2 3 4
Zum Verhältnis BR/DSB s. Simitis/Simitis, § 4g BDSG Rz. 8 f. Simitis/Simitis, § 4f BDSG Rz. 124. BAG v. 11.11.1997 – 1 ABR 21/97, AP Nr. 1 zu § 36 BDSG. Das Leitbild zum betrieblichen Datenschutzbeauftragten vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. vermittelt freilich ein anderes Bild, s. https://www.bvdnet.de/fileadmin/BvD_eV/pdf_und_bilder/leitbild/bvd-leitbild-2011.pdf (Stand: 21.12.2012).
Henkel
|
59
37
Teil 1 II Rz. 38
Beauftragung eines externen Datenschutzbeauftragten
9. Erläuterungen zu Ziffer 7 38
E 7. Fachkunde und Zuverlässigkeit 7.1 Der Auftragnehmer sichert unter Berücksichtigung von Punkt 6 des Vertrags zu, über die für die Aufgabenwahrnehmung als betrieblicher Datenschutzbeauftragter erforderliche Fachkunde zu verfügen. Er verpflichtet sich, die nötige Fachkunde ggf. durch den Besuch von Fort- und Weiterbildungsveranstaltungen auch während der Laufzeit des Vertrags zu erhalten. Etwaige Kosten zum Erhalt der Fachkunde sind mit dem vereinbarten Honorar pauschal abgegolten. 7.2 Die zur rechtmäßigen Bestellung gesetzlich geforderte Zuverlässigkeit des betrieblichen Datenschutzbeauftragten sichert der Auftragnehmer zu. Hierzu erklärt der Auftragnehmer, dass er über keine Informationen verfügt, die Zweifel an seiner Zuverlässigkeit begründen könnten. Sollten nachträglich Zweifel an der nötigen Zuverlässigkeit des Auftragnehmers aufkommen, unterliegt der Auftragnehmer einer unverzüglichen Hinweispflicht gegenüber dem Auftraggeber. 7.3 Der nachträgliche Wegfall der Fachkunde und Zuverlässigkeit berechtigt den Auftraggeber zur sofortigen Abberufung des Auftragnehmers als betrieblichen Datenschutzbeauftragten.
a) Erläuterungen zu Ziffer 7.1 39
Der Präambel zufolge konnte sich der Auftragnehmer ein Bild über die Verarbeitung personenbezogener Daten beim Auftraggeber verschaffen. Er vermag daher am ehesten zu beurteilen, ob seine Fachkunde ausreichend ist, um die Funktion als Datenschutzbeauftragter für das jeweilige Unternehmen zu übernehmen. Seine in der Klausel enthaltende Zusicherung wird dem gerecht. Der betriebliche Datenschutzbeauftragte muss seine Fachkunde stets den aktuellen Anforderungen und Entwicklungen anpassen. Hierfür sieht das Gesetz eine Kostenübernahmepflicht der verantwortlichen Stelle vor, die vom Wortlaut auch im Verhältnis zum externen Datenschutzbeauftragten gilt (vgl. § 4f Abs. 3 Satz 7 BDSG). Aus Sicht der Datenschutzaufsichtsbehörden kann bei der Bestellung von externen Datenschutzbeauftragten die Fortbildung Bestandteil der vereinbarten Vergütung sein1. Die Klausel nimmt diesen richtigen Gedanken auf.
b) Erläuterungen zu Ziffer 7.2 40
Neben der Fachkunde muss der Datenschutzbeauftragte die nötige Zuverlässigkeit mitbringen (vgl. § 4f Abs. 2 Satz 1 BDSG). Die Frage nach Interessenkollision steht dabei im Vordergrund2. Eine Tätigkeit des Auftraggebers für direkte 1 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 24./25. November 2010), S. 3. 2 Plath/v. d. Bussche, § 4f BDSG Rz. 31; Taeger/Gabel/Scheja, § 4f BDSG Rz. 68.
60
|
Henkel
Erläuterungen
Rz. 41 Teil 1 II
Wettbewerber kann eine Interessenkollision bedeuten und sollte daher gegenüber dem Auftraggeber offengelegt werden1. Weitere Interessenkollisionen können sich aus der Übernahme weiterer, mit der Aufgabe als Datenschutzbeauftragter unvereinbarer Aufgaben für den Auftraggeber ergeben. So ist es bspw. einem externen IT-Dienstleister, der in dieser Funktion über weitreichende Zugriffsrechte und Einflussmöglichkeiten zur Verwendung personenbezogener Daten verfügt, nicht erlaubt, zusätzlich die Funktion als betrieblicher Datenschutzbeauftragter einzunehmen. Handelt es sich bei dem ITDienstleister um eine juristische Person, wird dieses Problem nicht selten dadurch versucht zu umgehen, in dem nicht die juristische Person, sondern ein Mitarbeiter dieser Gesellschaft zum Datenschutzbeauftragten bestellt wird, der in eigener Person über diese Rolle hinaus keine IT-Dienste für den Kunden und Auftraggeber erbringt. Aufgrund der Tatsache, dass das Grundverhältnis (Dienstleistungsvertrag) zwischen den Unternehmen besteht und der bestellte Datenschutzbeauftragte seine Tätigkeit als (weisungsabhängiger) Mitarbeiter des IT-Dienstleisters erbringt, wird das Problem der Interessenkollision allerdings nicht beseitigt, sondern allenfalls verlagert. Für einen solchen Datenschutzbeauftragten könnte sich zum einen die Konstellation ergeben, seinen Arbeitgeber gegenüber dem Auftraggeber wegen Datenschutzverstöße anzeigen zu müssen, was einen Loyalitätskonflikt bedeuten würde; zum anderen weiß ein solcher Datenschutzbeauftragter, dass eine allzu kritische Haltung in Datenschutzfragen das Rechtsverhältnis zwischen seinem Arbeitgeber und dem Auftraggeber insgesamt stark belasten kann, mit potentiell negativen Folgen auch für sein Arbeitsverhältnis2. Die Literatur sieht es außerdem sehr kritisch, wenn ein externer betrieblicher Datenschutzbeauftragter weitere Aufträge der verantwortlichen Stelle erhält, auch wenn sie keine datenschutzrechtlichen Implikationen beinhalten3.
c) Erläuterungen zu Ziffer 7.3 Fachkunde und Zuverlässigkeit gehören zu den gesetzlichen Bestellungsvoraussetzungen, die stets erfüllt sein müssen. Fallen sie nachträglich weg, darf die Bestellung nicht aufrechterhalten sein; es darf also abberufen werden. Nach Punkt 11.3 des Vertragsmusters würde der Vertrag gleichzeitig mit Abberufung des Auftragnehmers enden. Im Übrigen würde wegen fehlender Fachkunde und Zuverlässigkeit ein wichtiger Grund für eine außerordentliche Kündigung nach 11.4 des Vertragsmusters vorliegen.
1 Simitis/Simitis, § 4f Rz. 47. 2 Vgl. hierzu Gola/Schomerus, § 4f BDSG Rz. 24a, 25, der diese Konstellation für zulässig hält, wenn arbeitsvertraglich die Weisungsfreiheit und der Freistellungsanspruch des Datenschutzbeauftragten sichergestellt ist. 3 Vgl. so Bergmann/Möhrle/Herb, § 4f BDSG Rz. 111; anders Taeger/Gabel/Scheja, § 4f BDSG Rz. 70.
Henkel
|
61
41
Teil 1 II Rz. 42
Beauftragung eines externen Datenschutzbeauftragten
10. Erläuterungen zu Ziffer 8 42
E 8. Verschwiegenheitspflicht 8.1 Der Auftragnehmer ist verpflichtet, über alle Informationen zum Auftraggeber, die dem Auftragnehmer im Zusammenhang mit der Erledigung seiner Aufgaben zur Kenntnis gelangen, Stillschweigen zu bewahren. 8.2 Die Verschwiegenheitspflicht besteht nicht, wenn und soweit der Auftragnehmer vom Auftraggeber schriftlich von dieser Verpflichtung entbunden wurde. 8.3 Die Verschwiegenheitspflicht besteht auch dann nicht, 8.3.1 soweit die Offenlegung von Informationen zur Wahrung berechtigter Interessen des Auftragnehmers auch unter Berücksichtigung etwaiger entgegenstehender Interessen des Auftraggebers unerlässlich ist; 8.3.2 soweit der Auftragnehmer nach den Versicherungsbedingungen seiner Berufshaftpflicht zur Information und Mitwirkung verpflichtet ist; 8.3.3 soweit der Auftragnehmer gesetzlich zur Offenbarung verpflichtet ist, insbesondere gegenüber Aufsichtsbehörden oder berufsständischen Kammern, oder 8.3.4 soweit der Auftragnehmer in seiner Eigenschaft als betrieblicher Datenschutzbeauftragter gem. § 4g Abs. 1 Satz 2 und 3 BDSG zur Einschaltung der Aufsichtsbehörde berechtigt ist. 8.4 Diese Verschwiegenheitspflicht des Auftragnehmers besteht über die Dauer des Vertragsverhältnisses fort. 8.5 Mitarbeiter und weitere Erfüllungsgehilfen des Auftragnehmers sind im gleichen Umfang wie der Auftragnehmer selbst zur Verschwiegenheit zu verpflichten. Der Auftragnehmer weist dies auf Verlangen des Auftraggebers nach. 8.6 Unberührt von den vorstehenden Regelungen bleiben die besonderen Verschwiegenheitsverpflichtungen des betrieblichen Datenschutzbeauftragten zum Schutz des Betroffenen nach § 4f Abs. 4 und Abs. 4a BDSG. 8.7 Soweit nach den vorstehenden Regelungen eine Befreiung von der Verschwiegenheitspflicht vereinbart ist, gelten diese gleichzeitig als Befreiung von etwaigen gesetzlichen Auskunfts- und Aussageverweigerungsrechten (z.B. nach § 102 AO, § 53 StPO, § 383 ZPO).
a) Erläuterungen zu Ziffer 8.1, 8.2 und 8.4 43
Die Klauseln enthalten die für Beratungsverträge üblichen Verschwiegenheitspflichten, die auch nach Beendigung des Vertrags fortbestehen. Abgesehen von den Ausnahmefällen des 8.3 kann der Auftraggeber hiervon befreien, wobei aus Gründen der Nachweisbarkeit Schriftform vereinbart werden sollte. 62
|
Henkel
Erläuterungen
Rz. 48 Teil 1 II
b) Erläuterungen zu Ziffer 8.3.1 Die Klausel sieht eine Ausnahme von der Verschwiegenheitspflicht nach Interessenabwägung vor, bspw. im Rahmen von Rechtsstreitigkeiten des Auftragnehmers.
44
c) Erläuterungen zu Ziffer 8.3.2 Aufgrund der nach dem Vertrag bestehenden Verpflichtung des Auftragnehmers zum Abschluss und zur Aufrechterhaltung einer Berufshaftpflichtversicherung muss es dem Auftragnehmer ermöglicht werden, im Versicherungsfall die erforderlichen Informationen an den Versicherer zu geben.
45
d) Erläuterungen zu Ziffer 8.3.3 und 8.3.4 Der externe betriebliche Datenschutzbeauftragte unterliegt unter Umständen der staatlichen Aufsicht. Außerdem kann er sich nach seinem Ermessen (vgl. § 4g Abs. 2 Satz 2 BDSG) an die Aufsichtsbehörde nach § 38 BDSG wenden. Nach § 4d Abs. 6 Satz 3 BDSG ist er bei einer Vorabkontrolle im Zweifelsfall sogar verpflichtet, die Aufsichtsbehörde einzuschalten. Diese gesetzlich geregelten Beziehungen des Datenschutzbeauftragten zur staatlichen Aufsicht einschließlich berufsständischen Kammern sind nach den Vertragsklauseln als Ausnahmen von der Verschwiegenheitspflicht geregelt.
46
e) Erläuterungen zu Ziffer 8.5 Wegen der vertraglich eingeräumten Möglichkeit des Einsatzes eigener Mitarbeiter oder fachkundiger Dritter ist die Verschwiegenheitspflicht auf diese Personen zu erweitern. Die Einhaltung dieser Pflicht des Auftragnehmers muss für die Auftraggeber kontrollierbar sein, so dass eine entsprechende vertragliche Nachweispflicht des Auftragnehmers angezeigt ist.
47
f) Erläuterungen zu Ziffer 8.6 Nicht abdingbar sind die gesetzlichen Schweigepflichten des Datenschutzbeauftragten gegenüber dem Betroffenen (§ 4f Abs. 4 BDSG)1. Gleiches gilt für Datenschutzbeauftragte, die Kenntnis von Daten erhalten, die einem Berufsgeheimnis unterfallen (vgl. § 4f Abs. 4a BDSG). Diese Bestimmung steht im Zusammenhang insbesondere mit § 203 StGB, der für diverse Berufsträger wie u.a. Ärzte und Anwälte eine strafbewehrte Schweigepflicht vorsieht. Der betriebliche Datenschutzbeauftragte bspw. in Anwaltskanzleien und Krankenhäusern unterliegt gem. § 203 Abs. 2a StGB der gleichen Schweigepflicht2. Die Vertragsklauseln stellen dies klar.
1 Näheres zur Verschwiegenheitspflicht des betrieblichen Datenschutzbeauftragten BeckOK DatenschutzR/Moos, § 4f Rz. 101 ff. 2 Näheres s. BeckOK DatenschutzR/Moos, § 4f Rz. 110 ff.
Henkel
|
63
48
Teil 1 II Rz. 49
Beauftragung eines externen Datenschutzbeauftragten
g) Erläuterungen zu Ziffer 8.7 49
Nicht selten üben Berufsgeheimnisträger wie z.B. Rechtsanwälte die Funktion als Datenschutzbeauftragter aus. Die Aufrechterhaltung dieser sehr weitreichenden Geheimhaltungspflichten (siehe § 203 StGB) würde ihn in seinem Wirken als Datenschutzbeauftragter zulasten des/der Betroffenen einschränken. Die Klausel 8.7 stellt klar, dass die Ausnahmen von der vertraglichen Verschwiegenheitspflicht gleichzeitig Befreiungen von der Berufsgeheimnispflicht darstellen.
11. Erläuterungen zu Ziffer 9 50
E 9. Vergütung 9.1 Als Pauschalhonorar wird ein jährlicher Betrag von … Euro (in Worten: … Euro) zuzüglich der jeweils geltenden gesetzlichen Mehrwertsteuer von derzeit 19 % vereinbart. 9.2 Bei der Bemessung des Pauschalhonorars gehen die Vertragsparteien davon aus, dass der jährliche Zeitaufwand des Auftragnehmers im Durchschnitt … Personentage nicht überschreitet. Ergeben sich nachträglich wesentliche Abweichungen vom anfänglich prognostizierten Zeitaufwand, nehmen die Vertragsparteien eine entsprechende Vertragsanpassung vor. 9.3 Falls zur Erfüllung der von dem Auftragnehmer mit diesem Vertrag übernommenen Tätigkeit Reisen erforderlich sind, werden die Reisekosten gegen Nachweis nach tatsächlichem Aufwand erstattet. 9.4 Sämtliche (ggf. anteilige) Pauschalhonorare nach Abs. 1 werden jeweils zum Beginn eines Kalendervierteljahres für das laufende Quartal im Voraus fällig. Die Auftraggeberin nimmt die Zahlung spätestens zwei Wochen nach Erhalt einer vom Auftragnehmer ausgestellten Rechnung vor. 9.5 Sämtliche Beträge sind auf folgendes Konto zu überweisen: Konto-Nr.: … BLZ: … Bank: … Alternative bei zeitabhängigem Honorar: Der Auftragnehmer erhält für seine Tätigkeit eine Vergütung auf Basis von Stundensätzen. Der vereinbarte Stundensatz beträgt … Euro (in Worten: … Euro) zuzüglich der gesetzlichen Mehrwertsteuer von derzeit 19 %. Die erfassten Zeiten werden jeweils auf volle fünf Minuten aufgerundet. Erforderliche Reisezeiten einschließlich Wartezeiten werden lediglich mit dem halben Stundensatz berechnet. Der Auftragnehmer wird Aufzeichnungen über die geleistete Arbeitszeit führen und mit den Rechnungen zur Verfügung stellen. Die Aufzeichnungen dürfen angesichts der Verschwiegenheitspflicht des Auftragnehmers keine Rückschlüsse auf Betroffene zulassen. 64
|
Henkel
Erläuterungen
Rz. 55 Teil 1 II
Die jeweils geleisteten Stunden werden sofort fällig und zum Monatsende in Rechnung gestellt. Der Auftragnehmer behält sich vor, weitere Leistungen erst zu erbringen, wenn die Rechnung durch Zahlung anerkannt worden ist.
a) Erläuterungen zu Ziffer 9.1–9.5 Die Vereinbarung einer auf einer anfänglichen Schätzung basierenden pauschalen Vergütung in Verbindung mit der Regelung in 3.2 zur persönlichen Anwesenheit des Datenschutzbeauftragten in den Räumlichkeiten des Auftraggebers hat verschiedene Vorteile für beide Seiten. Vor allem verschafft es den Vertragspartnern Kostentransparenz und befreit von bürokratischem Ballast der Nachweislegung zu den einzelnen Tätigkeiten. Nebenbei wird für den Auftraggeber ein Anreiz gesetzt, für den finanziellen Aufwand entsprechende Leistungen beim Datenschutzbeauftragten auch abzurufen. Durch Vereinbarung persönlicher Anwesenheitspflichten vor Ort ist das Risiko einer weitgehenden Untätigkeit des Datenschutzbeauftragten minimiert.
51
Die in den Klauseln enthaltene Vergütungssystematik sieht eine gleichbleibende quartalsweise Zahlung im Voraus vor. Eine in der Praxis häufig anzufindende Staffelung in Form eines erhöhten Aufwands im ersten Jahr und Herabstufung in der Folgezeit erscheint problematisch, da die zukünftige Entwicklung des erforderlichen Aufwands kaum vorhergesehen werden kann, jedenfalls nicht über Jahre hinweg. Alternativ sollte eine aufwandsbezogene Abrechnung verhandelt werden (siehe nachfolgende Alternativklausel).
52
Trotz oder gerade wegen der Pauschalvergütung sollten die Vertragsparteien den prognostizierten zeitlichen Aufwand im Vertrag aufnehmen (siehe 9.2). Es macht aus Sicht des Auftragnehmers Sinn, seine Tätigkeiten mit dem jeweiligen zeitlichen Aufwand zu dokumentieren, um frühzeitig eine Abweichung von der anfänglichen Aufwandsschätzung erkennen zu können. Ggf. ist bei einer deutlichen Abweichung nachzuverhandeln.
53
b) Erläuterungen zur Alternativklausel Die Vereinbarung eines rein zeitabhängigen Honorars erscheint auf den ersten Blick fair. Es wird nur vergütet, was auch geleistet wurde. Probleme entstehen jedoch vor allem dann, wenn der Auftraggeber aus welchen Gründen auch immer die Zusammenarbeit mit dem Datenschutzbeauftragten „schleifen“ lässt und das Entstehen von Aufwand verhindert bzw. verzögert. Eine solche Haltung des Auftraggebers würde durch entsprechende Kosteneinsparung auch noch belohnt, obwohl der Auftragnehmer stets das Amt als Datenschutzbeauftragter mit der damit verbundenen Verantwortung innehat.
54
Sollte eine zeitabhängige Vergütung auf Nachweis vereinbart werden, sollte klargestellt werden, dass die Tätigkeitsnachweise im Hinblick auf die Verschwiegenheitspflicht des Datenschutzbeauftragten aus § 4f Abs. 4 BDSG keine Rückschlüsse auf die Person des Betroffenen enthalten dürfen. Die Wahl des Vergütungsmodells darf sich auch nicht negativ auf die Unabhängigkeit
55
Henkel
|
65
Teil 1 II Rz. 56
Beauftragung eines externen Datenschutzbeauftragten
und Weisungsfreiheit des betrieblichen Datenschutzbeauftragten auswirken1. Nach Ansicht der Datenschutzaufsichtsbehörden sollte daher ein angemessenes Zeitbudget konkret vereinbart werden2. Zwingend ist dies jedoch nicht und hindert vor allem nicht an einer dem tatsächlichen Aufwand entsprechenden Honorierung. Wichtig ist, dass der betriebliche Datenschutzbeauftragte selbst (weisungsfrei) entscheidet, wann er was und in welchem Umfang tun möchte. Dies ist u.a. in 3.1 des Mustervertrags verankert.
12. Erläuterungen zu Ziffer 10 56
E 10. Haftung 10.1 Der Auftragnehmer haftet gegenüber dem Auftraggeber für eigenes Verschulden und für das Verschulden eigener Mitarbeiter und sonstiger Erfüllungsgehilfen. 10.2 Der Auftragnehmer hat eine Berufshaftpflichtversicherung mit einer Deckungssumme von … Euro pro Einzelfall abgeschlossen. Er verpflichtet sich, die Versicherung in dieser Höhe mindestens für die Dauer dieses Vertragsverhältnisses aufrechtzuerhalten. Der Auftraggeber ist berechtigt, jederzeit einen entsprechenden Nachweis zu verlangen. 10.3 In einem Haftpflichtfall kann der Auftragnehmer nur bis zur Höhe der in 10.2 benannten Deckungssumme in Anspruch genommen werden. Wegen eines weitergehenden Schadens wird eine Haftung des Auftragnehmers hiermit ausdrücklich ausgeschlossen. 10.4 Der Schadenersatzanspruch ist innerhalb von sechs Monaten geltend zu machen, nachdem der Auftraggeber von dem Schaden Kenntnis erlangt hat.
a) Erläuterungen zu Ziffer 10.1 57
10.1 sieht dem Grunde nach keine Haftungsbeschränkung vor. Der Auftragnehmer haftet für jede eigene Fahrlässigkeit oder eigenen Vorsatz wie für das Verschulden seiner Erfüllungsgehilfen (vgl. §§ 280, 276, 278 BGB). Die häufig vorkommende Haftungsbeschränkung auf grobe Fahrlässigkeit und Vorsatz ist zwar im gewissen Rahmen zulässig. Der Auftragnehmer beraubt sich damit allerdings eines guten Verkaufsarguments im Verhältnis zum internen Datenschutzbeauftragten, der als Arbeitnehmer haftungsprivilegiert ist nach den Grundsätzen der Arbeitnehmerhaftung.
b) Erläuterungen zu Ziffer 10.2 und 10.3 58
Eine Haftungsbeschränkung sollte lediglich der Höhe nach vorgenommen werden und zwar in dem Umfang einer bestehenden Berufshaftpflichtversiche1 Vgl. BeckOK DatenschutzR/Moos, § 4f Rz. 73. 2 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 24./25. November 2010), III Nr. 4, S. 3.
66
|
Henkel
Erläuterungen
Rz. 61 Teil 1 II
rung, die während der Laufzeit des Vertrags aufrechterhalten und ggf. nachgewiesen werden muss.
c) Erläuterungen zu Ziffer 10.4 Auch in zeitlicher Hinsicht sollte eine Haftungsbeschränkung vorgenommen werden. Eine Ausschlussfrist von sechs Monaten ab Kenntnis vom Schaden erscheint angemessen.
59
13. Erläuterungen zu Ziffer 11 E 11. Vertragslaufzeit und Abberufung
60
11.1 Der Vertrag wird zunächst für eine Mindestdauer von einem Jahr abgeschlossen. 11.2 Die Vertragslaufzeit verlängert sich jeweils um weitere vier Jahre, wenn der Vertrag nicht von einer Vertragspartei unter Einhaltung einer Kündigungsfrist von zwei Monaten zum Ende der jeweiligen Mindestvertragslaufzeit schriftlich gekündigt wird. 11.3 Im Übrigen endet der Vertrag in dem Fall einer wirksamen Abberufung des Auftragnehmers als betrieblicher Datenschutzbeauftragter oder einer Amtsniederlegung durch den Auftragnehmer. Wie die Abberufung darf auch eine Amtsniederlegung nur aus wichtigem Grund und schriftlich erfolgen. 11.4 Das Recht zur außerordentlichen Kündigung des Vertrags bleibt unberührt. 11.5 Im Falle einer wirksamen schriftlichen Kündigung des Vertrags wird zum Ende des Vertrags auch das Bestellungsverhältnis beendet, ohne dass es einer expliziten Erklärung zur Abberufung oder Amtsniederlegung bedarf. 11.6 Entfällt für den Auftraggeber nach Vertragsabschluss dauerhaft die gesetzliche Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten, besteht für beide Vertragsparteien das Recht zur außerordentlichen Kündigung des Vertrags.
a) Erläuterungen zu Ziffer 11.1 und 11.2 Externe betriebliche Datenschutzbeauftragte unterliegen keinem besonderen Kündigungsschutz. Eine Befristung ist ebenso zulässig wie die hier favorisierte Vereinbarung einer Mindestvertragslaufzeit1. Die Dauer der Befristung oder Vertragslaufzeit muss mit einer unabhängigen Wahrnehmung der Aufgaben als Datenschutzbeauftragter kompatibel sein, darf also nicht zu kurz sein. Die Vertragsklausel ist einer Empfehlung des Düsseldorfer Kreises nachgebildet, die 1 S. Simitis/Simitis, § 4f BDSG Rz. 61; ablehnend zur Mindestvertragslaufzeit Taeger/ Gabel/Scheja, § 4f BDSG Rz. 38.
Henkel
|
67
61
Teil 1 II Rz. 62
Beauftragung eines externen Datenschutzbeauftragten
grundsätzlich eine Mindestvertragslaufzeit von vier Jahren vorsieht, bei Erstverträgen allerdings wegen der Notwendigkeit der Überprüfung der Eignung grundsätzlich eine Vertragslaufzeit von ein bis zwei Jahren gestattet1.
b) Erläuterungen zu Ziffer 11.3 62
Die Klausel sieht eine Akzessorietät zwischen bestehendem Amt als betrieblicher Datenschutzbeauftragter und Wirksamkeit des Vertrags vor. Der Vertrag endet somit automatisch mit wirksamer Abberufung oder Amtsniederlegung. Anders als die Abberufung ist die Amtsniederlegung gesetzlich nicht geregelt. Eine Amtsniederlegung sollte nur aus wichtigem Grund möglich sein. Im Übrigen gelten die vertraglichen Kündigungsfristen.
c) Erläuterungen zu Ziffer 11.4 63
Bei Dienstleistungsverträgen besteht gesetzlich die Möglichkeit der außerordentlichen Kündigung aus wichtigem Grund nach §§ 626, 627 BGB.
d) Erläuterungen zu Ziffer 11.5 64
Wird der Vertrag vom Auftraggeber wirksam gekündigt, stellt dies einen wichtigen Grund für eine Abberufung dar. Die Kündigungserklärung enthält nach richtiger Auffassung in einem solchen Fall gleichzeitig auch die Abberufungserklärung. Gleiches gilt bei einer Kündigung durch den Auftragnehmer, die gleichzeitig als Amtsniederlegung zu deuten wäre. Um jeden Zweifel daran von vornherein vorzubeugen, ist diese Frage explizit in 11.5 aufgenommen worden.
e) Erläuterungen zu Ziffer 11.6 65
Sollten die Schwellenwerte aus § 4f Abs. 1 Satz 3 f. BDSG beim Auftraggeber dauerhaft unterschritten werden, endet das Bestellungsverhältnis sofort. Dennoch wird in der Literatur ein Widerruf der Bestellung gefordert, um für den Datenschutzbeauftragten keine Ungewissheit aufkommen zu lassen2. Es erscheint angemessen, für diesen Fall ein Recht zur außerordentlichen Kündigung des Vertrags zu vereinbaren, welche nach 11.5 gleichzeitig eine Abberufung/Amtsniederlegung beinhalten würde.
14. Erläuterungen zu Ziffer 12 66
E 12. Schlussbestimmungen 12.1 Nebenabreden zu diesem Vertrag bestehen nicht. Änderungen des Vertrags bedürfen der Schriftform. 1 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 24./25. November 2010), S. 2. 2 Zum Meinungsstand vgl. Simitis/Simitis, § 4f BDSG Rz. 17; Gola/Schomerus, § 4f BDSG Rz. 16; Taeger/Gabel/Scheja, § 4f BDSG Rz. 53; BeckOK DatenschutzR/Moos, § 4f BDSG Rz. 80; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 64.
68
|
Henkel
Erläuterungen
Rz. 68 Teil 1 II
12.2 Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, wird dadurch die Wirksamkeit der übrigen Regelungen nicht berührt. Die Vertragspartner verpflichten sich, unwirksame Bestimmungen durch Regelungen zu ersetzen, die dem ursprünglich verfolgten Zweck so nahe wie möglich kommen und deren Wirksamkeit keine Bedenken entgegenstehen. Das Gleiche gilt für den Fall von Vertragslücken. 12.3 Ändern sich abgesehen von der Bestellpflicht die gesetzlichen Bestimmungen zum betrieblichen Datenschutzbeauftragten (z.B. hinsichtlich seiner Rechte und Pflichten, Stellung im Unternehmen) werden die Vertragsparteien die entsprechenden vertraglichen Anpassungen einvernehmlich vornehmen.
a) Erläuterungen zu Ziffer 12.1 und 12.2 Die Schlussklauseln in 12.1 und 12.2 enthalten die üblichen Regelungen zur Vollständigkeit der vertraglichen Absprachen, zur erforderlichen Form von Vertragsänderungen sowie zum eventuellen Fall der Unwirksamkeit einzelner Klauseln (Salvatorische Klausel).
67
b) Erläuterungen zu Ziffer 12.3 12.3 regelt die Pflicht zur Vertragsanpassung, sollten sich die inhaltlichen gesetzlichen Vorgaben zum betrieblichen Datenschutzbeauftragten ändern. Dies könnte schon durch Verabschiedung der derzeit verhandelten Europäischen Datenschutz-Grundverordnung geschehen1.
1 S. Art. 35–37 Entwurf der Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) vom 25.1.2012, abrufbar unter http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:DE:PDF.
Henkel
|
69
68
III. Vertrag über die Durchführung eines Datenschutzaudits Literaturverzeichnis: Bäumler, Datenschutzaudit und Gütesiegel in Schleswig-Holstein, DuD 2001, 251; Bergmann/Möhrle/Herb, Datenschutzrecht, Loseblattwerk, Stand 46. Ergänzungslieferung 2013; Bock, EuroPriSe Trust Certification, DuD 2008, 1; Bock/ Rost, Privacy by Design und die Neuen Schutzziele, DuD 2011, 30; Büdenbender, Der Werkvertrag, JuS 2001, 625; Dorschel, IT-Sicherheit und Datenschutz in der Vertragsgestaltung, DSRI-Tagungsband 2010, 651; Intveen, Geheimhaltungsvereinbarungen bei IT-Projekten, ITRB 2007, 239; Königshofen, Chancen und Risiken eines gesetzlich geregelten Datenschutzaudits, DuD 2000, 357; Meissner, Das Datenschutzgütesiegel EuroPriSe, ADV-Mitteilungen 2009, 7; Meissner, Datenschutzgütesiegel als vertrauensbildende Maßnahme am Beispiel des europäischen EuroPriSe-Zeichens, in: Bogendorfer (Hrsg.), Datenschutzgespräche 2011 – Datenschutz im Unternehmen, S. 95; Meissner, Zertifizierungskriterien für das Datenschutzgütesiegel EuroPriSe, DuD 2008, 525; Plath, BDSG, 2013; Prütting/Wegen/Weinreich, BGB Kommentar, 8. Aufl. 2013; Roßnagel, Datenschutzaudits, 2000; Roßnagel, Datenschutz-Audit, DuD 1997, 505; Roßnagel, Audits stärken Datenschutzbeauftragte. Replik zum Beitrag „Datenschutz-Audit“ von Drews und Kranz, DuD 2000, 231; Rost, Standardisierte Datenschutzmodellierung, DuD 2012, 47; Schläger/Stutz, ips – Das Datenschutz-Zertifikat für Online-Dienste, DuD 2003, 406; Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2012; Schröder, Datenschutzaudit als Element der Selbstregulierung, DSRITB 2012, 635; Söbbing: Die rechtliche Betrachtung von IT-Projekten – Rechtliche Fragestellungen in den unterschiedlichen Phasen eines IT-Projekts, MMR 2010, 222; Leupold/Glossner, Münchener Anwaltshandbuch IT-Recht, 2. Aufl. 2011; Taeger/Gabel, Kommentar zum BDSG, 2010; Wolff/Brink, Beck’scher OnlineKommentar Datenschutzrecht, Stand 1.2.2013 (zit.: BeckOK DatenschutzR/Bearbeiter).
A. Einleitung 1
Die Durchführungen von Audits sind ein gängiges Instrument, mit dem Unternehmen bzw. allgemein verantwortliche Stellen versuchen, Rechtskonformität oder eine Konformität mit bestimmten Standards zu überprüfen und sie im Anschluss intern oder extern darzustellen. Nach zunächst guten Erfahrungen mit Umweltaudits hat es dann 2001 mit einer Novellierung des BDSG seitens des Gesetzgebers die Idee gegeben, auch im Datenschutzbereich das Instrument eines Audits einzuführen. Ähnlich wie im Umweltschutzbereich gab und gibt es auch im Datenschutzsektor ein sog. Vollzugsdefizit. Das bedeutet – vereinfacht formuliert –, dass die Normadressaten sowohl im Umweltschutz- wie auch im Datenschutzbereich häufig nicht oder nicht vollständig die jeweiligen Verpflichtungen umsetzen, auf der anderen Seite jedoch staatlicherseits die Möglichkeiten fehlen, Rechtsverstöße aufzudecken oder zu ahnden. Durch diese Möglichkeit einer freiwilligen Methode, Rechtskonformität zu überprüfen nach außen darstellen zu können, hat der Gesetzgeber eine Möglichkeit der Selbstregulierung für die Daten verarbeitenden Stellen geschaffen1. 1 Vgl. Plath/Plath, § 9a BDSG Rz. 2; Schröder, DSRITB 2012, 635; BeckOK Datenschutz/ Schantz, § 9a BDSG Rz. 3; Simitis/Scholz, § 9a BDSG Rz. 5
70
|
Hansen-Oest
Vertrag über die Durchführung eines Datenschutzaudits
Rz. 7 Teil 1 III
Ziel eines Datenschutzaudits ist es dabei auch, durch die Prüfung der Datenverarbeitungsvorgänge im Unternehmen eine kontinuierliche Verbesserung des Datenschutzes im Unternehmen zu erreichen1.
I. Datenschutzaudits Das Datenschutzaudit nach § 9a BDSG sieht vor, dass sowohl Daten verarbeitende Stellen als auch Anbieter von Datenverarbeitungssystemen/-programmen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen können. Ferner kann das Ergebnis der Prüfung veröffentlicht werden.
2
§ 9a BDSG stellt rechtstechnisch eine sog. „Programmnorm“ dar2. Das bedeutet, dass die näheren Anforderungen und Vorgaben zum Datenschutzaudit3 und zur Akkreditierung von Gutachtern durch ein besonderes Gesetz geregelt werden sollen. Obwohl es die Norm schon seit 2001 im Gesetz gibt, hat der Gesetzgeber es bis dato nicht geschafft, ein entsprechendes Audit-Gesetz zu verabschieden. Ein im Jahre 2009 dem Bundestag zur Beratung zugeleiteter Entwurf eines Bundesdatenschutzauditgesetzes konnte trotz der damals intensiv diskutierten Novellierung des BDSG nicht verabschiedet werden4.
3
Ende 2012 hat die Bundesregierung die „Stiftung Datenschutz“ errichtet, die den Auftrag hat, Produkte und Dienstleistungen auf Datenschutzfreundlichkeit zu prüfen und – neben weiteren Aufgaben im Bereich der Bildung – ein Datenschutzaudit zu entwickeln. Bis heute gibt es jedoch noch kein finales Konzept für ein Datenschutzaudit.
4
Im Bereich des Datenschutzes wird generell zwischen Produktaudits und Verfahrensaudits unterschieden. Dieser Grundgedanke liegt auch § 9a BDSG zugrunde. Bei einem Produktaudit wird geprüft, ob IT-Systeme, wozu Hardware und auch Software gehören können, bei ihrem Einsatz den Rechtsvorschriften zu Datenschutz und Datensicherheit entsprechen. Bei einem Verfahrensaudit hingegen bezieht sich der Gegenstand der Prüfung darauf, ob die oder ein Teil der Geschäftsprozesse einer Daten verarbeitenden Stelle den Anforderungen des Datenschutzrechts genügen.
5
Abhängig von der Ausgestaltung des jeweiligen Datenschutzaudits kann es z.B. das Abprüfen eines Kriterienkataloges erfordern, dass das IT-System oder das zu prüfende Unternehmen sogar über die Anforderungen des geltenden Datenschutzrechts hinausgeht.
6
Weitere gesetzliche Regelungen zu Datenschutzaudits gibt es z.B. in SchleswigHolstein, wo nach § 4 Abs. 2 LDSG-SH Produkte, deren Vereinbarkeit mit den Vorschriften über den Datenschutz und die Datensicherheit in einem förmli-
7
1 Vgl. Roßnagel, DuD 1997, 505; Roßnagel, DuD 2000, 231; Bäumler, DuD 2001, 251 (252). 2 Simitis/Scholz, § 9a BDSG Rz. 1. 3 Zum allgemeinen Konzept eines Datenschutzaudit, s. Roßnagel, Datenschutzaudits, 2000. 4 Vgl. Taeger/Gabel/Schultze-Melling, § 9a BDSG Rz. 8.
Hansen-Oest
|
71
Teil 1 III
Rz. 8
Vertrag über die Durchführung eines Datenschutzaudits
chen Verfahren festgestellt wurde, von öffentlichen Stellen des Landes Schleswig-Holsteins vorrangig einzusetzen sind. Näheres regelt die Landesverordnung über ein Datenschutzaudit (Datenschutzauditverordnung – DSAVO).
II. Praktische Durchführung von Datenschutzaudits 8
In der Praxis ist die Durchführung von Datenschutzaudits in verschiedenen Arten üblich. Bei gesetzlich geregelten Datenschutzaudits wie z.B. dem schleswig-holsteinischen Gütesiegel für IT-Produkte sind in ein Audit eine Zertifizierungsstelle, die zugleich Akkreditierungsstelle für Gutachter ist, und externe private Gutachter/Sachverständige involviert. Das Unternehmen, das ein Produkt zertifizieren lassen möchte, wird dabei sein Produkt zunächst durch vom Unternehmen ausgewählte private Sachverständige rechtlich und technisch prüfen lassen. Die Prüfergebnisse werden sodann in einem Gutachten zusammengefasst, dass der Zertifizierungsstelle zur Prüfung vorgelegt wird. Wenn die Zertifizierungsstelle – wie die Gutachter – zu dem Ergebnis kommt, dass die Prüfkriterien durch das betreffende Produkt oder Verfahren eingehalten werden, wird die Zertifizierungsstelle ein Zertifikat/Siegel an das betreffende Unternehmen verleihen1.
9
Üblich sind darüber hinaus aber auch Datenschutzaudits, die von Zertifizierungsstellen oder z.B. technischen Überwachungsvereinen durchgeführt werden. Diese orientieren sich meist an Vorgaben zur Zertifizierung von Managementsystemen. Ein entsprechendes Regelwerk hierfür gibt es mit der ISO/IEC 17021:2011. In dieser Norm gibt es Ausführungen dafür, welche Anforderungen die Zertifizierungsstelle erfüllen muss und wie ein Audit in der Praxis abzulaufen hat. Geregelt ist dort ferner auch, wie die Auditoren zu akkreditieren sind und welche Maßstäbe dort zu gelten haben.
10
Schließlich ist es auch noch üblich, dass einzelne Berufsgruppen wie z.B. Rechtsanwälte Datenschutzaudits für Unternehmen anbieten. Diese werden dann anhand eigenentwickelter Kriterienkataloge eine Prüfung der Geschäftsprozesse im Unternehmen oder eine Prüfung einzelner Verfahren oder Produkte durchführen.
11
In der Praxis wird ein Datenschutzaudit regelmäßig von dem Datenschutzbeauftragten des jeweiligen Unternehmens begleitet werden. Dieser kann dabei eine zentrale Stellung haben2. Ein erfolgreiches Datenschutzaudit führt jedoch nicht dazu, dass Pflichten für den Datenschutzbeauftragten im Hinblick auf seine internen Kontrollaufgaben entfallen würden. Gleiches gilt für Kontrollbefugnisse von Aufsichtsbehörden: Wenn ein Unternehmen erfolgreich ein Datenschutzaudit absolviert hat, folgt hieraus keine gesetzliche Konsequenz, dass eine Aufsichtsbehörde dann nicht oder weniger tiefgehend prüfen würde. Gleichwohl ist denkbar, dass es für Unternehmen mit einen entsprechenden Zertifikat zu einer Art von entlastendem Effekt kommt, weil diese eventuell 1 Vgl. zum Ablauf am Beispiel des European Privacy Seals (EuroPriSe) Meissner, ADVMitteilungen 2009, S. 7 ff. 2 Vgl. Königshofen, DuD 2002, 357 (359).
72
|
Hansen-Oest
Rz. 12 Teil 1 III
Vertragstext
weniger mit einer Kontrolle durch die Aufsichtsbehörde zu rechnen haben könnten1. In Anbetracht der eher geringen Anzahl von nicht-anlassbezogenen Kontrollen durch Aufsichtsbehörden in Deutschland dürfte der Effekt allerdings praktisch eher von geringerer Bedeutung sein.
B. Muster E Vertrag über die Durchführung eines Datenschutzaudits
12
zwischen … (nachfolgend „Auftraggeber“ genannt) und … (nachfolgend „Auftragnehmer“ genannt) 1. Allgemeines 1.1 Ziel dieser Vereinbarung ist es, die Einhaltung der Rechtsvorschriften zu Datenschutz und Datensicherheit durch den Auftraggeber im Hinblick auf den Auditgegenstand durch den Auftragnehmer prüfen zu lassen. Der Auftragnehmer wird die Prüfung anhand eines von ihm genutzten Kriterienkataloges vornehmen. 1.2 Nach einer erfolgten Vorbesprechung wird der Auftragnehmer den Auditgegenstand einer datenschutzrechtlichen Prüfung unterziehen und einen Prüfbericht erstellen. 1.3 Sofern bei der Prüfung durch den Auftragnehmer festgestellt wird, dass die Rechtsvorschriften zu Datenschutz und Datensicherheit beim Auftragnehmer im Zusammenhang mit dem Auditgegenstand eingehalten werden, wird der Auftragnehmer auf Wunsch des Auftraggebers ein entsprechendes Zertifikat verleihen. Das Zertifikat kann befristet werden. 2. Gegenstand des Audits 2.1 Der Auftraggeber beauftragt den Auftragnehmer mit der Durchführung eines Datenschutzaudits und der Erstellung eines Prüfungsberichts mit den Ergebnissen des Audits. Die Parteien legen zunächst fest, auf welche/n Bereich/e eines Produkts oder Verfahrens oder Bündel von Verfahren sich das Audit erstrecken soll („Auditgegenstand“) und welche Grenzen und/ oder Ausnahmen bestehen. 2.2 Auditgegenstand sind nachfolgende Geschäftsprozesse/Verfahren/Produkt (ggf. streichen bzw. Singular verwenden): – [Beispiel:] Softwareprodukt … des Auftraggebers 1 Vgl. Bergmann/Möhrle/Herb, § 9a BDSG Rz. 19.
Hansen-Oest
|
73
Teil 1 III
Rz. 12
Vertrag über die Durchführung eines Datenschutzaudits
– [Beispiel:] Erhebung, Verarbeitung und Nutzung von Kundendaten im Unternehmen des Auftraggebers – [Beispiel:] sämtliche Verfahren beim Auftraggeber, mit denen automatisiert personenbezogene Daten verarbeitet oder genutzt werden – [Beispiel:] Managementsystem der Organisationseinheit … am Standort … des Auftraggebers 2.3 Als Prüfkriterien werden die jeweils geltenden Rechtsgrundlagen zu Datenschutz und Datensicherheit als Grundlage festgelegt. Dies beinhaltet insbesondere die Einhaltung von Vorgaben des Bundesdatenschutzgesetzes (BDSG) und – soweit einschlägig – den geltenden bereichsspezifischen Regelungen wie dem Telemediengesetz (TMG), dem Telekommunikationsgesetz (TKG) oder anderen anzuwendenden Rechtsgrundlagen. [Optional] Darüber hinaus werden die im Kriterienkatalog, der diesem Vertrag als ANLAGE X beigefügt ist, konkret bezeichneten Kriterien hinsichtlich der Einhaltung bei der Prüfung des Auditgegenstandes durch den Auftragnehmer geprüft werden. 3. Vertragsschluss und Vertragsbeginn 3.1 Der Vertrag wird mit Unterzeichnung des Vertrags durch beide Parteien geschlossen. 3.2 Als Vertragsbeginn wird der … vereinbart. 4. Leistungen des Auftragnehmers 4.1 Der Auftragnehmer führt für den Auftraggeber eine datenschutzrechtliche Überprüfung des Auditgegenstandes in der jeweils vereinbarten Weise durch. Der Auftragnehmer wird in dem Zusammenhang die vom Auftraggeber zur Verfügung gestellte Dokumentation zum Auditgegenstand sichten, datenschutzrechtlich prüfen und bewerten. Weiter wird der Auftragnehmer die praktische Umsetzung der jeweils erforderlichen gesetzlichen Vorgaben zu Datenschutzrecht und Datensicherheit prüfen und bewerten. [Optional] Der Auftragnehmer prüft die in der ANLAGE X enthaltenen Prüfkriterien im Hinblick auf ihre praktische Umsetzung beim Auftraggeber. 4.2 Der Auftragnehmer wird die Ergebnisse seiner Prüfungen und die Bewertungen in einem Prüfbericht zusammenstellen, der dem Auftraggeber nach Fertigstellung in Textform zur Verfügung gestellt wird. 4.3 Die Prüftiefe und die Entscheidung darüber, wie die Prüfung tatsächlich durchgeführt wird (z.B. Dokumentenprüfung, Inaugenscheinnahme vor Ort etc.), liegt im Ermessen des Auftragnehmers. 4.4 Der Auftragnehmer setzt für die Prüfung fachkundiges und zuverlässiges Personal ein. Alle mit der Prüfung beschäftigten Personen werden vom Auftragnehmer zur Vertraulichkeit und auf das Datengeheimnis (§ 5 BDSG) verpflichtet. Der Auftragnehmer stellt sicher, dass die beteiligten Personen über die erforderlichen Kompetenzkriterien verfügen. 74
|
Hansen-Oest
Vertragstext
Rz. 12 Teil 1 III
5. Unabhängigkeit des Auftragnehmers Der Auftragnehmer führt seine Leistungen unabhängig, unparteilich und im Hinblick auf die Prüfung der Einhaltung der datenschutzrechtlichen Anforderungen weisungsfrei durch. 6. Auditplan 6.1 Der Auftragnehmer wird im Zusammenwirken mit dem Auftraggeber einen Auditplan erstellen, der die Grundlagen für die Festlegungen hinsichtlich der Durchführung und zeitlichen Planung der Audittätigkeiten beinhaltet. 6.2 In dem Auditplan sind Auditziele, der Auditumfang, die Auditkriterien, Termine und Standorte von Audittätigkeiten sowie Rollen und Verantwortlichkeiten der an dem Audit beteiligten Personen zu beschreiben. 6.3 Der Auftragnehmer wird dem Auftraggeber den Auditplan in Textform zur Verfügung stellen. Der Auftraggeber kann dem Auftragnehmer Einwände und Änderungswünsche binnen 14 Tagen nach Zugang des Auditplans mitteilen. Der Auftragnehmer wird die Einwände und Änderungswünsche prüfen und einen geänderten Auditplan in Textform übermitteln oder im Falle der Nichtberücksichtigung eine Stellungnahme mit einer Begründung der Nichtberücksichtigung an den Auftraggeber in Textform senden. 7. Mitwirkungspflichten des Auftraggebers 7.1 Der Auftraggeber stellt dem Auftragnehmer alle für die Durchführung der Leistungen des Auftragnehmers erforderlichen Unterlagen und Informationen kostenfrei zur Verfügung. Die jeweils erforderlichen Informationen und Dokumente sind dem Auftragnehmer nach Aufforderung unverzüglich in geeigneter Weise zur Verfügung zu stellen. 7.2 Soweit für die Durchführung des Audits eine Inaugenscheinnahme und Prüfung vor Ort erforderlich ist, wird der Auftraggeber dem Auftragnehmer hierfür den jeweils erforderlichen Zugang gewähren. 7.3 Der Auftraggeber wird einen oder mehrere Personen als Ansprechpartner des Auftragnehmers benennen, die diesen bei der Durchführung des Audits in geeigneter Weise unterstützen. 7.4 Der Auftraggeber ist verpflichtet, Änderungen an dem Auditgegenstand und/oder der Rechts-/Organisationsform des Auftraggebers, die sich auf die Prüfung und Bewertung des Auftragnehmers auswirken können, unverzüglich in Textform anzuzeigen. Dies gilt auch nach Abschluss des Audits, sofern ein entsprechendes Zertifikat verliehen worden ist. 8. Abschlussbesprechung und Prüfbericht 8.1 Nach Durchführung der Prüfung und Bewertung wird der Auftragnehmer mit dem Auftraggeber eine Abschlussbesprechung durchführen. In der Hansen-Oest
|
75
Teil 1 III
Rz. 12
Vertrag über die Durchführung eines Datenschutzaudits
Abschlussbesprechung wird der Auftragnehmer über die Auditfeststellungen berichten, die ermittelten Konformitäten und Nichtkonformitäten aufzeigen und die hieraus zu ziehenden Schlussfolgerungen aufzeigen. Dem Auftraggeber wird Gelegenheit zur Stellungnahme zu den Auditfeststellungen gegeben. 8.2 Der Auftragnehmer wird das Ergebnis seiner Prüfung und seine Bewertung (Arbeitsergebnis) in einem Prüfbericht schriftlich dokumentieren. Der Prüfbericht muss die ermittelten Konformitäten und Nichtkonformitäten darlegen und vom Auftragnehmer ggf. vorgelegte Korrekturen im Hinblick auf ihre Annehmbarkeit bewerten. 9. Abnahme 9.1 Der Auftragnehmer wird seinen Prüfbericht zu dem jeweils im Auditplan festgelegten oder individuell vereinbarten Termin liefern. Der jeweilige Termin gilt nicht als Fixgeschäft i.S.d. § 323 Abs. 2 Nr. 2 BGB. 9.2 Der Auftraggeber ist verpflichtet, binnen zwei Wochen nach Zugang des Prüfberichts die Abnahme oder Nichtabnahme schriftlich (alternativ: in Textform) zu erklären. Eine Nichtabnahme ist zugleich zu begründen. Unerhebliche Mängel berechtigen den Auftraggeber nicht zu einer Verweigerung der Abnahme. 9.3 Sofern der Auftraggeber nicht binnen der Frist der Ziffer 9.2 eine Abnahme oder Nichtabnahme erklärt, kann der Auftragnehmer dem Auftraggeber eine Frist von zwei Wochen zur Abgabe der Erklärung setzen. Der Prüfbericht gilt mit Ablauf der Frist als abgenommen, wenn der Auftraggeber weder die Abnahme noch die begründete Nichtabnahme erklärt. 10. Zertifikat und Nutzungsrechte 10.1 Sofern die Prüfung und Bewertung des Auditgegenstandes ergibt, dass die Prüfkriterien eingehalten werden, wird der Auftragnehmer auf Wunsch des Auftraggebers ein Zertifikat für den Auftraggeber erteilen. Die Gültigkeit des Zertifikats wird auf zwei Jahre beschränkt. 10.2 Der Auftragnehmer kann im Falle von Nichtkonformitäten das Zertifikat mit der Auflage verleihen, dass zuvor definierte Maßnahmen vom Auftraggeber innerhalb von vereinbarten Fristen umgesetzt und nachgewiesen werden. Im Falle der nicht fristgerechten Behebung von Nichtkonformitäten kann der Auftragnehmer die Gültigkeit des Zertifikats aufheben. 10.3 Der Auftraggeber erhält mit Erteilung des Zertifikats ein einfaches, nicht übertragbares, widerrufliches Recht, das Zertifikat und das dazugehörige, vom Auftragnehmer ausgestellte Siegel für die Dauer der Gültigkeit für eigene Zwecke zu nutzen. Änderungen am Siegel oder Zertifikat dürfen vom Auftraggeber nicht vorgenommen werden. 10.4 Der Auftraggeber ist bei der werblichen Nutzung des Zertifikats und/ oder des Siegels verpflichtet, nur das vom Auftragnehmer zur Verfügung 76
|
Hansen-Oest
Vertragstext
Rz. 12 Teil 1 III
gestellte Zertifikat und/oder Siegel zu verwenden. Dies beinhaltet insbesondere die Pflicht, den Geltungsbereich und die Gültigkeit des Zertifikats zu benennen. Der Auftraggeber ist weiter verpflichtet, keine irreführenden Angaben bei der Verwendung von Zertifikat und/oder Siegel zu machen. 10.5 Der Auftragnehmer kann das Zertifikat des Auftraggebers entziehen, wenn der Auftraggeber seinen Mitteilungspflichten (Ziffer 7.4) nicht nachkommt, den Auditgegenstand nicht unerheblich verändert oder er das Siegel und/oder Zertifikat in nicht vertragsgerechter Weise verwendet. Mit dem Entzug des Zertifikats werden die Nutzungsrechte im Sinne von Ziffer 10.3 widerrufen. 11. Wiederholungsaudit und Rezertifizierung 11.1 Der Auftraggeber kann den Auditgegenstand erneut beim Auftragnehmer einem Datenschutzaudit unterziehen. Dies ist insbesondere dann möglich, wenn sich der Auditgegenstand ändert oder die Gültigkeit des Zertifikats abläuft. 11.2 Ein Wiederholungsaudit und eine Rezertifizierung sind zwischen den Parteien gesondert zu vereinbaren. 12. Preise, Zahlung 12.1 Die Parteien vereinbaren für die Durchführung des Datenschutzaudits durch den Auftragnehmer eine Vergütung i.H.v. … Euro netto zzgl. USt. 12.2 Die Vergütung ist nach erfolgter Abnahme fällig und binnen 30 Tagen vom Auftraggeber an den Auftragnehmer zu zahlen. 12.3 Die Parteien können im Auditplan Abschlagszahlungen vereinbaren, die abhängig von Terminen oder Arbeitsfortschritten sein können. 13. Vertraulichkeit 13.1 Alle zwischen den Parteien im Zusammenhang mit der Durchführung des Audits ausgetauschten Informationen (insbesondere Dokumente und Dateien) sind von den Parteien vertraulich zu behandeln. Dies bezieht sich auch auf Informationen, die vor dem Vertragsschluss im Rahmen der Vertragsanbahnung ausgetauscht wurden. 13.2 Eine Weitergabe von diesen Informationen an Dritte oder eine Einsichtnahme durch Dritte ist nur dann zulässig, wenn dies für die Erfüllung des Vertragszwecks erforderlich ist, aufgrund von Rechtsvorschriften erlaubt oder mit Einwilligung jeweils beider Vertragspartner erfolgt. 13.3 Vorstehende Verpflichtungen gelten nicht für Informationen, (a) die dem Empfänger vor der Vertragsanbahnung nachweislich bereits bekannt waren oder danach von dritter Seite bekannt werden, ohne dass dadurch eine Vertraulichkeitsvereinbarung, gesetzliche Vorschriften oder behördliche Anordnungen verletzt werden; Hansen-Oest
|
77
Teil 1 III
Rz. 12
Vertrag über die Durchführung eines Datenschutzaudits
(b) die bei Abschluss des Vertrags öffentlich bekannt sind oder danach öffentlich bekannt gemacht werden, soweit dies nicht auf einer Verletzung dieses Vertrags beruht; (c) die aufgrund gesetzlicher Verpflichtungen oder auf Anordnung eines Gerichtes oder einer Behörde offen gelegt werden müssen. Soweit zulässig und möglich wird der zur Offenlegung verpflichtete Empfänger die andere Vertragspartei vorab unterrichten und ihr Gelegenheit geben, gegen die Offenlegung vorzugehen. 13.4 Beide Parteien sind verpflichtet, entsprechende Geheimhaltungspflichten mit ihren Beschäftigten und sonstigen Dritten, die an der Ausführung des Vertrags mitwirken, zu vereinbaren. 13.5 Die Verpflichtung zur Geheimhaltung besteht auch nach Beendigung des Vertrags für einen Zeitraum von zwei Jahren fort. 14. Datenschutz 14.1 Der Auftragnehmer trägt Sorge dafür, dass personenbezogen Daten, von denen er im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber Kenntnis erhält, nur erhoben, verarbeitet und genutzt werden, soweit dies zur vertragsgemäßen Leistungserbringung erforderlich und durch gesetzliche Vorschriften erlaubt oder vom Gesetzgeber angeordnet ist. 14.2 Der Auftragnehmer stellt sicher, dass alle Beschäftigten, die am Audit mitwirken, auf das Datengeheimnis (§ 5 BDSG) verpflichtet wurden. 15. Gewährleistung und Verzug 15.1 Mängel an Arbeitsergebnissen des Auftragnehmers sind vom Auftraggeber unverzüglich schriftlich (alternativ: in Textform) geltend zu machen. 15.2 Ansprüche auf Gewährleistung des Auftraggebers verjähren nach Ablauf von zwölf Monaten nach Abnahme des Prüfberichts. 15.3 Bei zeitlichen Abweichungen vom Auditplan oder Abweichungen von Teilabschnitten des Zeitplans, die die Einhaltung des Gesamtzeitplans beeinträchtigen, kann der Auftraggeber die vereinbarte Vergütung in angemessener Höhe mindern. Etwaige Schadensersatzansprüche bleiben unberührt. 16. Haftungsbeschränkung 16.1 Der Auftragnehmer haftet bei Vorsatz oder grober Fahrlässigkeit für alle vom Auftragnehmer im Zusammenhang mit der Erbringung der vertragsgemäßen Leistungen verursachten Schäden unbeschränkt. 16.2 Bei leichter Fahrlässigkeit haftet der Auftragnehmer im Fall der Verletzung des Lebens, des Körpers oder der Gesundheit unbeschränkt. 78
|
Hansen-Oest
Rz. 13 Teil 1 III
Erläuterungen
16.3 Im Übrigen haftet der Auftragnehmer im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber nur, soweit er eine wesentliche Vertragspflicht verletzt hat. Als wesentliche Vertragspflichten werden dabei abstrakt solche Pflichten bezeichnet, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Nutzer regelmäßig vertrauen darf. In diesen Fällen ist die Haftung auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schadens beschränkt. 16.4 Soweit die Haftung des Auftragnehmers nach den vorgenannten Vorschriften ausgeschlossen oder beschränkt wird, gilt dies auch für Erfüllungsgehilfen des Auftragnehmers. 17. Vertragsdauer/Kündigung 17.1 Der Vertrag wird auf die Dauer der Durchführung des Datenschutzaudits (mit Abschluss der Abnahme) oder – im Falle der Verleihung eines Zertifikats – auf die Dauer der Gültigkeit des Zertifikats geschlossen. 17.2 Ein außerordentliches Kündigungsrecht jeder Partei bleibt unberührt. Die Kündigung bedarf der Schriftform. § 649 BGB bleibt unberührt. 18. Schlussbestimmungen 18.1 Es gilt das Recht der Bundesrepublik Deutschland, wobei die Geltung des UN-Kaufrechts ausgeschlossen wird. 18.2 Ist der Nutzer Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen, so ist der Sitz des Auftragnehmers ausschließlicher Gerichtsstand für alle Streitigkeiten aus dem Vertragsverhältnis. 18.3 Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien werden im Falle der Unwirksamkeit einer Klausel eine in sachlicher, am wirtschaftlichen Zweck des Vertrags orientierte ersatzweise Regelung vereinbaren.
C. Erläuterungen I. Vorbemerkung Bei diesem Vertragsmuster handelt sich um eine Lösung, die sowohl durch Zertifizierungsstellen, durch rechtliche oder technische Sachverständige oder durch bei Zertifizierungsstellen akkreditierte Sachverständige genutzt werden kann. In allgemein üblichen rechtlichen Regelungen lehnt sich der Vertrag zudem an das Regelwerk ISO/IEC 17021:2011 an. Hansen-Oest
|
79
13
Teil 1 III
Rz. 14
Vertrag über die Durchführung eines Datenschutzaudits
Es handelt sich um ein ausgewogenes Vertragswerk, das weder Auftraggeber noch Auftragnehmer rechtlich in besonderer Weise bevorzugt oder benachteiligt.
II. Erläuterung der einzelnen Klauseln 1. Erläuterungen zu Ziffer 1 14
E 1. Allgemeines 1.1 Ziel dieser Vereinbarung ist es, die Einhaltung der Rechtsvorschriften zu Datenschutz und Datensicherheit durch den Auftraggeber im Hinblick auf den Auditgegenstand durch den Auftragnehmer prüfen zu lassen. Der Auftragnehmer wird die Prüfung anhand eines von ihm genutzten Kriterienkataloges vornehmen. 1.2 Nach einer erfolgten Vorbesprechung wird der Auftragnehmer den Auditgegenstand einer datenschutzrechtlichen Prüfung unterziehen und einen Prüfbericht erstellen. 1.3 Sofern bei der Prüfung durch den Auftragnehmer festgestellt wird, dass die Rechtsvorschriften zu Datenschutz und Datensicherheit beim Auftragnehmer im Zusammenhang mit dem Auditgegenstand eingehalten werden, wird der Auftragnehmer auf Wunsch des Auftraggebers ein entsprechendes Zertifikat verleihen. Das Zertifikat kann befristet werden.
a) Ratio 15
Mit Ziffer 1 des Vertrags wird der Vertrag durch allgemeine Ausführungen zum Ziel und zum Ablauf des Audits eingeleitet.
b) Erläuterungen zu Ziffer 1.1 16
In Ziffer 1.1 wird das Ziel der Zertifizierung bzw. des Audits beschrieben. Grundsätzlich wird bei jedem Datenschutzaudit das Ziel sein, eine Konformität mit einem Regelwerk festzustellen und z.B. durch ein Siegel/Zertifikat nach außen sichtbar zu machen. Das Regelwerk kann dabei entweder ein Gesetz bzw. mehrere Gesetze und/oder ein Kriterienkatalog sein1.
c) Erläuterungen zu Ziffer 1.2 17
In der Regel wird jedes Datenschutzaudit mit einer recht ausführlichen Vorbesprechung beginnen. Abhängig von der jeweiligen Auditierungsinstanz ist die Vorbesprechung dabei schon Teil des Audits oder eine vorgelagerte Phase. In der Praxis wird die Vorbesprechung häufig auch als Pre-Audit bezeichnet. 1 Vgl. zu Konformitätsaussagen am Beispiel EuroPriSe Meissner, Datenschutzgütesiegel als vertrauensbildende Maßnahme am Beispiel des europäischen EuroPriSe-Zeichens, S. 95 (100 f.).
80
|
Hansen-Oest
Erläuterungen
Rz. 19 Teil 1 III
Die Vorbesprechung dient dazu, Klarheit zwischen den Parteien darüber zu verschaffen, was der „Scope“ der Zertifizierung/Auditierung sein soll1. Anders formuliert: Was genau soll untersucht werden? Wenn diese Frage geklärt ist, werden die Parteien besprechen, nach welchen Kriterien und Vorgaben das Datenschutzaudit durchzuführen ist. Nach Klärung dieser Vorfragen kann das Datenschutzaudit mit der damit einhergehenden datenschutzrechtlichen Prüfung beginnen und wird dann regelmäßig mit Fertigstellung des Prüfberichts enden.
d) Erläuterungen zu Ziffer 1.3 Gegenstand dieser Klausel ist es, die Folge eines erfolgreichen Datenschutzaudits festzusetzen, nämlich die Erteilung eines Zertifikates auf Wunsch des Auftraggebers. Nicht jedes Datenschutzaudit wird mit einem positiven Ergebnis abgeschlossen. Sollte der Prüfbericht zum Ergebnis haben, dass die Rechtsvorschriften zu Datenschutz und Datensicherheit nicht eingehalten werden, führt dies dazu, dass ein Zertifikat nicht verliehen werden kann.
18
Der Auftraggeber wird dann die Möglichkeit haben, anhand der Nichtkonformitäts-Feststellungen2 im Prüfbericht seine Geschäftsprozesse oder sein Produkt entsprechend zu verbessern, um ein erneutes Audit erfolgreich durchführen zu können.
2. Erläuterungen zu Ziffer 2 E 2. Gegenstand des Audits
19
2.1 Der Auftraggeber beauftragt den Auftragnehmer mit der Durchführung eines Datenschutzaudits und der Erstellung eines Prüfungsberichts mit den Ergebnissen des Audits. Die Parteien legen zunächst fest, auf welche/n Bereich/e eines Produkts oder Verfahrens oder Bündel von Verfahren sich das Audit erstrecken soll („Auditgegenstand“) und welche Grenzen und/ oder Ausnahmen bestehen. 2.2 Auditgegenstand sind nachfolgende Geschäftsprozesse/Verfahren/Produkt (ggf. streichen bzw. Singular verwenden): – [Beispiel:] Softwareprodukt … des Auftraggebers – [Beispiel:] Erhebung, Verarbeitung und Nutzung von Kundendaten im Unternehmen des Auftraggebers – [Beispiel:] sämtliche Verfahren beim Auftraggeber, mit denen automatisiert personenbezogene Daten verarbeitet oder genutzt werden – [Beispiel:] Managementsystem der Organisationseinheit … am Standort … des Auftraggebers 1 Vgl. zur Notwendigkeit von Pre-Audits, Schläger/Stutz, DuD 2003, 406 (409). 2 Vgl. zu den Wechselwirkungen zwischen Aussagen eines Audits und einem verbesserten Datenschutzmanagement das Schaubild von Rost, DuD 2008, 47 (51).
Hansen-Oest
|
81
Teil 1 III
Rz. 20
Vertrag über die Durchführung eines Datenschutzaudits
2.3 Als Prüfkriterien werden die jeweils geltenden Rechtsgrundlagen zu Datenschutz und Datensicherheit als Grundlage festgelegt. Dies beinhaltet insbesondere die Einhaltung von Vorgaben des Bundesdatenschutzgesetzes (BDSG) und – soweit einschlägig – den geltenden bereichsspezifischen Regelungen wie dem Telemediengesetz (TMG), dem Telekommunikationsgesetz (TKG) oder anderen anzuwendenden Rechtsgrundlagen. [Optional] Darüber hinaus werden die im Kriterienkatalog, der diesem Vertrag als ANLAGE X beigefügt ist, konkret bezeichneten Kriterien hinsichtlich der Einhaltung bei der Prüfung des Auditgegenstandes durch den Auftragnehmer geprüft werden.
a) Ratio 20
Ziffer 2 beschreibt den Gegenstand des Audits bzw. vielmehr, wie die Parteien den Gegenstand des Audits gemeinsam festlegen. Grundfrage bei jedem Datenschutzaudit ist, was genau Gegenstand der Zertifizierung sein soll. Hier wird entsprechend vom Auditgegenstand oder auch vom Scope des Audits bzw. der Zertifizierung gesprochen. International hat sich auch der Begriff „Target of Evaluation“ durchgesetzt1.
b) Erläuterungen zu Ziffer 2.1 21
In Ziffer 2.1 wird zunächst festgelegt, dass der Auftraggeber den Auftragnehmer mit der Durchführung des Audits beauftragt, wobei hierbei auch die grundsätzlich im Rahmen des Audits zu erbringenden Leistungen benannt werden. Hierzu gehört entsprechend auch die Erstellung eines Prüfberichts, der die Ergebnisse des Datenschutzaudits in schriftlicher Form enthält.
22
Im zweiten Satz wird dann die wichtige Frage des Auditgegenstandes und dessen Ermittlung angesprochen. Grundsätzlich werden die Parteien bei jedem Datenschutzaudit diese zentrale Frage ausführlich erörtern. Mit der Festlegung des Auditgegenstandes ist es insbesondere möglich, bestimmte Bereiche eines Unternehmens, eines Verfahrens oder eines Produktes aus der Zertifizierung auszuklammern. Das wird insbesondere dann Sinn machen, wenn z.B. beim Produkt externe Schnittstellen zu fremden Produkten vorhanden sind, die nicht mitzertifiziert werden sollen.
23
Die Festlegung des Auditgegenstandes ermöglicht es zudem, den Umfang des Audits zu beschränken. Gerade bei der Auditierung von Unternehmen bzw. Managementsystemen in Unternehmen kann ein Audit sehr leicht große Ausmaße annehmen und entsprechende Kosten verursachen. Deshalb macht es in der Praxis meist Sinn, bestimmte Bereiche durch den Auditgegenstand für die Prüfung festzulegen, um das Audit überschaubar und zeitlich beherrschbar zu machen.
1 Vgl. zum Begriff im Zusammenhang mit EuroPriSe Bock, DuD 2008, 1 (5).
82
|
Hansen-Oest
Erläuterungen
Rz. 29 Teil 1 III
c) Erläuterungen zu Ziffer 2.2 Mit Ziffer 2.2 des Vertrags wird der Auditgegenstand konkret festgelegt. Im Muster sind Beispiele genannt, die in der praktischen Umsetzung entsprechend auf den konkreten Fall abzuändern sind.
24
Die Beispiele enthalten in der Praxis häufig vorkommende Szenarien für Zertifizierungsgegenstände. Es macht Sinn, den Auditgegenstand so konkret wie möglich zu beschreiben. Dabei ist es üblich, neben einer Beschreibung des Auditgegenstandes auch negative Abgrenzungen vorzunehmen. Dies kann dann so formuliert werden wie z.B. „Zum Auditgegenstand gehören nicht: …“. Denkbar wäre auch, den Auditgegenstand in einer Anlage zum Vertrag konkret zu beschreiben. Dies ist dann empfehlenswert, wenn der Auditgegenstand sehr umfangreich ist und die Verwendung einer Anlage das Vertragswerk übersichtlicher machen kann. Dann wäre hier in dem betreffenden Absatz auf die jeweilige Anlage mit der Beschreibung des Auditgegenstandes zu verweisen.
25
d) Erläuterungen zu Ziffer 2.3 Bei einem Audit sind immer auch die jeweiligen Prüfkriterien anzugeben. Im Falle eines Datenschutzaudits sind dies zunächst die jeweiligen Rechtsgrundlagen zu Datenschutz und Datensicherheit, zu denen vornehmlich das BDSG gehört. Weiter können aber auch bereichsspezifische Rechtsvorschriften wie das TMG oder das TKG und auch z.B. Regelungen aus den Sozialgesetzbüchern einschlägig sein.
26
In der Praxis ist es durchaus üblich, dass die Auditoren selbst oder die Zertifizierungsstellen eigene Kriterienkataloge nutzen, anhand derer die Prüfung konkret vorgenommen wird. Entsprechend sieht Absatz 3 eine optionale Klausel vor, mit der ein Kriterienkatalog als Anlage zum Vertrag einbezogen werden kann1.
27
3. Erläuterungen zu Ziffer 3 E 3. Vertragsschluss und Vertragsbeginn
28
3.1 Der Vertrag wird mit Unterzeichnung des Vertrags durch beide Parteien geschlossen. 3.2 Als Vertragsbeginn wird der … vereinbart.
a) Ratio Ziffer 3 enthält eine einfache Regelung zum Vertragsschluss und zum Vertragsbeginn.
1 Das nichtstaatliche Gütesiegel „ips“ ist ein Beispiel für eine Verwendung eines eigenen Kriterienkataloges. Vgl. dazu Schläger/Stutz, DuD 2003, 406 ff.
Hansen-Oest
|
83
29
Teil 1 III
Rz. 30
Vertrag über die Durchführung eines Datenschutzaudits
b) Erläuterungen zu Ziffer 3.1 30
Mit Ziffer 3.1 wird festgelegt, dass der Vertrag mit Unterzeichnung durch beide Parteien geschlossen wird. Dies dient als Klarstellung dafür, wann der Vertrag geschlossen wird.
c) Erläuterungen zu Ziffer 3.2 31
Unabhängig vom Vertragsschluss werden die Parteien in der Praxis häufig einen späteren Start des Projekts vereinbaren. Entsprechend macht es Sinn, eine Klausel im Vertrag vorzuhalten, aus der sich der konkrete Vertragsbeginn ergibt. Häufig wird der Auftraggeber nach den durchgeführten Vorgesprächen noch Vorarbeiten durchzuführen haben. Dies beinhaltet meistens insbesondere die Erstellung oder Ergänzungen von Dokumentationen, die im Zusammenhang mit der Durchführung des Datenschutzaudits den Auditoren oder dem Auditor vorgelegt werden müssen. Für diese Mitwirkungspflichten des Auftraggebers bildet der Vertrag also schon die Grundlage, auch wenn der Beginn der Erbringung der Hauptleistungen durch den Auftragnehmer erst auf einen späteren Zeitpunkt terminiert ist.
4. Erläuterungen zu Ziffer 4 32
E 4. Leistungen des Auftragnehmers 4.1 Der Auftragnehmer führt für den Auftraggeber eine datenschutzrechtliche Überprüfung des Auditgegenstandes in der jeweils vereinbarten Weise durch. Der Auftragnehmer wird in dem Zusammenhang die vom Auftraggeber zur Verfügung gestellte Dokumentation zum Auditgegenstand sichten, datenschutzrechtlich prüfen und bewerten. Weiter wird der Auftragnehmer die praktische Umsetzung der jeweils erforderlichen gesetzlichen Vorgaben zu Datenschutzrecht und Datensicherheit prüfen und bewerten. [Optional] Der Auftragnehmer prüft die in der ANLAGE X enthaltenen Prüfkriterien im Hinblick auf ihre praktische Umsetzung beim Auftraggeber. 4.2 Der Auftragnehmer wird die Ergebnisse seiner Prüfungen und die Bewertungen in einem Prüfbericht zusammenstellen, der dem Auftraggeber nach Fertigstellung in Textform zur Verfügung gestellt wird. 4.3 Die Prüftiefe und die Entscheidung darüber, wie die Prüfung tatsächlich durchgeführt wird (z.B. Dokumentenprüfung, Inaugenscheinnahme vor Ort etc.), liegt im Ermessen des Auftragnehmers. 4.4 Der Auftragnehmer setzt für die Prüfung fachkundiges und zuverlässiges Personal ein. Alle mit der Prüfung beschäftigten Personen werden vom Auftragnehmer zur Vertraulichkeit und auf das Datengeheimnis (§ 5 BDSG) verpflichtet. Der Auftragnehmer stellt sicher, dass die beteiligten Personen über die erforderlichen Kompetenzkriterien verfügen.
84
|
Hansen-Oest
Erläuterungen
Rz. 37 Teil 1 III
a) Ratio In Ziffer 4 des Vertrags werden die Leistungen des Auftragnehmers definiert. Die Konkretisierung der Leistungen ist insbesondere im Zusammenhang mit dem späteren, etwaigen Auftreten von Leistungsstörungen bzw. vertraglichen Pflichtverletzungen relevant.
33
Abhängig vom Einfall können die Leistungen noch weiter konkretisiert werden. Zu beachten ist außerdem, dass ggf. konkrete Leistungen ergänzend aus dem Auditplan (Ziffer 6) hinzukommen können.
b) Erläuterungen zu Ziffer 4.1 In Ziffer 4.1 ist zunächst die Pflicht des Auftragnehmers geregelt, die Auditierung in der jeweils konkret vereinbarten Weise durchzuführen. Die Klausel kann und soll nach den konkreten Umständen des Einzelfalles angepasst werden. Der Formulierungsvorschlag hier stellt eine allgemeine Regelung dar, die in dieser Form gebräuchlich ist.
34
Die Hauptleistung des Auftragnehmers besteht darin, den Auditgegenstand datenschutzrechtlich zu prüfen. Dies beginnt in der Praxis zunächst mit einer Dokumentensichtung. Anhand der vom Auftraggeber vorgelegten Dokumentation wird der Auditor eine erste grobe Prüfung vornehmen und Einzelpunkte mit dem jeweiligen Kriterienkatalog abgleichen. Im Hinblick auf die Details werden in der Regel Vor-Ort-Prüfungen stattfinden. Bei den Prüfungen vor Ort wird der jeweilige Sachverständige dann den Abgleich dahingehend vornehmen, ob die tatsächlichen Gegebenheiten den Festlegungen in der Dokumentation entsprechen und diese mit den Anforderungen des Kriterienkataloges in Einklang zu bringen ist.
35
Der Auditor wird dann bewerten, inwieweit die vom Auftraggeber zur Verfügung gestellte Dokumentation ausreichend ist und vor allem, ob die in der Dokumentation beschriebenen Inhalte auch in der Praxis umgesetzt wurden.
c) Erläuterungen zu Ziffer 4.2 Die Ergebnisse der Prüfung durch den Auditor werden dann nach vollständiger Sichtung von Dokumentationen und den ggf. erforderlichen Vor-Ort-Prüfungen in einem Prüfbericht schriftlich festgehalten. Der Begriff „Prüfbericht“ ist dabei nicht fix, sondern kann z.B. auch durch gebräuchliche Begriffe wie „Gutachten“ ersetzt werden.
36
Der Auftragnehmer hat den Prüfbericht nach Fertigstellung dem Auftraggeber zur Verfügung zu stellen. Das Vertragsmuster hier sieht vor, dass eine Übermittlung in Textform stattfindet. Dies ermöglicht die in der Praxis übliche Versendung der Dokumente per E-Mail. Leider hat sich die Verschlüsselung von E-Mails (z.B. über den PGP-Standard) in der Praxis noch nicht so durchgesetzt wie erhofft. Da im Prüfbericht zum Teil sehr sensible Informationen im Hinblick auf die Datenschutz- und Datensicherheitssituation des Auftraggebers zu finden sein können, sollte im Einzelfall mit dem Auftraggeber abgeklärt werden, wie eine Übermittlung des Prüfberichts in elektronischer Form abge-
37
Hansen-Oest
|
85
Teil 1 III
Rz. 38
Vertrag über die Durchführung eines Datenschutzaudits
sichert werden kann, damit eine Kenntnisnahme der Informationen durch unbefugte Dritte nach Möglichkeit ausgeschlossen wird.
d) Erläuterungen zu Ziffer 4.3 38
Ziffer 4.3 sieht eine Ermessensregelung bei der Durchführung der Überprüfung für den Auditor vor. Falls in der Ausführung des Datenschutzaudits Unklarheit darüber besteht, wie konkret eine Überprüfung eines Kriteriums zu erfolgen hat, werden die Parteien dies in der Regel zwar miteinander besprechen und eine Einigung treffen. Sollte dies aber nicht der Fall sein, gestattet es Ziffer 4.3 dem Auditor, selbst im eigenen Ermessen darüber zu befinden, wie er die Prüfung konkret durchführen möchte.
39
Denkbar wäre natürlich auch, dass in diese Fragen ein Lenkungsausschuss (gerade in größeren Zertifizierungsprojekten) entscheidet. Die Einrichtung dieses Ausschusses, die Befugnisse und der Verfahrensablauf müssten dann entsprechend im Vertrag ergänzt werden.
e) Erläuterungen zu Ziffer 4.4 40
Der Auftragnehmer kann grundsätzlich auch eine Einzelperson sein. In der Praxis wird die Auditierung jedoch meistens durch ein Unternehmen erfolgen. Um eine verlässliche und fachkundige Überprüfung und Zertifizierung vornehmen zu können, ist dabei der Einsatz von geschultem und zuverlässigem Personal zwingend erforderlich. Ziffer 4.4 sieht daher eine entsprechende Zusicherung des Auftragnehmers vor, nur fachkundiges und zuverlässiges Personal für die Prüfung einzusetzen.
41
Da die prüfenden Personen bei der Prüfung in der Regel auch mit personenbezogenen Daten in Kontakt kommen werden, ist eine Verpflichtung auf das Datengeheimnis (§ 5 BDSG) erforderlich. Auch hier sieht das Vertragsmuster wieder eine entsprechende Zusicherung des Auftragnehmers vor. Darüber hinaus bekommen die Auditoren möglicherweise auch Kenntnisse von Geschäftsgeheimnissen, so dass eine entsprechende Zusicherung der Vertraulichkeit geboten ist1.
42
Nach Ziffer 7.2 der ISO/IEC 17021:2011 hat die Zertifizierungsstelle bei der Auswahl der beteiligten Prüfer sicherzustellen, dass diese über die erforderlichen Kompetenzkriterien verfügen. Sollte der Auftragnehmer daher eine Zertifizierungsstelle sein, die nach den Vorgaben der ISO/IEC 17021:2011 Zertifizierungen durchführt, muss dieser schon bei der Akkreditierung von Sachverständigen/Prüfern Sorge für das Vorhandensein eines Verfahren Sorge tragen, welches gewährleistet, dass nur Personen als Sachverständige akkreditiert werden, die nachgewiesene Kenntnisse im jeweils erforderlichen Gebiet aufweisen können2. 1 Vgl. zur vertraglichen Regelung des Datengeheimnisses in IT-Verträgen, Dorschel, ITSicherheit und Datenschutz in der Vertragsgestaltung, DSRI-Tagungsband 2010, S. 651 (653). 2 Zur Akkreditierung für das European Privacy Seal, vgl. Meissner, Datenschutzgütesiegel als vertrauensbildende Maßnahme am Beispiel des europäischen EuroPriSe-Zeichens, S. 95 (122 ff.).
86
|
Hansen-Oest
Erläuterungen
Rz. 47 Teil 1 III
5. Erläuterungen zu Ziffer 5 E 5. Unabhängigkeit des Auftragnehmers
43
Der Auftragnehmer führt seine Leistungen unabhängig, unparteilich und im Hinblick auf die Prüfung der Einhaltung der datenschutzrechtlichen Anforderungen weisungsfrei durch.
a) Ratio Es liegt im Wesen einer glaubwürdigen Zertifizierung, dass diese nur durch Personen durchgeführt werden kann, die unabhängig vom jeweiligen Auftraggeber sind1. Eine Unabhängigkeit besteht z.B. dann nicht, wenn der Auditor beim jeweiligen Auftraggeber beschäftigt ist.
44
Bedenken hinsichtlich einer Unabhängigkeit können ferner dann bestehen, wenn der jeweilige Prüfer zuvor intensiv beratend für den Auftraggeber im Hinblick auf den Auditgegenstand tätig gewesen ist. Dies könnte dazu führen, dass der Prüfer letztlich seine eigene Arbeit zu bewerten hätte, was zum Verlust der Objektivität führen würde. Die strikte Trennung zwischen Zertifizierung und Beratung schwindet in der Praxis allerdings immer mehr. Viele Zertifizierungsstellen gehen mittlerweile dazu über, auch vermehrt Beratungselemente bei der Zertifizierung zu verwenden. Bei formalen, gesetzlich geregelten Datenschutz-Zertifizierungen wie z.B. dem schleswig-holsteinischen Gütesiegel für die Produkte ist dies jedoch strikt untersagt und wird durch eine zusätzlich erforderliche schriftliche Erklärung der Unabhängigkeit durch den jeweiligen Sachverständigen untermauert.
45
b) Erläuterungen zu Ziffer 5 Diese Klausel enthält eine kurze, klarstellende Feststellung dahingehend, dass der Auftragnehmer unabhängig und unparteilich seine Leistungen erbringt. Wichtig ist dabei insbesondere, dass der Prüfer gegenüber dem Auftraggeber weisungsfrei ist. Dabei muss die Weisungsfreiheit nicht unbegrenzt sein. Es reicht für eine Unabhängigkeit aus, wenn der Prüfer im Hinblick auf die Prüfung der jeweils vereinbarten Prüfkriterien und der jeweiligen Bewertung weisungsfrei ist.
46
6. Erläuterungen zu Ziffer 6 E 6. Auditplan
47
6.1 Der Auftragnehmer wird im Zusammenwirken mit dem Auftraggeber einen Auditplan erstellen, der die Grundlagen für die Festlegungen hinsichtlich der Durchführung und zeitlichen Planung der Audittätigkeiten beinhaltet.
1 Vgl. zur Anforderung der Unabhängigkeit Bock/Rost, DuD 2011, 30 (34).
Hansen-Oest
|
87
Teil 1 III
Rz. 48
Vertrag über die Durchführung eines Datenschutzaudits
6.2 In dem Auditplan sind Auditziele, der Auditumfang, die Auditkriterien, Termine und Standorte von Audittätigkeiten sowie Rollen und Verantwortlichkeiten der an dem Audit beteiligten Personen zu beschreiben. 6.3 Der Auftragnehmer wird dem Auftraggeber den Auditplan in Textform zur Verfügung stellen. Der Auftraggeber kann dem Auftragnehmer Einwände und Änderungswünsche binnen 14 Tagen nach Zugang des Auditplans mitteilen. Der Auftragnehmer wird die Einwände und Änderungswünsche prüfen und einen geänderten Auditplan in Textform übermitteln oder im Falle der Nichtberücksichtigung eine Stellungnahme mit einer Begründung der Nichtberücksichtigung an den Auftraggeber in Textform senden.
a) Ratio 48
Die Auditierung der Datenschutzkonformität eines Produktes, eines Verfahrens oder eines Managementsystems wird in der Regel ein recht aufwändiges Projekt sein. Es ist daher üblich, im entsprechenden Verfahren einen sog. Auditplan zu erstellen, aus dem sich der konkrete Ablauf des Audits ergibt. Neben den Inhalten des Audits werden hierin vor allem auch Termine und Abgabezeiten geregelt.
49
Die Parteien werden den Auditplan regelmäßig im Zusammenwirken erstellen. Federführend wird der Auftragnehmer den Plan erstellen, dabei jedoch die aus den Vorgesprächen und ggf. weiteren Gesprächen zur Kenntnis gelangte Belange des Auftraggebers berücksichtigen. Der Auditplan ist ein zentrales Dokument im gesamten Zertifizierungsverfahren1.
b) Erläuterungen zu Ziffer 6.1 50
In Anlehnung an Ziffer 9.1.2 der ISO/IEC 17021:22 sieht Absatz 1 vor, dass der Auftragnehmer gemeinsam mit dem Auftraggeber einen Auditplan erstellt. Essentielle Bestandteile des Plans sind dabei die Festlegung der Audittätigkeiten und eine Abstimmung von Terminen. Der Auditplan wird vom Auftragnehmer regelmäßig schon bei den ersten Vorgesprächen vorgeplant.
c) Erläuterungen zu Ziffer 6.2 51
Ein Auditplan enthält in Anlehnung an die Vorgaben der ISO/IEC 17021:2011 folgende Bestandteile: – Auditziele – Auditumfang 1 Ein Auditplan kommt auch in anderen Bereichen zum Einsatz, z.B. den Binding Corporate Rules, vgl. Artikel-29-Datenschutzgruppe, WP 195, Arbeitsdokument 02/2012 mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR) für Auftragsverarbeiter vom 6.6.2012; vgl. hier das Muster in Teil 5 V Rz. 87 ff.
88
|
Hansen-Oest
Erläuterungen
Rz. 57 Teil 1 III
– Auditkriterien – Termine – Terminort/Standorte Darüber hinaus werden auch die beteiligten Personen aufgeführt, die das Audit (und ggf. den „Review“) durchführen. Sofern eine entsprechende Trennung vorgesehen ist, wären auch die beteiligten Personen bei der Zertifizierungsstelle zu benennen, die darüber entscheiden, ob die Zertifizierung nach Vorlage des Prüfberichts erfolgen kann oder nicht. Die Auditziele werden in der Praxis zwischen den Parteien abgestimmt. Abhängig vom jeweils gewählten Ziel werden dann Beschreibungen des Auditumfangs erfolgen. Dabei kann der Auditumfang einerseits positiv beschrieben werden („Was gehört zum Umfang?“) und andererseits sind auch Negativabgrenzungen als Ergänzung üblich.
52
Ein wichtiger Punkt sind auch die Auditkriterien. Das sind die Voraussetzungen die der jeweilige Auditgegenstand erfüllen muss. Jeder Auditor und jede Zertifizierungsstelle wird in der Regel eigene Kriterienkataloge entwickelt haben. Auftraggeber tun gut daran, wenn sie diese im Vorwege prüfen und im Hinblick auf ihre Aussagekraft einschätzen lassen. Dabei sollte insbesondere darauf geachtet werden, dass die im Kriterienkatalog genannten Voraussetzungen nicht unter den gesetzlichen Anforderungen bleiben.
53
Auch die Terminplanung ist ein Bestandteil des Auditplans. Hier sollten Auftragnehmer darauf achten, dass sie nicht unter Umständen durch „unglückliche“ Formulierungen im Auditplan ungewollt ein Fixgeschäft i.S.d. § 323 Abs. 2 Nr. 2 BGB entstehen lassen.
54
Im Auditplan werden üblicherweise Termine für Vor-Ort-Prüfungen eingeplant, soweit dies möglich ist. Ferner wird auch ein Termin für den Abschluss des Audits bzw. die Schlussbesprechung avisiert werden. Dies wird zu Beginn der Erstellung des Auditplans jedoch meist nur grob erfolgen – z.B. bezogen auf eine Kalenderwoche.
55
d) Erläuterungen zu Ziffer 6.3 Auch wenn die Parteien bei der Erstellung des Auditplans zusammenwirken sollen (vgl. Absatz 1), wird der Auditplan letztlich verantwortlich immer vom Auftragnehmer erstellt werden. Dieser wird nach der in diesem Vertrag vorgesehenen Klausel dem Auftraggeber den Auditplan in Textform, also z.B. per E-Mail zusenden. In der Praxis ist die Zusendung per E-Mail mittlerweile üblich, so dass ein Verweis auf die Schriftform hier wenig praxisnah erschien. Gleichwohl sollten die Parteien hier darauf hinwirken, dass ggf. eine Verschlüsselung der Dateien erfolgt oder ein Abruf über einen Server (z.B. per SFTP) mit einer verschlüsselten Verbindung erfolgt.
56
Da es immer vorkommen kann, dass der Auftraggeber mit bestimmten Punkten im Auditplan nicht einverstanden ist, hat dieser das Recht Einwände gegen
57
Hansen-Oest
|
89
Teil 1 III
Rz. 58
Vertrag über die Durchführung eines Datenschutzaudits
fehlerhafte Annahmen oder fehlerhaft übernommene Absprachen zu machen. Hier gilt eine Frist von 14 Tagen, die im Regelfall ausreichend sein sollte. Gleiches gilt für Änderungswünsche des Auftraggebers. Änderungswünsche sind im Gegensatz zu Einwänden „bloße“ Wünsche, die der Auftragnehmer nicht zwingend berücksichtigen muss. Wenn der Auftragnehmer Einwände oder Änderungswünsche umsetzt, wird er diese in den Auditplan aufnehmen. Wenn der Auftragnehmer Einwände oder Änderungswünsche nicht berücksichtigen kann oder möchte, wird er dies in begründeter Form dem Auftraggeber mitteilen. 58
Im Vertragsmuster wurde bewusst auf eine erneute Frist für den Auftragnehmer zur erneuten Übersendung des Auditplans bzw. einer begründeten Ablehnung verzichtet. Im konkreten Einzelfall kann es jedoch durchaus hilfreich sein, auch hier eine Fristregelung zu implementieren, um den Fortgang des Audits zu beschleunigen bzw. einen Verzug zu vermeiden.
7. Erläuterungen zu Ziffer 7 59
E 7. Mitwirkungspflichten des Auftraggebers 7.1 Der Auftraggeber stellt dem Auftragnehmer alle für die Durchführung der Leistungen des Auftragnehmers erforderlichen Unterlagen und Informationen kostenfrei zur Verfügung. Die jeweils erforderlichen Informationen und Dokumente sind dem Auftragnehmer nach Aufforderung unverzüglich in geeigneter Weise zur Verfügung zu stellen. 7.2 Soweit für die Durchführung des Audits eine Inaugenscheinnahme und Prüfung vor Ort erforderlich ist, wird der Auftraggeber dem Auftragnehmer hierfür den jeweils erforderlichen Zugang gewähren. 7.3 Der Auftraggeber wird einen oder mehrere Personen als Ansprechpartner des Auftragnehmers benennen, die diesen bei der Durchführung des Audits in geeigneter Weise unterstützen. 7.4 Der Auftraggeber ist verpflichtet, Änderungen an dem Auditgegenstand und/oder der Rechts-/Organisationsform des Auftraggebers, die sich auf die Prüfung und Bewertung des Auftragnehmers auswirken können, unverzüglich in Textform anzuzeigen. Dies gilt auch nach Abschluss des Audits, sofern ein entsprechendes Zertifikat verliehen worden ist.
a) Ratio 60
Ein Datenschutzaudit kann nur erfolgreich sein, wenn alle beteiligten Personen und Institutionen bei der Durchführung des Audits zusammenwirken. Der Auftragnehmer wird naturgemäß ein Interesse an der erfolgreichen Durchführung des Audits haben; er ist zudem durch seine Verpflichtung zur Erbringung der Audit-Leistungen (Ziffer 4) gebunden. Passend dazu sieht das Vertragsmuster Mitwirkungspflichten für den Auftraggeber vor. Diese sind auch geboten, denn häufig bestehen nach Beginn des Audits Erfordernisse für die Begehung oder Inaugenscheinnahmen von Unternehmen bzw. IT-Systemen in Unternehmen, zu denen normalerweise keine „fremden“ Personen Zutritt erhalten. 90
|
Hansen-Oest
Erläuterungen
Rz. 66 Teil 1 III
Durch entsprechende Mitwirkungspflichten kann der Auftraggeber auch innerbetrieblich entsprechende Argumente für Zutrittsrechte von Auditoren besser begründen und durchsetzen. Die Mitwirkungspflichten im Vertragsmuster dürften angemessen und „üblich“ sein und den Auftraggeber nicht unangemessen benachteiligen.
61
b) Erläuterungen zu Ziffer 7.1 Damit der Auditor seine Prüfung durchführen kann, ist die Sichtung von Unterlagen zwingend erforderlich. Ferner werden ggf. ergänzende Informationen durch die Befragung von Personal oder Dienstleistern des Auftraggebers erforderlich sein, um die Prüfung und Bewertung des Auditgegenstandes vorzunehmen. Entsprechend dazu sieht Absatz 1 eine Pflicht des Auftraggebers vor, die jeweils benötigten Dokumente und Informationen kostenfrei zur Verfügung zu stellen.
62
Ähnliches gilt für den Zeitpunkt der Bereitstellung von Unterlagen und Informationen. Damit die jeweils vereinbarten oder avisierten Termine im Auditplan eingehalten werden können, ist eine zügige Lieferung von Informationen durch den Auftraggeber geboten. Entsprechend sieht die Klausel hier eine „unverzügliche“ Bereitstellung vor, d.h. die jeweiligen Dokumente müssen ohne schuldhaftes Zögern (vgl. § 121 Abs. 1 Satz 1 BGB) geliefert werden.
63
Eine direkte Rechtsfolge bei einer Verzögerung von zu liefernden Informationen oder Dokumenten sieht der Vertrag nicht vor. Hier kommen dann aber die ergänzend geltenden Regelungen des BGB über den Verzug (§§ 286 ff. BGB) zur Anwendung. Wenn der Auftraggeber seinen Mitwirkungspflichten nicht nachkommt, kann dem Auftragnehmer zudem nach den §§ 642, 643 BGB ein Kündigungsrecht zustehen. Voraussetzung ist nach § 643 BGB dann eine vorherige Fristsetzung mit Kündigungsandrohung.
64
c) Erläuterungen zu Ziffer 7.2 Zur Durchführung von Datenschutzaudits werden regelmäßig Vor-Ort-Prüfungen erforderlich sein, um den durch Dokumentationen des Auftraggebers aufgezeichneten Stand mit der praktischen Umsetzung abzugleichen. Da hier häufig Orte aufgesucht werden müssen, für die besondere Sicherheitsvorkehrungen gelten (z.B. in Rechenzentren), gibt es im Vertrag hier eine Mitwirkungspflicht des Auftraggebers. Dieser muss dem Auftragnehmer entsprechend Zutritt zu den Räumlichkeiten verschaffen.
65
Die Zutrittsverschaffung ist begrenzt auf die Erforderlichkeit. Es kann durchaus in der Praxis Fälle geben, in denen ein Auditor z.B. Zutritt zu einem Rechenzentrum haben möchte, dies aber ggf. nur beschränkt möglich ist, z.B. kein Zugriff auf einzelne Serverracks eingeräumt werden kann, um die Sicherheit im Rechenzentrum nicht zu gefährden. Dann kann ggf. durch einen Teilzutritt eine ausreichende Prüfungssituation erreicht werden.
66
Hansen-Oest
|
91
Teil 1 III
Rz. 67
Vertrag über die Durchführung eines Datenschutzaudits
d) Erläuterungen zu Ziffer 7.3 67
Die Klausel sieht die Benennung eines bzw. mehrerer Ansprechpartner beim Auftraggeber vor. Dies ist für die erfolgreiche Durchführung eines Audits essentiell. Der Auftragnehmer wird regelmäßig nicht wissen, welche Personen er beim Auftraggeber für spezifische Fragestellungen ansprechen kann. Insoweit ist eine Kanalisierung durch einen oder mehrere, wenige Ansprechpartner geboten, die dann intern dafür sorgen, dass dem Auftragnehmer die jeweils angefragten Informationen mitgeteilt werden können.
e) Erläuterungen zu Ziffer 7.4 68
Absatz 4 sieht eine allgemeine Informationspflicht des Auftraggebers im Hinblick auf Änderungen am Auditgegenstand vor. Es kommt in der Praxis durchaus häufig vor, dass nach Beginn eines Audits z.B. Softwareänderungen an Applikationen vorgenommen werden, die für die Auditierung relevant sind. Damit etwaige Änderungen bei der Prüfung und Bewertung berücksichtigt werden können, muss der Auftraggeber den Auftragnehmer unverzüglich in Textform, also z.B. E-Mail, über Änderungen informieren.
69
Es kommt zudem regelmäßig vor, dass nach Abschluss des Datenschutzaudits und nach Erteilung eines Zertifikats Änderungen am Auditgegenstand vorgenommen werden. Dies kann dann ggf. dazu führen, dass die jeweiligen Rechtsvorschriften zum Datenschutz bzw. die festgelegten Prüfkriterien möglicherweise nicht mehr eingehalten werden. Um das Vertrauen in ein erteiltes Zertifikat aufrecht erhalten zu können, ist es zwingend geboten, dass dem Auftraggeber auch nach einem abgeschlossenen, erfolgreichen Datenschutzaudit entsprechende Informationspflichten auferlegt werden. Entsprechend sieht Absatz 4 hier eine solche Verpflichtung des Auftraggebers vor.
8. Erläuterungen zu Ziffer 8 70
E 8. Abschlussbesprechung und Prüfbericht 8.1 Nach Durchführung der Prüfung und Bewertung wird der Auftragnehmer mit dem Auftraggeber eine Abschlussbesprechung durchführen. In der Abschlussbesprechung wird der Auftragnehmer über die Auditfeststellungen berichten, die ermittelten Konformitäten und Nichtkonformitäten aufzeigen und die hieraus zu ziehenden Schlussfolgerungen aufzeigen. Dem Auftraggeber wird Gelegenheit zur Stellungnahme zu den Auditfeststellungen gegeben. 8.2 Der Auftragnehmer wird das Ergebnis seiner Prüfung und seine Bewertung (Arbeitsergebnis) in einem Prüfbericht schriftlich dokumentieren. Der Prüfbericht muss die ermittelten Konformitäten und Nichtkonformitäten darlegen und vom Auftragnehmer ggf. vorgelegte Korrekturen im Hinblick auf ihre Annehmbarkeit bewerten.
92
|
Hansen-Oest
Erläuterungen
Rz. 74 Teil 1 III
a) Ratio Nach jeder durchgeführten Überprüfung im Zusammenhang mit einem Datenschutzaudit wird regelmäßig eine Abschlussbesprechung stattfinden, in der der Auftragnehmer seine Erlebnisse und vor allem seine Ergebnisse der Überprüfung darstellen wird. Die Abschlussbesprechung ist ein elementarer Bestandteil eines Datenschutzaudits. In der Abschlussbesprechung besteht zudem noch einmal die Gelegenheit für den Auftraggeber, ergänzende Fragen, Verständnisfragen und Fragen zum Ablauf zu stellen. Dies ist ferner nochmals eine gute Gelegenheit für den Auftraggeber, Einfluss auf den Prüfbericht zu nehmen. Es kann in der Praxis durchaus vorkommen, dass bei den Auditoren z.B. Verständnisprobleme im Hinblick auf die Dokumentation bestanden, die ggf. in der Abschlussbesprechung geklärt werden können.
71
Der Ablauf der Abschlussbesprechung ist nicht fest vorgegeben. Üblich ist es, dass der Auftragnehmer zunächst seine Ergebnisse in einer Präsentation gegenüber dem Auftraggeber darstellt und es dann Gelegenheit zur Diskussion gibt. Zum Abschluss wird dann das weitere Vorgehen im Hinblick auf die Fertigstellung des Prüfberichts und die ggf. in Aussicht gestellte Zertifizierung besprochen werden.
72
b) Erläuterungen zu Ziffer 8.1 Wie schon unter a) geschildert, ist die Abschlussbesprechung ein zentrales Element eines Datenschutzaudits. Daher macht es Sinn, vor der finalen Fertigstellung des Berichts über die Prüfung („Prüfbericht“) noch einmal eine Besprechung mit dem Auftraggeber durchzuführen.
73
Entsprechend sieht z.B. auch die ISO/IEC 17021:2011 in Ziffer 9.1.9 vor, dass eine Abschlussbesprechung durchzuführen ist. Dort ist sogar vorgesehen, dass die Abschlussbesprechung zwingend auch mit Mitgliedern des Managements des Auftraggebers vorgenommen werden muss. Dieser Mustervertrag sieht dies nicht zwingend vor, da ein Datenschutzaudit z.B. auch von Auditoren durchgeführt werden kann, die nicht an die betreffende ISO-Norm gebunden sind. Entscheidend ist letztlich, dass die Abschlussbesprechung dem Auftraggeber die Möglichkeit eröffnet, nach der Darstellung der Ergebnisse der Überprüfung noch einmal Stellung zu offenen oder kritischen Punkten zu nehmen. Dabei kommt es für das Datenschutzaudit an sich nicht darauf an, ob hier nun Mitglieder des Managements anwesend sind oder nicht. In der Darstellung der Ergebnisse durch den Auftragnehmer in einer Abschlussbesprechung wird ein Fokus darauf liegen, wo bei der Überprüfung Konformitäten und Nichtkonformitäten zum jeweiligen Kriterienkatalog festgestellt worden sind. Insbesondere im Falle einer Nichtkonformität wird der Auftraggeber die Gelegenheit nutzen wollen, weitere Fragen zu den Ursachen der Nichtkonformität und vor allem zur Behebung der Nichtkonformität zu stellen. Möglicherweise besteht dann sogar die Option, dass der Auftraggeber eine ggf. fehlerHansen-Oest
|
93
74
Teil 1 III
Rz. 75
Vertrag über die Durchführung eines Datenschutzaudits
hafte Ermittlung einer Nichtkonformität durch den Auftragnehmer korrigieren kann. 75
In der Praxis werden gerade die kritischen Fragen regelmäßig zwar vor der Abschlussbesprechung thematisiert werden; gleichwohl kommt es gerade in großen Projekten durchaus vor, dass bestimmte Punkte erst in der Abschlussbesprechung zwischen den Parteien noch einmal final diskutiert werden können.
c) Erläuterungen zu Ziffer 8.2 76
Wenn die Abschlussbesprechung durchgeführt wurde, wird der Auftragnehmer den Prüfbericht fertig stellen. Der Prüfbericht enthält die schriftliche Dokumentation der datenschutzrechtlichen Überprüfungen durch den Auftragnehmer im Hinblick auf den Auditgegenstand. Im Prüfbericht selbst wird noch einmal der Ablauf des Datenschutzaudits dargestellt und die einzelnen Punkte der Überprüfung des Auditgegenstandes im Einzelnen erläutert und bewertet. Insbesondere werden dabei die Feststellungen dafür getroffen, ob und an welchen Stellen der Auditgegenstand den Anforderungen des Kriterienkataloges entsprochen hat („Konformität“) und wo es Abweichungen gegeben hat („Nichtkonformität“).
77
Nicht jede Nichtkonformität muss zwingend dazu führen, dass eine Zertifizierung nicht möglich ist. So sind z.B. im Falle einer Nichtkonformität Auflagen gegenüber dem Auftraggeber denkbar, die z.B. vorsehen, dass binnen einer bestimmten Frist eine Änderung an Konfigurationen eines IT-Systems erfolgen muss.
78
Der Prüfbericht selbst muss nicht in einer bestimmten Form gestaltet sein. Entscheidend ist, dass der Auftraggeber aus dem Prüfbericht den Ablauf der Überprüfung und die Ergebnisse der Überprüfung sowie die entsprechenden Feststellungen und Bewertungen in nachvollziehbarer Weise entnehmen kann.
9. Erläuterungen zu Ziffer 9 79
E 9. Abnahme 9.1 Der Auftragnehmer wird seinen Prüfbericht zu dem jeweils im Auditplan festgelegten oder individuell vereinbarten Termin liefern. Der jeweilige Termin gilt nicht als Fixgeschäft i.S.d. § 323 Abs. 2 Nr. 2 BGB. 9.2 Der Auftraggeber ist verpflichtet, binnen zwei Wochen nach Zugang des Prüfberichts die Abnahme oder Nichtabnahme schriftlich (alternativ: in Textform) zu erklären. Eine Nichtabnahme ist zugleich zu begründen. Unerhebliche Mängel berechtigen den Auftraggeber nicht zu einer Verweigerung der Abnahme. 9.3 Sofern der Auftraggeber nicht binnen der Frist der Ziffer 9.2 eine Abnahme oder Nichtabnahme erklärt, kann der Auftragnehmer dem Auftraggeber eine Frist von zwei Wochen zur Abgabe der Erklärung setzen. Der Prüfbericht gilt mit Ablauf der Frist als abgenommen, wenn der Auftraggeber weder die Abnahme noch die begründete Nichtabnahme erklärt. 94
|
Hansen-Oest
Erläuterungen
Rz. 84 Teil 1 III
a) Ratio Die Erstellung eines Prüfberichts unterliegt in der Regel dem Werkvertragsrecht. Denkbar wäre zwar auch, hier Dienstvertragsrecht anzuwenden, da es sich um einen Dienst höherer Art i.S.d. § 627 BGB handeln könnte. Hier wird jedoch im Gegensatz zu einer Dienstleistung nicht nur die Überprüfung geschuldet. Im Hinblick auf die Erstellung des vollständigen Prüfberichts wird vielmehr regelmäßig ein Erfolg geschuldet, nämlich die Herstellung eines nichtkörperlichen Werkes. Ein Prüfbericht entspricht inhaltlich zudem einem Gutachten, und bei Gutachten kommt im Gegensatz zu einer Beratung Werkvertragsrecht zur Anwendung1. Der Schwerpunkt der Tätigkeit ist im Falle der Erstellung des Prüfberichts erfolgsbezogen. Damit ist Werkvertragsrecht einschlägig, und entsprechend ist eine Abnahme i.S.d. § 640 BGB erforderlich.
80
Diese Klausel enthält einige wenige Rahmenbedingungen für die Durchführung der Abnahme2 sowie für den Fall einer nicht oder nicht rechtzeitig erfolgten Abnahme.
81
b) Erläuterungen zu Ziffer 9.1 Auftraggeber und Auftragnehmer werden individuell einen Termin zur Abgabe des Prüfberichts vereinbart oder diesen im Auditplan festgehalten haben. Auch wenn eine termingerechte Abgabe im Interesse des Auftraggebers ist, hat der Auftragnehmer gleichwohl ein berechtigtes Interesse daran, dass dieser Termin nicht im Sinne eines Fixgeschäfts (§ 323 Abs. 2 Nr. 2 BGB) verstanden wird. Dies würde dem Auftraggeber ansonsten Rücktrittsrechte im Hinblick auf den Vertrag einräumen, die für den Auftragnehmer erhebliche Nachteile bedeuten könnten. Für den Verzug gibt es im Übrigen eine gesonderte Regelung in Ziffer 15 Abs. 3, die hier einschlägig werden kann.
82
c) Erläuterungen zu Ziffer 9.2 Diese Klausel sieht vor, dass der Auftraggeber in zwei Wochen nach Zugang des Prüfberichts eine Abnahme zu erklären hat. Die Frist von zwei Wochen sollte ggf. gerade in größeren Datenschutzaudit-Projekten verlängert werden, um dem Auftraggeber eine vollständige Prüfung des Prüfberichts zu ermöglichen. Der Auftraggeber kann dann entsprechend die Abnahme (§ 640 BGB) erklären. Dabei sieht Satz 3 vor, dass unerhebliche Mängel den Auftraggeber nicht zu einer Verweigerung der Abnahme berechtigen. Dabei handelt es sich um eine übliche Klausel, die verhindert, dass bei kleineren Mängeln eine Gesamtabnahme durch den Auftraggeber verweigert wird.
83
Die Klausel sieht vor, dass die Abnahme schriftlich zu erfolgen hat. Alternativ kann auch hier die Textform (z.B. E-Mail) gewählt werden. Im Hinblick auf die Folgen, die eine Abnahme rechtlich auslöst, wird in der Praxis jedoch nach wie vor häufig die Schriftform gefordert. Dies verhindert auch, dass z.B. eine E-Mail,
84
1 Prütting/Wegen/Weinreich/Fehrenbacher, § 675 BGB Rz. 9.; vgl. auch BGH v. 20.4.2004 – X ZR 250/02, NJW 2004, 3035; Büdenbender, JuS 2001, 625. 2 Vgl. zur „Abnahme“ im IT-Recht Söbbing, MMR 2010, 222 (224).
Hansen-Oest
|
95
Teil 1 III
Rz. 85
Vertrag über die Durchführung eines Datenschutzaudits
mit der vielleicht auf die Zusendung des Prüfberichts positiv eingegangen wird, als Abnahme gewertet werden könnte. 85
Ferner sieht die Klausel vor, dass eine Nichtabnahme zu begründen ist. Dies soll den Auftragnehmer in die Lage versetzen, eine Nacherfüllung schnell vornehmen zu können bzw. die Möglichkeit einer Klarstellung zu erhalten, dass der Prüfbericht in den bemängelten Punkten fehlerfrei ist. Ein Auditbericht kann z.B. fehlerhaft sein, wenn der Auditor zur Verfügung gestellte Dokumentation des Auftraggebers nicht berücksichtigt hat. Gleiches kann gelten, wenn der Auditor getroffene Maßnahmen für nicht ausreichend hält, obwohl diese z.B. nach einem anderen Standard (z.B. BSI Standard 100–1 [bis 5]) dem Stand der Technik entsprechen und damit ausreichend wären. Schließlich kann auch eine fehlerhafte Darstellung und Bewertung der konkreten technischen Umsetzung durch den Auditor zu einem fehlerhaften Auditbericht führen.
d) Erläuterungen zu Ziffer 9.3 86
Im Falle einer nicht rechtzeitig erteilten Abnahme muss nach dieser Klausel noch einmal eine Fristsetzung durch den Auftragnehmer gegenüber dem Auftraggeber erfolgen. Denkbar wäre natürlich auch, hier eine Klausel zu verwenden, die im Falle einer Nichtreaktion eine Abnahme fingiert. Dies führt in der Praxis jedoch relativ häufig zu Streitigkeiten zwischen den Parteien, die gerade in größeren Datenschutzaudit-Projekten vermieden werden sollten. Es erscheint daher angemessen, dem Auftragnehmer die Pflicht aufzuerlegen, dem Auftraggeber noch einmal eine Nachfrist zu setzen, bevor hier die Fiktion einer Abnahme erfolgt. Wenn jedoch auch diese Frist erfolglos verstreicht, wird die Abnahme mit dieser Klausel in Satz 2 fingiert.
10. Erläuterungen zu Ziffer 10 87
E 10. Zertifikat und Nutzungsrechte 10.1 Sofern die Prüfung und Bewertung des Auditgegenstandes ergibt, dass die Prüfkriterien eingehalten werden, wird der Auftragnehmer auf Wunsch des Auftraggebers ein Zertifikat für den Auftraggeber erteilen. Die Gültigkeit des Zertifikats wird auf zwei Jahre beschränkt. 10.2 Der Auftragnehmer kann im Falle von Nichtkonformitäten das Zertifikat mit der Auflage verleihen, dass zuvor definierte Maßnahmen vom Auftraggeber innerhalb von vereinbarten Fristen umgesetzt und nachgewiesen werden. Im Falle der nicht fristgerechten Behebung von Nichtkonformitäten kann der Auftragnehmer die Gültigkeit des Zertifikats aufheben. 10.3 Der Auftraggeber erhält mit Erteilung des Zertifikats ein einfaches, nicht übertragbares, widerrufliches Recht, das Zertifikat und das dazugehörige, vom Auftragnehmer ausgestellte Siegel für die Dauer der Gültigkeit für eigene Zwecke zu nutzen. Änderungen am Siegel oder Zertifikat dürfen vom Auftraggeber nicht vorgenommen werden. 96
|
Hansen-Oest
Erläuterungen
Rz. 92 Teil 1 III
10.4 Der Auftraggeber ist bei der werblichen Nutzung des Zertifikats und/ oder des Siegels verpflichtet, nur das vom Auftragnehmer zur Verfügung gestellte Zertifikat und/oder Siegel zu verwenden. Dies beinhaltet insbesondere die Pflicht, den Geltungsbereich und die Gültigkeit des Zertifikats zu benennen. Der Auftraggeber ist weiter verpflichtet, keine irreführenden Angaben bei der Verwendung von Zertifikat und/oder Siegel zu machen. 10.5 Der Auftragnehmer kann das Zertifikat des Auftraggebers entziehen, wenn der Auftraggeber seinen Mitteilungspflichten (Ziffer 7.4) nicht nachkommt, den Auditgegenstand nicht unerheblich verändert oder er das Siegel und/oder Zertifikat in nicht vertragsgerechter Weise verwendet. Mit dem Entzug des Zertifikats werden die Nutzungsrechte im Sinne von Ziffer 10.3 widerrufen.
a) Ratio Ein erfolgreich durchlaufenes Datenschutzaudit wird in der Regel mit einem Zertifikat enden. Dabei wird die Gültigkeit des Zertifikats in der Regel auf einen bestimmten Zeitraum (hier: zwei Jahre) beschränkt.
88
Neben einem Zertifikat wird die jeweilige Zertifizierungsstelle bzw. der Auditor in diesem Fall auch ein „Siegel“ zur Verfügung stellen, dass der Auftraggeber werblich nutzen kann, um z.B. auf dem zertifizierten Produkt oder auf seinen Unternehmensunterlagen mit dem Siegel zum Ausdruck zu bringen, dass hier eine bestimmte Datenschutzkonformität durch eine dritte Stelle festgestellt worden ist.
89
Um zu verhindern, dass der Auftraggeber nach erfolgreich durchgeführtem Audit Änderungen an dem Auditgegenstand vornimmt, die dann z.B. zu einem datenschutzwidrigen, nicht zertifizierten Einsatz führen können, gibt es in Absatz 5 auch eine Regelung, die den Entzug eines Zertifikats vorsieht.
90
b) Erläuterungen zu Ziffer 10.1 Mit der Klausel wird geregelt, dass nach einer erfolgreichen Durchführung der datenschutzrechtlichen Überprüfung anhand des jeweiligen Kriterienkataloges ein Zertifikat erteilt wird. Hier ist vorgesehen, dass das Zertifikat vom Auftragnehmer nur auf Wunsch des Auftraggebers erteilt wird. Selbstverständlich wäre es auch möglich, dies als Automatismus vorzusehen, der nicht vom Wunsch des Auftraggebers abhängig ist.
91
Es ist üblich, entsprechende Zertifikate zeitlich zu befristen1. Ein Zeitraum von zwei Jahren hat sich zumindest für den Bereich der Datenschutz-Gütesiegel in der Praxis etabliert. Eine entsprechende Regelung ist daher in Satz 2 enthalten.
92
1 Vgl. § 1 Abs. 2 Satz 2 der Schleswig-Holsteinischen Landesverordnung über ein Datenschutzaudit (Datenschutzauditverordnung – DSAVO), GVOBl. 2008, 562; GVOBl. 2009, 742.
Hansen-Oest
|
97
Teil 1 III
Rz. 93
Vertrag über die Durchführung eines Datenschutzaudits
c) Erläuterungen zu Ziffer 10.2 93
Ziffer 10.2 enthält eine in der Praxis enorm wichtige Regelung. Nur selten kommt es vor, dass ein Auditgegenstand wirklich alle Punkte eines Kriterienkataloges vollständig erfüllt. Üblich sind Abweichungen, bei denen es dann darauf ankommt, ob diese erheblich sind oder nur eine geringfügige Abweichung aufweisen. Sollte eine Abweichung und damit eine Nichtkonformität vorliegen, kann der Auftragnehmer z.B. vorsehen, dass der Auftraggeber diese Abweichung innerhalb einer bestimmten Frist zu beheben und die Behebung nachzuweisen hat. In dem Fall würde dann trotzdem ein Zertifikat erteilt werden, dass dann aber im Falle der Nichtbehebung wieder entzogen bzw. aufgehoben werden kann.
d) Erläuterungen zu Ziffer 10.3 94
Die Klausel enthält eine einfache Übertragungsregelung zu Nutzungsrechten zugunsten des Auftraggebers. Dem Auftraggeber wird ein einfaches, nicht übertragbares, widerrufliches Recht übertragen, das Zertifikat und das Siegel für eigene Zwecke zu nutzen.
95
Wichtig ist dabei auch, dass der Auftraggeber nicht befugt ist, Änderungen am Siegel oder Zertifikat vorzunehmen.
e) Erläuterungen zu Ziffer 10.4 96
Ein Hauptzweck für viele Unternehmen, sich einem Datenschutzaudit zu unterziehen, ist es, eine Datenschutzkonformität nach außen darstellen zu können1. Dies kann klassischerweise in Form eines Siegels erfolgen. Um eine Irreführung im Markt zu verhindern, ist ein sorgsamer Umgang mit Siegeln unerlässlich. Jeder Aussteller eines Siegels wird daher zumindest den Gültigkeitszeitraum auf dem Siegel oder im unmittelbaren Zusammenhang mit dem Siegel vermerken. Folgerichtig macht es dann Sinn, den Auftraggeber zu verpflichten, dass das Siegel immer in der Form verwendet wird, dass der Gültigkeitszeitraum angegeben wird.
97
Gleiches gilt auch für den Geltungsbereich des Siegels. So kann z.B. der Geltungsbereich auf das Rechenzentrum eines Auftraggebers beschränkt werden oder z.B. auf den Umgang mit bestimmten Arten personenbezogener Daten wie etwa Kundendaten etc.
98
Satz 3 sieht dann eine allgemeine Verpflichtung des Auftraggebers vor, keine irreführenden Angaben bei der Verwendung des Siegels oder des Zertifikats zu machen.
f) Erläuterungen zu Ziffer 10.5 99
Ziffer 10.5 ist ebenfalls eine wichtige Regelung zugunsten des Auftragnehmers. Danach kann der Auftragnehmer dem Auftraggeber das Zertifikat entziehen, 1 Dazu auch Bock, DuD 2008, 1 (2).
98
|
Hansen-Oest
Erläuterungen
Rz. 105 Teil 1 III
wenn dieser seinen Mitteilungspflichten nach Ziffer 7.4 nicht nachkommt. Dies soll die Gefahr verringern, dass ein Auftraggeber nach erfolgreicher Zertifizierung nach Belieben seinen Auditgegenstand ändert, ohne den Auftragnehmer hierüber zu informieren. Ohne die Möglichkeit des Auftragnehmers, auch nachträglich noch ein Zertifikat zu entziehen, würde die Glaubwürdigkeit eines entsprechenden Datenschutzaudits stark beeinträchtigt werden können. Nicht nur bei Verletzungen von Mitteilungspflichten, sondern allgemein bei nicht unerheblichen Veränderungen des Auditgegenstandes oder einer nicht vertragsgerechten Verwendung von Zertifikat oder Siegel kann ein Entzug des Zertifikats durch den Auftragnehmer erfolgen.
100
Im Falle eines Entzugs des Zertifikats wird der Auftragnehmer die Nutzungsrechte nach Satz 3 entsprechend gegenüber dem Auftraggeber widerrufen.
101
11. Erläuterungen zu Ziffer 11 102
E 11. Wiederholungsaudit und Rezertifizierung 11.1 Der Auftraggeber kann den Auditgegenstand erneut beim Auftragnehmer einem Datenschutzaudit unterziehen. Dies ist insbesondere dann möglich, wenn sich der Auditgegenstand ändert oder die Gültigkeit des Zertifikats abläuft. 11.2 Ein Wiederholungsaudit und eine Rezertifizierung sind zwischen den Parteien gesondert zu vereinbaren.
a) Ratio Selbstverständlich kann ein Datenschutzaudit jederzeit wiederholt werden. Eine entsprechende Regelung ist hier im Mustervertrag vorgesehen.
103
b) Erläuterungen zu Ziffer 11.1 Ein Datenschutzaudit kann jederzeit wiederholt werden. Die Klausel enthält diesbezüglich eine einfache Regelung.
104
Ein Datenschutzaudit zu wiederholen, ist vor allem dann möglich, wenn sich der Auditgegenstand ändert oder – was der Regelfall sein dürfte – wenn die Gültigkeit des Zertifikats abgelaufen ist.
c) Erläuterungen zu Ziffer 11.2 Da ein erneutes Datenschutzaudit in der Regel ein neues Projekt darstellt, sollten die Parteien entsprechend für dieses neue Projekt einen gesonderten Vertrag schließen. Die Klausel hier sieht entsprechend vor, dass die Rezertifizierung mit dem Wiederholungsaudit gesondert zwischen den Parteien zu vereinbaren ist1. 1 Die Möglichkeit zur Rezertifizierung ist bei allen gängigen Datenschutzaudits zur Zeit möglich. Vgl. Meissner, Datenschutzgütesiegel als vertrauensbildende Maßnahme am Beispiel des europäischen EuroPriSe-Zeichens, S. 95 (118 f.).
Hansen-Oest
|
99
105
Teil 1 III
Rz. 106
Vertrag über die Durchführung eines Datenschutzaudits
12. Erläuterungen zu Ziffer 12 106
E 12. Preise, Zahlung 12.1 Die Parteien vereinbaren für die Durchführung des Datenschutzaudits durch den Auftragnehmer eine Vergütung i.H.v. … Euro netto zzgl. USt. 12.2 Die Vergütung ist nach erfolgter Abnahme fällig und binnen 30 Tagen vom Auftraggeber an den Auftragnehmer zu zahlen. 12.3 Die Parteien können im Auditplan Abschlagszahlungen vereinbaren, die abhängig von Terminen oder Arbeitsfortschritten sein können.
a) Ratio 107
Ziffer 12 enthält eine einfach gehaltene Regelung zum Preis und zur Zahlung der Vergütung des Auftragnehmers für die geleisteten Arbeiten.
b) Erläuterungen zu Ziffer 12.1 108
Die Klausel enthält eine sehr einfach gestaltete Klausel über den zwischen den Parteien vereinbarten Preis für die Leistungen des Auftragnehmers. Diese kann in der Praxis entsprechend abgeändert werden.
c) Erläuterungen zu Ziffer 12.2 109
Ziffer 12.2 enthält einen Hinweis zur Fälligkeit des Anspruchs auf Zahlung. Der jeweilige Betrag wird mit der Abnahme (Ziffer 9) zur Zahlung fällig. In der Klausel ist auch eine Frist zur Zahlung von 30 Tagen angegeben. Auch hier können natürlich entsprechende Modifikationen vorgenommen werden.
d) Erläuterungen zu Ziffer 12.3 110
Datenschutzaudit-Projekte sind nicht selten Projekte, die über einen Zeitraum von mehreren Monaten laufen. In großen Projekten werden zudem Abschlagszahlungen für den Auftragnehmer geboten sein. Da eine entsprechende Regelung zu Zeitpunkten von Abschlagszahlungen im Vertrag selbst zu unflexibel sein dürfte, erfolgt in dieser Klausel ein Verweis auf die Möglichkeit, Abschlagszahlungen und Zeitpunkte von Abschlagszahlungen im Auditplan festzulegen. Dies ermöglicht den Parteien eine bessere Flexibilität.
13. Erläuterungen zu Ziffer 13 111
E 13. Vertraulichkeit 13.1 Alle zwischen den Parteien im Zusammenhang mit der Durchführung des Audits ausgetauschten Informationen (insbesondere Dokumente und Dateien) sind von den Parteien vertraulich zu behandeln. Dies be100
|
Hansen-Oest
Erläuterungen
Rz. 115 Teil 1 III
zieht sich auch auf Informationen, die vor dem Vertragsschluss im Rahmen der Vertragsanbahnung ausgetauscht wurden. 13.2 Eine Weitergabe von diesen Informationen an Dritte oder eine Einsichtnahme durch Dritte ist nur dann zulässig, wenn dies für die Erfüllung des Vertragszwecks erforderlich ist, aufgrund von Rechtsvorschriften erlaubt oder mit Einwilligung jeweils beider Vertragspartner erfolgt. 13.3 Vorstehende Verpflichtungen gelten nicht für Informationen, (a) die dem Empfänger vor der Vertragsanbahnung nachweislich bereits bekannt waren oder danach von dritter Seite bekannt werden, ohne dass dadurch eine Vertraulichkeitsvereinbarung, gesetzliche Vorschriften oder behördliche Anordnungen verletzt werden; (b) die bei Abschluss des Vertrags öffentlich bekannt sind oder danach öffentlich bekannt gemacht werden, soweit dies nicht auf einer Verletzung dieses Vertrags beruht; (c) die aufgrund gesetzlicher Verpflichtungen oder auf Anordnung eines Gerichtes oder einer Behörde offen gelegt werden müssen. Soweit zulässig und möglich wird der zur Offenlegung verpflichtete Empfänger die andere Vertragspartei vorab unterrichten und ihr Gelegenheit geben, gegen die Offenlegung vorzugehen. 13.4 Beide Parteien sind verpflichtet, entsprechende Geheimhaltungspflichten mit ihren Beschäftigten und sonstigen Dritten, die an der Ausführung des Vertrags mitwirken, zu vereinbaren. 13.5 Die Verpflichtung zur Geheimhaltung besteht auch nach Beendigung des Vertrags für einen Zeitraum von zwei Jahren fort.
a) Ratio Der Auftragnehmer erfährt im Zuge eines Datenschutzaudits sehr viel über den Auftraggeber und dessen Geschäftsprozesse. Ziffer 13 sieht daher eine entsprechende Regelung zur Vertraulichkeit vor1.
112
Häufig werden bereits vor Vertragsschluss Geheimhaltungsregelungen zwischen den Parteien vereinbart (z.B. über eine Vertraulichkeitsvereinbarung/ein Non-Disclosure-Agreement [NDA]2).
113
In diesem Muster wurde von einer Vertragsstrafenregelung abgesehen. Diese kann selbstverständlich zwischen den Parteien vereinbart werden.
114
Sofern Berufsgeheimnisträger wie z.B. Rechtsanwälte im Zusammenhang mit der Erstellung eines Gutachtens in dem Datenschutzaudit tätig sind, wird dann ergänzend noch die Schweigepflicht des § 203 StGB gelten.
115
1 Vgl. allgemein zu Geheimhaltungsvereinbarungen Intveen, ITRB 2007, 239 ff. 2 S. hierzu das Muster einer Vertraulichkeitsvereinbarung in Teil 1 IV.
Hansen-Oest
|
101
Teil 1 III
Rz. 116
Vertrag über die Durchführung eines Datenschutzaudits
b) Erläuterungen zu Ziffer 13.1 116
Ziffer 13.1 enthält die Verpflichtung der Parteien, die im Zusammenhang mit der Durchführung des Audits erhaltenen Informationen vertraulich zu behandeln. Die Verpflichtung wird zudem auch auf die Informationen erstreckt, die vor dem Vertragsschluss zwischen den Parteien ausgetauscht wurden. In der Praxis wird – wie bereits erwähnt – meist zuvor schon eine entsprechende Vertraulichkeitsvereinbarung (z.B. durch ein NDA) zwischen den Parteien geschlossen worden sein. Die Klausel erweitert den Bereich jedoch vorsorglich.
c) Erläuterungen zu Ziffer 13.2 117
Es kann durchaus vorkommen, dass eine Weitergabe von vertraulichen Informationen an Dritte im Zusammenhang mit dem Datenschutzaudit erfolgt. Dies kann z.B. dann der Fall sein, wenn externe Auditoren oder Fachkräfte involviert werden. Um nicht für jeden Fall der Weitergabe von Informationen eine Zustimmung vom Auftraggeber einholen zu müssen, kann nach Absatz 2 eine Weitergabe auch dann erfolgen, wenn diese zur Erfüllung des Vertragszwecks erforderlich ist. Gleiches gilt auch, wenn Rechtsvorschriften dies erlauben oder eine Einwilligung der Vertragspartner vorliegt.
118
Die Verpflichtung zur Vertraulichkeit besteht nicht nur gegenüber dem Auftraggeber. Auch der Auftraggeber erhält ggf. Informationen über Geschäfts- und Auditprozesse des Auftragnehmers, deren Geheimhaltung der Auftragnehmer gewahrt wissen möchte. Insoweit wird hier nicht zwischen Informationen von Auftraggebern oder Auftragnehmern differenziert.
d) Erläuterungen zu Ziffer 13.3 119
Ziffer 13.3 enthält die notwendigen Aufweichungen der Vertraulichkeitsklauseln, damit diese keine unangemessene Benachteiligung des jeweils anderen Vertragspartners beinhalten. So sind hier z.B. die Informationen ausgenommen, die der jeweils anderen Partei nachweislich bereits bekannt waren oder sogar öffentlich bekannt gemacht wurden.
120
Gleiches gilt für etwaige Verpflichtungen einer Vertragspartei zu entsprechenden Offenlegungen. Hier sieht der Vertrag jedoch noch die Regelung vor, dass die Partei, die zur Offenlegung verpflichtet ist, die jeweils andere Vertragspartei zu unterrichten und Gelegenheit zur Stellungnahme geben soll, soweit dies zulässig und möglich ist.
e) Erläuterungen zu Ziffer 13.4 121
Damit die Vertraulichkeit auch bei weiteren Personen, die an dem Datenschutzaudit beteiligt sind, gewährleistet ist, sind beide Parten durch diese Klausel verpflichtet, entsprechende Vertraulichkeitsregelungen mit ihren Beschäftigten und sonstigen Dritten zu treffen. 102
|
Hansen-Oest
Erläuterungen
Rz. 125 Teil 1 III
Dabei werden Form und Inhalt nicht fest vorgegeben. Die Verpflichtungen müssen aber „entsprechend“ sein, d.h. die Parteien werden die wesentlichen Inhalte dieser Vertraulichkeitsregelung der Ziffer 13 übernehmen müssen.
f) Erläuterungen zu Ziffer 13.5 Die Verpflichtung zur Vertraulichkeit wird durch diese Klausel auf den Zeitraum nach Vertragsbeendigung erstreckt. Ein Zeitraum von zwei Jahren wurde hier als angemessen gewertet. Da der Wegfall der Vertraulichkeitspflicht nicht zugleich bedeutet, dass Informationen, die zuvor der Vertraulichkeit unterlagen, nun an Dritte weitergegeben werden dürfen, ist ein Zeitraum von zwei Jahren auch ausreichend.
122
14. Erläuterungen zu Ziffer 14 E 14. Datenschutz
123
14.1 Der Auftragnehmer trägt Sorge dafür, dass personenbezogen Daten, von denen er im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber Kenntnis erhält, nur erhoben, verarbeitet und genutzt werden, soweit dies zur vertragsgemäßen Leistungserbringung erforderlich und durch gesetzliche Vorschriften erlaubt oder vom Gesetzgeber angeordnet ist. 14.2 Der Auftragnehmer stellt sicher, dass alle Beschäftigten, die am Audit mitwirken, auf das Datengeheimnis (§ 5 BDSG) verpflichtet wurden.
a) Ratio Im Zusammenhang mit dem Datenschutzaudit wird der Auftragnehmer auch personenbezogene Daten des Auftragnehmers, dessen Beschäftigten oder Dritten verwenden.
124
Entsprechend sieht Ziffer 14 eine kurze Regelung zum Datenschutz vor.
b) Erläuterungen zu Ziffer 14.1 Ziffer 14.1 enthält die Zusicherung des Auftragnehmers, personenbezogene Daten nur in einer dem Grundsatz der Erforderlichkeit entsprechenden Weise zu erheben, zu verarbeiten und zu nutzen. Die Datenverarbeitung wird der Auftragnehmer im Datenschutzaudit im Wesentlichen auf § 28 Abs. 1 Satz 1 Nr. 1 BDSG stützen können. Der Auftragnehmer wird im Rahmen der Auditierung regelmäßig im eigenen Ermessen mit den Daten umgehen, um das Datenschutzaudit durchzuführen. Es fehlt an einer Weisungsgebundenheit, so dass eine Auftragsdatenverarbeitung1 nicht in Betracht kommt. Möchte der Auftraggeber über die pauschale Verpflichtung auf die Einhaltung der gesetzlichen Datenschutzvorschriften hinausgehende 1 S. hierzu die Muster in Teil 2 I und 2 II.
Hansen-Oest
|
103
125
Teil 1 III
Rz. 126
Vertrag über die Durchführung eines Datenschutzaudits
Datenschutzvereinbarungen, kann sich insoweit an dem Muster der Datenschutzklausel für Funktionsübertragungen1 orientiert werden.
c) Erläuterungen zu Ziffer 14.2 126
Der Auftragnehmer ist nach § 5 BDSG verpflichtet, seine Beschäftigten auf das Datengeheimnis zu verpflichten, wenn diese personenbezogene Daten verarbeiten.
127
Mit der Regelung in Absatz 2 verpflichtet sich der Auftragnehmer zudem auch direkt gegenüber dem Auftraggeber, dieser gesetzlichen Verpflichtung zum Datengeheimnis nachzukommen.
15. Erläuterungen zu Ziffer 15 128
E 15. Gewährleistung und Verzug 15.1 Mängel an Arbeitsergebnissen des Auftragnehmers sind vom Auftraggeber unverzüglich schriftlich (alternativ: in Textform) geltend zu machen. 15.2 Ansprüche auf Gewährleistung des Auftraggebers verjähren nach Ablauf von zwölf Monaten nach Abnahme des Prüfberichts. 15.3 Bei zeitlichen Abweichungen vom Auditplan oder Abweichungen von Teilabschnitten des Zeitplans, die die Einhaltung des Gesamtzeitplans beeinträchtigen, kann der Auftraggeber die vereinbarte Vergütung in angemessener Höhe mindern. Etwaige Schadensersatzansprüche bleiben unberührt.
a) Ratio 129
Die Einordnung eines Datenschutzaudits zu einem bestimmten Vertragstyp ist schwierig, da es sowohl Dienstvertragselemente (z.B. Durchführung eines Pre-Audits, Besprechungen, Vor-Ort-Termine) als auch Werkvertragselemente (vor allem die Erstellung des Prüfberichts) gibt. Der Schwerpunkt der Leistung besteht in der Erstellung eines Prüfberichts, dem zuvor durchgeführte Prüfungen zugrunde liegen. Der Prüfbericht ist die Grundlage für eine Zertifizierung und damit zentraler Bestandteil des Datenschutzaudits. In diesem werden die Arbeitsergebnisse schriftlich zusammengefasst. Es sprechen daher aufgrund des Schwerpunkt-Aspekts gute Argumente dafür, hier Werkvertragsrecht anzuwenden. Im Hinblick auf Gewährleistungsansprüche gilt dies auch, zumal diese sich regelmäßig auf Arbeitsergebnisse beziehen dürften und daher auf den Prüfbericht abzielen. Ziffer 15 enthält nur rudimentäre Regelungen zur Gewährleistung, so dass im Übrigen die gesetzlichen Gewährleistungsregelungen gelten.
1 S. hierzu das Muster in Teil 6 I.
104
|
Hansen-Oest
Erläuterungen
Rz. 137 Teil 1 III
b) Erläuterungen zu Ziffer 15.1 Der Auftragnehmer schuldet die Durchführung des Datenschutzaudits mit der Erstellung eines Prüfberichts. Wenn der Prüfbericht Mängel hat, dann hat der Auftraggeber ggf. entsprechende Gewährleistungsrechte. Zumindest im kaufmännischen Geschäftsverkehr ist eine Regelung wie in Absatz 1, wonach der Auftraggeber Mängel an Arbeitsergebnissen unverzüglich mitzuteilen hat, in der Praxis üblich.
130
Die Anzeige des Mangels muss in Schriftform erfolgen. Alternativ könnte auch die Textform verwendet werden, um z.B. die Mängelanzeige per E-Mail oder Fax zu ermöglichen. Dann wäre die Formulierung entsprechend abzuändern.
131
c) Erläuterungen zu Ziffer 15.2 Die Klausel sieht eine Verjährungsfrist von zwölf Monaten vor. Die Frist beginnt mit der Abnahme (Ziffer 9) des Prüfberichts zu laufen.
132
Alternativ kann hier eine andere Frist verwendet oder auf die gesetzliche Frist (§ 634 Abs. 1 Nr. 1 BGB) verwiesen werden. Die Frist sollte jedoch, um nicht Gefahr zu laufen, dass dann eine unangemessene Benachteiligung vorliegen könnte, nicht kürzer als zwölf Monate bemessen sein.
d) Erläuterungen zu Ziffer 15.3 Die Klausel sieht eine konkrete Möglichkeit des Auftraggebers vor, bei einem Verzug bzw. Teilverzug des Auftraggebers eine Minderung durchzuführen.
133
Die Parteien werden mit dem Auditplan in der Praxis auch eine Terminplanung gemacht haben. Auch wenn dies nicht zwingend ist, werden hier ggf. konkrete Abgabetermine oder Abgabezeiträume vereinbart. Der Auftraggeber hat meist ein Interesse daran, dass diese Zeitpläne eingehalten werden und soll daher ein entsprechendes Minderungsrecht erhalten.
134
Die Minderung ist auf den „angemessenen Betrag“ konkretisiert. Hier wäre auch eine konkrete Regelung mit Nennung eines bestimmten Betrages oder eines prozentuellen Anteils der Vergütung denkbar, um nicht im Nachhinein einen Streit über die Höhe des „angemessenen“ Betrages zu provozieren.
135
Nicht jede zeitliche Abweichung berechtigt nach dieser Klausel zu einer Minderung. Voraussetzung ist, dass die Abweichung den Gesamtzeitplan beeinträchtigt. Das macht Sinn, weil ein Verzug gerade zu Beginn bzw. mitten in einem Projekt dazu führen kann, dass sich die Gesamtlaufzeit erheblich verlängert.
136
16. Erläuterungen zu Ziffer 16 E 16. Haftungsbeschränkung
137
16.1 Der Auftragnehmer haftet bei Vorsatz oder grober Fahrlässigkeit für alle vom Auftragnehmer im Zusammenhang mit der Erbringung der vertragsgemäßen Leistungen verursachten Schäden unbeschränkt. Hansen-Oest
|
105
Teil 1 III
Rz. 138
Vertrag über die Durchführung eines Datenschutzaudits
16.2 Bei leichter Fahrlässigkeit haftet der Auftragnehmer im Fall der Verletzung des Lebens, des Körpers oder der Gesundheit unbeschränkt. 16.3 Im Übrigen haftet der Auftragnehmer im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber nur, soweit er eine wesentliche Vertragspflicht verletzt hat. Als wesentliche Vertragspflichten werden dabei abstrakt solche Pflichten bezeichnet, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Nutzer regelmäßig vertrauen darf. In diesen Fällen ist die Haftung auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schadens beschränkt. 16.4 Soweit die Haftung des Auftragnehmers nach den vorgenannten Vorschriften ausgeschlossen oder beschränkt wird, gilt dies auch für Erfüllungsgehilfen des Auftragnehmers.
a) Ratio 138
Die Klausel enthält eine Haftungsbeschränkung zugunsten des Auftragnehmers. Aufgrund der Rechtsprechung sind einer Haftungsbeschränkung enge Grenzen gesetzt, wenn diese formularmäßig erfolgt und nicht konkret individuell vereinbart wird. Bei einer zu „scharfen“ Haftungsbeschränkung besteht die Gefahr, dass die Haftungsbeschränkung insgesamt für unwirksam erklärt wird und dann in der Rechtsfolge eine unbeschränkte Haftung des Auftragnehmers gelten würde. Daher wurden hier Formulierungen verwendet, die nach der derzeitigen Rechtsprechung wohl eine zulässige Haftungsbeschränkung beinhalten.
b) Erläuterungen zu Ziffer 16.1 139
Diese Klausel stellt den Grundsatz auf, dass der Auftragnehmer bei Vorsatz und grober Fahrlässigkeit unbeschränkt haftet. Nach der Rechtsprechung kann in Regelungen zur Haftungsbeschränkung, die der AGB-Kontrolle unterliegen, nur die Haftung für leichte Fahrlässigkeit, nicht aber Vorsatz und grobe Fahrlässigkeit beschränkt werden.
c) Erläuterungen zu Ziffer 16.2 140
Da im Falle der Verletzung des Lebens, des Körpers oder der Gesundheit grundsätzlich keine Haftungsbeschränkung über formularmäßige Regelungen möglich ist, stellt diese Klausel noch einmal sicher, dass die Haftung diesbezüglich auch bei leichter Fahrlässigkeit nicht beschränkt wird.
d) Erläuterungen zu Ziffer 16.3 141
Mit dieser Klausel wird die Haftung auf die Verletzung wesentlicher Vertragspflichten beschränkt. Diese werden auch als Kardinalpflichten bezeichnet. Da 106
|
Hansen-Oest
Erläuterungen
Rz. 147 Teil 1 III
der BGH seit seinem Urteil zum Begriff der Kardinalpflichten1 die Verwendung des Begriffs der Kardinalpflichten ohne dessen konkreter Definition als unzulässig verworfen hat, wird in der Vertragspraxis meist nur noch der Begriff der wesentlichen Vertragspflichten verwendet, wobei auch dieser dann zu konkretisieren und zu erläutern ist. Dies erfolgt in dieser Klausel mit Satz 2. Bei einer Verletzung von wesentlichen Vertragspflichten in leicht fahrlässiger Weise ist die Haftung dann auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schadens begrenzt. Im Einzelfall kann es sinnvoll sein, hier einen festen Maximalbetrag zu nennen. Da das Vertragsmuster aber nicht von einem bestimmten Auftragsvolumen ausgeht, ist hier eine allgemein passende Formulierung verwendet worden. In größeren Datenschutzauditprojekten sollte die Höhe des dann zu leistenden Schadensersatzes ggf. konkret verhandelt werden, um hier keine Unwägbarkeiten entstehen zu lassen.
142
e) Erläuterungen zu Ziffer 16.3 Diese Klausel enthält die Klarstellung, dass sich die Haftungsbeschränkungen der Absätze 1–3 auch auf Erfüllungsgehilfen des Auftragnehmers beziehen.
143
17. Erläuterungen zu Ziffer 17 144
E 17. Vertragsdauer/Kündigung 17.1 Der Vertrag wird auf die Dauer der Durchführung des Datenschutzaudits (mit Abschluss der Abnahme) oder – im Falle der Verleihung eines Zertifikats – auf die Dauer der Gültigkeit des Zertifikats geschlossen. 17.2 Ein außerordentliches Kündigungsrecht jeder Partei bleibt unberührt. Die Kündigung bedarf der Schriftform. § 649 BGB bleibt unberührt.
a) Ratio Mit dieser Klausel wird die Vertragsdauer geregelt. Bei einem Datenschutzaudit handelt es sich um ein Projekt, das mit Abschluss (negativ oder positiv) endet. Entsprechend wird die Vertragslaufzeit geregelt.
145
b) Erläuterungen zu Ziffer 17.1 Nach dieser Klausel wird die Vertragslaufzeit auf die Dauer der Durchführung des Datenschutzaudits beschränkt. Dabei endet das Datenschutzaudit entweder mit der Abnahme des Prüfberichts (Ziffer 9) oder im Falle des erfolgreichen Audits mit Ablauf der Gültigkeit des Zertifikats.
146
c) Erläuterungen zu Ziffer 17.2 Unabhängig von der Laufzeit muss es immer auch das Recht jeder Partei geben, sich bei Vorliegen eines wichtigen Grundes auch (fristlos) vom Vertrag zu lösen. 1 BGH v. 20.7.2005 – VIII ZR 121/04, CR 2006, 228.
Hansen-Oest
|
107
147
Teil 1 III
Rz. 148
Vertrag über die Durchführung eines Datenschutzaudits
Entsprechend sieht Absatz 2 auch die Klarstellung vor, dass ein außerordentliches Kündigungsrecht jeder Partei unberührt bleibt. Die Kündigung muss jedoch nach Satz 2 zwingend schriftlich erfolgen. Ein außerordentliches Kündigungsrecht kann dem Auftragnehmer im Falle der Verletzung von Mitwirkungspflichten des Auftraggebers nach § 643 BGB zustehen (Rz. 64). Der Auftraggeber wiederum kann nach § 649 BGB jederzeit den Vertrag kündigen. Nach § 649 Satz 1 BGB ist der Auftragnehmer dann jedoch berechtigt, die vereinbarte Vergütung unter Anrechnung der ersparten Aufwendungen zu verlangen. In der Praxis ist es hier für den Auftragnehmer vorteilhaft, das Projekt in genügend Teilabschnitte zu gliedern, um schon zuvor Abschlagszahlungen erhalten zu können, da sich die Berechnung ersparter Aufwendungen in der Praxis häufig als schwierig darstellt.
18. Erläuterungen zu Ziffer 18 148
E 18. Schlussbestimmungen 18.1 Es gilt das Recht der Bundesrepublik Deutschland, wobei die Geltung des UN-Kaufrechts ausgeschlossen wird. 18.2 Ist der Nutzer Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen, so ist der Sitz des Auftragnehmers ausschließlicher Gerichtsstand für alle Streitigkeiten aus dem Vertragsverhältnis. 18.3 Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien werden im Falle der Unwirksamkeit einer Klausel eine in sachlicher, am wirtschaftlichen Zweck des Vertrags orientierte ersatzweise Regelung vereinbaren.
a) Ratio 149
In den Schlussbestimmungen finden sich allgemeine, übliche Regelungen zum anzuwendenden Recht1, Gerichtsstand und die sog. salvatorische Klausel. Von einer Regelung zur Schriftform von Änderungen des Vertrags wurde abgesehen, da dies rechtlich wegen des Vorranges der Individualabrede problematisch sein kann. Dennoch sind solche Klauseln gerade in Rechtsgeschäften zwischen Unternehmern – auch in Verbindung – mit einer „doppelten Schriftformklausel“ üblich und auch nicht so problematisch wie in Rechtsgeschäften mit Verbrauchern.
b) Erläuterungen zu Ziffer 18.1 150
Als geltendes Recht wird mit dieser Klausel das deutsche Recht vereinbart. 1 Zu Rechtswahlklauseln vgl. Leupold/Glossner/Stogmüller, Münchener Anwaltshandbuch IT-Recht, Teil 5 Rz. 255 ff.
108
|
Hansen-Oest
Erläuterungen
Rz. 152 Teil 1 III
c) Erläuterungen zu Ziffer 18.2 Hier handelt es sich um eine allgemein gehaltene Gerichtsstandsklausel, die in dieser Form auch in B2C-Geschäften verwendet werden kann.
151
Natürlich kann die Klausel, da es sich bei Datenschutzaudits immer um Rechtsgeschäfte zwischen Unternehmern handelt, auch konkret gefasst werden und wie folgt lauten: „Als Gerichtsstand für alle Streitigkeiten aus dem Vertragsverhältnis wird der Sitz des Auftragnehmers vereinbart.“ Selbstverständlich ist auch eine Gerichtsstandswahl zugunsten des Auftraggebers möglich.
d) Erläuterungen zu Ziffer 18.3 Diese Klausel enthält eine salvatorische Klausel für den Fall, dass eine Regelung im Vertrag sich als unwirksam erweisen sollte. Sollte es sich dabei um eine Klausel handeln, die für den Vertrag von Bedeutung ist, dann müssen die Parteien eine Ersatzregelung treffen, die dem „Gewollten“ möglichst nahe kommt. Wichtig ist hier, dass es keinen Automatismus gibt, der z.B. ohne konkrete Vereinbarung der Parteien eine „ähnliche“ Regelung vorsieht. Die Parteien müssen diese schon individuell vereinbaren. Eine automatische Ersetzung wäre wohl unzulässig.
Hansen-Oest
|
109
152
IV. Vertraulichkeitsvereinbarung Literaturverzeichnis: Braun/Wybitul, Übermittlung von Arbeitnehmerdaten bei Due Diligence – Rechtliche Anforderungen und Gestaltungsmöglichkeiten, BB 2008, 782; Göpfert/Meyer, Datenschutz bei Unternehmenskauf: Due Diligence und Betriebsübergang, NZA 2011, 486; Hüffer, Aktiengesetz, 8. Aufl. 2008; Körber, Geschäftsleitung der Zielgesellschaft und due diligence bei Paketerwerb und Unternehmenskauf, NZG 2002, 263; Plath, BDSG, 2013; Schiffer/Bruß, Due Diligence beim Unternehmenskauf und vertragliche Vertraulichkeitsvereinbarungen, BB 2012, 847; Söbbing, Sind Non Disclosure Agreements wirklich notwendig?, GWR 2010, 237; Werder/Kost, Vertraulichkeitsvereinbarungen in der M&A-Praxis, BB 2010, 2903.
A. Einleitung I. Allgemeines 1
Vertraulichkeitsvereinbarungen dienen regelmäßig der Ergänzung gesetzlich (bspw. nach §§ 17 f. UWG, §§ 202a ff. StGB) oder vertraglich (als Nebenpflicht) bereits bestehender Verschwiegenheitspflichten. Isolierte Vertraulichkeitsvereinbarungen wie der vorliegende Entwurf bieten sich insbesondere dann an, wenn im Vorfeld der Anbahnung eines Vertragsverhältnisses sensitive Informationen ausgetauscht werden sollen, um den Vertragsparteien die Prüfung eines Vertragsabschlusses zu ermöglichen. Nachdem die gesetzlich bestehenden Vertraulichkeitspflichten nicht jede, sondern nur bestimmte Informationen (bspw. Geschäfts- und Betriebsgeheimnisse) erfassen, und vorvertragliche Verpflichtungen der Parteien im Rahmen der Vertragsanbahnung (vgl. §§ 241 Abs. 2, 311 Abs. 2 Nr. 1, 2 BGB) nicht in jedem Fall eine Verschwiegenheitspflicht bezüglich der ausgetauschten Informationen beinhalten, ist eine explizite vertragliche Regelung ratsam1.
II. Ausgangssituation 2
Das vorliegende Muster geht von einer beabsichtigten Unternehmenstransaktion aus und ist im Interesse der offen legenden Partei formuliert. Es ist jedoch grundsätzlich auch für andere Situationen, bspw. die Anbahnung eines Kooperationsvertrags, verwendbar. Die Regelungen im Muster wären dann entsprechend anzupassen.
3
Soweit – wie im vorliegenden Beispiel – im Vorfeld einer möglichen Unternehmenstransaktion Informationen ausgetauscht werden, kann sich die Notwendigkeit einer Vertraulichkeitsvereinbarung bereits aus Verpflichtungen der Geschäftsleitung ergeben. Bspw. unterliegt der Vorstand einer AG einer strafbewehrten Verschwiegenheitspflicht (vgl. § 93 Abs. 1 Satz 3 AktG, § 404 Abs. 1 Nr. 1 AktG)2. Auch der GmbH-Geschäftsführer ist zur Verschwiegenheit ver1 Vgl. hierzu auch Werder/Kost, BB 2010, 2903 (2905). 2 Körber, NZG 2002, 263 (266).
110
|
Nowak
Vertraulichkeitsvereinbarung
Rz. 5 Teil 1 IV
pflichtet1. Zwar tritt diese Verpflichtung zurück, wenn die Offenlegung den Interessen der Gesellschaft dient und das Organmitglied hiermit also gerade seine Geschäftsführungspflichten erfüllt2. Bzgl. der Informationserteilung im Rahmen einer Due Diligence-Prüfung erfordert dies aber zum einen, dass diese für das Zustandekommen der beabsichtigten Transaktion unabdingbar ist3. Zum anderen trifft das Organmitglied die Pflicht, die Geheimhaltungsinteressen der Gesellschaft durch geeignete Vertraulichkeitsvereinbarungen zu sichern4. Wird der Prozess von der Geschäftsleitung gesteuert, ist ein Zustimmungsbeschluss der jeweiligen Gremien (Vorstands- bzw. Gesellschafterbeschluss) zu empfehlen. Auch sonstige Geheimhaltungspflichten bleiben durch die Vertraulichkeitsvereinbarung im Grundsatz selbstverständlich unberührt. D.h. die offen legende Partei hat jeweils zu prüfen, ob und unter welchen Voraussetzungen sie die betreffende Information weitergeben darf. Vertragliche Verschwiegenheitspflichten gegenüber Dritten sind – sofern nichts anders vereinbart ist – trotz der Vertraulichkeitsvereinbarung einzuhalten5. Bei börsennotierten AG sind bspw. das Verbot, Insiderinformationen offen zu legen, sowie Veröffentlichungspflichten zu beachten (vgl. §§ 12 ff. WpHG). Besonders kritisch kann die Offenlegung vertraulicher Informationen im Rahmen einer Due Diligence werden, wenn es sich bei den Parteien um Wettbewerber handelt. In diesem Fall ist nicht nur im Eigeninteresse darauf zu achten, dass dem Gegenüber keine sensitiven Daten überlassen werden, deren Offenlegung schon per se einen irreparablen Schaden darstellt, der über eine Vertraulichkeitsverpflichtung gar nicht (mehr) verhindert bzw. beseitigt werden kann. Hinzu kommt, dass man sich bei einem Austausch solcher Daten mit einem Wettbewerber unter Umständen auch dem Vorwurf einer unzulässigen abgestimmten Verhaltensweise (§ 1 GWB, Art. 101 AEUV) mit den entsprechenden Sanktionen aussetzen kann. Insbesondere in derartigen Fällen wird es sich anbieten, Informationen lediglich stufenweise und besonders sensitive Informationen zunächst nur gesetzlichen Verschwiegenheitspflichten unterliegenden Dritten zugänglich zu machen, welche diese für den Interessenten ohne Offenlegung von Details bewerten.
4
Die Übermittlung personenbezogener Daten im Rahmen einer Due DiligencePrüfung ist an den Vorgaben des BDSG zu messen. Personenbezogene Daten sind Einzelangaben über eine bestimmte oder bestimmbare natürliche Person (§ 3 Abs. 1 BDSG). Das BDSG erfordert für die Verwendung personenbezogener Daten die Einwilligung des Betroffenen oder eine Erlaubnis durch das BDSG oder eine andere Rechtsvorschrift (§ 4 Abs. 1 BDSG). Im Rahmen einer Due Diligence-Prüfung können insbesondere Mitarbeiterdaten relevant sein. Die Einholung von Einwilligungen (§ 4a BDSG) der betroffenen Mitarbeiter wird insoweit regelmäßig nicht praktikabel sein6. Häufig scheitert dies schon an der blo-
5
1 2 3 4 5 6
Körber, NZG 2002, 263 (266). Schiffer/Bruß, BB 2012, 847 (849); Hüffer/Hüffer, § 93 AktG Rz. 8. Hüffer/Hüffer, § 93 AktG Rz. 8. Hüffer/Hüffer, § 93 AktG Rz. 8. Schiffer/Bruß, BB 2012, 847 (850/821). Göpfert/Meyer, NZA 2011, 486 (487).
Nowak
|
111
Teil 1 IV
Rz. 6
Vertraulichkeitsvereinbarung
ßen Anzahl der Mitarbeiter. Auch wären die Mitarbeiter bei Einholung der Einwilligung über den Zweck der Datenverwendung zu informieren (§ 4a Abs. 1 Satz 2 BDSG). Die potentielle Transaktion wird ihnen also mehr oder minder offen gelegt werden müssen. Dem stehen meist wiederum selbst Vertraulichkeitsgesichtspunkte entgegen1. Eine Einwilligung kommt daher allenfalls in Einzelfällen als Rechtfertigung der Weitergabe von Mitarbeiterdaten in Betracht. 6
Soweit Angaben über Arbeitnehmer i.S.d. § 5 Abs. 1 BetrVG betroffen sind, kommt als „andere Rechtsvorschrift“ zur Rechtfertigung der Datenweitergabe eine Betriebsvereinbarung in Betracht. In der Regel wird eine solche allerdings nicht vorliegen. Ein Abschluss im konkreten Einzelfall wird an Geheimhaltungsinteressen des Unternehmens bzgl. der beabsichtigten Transaktion scheitern. Die Weitergabe personenbezogener Mitarbeiterdaten im Rahmen einer Due Diligence-Prüfung kann auch nicht auf § 32 BDSG gestützt werden. Die fragliche Datenverwendung ist nicht für die Begründung, Durchführung oder Beendigung der Beschäftigungsverhältnisse erforderlich2.
7
Die Weitergabe kann aber grundsätzlich über § 28 Abs. 2 Satz 1 Nr. 2 BDSG gerechtfertigt werden3. Auch soweit Mitarbeiterdaten betroffen sind, ist diese Vorschrift (neben § 32 BDSG) anwendbar4. Hiernach kann eine Datenverwendung zulässig sein, soweit sie zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist. Voraussetzung ist, dass kein Grund zur Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verwendung überwiegt. Es ist also eine Interessenabwägung vorzunehmen. Im Rahmen der vorzunehmenden Interessenabwägung wird insbesondere eine Rolle spielen, ob die Vertraulichkeit der betreffenden Daten zwischen potentiellem Veräußerer und Erwerber durch ausreichende Vertraulichkeitsvereinbarungen gewährleistet ist5.
8
Ob und inwieweit eine Übermittlung personenbezogener Daten im Rahmen einer Due Diligence-Prüfung an einen potentiellen Erwerber übermittelt werden dürfen, ist damit einzelfallabhängig zu entscheiden. Im Ergebnis wird es in der Regel nicht zulässig sein, gegenüber dem potentiellen Erwerber Einzelangaben zu sämtlichen Mitarbeitern des Unternehmens zu offenbaren; vielmehr sind diese Angaben zu anonymisieren bzw. zu pseudonymisieren6. Anders kann dies in Ausnahmefällen sein, insbesondere wenn eine Anonymisierung wegen der geringen Mitarbeiterzahl nicht möglich ist7. Offen gelegt werden dürfen personenbezogene Angaben im Übrigen in der Regel allenfalls bei Organmitgliedern und wichtigen Führungskräften8. Die Übermittlung besonderer Arten personenbezogener Daten (§ 3 Abs. 9 BDSG), d.h. Informationen über rassische 1 2 3 4 5 6
Göpfert/Meyer, NZA 2011, 486 (487). Göpfert/Meyer, NZA 2011, 486 (488); Braun/Wybitul, BB 2008, 782 (784). Göpfert/Meyer, NZA 2011, 486 (488). Plath/Stamer/Kuhnke, § 32 BDSG Rz. 10. Braun/Wybitul, BB 2008, 782 (785). Plath/Plath, § 28 BDSG Rz. 66; Göpfert/Meyer, NZA 2011, 486 (489); Braun/Wybitul, BB 2008, 782 (785). 7 Göpfert/Meyer, NZA 2011, 486 (489); Braun/Wybitul, BB 2008, 782 (785). 8 Göpfert/Meyer, NZA 2011, 486 (489); Braun/Wybitul, BB 2008, 782 (785).
112
|
Nowak
Rz. 10 Teil 1 IV
Vertragstext
und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, lässt sich in der Due Diligence-Phase ohne Einwilligung des Mitarbeiters grundsätzlich nicht rechtfertigen1. Die Vertraulichkeitsvereinbarung kann auf der Seite des Empfängers grundsätzlich nicht dessen Auskunftspflichten gegenüber Dritten einschränken. Eine Art „mittelbare Drittwirkung“ ist aber insbesondere im Verhältnis zwischen Empfänger und dessen Gesellschaftern denkbar. Ist zu besorgen, dass der Gesellschafter ihm erteilte Informationen treuwidrig an Dritte weiterleiten wird, kann der Empfänger bspw. einem Auskunftsverlangen gem. § 51a Abs. 1 GmbHG den Rechtsmissbrauchseinwand entgegenhalten2. Die Treuwidrigkeit der Weiterleitung kann sich insbesondere daraus ergeben, dass aufgrund der Vertraulichkeitsvereinbarung und dem damit in der Regel verbundenen erhöhten Haftungsrisiko (Vertragsstrafe) ein besonderer Geheimhaltungsbedarf des Empfängers besteht3.
9
B. Muster E Vertraulichkeitsvereinbarung
10
zwischen […] (Nachfolgend auch „[…]“ oder „offen legende Partei“ genannt) und […] (Nachfolgend auch „[…]“ oder „empfangende Partei“ genannt) – beide Vertragsparteien nachfolgend auch einzeln Partei und gemeinsam Parteien genannt – Präambel […] prüft die Möglichkeit, sich an […] zu beteiligen. Vorher wird eine Due-Diligence Prüfung stattfinden. In diesem Zusammenhang werden auch vertrauliche Informationen offen gelegt werden. Diese Vereinbarung soll dem Schutz vertraulicher Informationen dienen, die der empfangenden Partei zu vorgenanntem Zweck offenbart werden. Ausschließlicher Zweck der Weitergabe der vertraulichen Informationen im Rahmen dieser Vereinbarung ist es, dass sich die Parteien über einen möglichen Vertragsschluss klar werden. Vor diesem Hintergrund vereinbaren die Parteien Folgendes:
1 Göpfert/Meyer, NZA 2011, 486 (489); Braun/Wybitul, BB 2008, 782 (785/786). 2 Für einen vergleichbaren Fall, Schiffer/Bruß, BB 2012, 847 (850). 3 Für einen vergleichbaren Fall, Schiffer/Bruß, BB 2012, 847 (850).
Nowak
|
113
Teil 1 IV
Rz. 10
Vertraulichkeitsvereinbarung
1. Überlassung von Informationen Die empfangende Partei wird von der offen legenden Partei bzw. von den von ihr beauftragten Beratern Informationen zu dem in der Präambel genannten Zweck erhalten. Die offen legende Partei ist hinsichtlich Gegenstand und Umfang der zu überlassenden Informationen frei. Die empfangende Partei hat keinen Anspruch auf die Überlassung bestimmter Informationen und darf die überlassenen Informationen ausschließlich zu dem in der Präambel genannten Zweck verwenden. Die offen legende Partei behält sämtliche Rechte an den überlassenen Informationen. 2. Vertraulichkeit Hinsichtlich der von der offen legenden Partei überlassenen Informationen gilt Folgendes: 2.1 Die empfangende Partei ist verpflichtet, sämtliche von der offen legenden Partei bzw. ihren Beratern erhaltenen Informationen vertraulich zu behandeln, d.h. diese weder direkt noch indirekt Dritten in irgendeiner Form – weder mündlich noch schriftlich oder auf andere Weise – zu offenbaren, es sei denn in dieser Vereinbarung ist ausdrücklich etwas Abweichendes geregelt. 2.2 Die Verpflichtung zur Vertraulichkeit gilt nicht bzw. nicht mehr für solche Informationen, für welche die empfangende Partei nachweisen kann, dass – die Information von der empfangenden Partei unabhängig von den von der offen legenden Partei erlangten Informationen entwickelt worden ist; – die Information zum Zeitpunkt der Offenlegung durch die offen legende Partei der empfangenden Partei bereits bekannt ist; – sie diese nach der Offenlegung durch die offen legende Partei rechtmäßig von einem Dritten ohne Verletzung einer Vertraulichkeitspflicht erlangt hat; – die Information zum Zeitpunkt der Offenlegung durch die offen legende Partei allgemein bekannt ist oder nach Offenlegung allgemein bekannt wird; – sie zu der Weitergabe vorab ausdrücklich schriftlich von der offen legenden Partei ermächtigt worden ist; oder – sie aufgrund einer Rechtsvorschrift oder behördlichen Anordnung zur Weitergabe verpflichtet ist. In diesem Fall hat die empfangende Partei die offen legende Partei – soweit zulässig – über die beabsichtigte Weitergabe vorab schriftlich zu informieren und die gesetzlich zulässigen und erforderlichen Vorkehrungen zu treffen, um den Umfang der Weitergabe so gering wie möglich zu halten. 2.3 Die empfangende Partei muss die erforderliche Sorgfalt verwenden, um sämtliche nach diesem Vertrag erhaltenen Informationen vertraulich zu 114
|
Nowak
Vertragstext
Rz. 10 Teil 1 IV
behandeln. Die empfangende Partei ist berechtigt, die erhaltenen Informationen ihren Angestellten oder Beratern zugänglich zu machen, soweit dies nach dem Vertragszweck dieser Vereinbarung erforderlich ist. In diesem Fall hat die empfangende Partei diese Angestellten und Berater, sofern sie nicht zur beruflichen Verschwiegenheit verpflichtet sind, entsprechend dieser Vereinbarung, insbesondere auch zur Herausgabe bzw. Vernichtung der erhaltenen Informationen gem. Ziffer 2.4., zu verpflichten. Die empfangende Partei steht für Verletzungen der Pflichten nach dieser Vereinbarung durch ihre Angestellten oder Berater ein. Sie wird der empfangenden Partei auf deren Wunsch eine schriftliche Liste aller Personen überlassen, denen die Informationen weitergegeben wurden. 2.4 Nach Aufforderung durch die offen legende Partei, spätestens jedoch [einen] Monat nach (i) erfolglosem Abbruch oder Beendigung der Vertragsverhandlungen oder (ii) Abschluss der Due Diligence, wenn daraufhin keine Vertragsverhandlungen aufgenommen werden, sind die überlassenen Informationen, Unterlagen und Dateien einschließlich etwaiger Vervielfältigungsstücke hiervon nach Wahl der offen legenden Partei unverzüglich zurückzugeben oder zu vernichten bzw. zu löschen. Die Verpflichtung der empfangenen Partei schließt die Vernichtung oder Löschung der auf Basis der vertraulichen Informationen selbst oder von Dritten erstellten Berichte, Zusammenfassungen oder Bewertungen ein. Ein Zurückbehaltungsrecht besteht nicht. Die empfangende Partei verpflichtet sich, die vollständige Herausgabe bzw. erfolgte Vernichtung oder Löschung der erhaltenen Informationen, Unterlagen und Dateien sowie die auf Basis der vertraulichen Informationen erstellten Berichte, Zusammenfassungen oder Bewertungen – auch durch die von ihr eingeschalteten Dritten – schriftlich zu bestätigen. 2.5 Die Vertraulichkeitsverpflichtung gilt unbefristet und unabhängig von der Beendigung der Due Diligence oder Aufnahme und Beendigung von Vertragsverhandlungen fort. 2.6 Die empfangende Partei ist verpflichtet, die offen legende Partei unverzüglich über jeden ihr bekannt werdenden Verstoß oder Verdacht eines Verstoßes gegen die Verpflichtungen aus dieser Vereinbarung zu informieren. 2.7 Für jeden Fall der Verletzung der in dieser Vereinbarung geregelten Pflichten durch die empfangende Partei oder einen ihrer Mitarbeiter oder Berater ist diese verpflichtet, der offen legenden Partei eine Vertragsstrafe in Höhe von [50 000] Euro zu bezahlen. Das Recht zur Geltendmachung eines weitergehenden Schadens sowie etwaiger Rechtsbehelfe, bspw. Maßnahmen des einstweiligen Rechtsschutzes bleibt unberührt. 3. Keine Verpflichtung zum Abschluss von Verträgen Diese Vereinbarung beinhaltet keine Verpflichtung der offen legenden Partei zum Abschluss von Verträgen oder zum Eingehen weiterer Verpflichtungen mit oder gegenüber der empfangenden Partei, insbesondere nicht zum Abschluss des Beteiligungsvertrags. Nowak
|
115
Teil 1 IV
Rz. 11
Vertraulichkeitsvereinbarung
4. Änderungen und Ergänzungen Änderungen und Ergänzungen zu diesem Vertrag, einschließlich dieser Regelung, bedürfen zu ihrer Wirksamkeit der Schriftform. Die Schriftform wird nur durch eigenhändige Unterzeichnung durch beide Parteien gewahrt. 5. Salvatorische Klausel Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, so wird die Wirksamkeit der Vereinbarung im Übrigen nicht berührt. Die Parteien werden anstelle der unwirksamen Bestimmung eine wirksame Regelung treffen, die der unwirksamen Bestimmung inhaltlich und wirtschaftlich möglichst nahe kommt. Im Falle von Regelungslücken werden die Parteien eine Regelung treffen, die sie getroffen hätten, wenn sie den betreffenden Punkt bei Abschluss der Vereinbarung bedacht hätten. 6. Anwendbares Recht und Gerichtsstand Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand und Erfüllungsort ist [Ort]. … Ort, Datum
… Ort, Datum
[…]
[…]
C. Erläuterungen I. Erläuterungen zur Präambel 11
E Präambel […] prüft die Möglichkeit, sich an […] zu beteiligen. Vorher wird eine Due-Diligence Prüfung stattfinden. In diesem Zusammenhang werden auch vertrauliche Informationen offen gelegt werden. Diese Vereinbarung soll dem Schutz vertraulicher Informationen dienen, die der empfangenden Partei zu vorgenanntem Zweck offenbart werden. Ausschließlicher Zweck der Weitergabe der vertraulichen Informationen im Rahmen dieser Vereinbarung ist es, dass sich die Parteien über einen möglichen Vertragsschluss klar werden. Vor diesem Hintergrund vereinbaren die Parteien Folgendes:
12
Die Präambel stellt im Wesentlichen klar, dass die offen legende Partei der empfangenden Partei Informationen ausschließlich zur Durchführung einer Due-Diligence-Prüfung im Vorfeld einer potentiellen Unternehmenstransaktion zugänglich macht. Die Präambel eines Vertrags ist von nicht zu unterschätzender Bedeutung. Im Rahmen der Vorbemerkung werden im Regelfall der Hintergrund und die wechselseitigen Intentionen der Parteien erläutert. Dies dient nicht nur dem besseren Verständnis der getroffenen Regelungen. 116
|
Nowak
Erläuterungen
Rz. 14 Teil 1 IV
Die Präambel ist auch für die Auslegung der vertraglichen Vereinbarungen (§§ 133, 157 BGB) von Bedeutung, kann darüber hinaus aber auch die Geschäftsgrundlage des Vertrags (§ 313 BGB) abbilden. Die Auslegung genießt gegenüber der Anwendung der Grundsätze zur Geschäftsgrundlage Vorrang. Können dem Vertrag bereits durch Auslegung bestimmte Vereinbarungen für den Wegfall, die Änderung oder das Fehlen bestimmter Umstände entnommen werden, kommt die Anwendung der Grundsätze über die Geschäftsgrundlage nicht in Betracht. Der Übergang zwischen Auslegung und Geschäftsgrundlage ist allerdings fließend. Bei der Formulierung der Präambel ist vor diesem Hintergrund daher besondere Sorgfalt geboten.
II. Erläuterungen zu Ziffer 1 13
E 1. Überlassung von Informationen Die empfangende Partei wird von der offen legenden Partei bzw. von den von ihr beauftragten Beratern Informationen zu dem in der Präambel genannten Zweck erhalten. Die offen legende Partei ist hinsichtlich Gegenstand und Umfang der zu überlassenden Informationen frei. Die empfangende Partei hat keinen Anspruch auf die Überlassung bestimmter Informationen und darf die überlassenen Informationen ausschließlich zu dem in der Präambel genannten Zweck verwenden. Die offen legende Partei behält sämtliche Rechte an den überlassenen Informationen. Sinnvollerweise legt die Vereinbarung fest, ob und ggf. in welchem Umfang die offen legende Partei verpflichtet ist, bestimmte Informationen zu überlassen. Hier wird in Ziffer 1 im Interesse der offen legenden Partei bestimmt, dass diese frei sein soll zu entscheiden, welche Informationen weitergegeben werden. Daneben kann man auch festlegen, dass die offen legende Partei keinerlei Gewähr für die Richtigkeit und Vollständigkeit der Informationen übernimmt. Zu beachten ist allerdings, dass solche Regelungen mit Offenlegungs- und Gewährleitungspflichten im Rahmen eines später ggf. geschlossenen Kaufvertrags abzustimmen sind. Beim Unternehmenskauf bestehen weit reichende Aufklärungspflichten des Veräußerers. So ist bspw. auch ungefragt über sämtliche Umstände aufzuklären, die für den Käufer für den Abschluss des Vertrags von erkennbar entscheidender Bedeutung sind. Diesen Pflichten kann man sich über eine restriktive Regelung in einer vorgelagerten Verschwiegenheitsvereinbarung nicht entziehen. Zweckmäßigerweise wird man die Frage der ausgetauschten Informationen abschließend in einem sich ggf. anschließenden Kaufvertrag regeln. In jedem Fall sollte klarstellend geregelt werden, dass die empfangende Partei die Informationen ausschließlich zu dem in dem Vertrag definierten Zweck verwenden darf. Der Vorbehalt etwaiger Rechte der offen legenden Partei an den überlassenen Informationen ist sinnvoll, bei hinreichender Regelung des Nutzungszwecks aber rein klarstellender Natur.
Nowak
|
117
14
Teil 1 IV
Rz. 15
Vertraulichkeitsvereinbarung
III. Erläuterungen zu Ziffer 2 15
E 2. Vertraulichkeit Hinsichtlich der von der offen legenden Partei überlassenen Informationen gilt Folgendes: 2.1 Die empfangende Partei ist verpflichtet, sämtliche von der offen legenden Partei bzw. ihren Beratern erhaltenen Informationen vertraulich zu behandeln, d.h. diese weder direkt noch indirekt Dritten in irgendeiner Form – weder mündlich noch schriftlich oder auf andere Weise – zu offenbaren, es sei denn in dieser Vereinbarung ist ausdrücklich etwas Abweichendes geregelt. 2.2 Die Verpflichtung zur Vertraulichkeit gilt nicht bzw. nicht mehr für solche Informationen, für welche die empfangende Partei nachweisen kann, dass – die Information von der empfangenden Partei unabhängig von den von der offen legenden Partei erlangten Informationen entwickelt worden ist; – die Information zum Zeitpunkt der Offenlegung durch die offen legende Partei der empfangenden Partei bereits bekannt ist; – sie diese nach der Offenlegung durch die offen legende Partei rechtmäßig von einem Dritten ohne Verletzung einer Vertraulichkeitspflicht erlangt hat; – die Information zum Zeitpunkt der Offenlegung durch die offen legende Partei allgemein bekannt ist oder nach Offenlegung allgemein bekannt wird; – sie zu der Weitergabe vorab ausdrücklich schriftlich von der offen legenden Partei ermächtigt worden ist; oder – sie aufgrund einer Rechtsvorschrift oder behördlichen Anordnung zur Weitergabe verpflichtet ist. In diesem Fall hat die empfangende Partei die offen legende Partei – soweit zulässig – über die beabsichtigte Weitergabe vorab schriftlich zu informieren und die gesetzlich zulässigen und erforderlichen Vorkehrungen zu treffen, um den Umfang der Weitergabe so gering wie möglich zu halten. 2.3 Die empfangende Partei muss die erforderliche Sorgfalt verwenden, um sämtliche nach diesem Vertrag erhaltenen Informationen vertraulich zu behandeln. Die empfangende Partei ist berechtigt, die erhaltenen Informationen ihren Angestellten oder Beratern zugänglich zu machen, soweit dies nach dem Vertragszweck dieser Vereinbarung erforderlich ist. In diesem Fall hat die empfangende Partei diese Angestellten und Berater, sofern sie nicht zur beruflichen Verschwiegenheit verpflichtet sind, entsprechend dieser Vereinbarung, insbesondere auch zur Herausgabe bzw. Vernichtung der erhaltenen Informationen gem. Ziffer 2.4., zu verpflichten. Die empfangende Partei steht für Verletzungen der Pflichten nach dieser Vereinbarung durch ihre Angestellten oder Berater ein. Sie wird der emp118
|
Nowak
Erläuterungen
Rz. 16 Teil 1 IV
fangenden Partei auf deren Wunsch eine schriftliche Liste aller Personen überlassen, denen die Informationen weitergegeben wurden. 2.4 Nach Aufforderung durch die offen legende Partei, spätestens jedoch [einen] Monat nach (i) erfolglosem Abbruch oder Beendigung der Vertragsverhandlungen oder (ii) Abschluss der Due Diligence, wenn daraufhin keine Vertragsverhandlungen aufgenommen werden, sind die überlassenen Informationen, Unterlagen und Dateien einschließlich etwaiger Vervielfältigungsstücke hiervon nach Wahl der offen legenden Partei unverzüglich zurückzugeben oder zu vernichten bzw. zu löschen. Die Verpflichtung der empfangenen Partei schließt die Vernichtung oder Löschung der auf Basis der vertraulichen Informationen selbst oder von Dritten erstellten Berichte, Zusammenfassungen oder Bewertungen ein. Ein Zurückbehaltungsrecht besteht nicht. Die empfangende Partei verpflichtet sich, die vollständige Herausgabe bzw. erfolgte Vernichtung oder Löschung der erhaltenen Informationen, Unterlagen und Dateien sowie die auf Basis der vertraulichen Informationen erstellten Berichte, Zusammenfassungen oder Bewertungen – auch durch die von ihr eingeschalteten Dritten – schriftlich zu bestätigen. 2.5 Die Vertraulichkeitsverpflichtung gilt unbefristet und unabhängig von der Beendigung der Due Diligence oder Aufnahme und Beendigung von Vertragsverhandlungen fort. 2.6 Die empfangende Partei ist verpflichtet, die offen legende Partei unverzüglich über jeden ihr bekannt werdenden Verstoß oder Verdacht eines Verstoßes gegen die Verpflichtungen aus dieser Vereinbarung zu informieren. 2.7 Für jeden Fall der Verletzung der in dieser Vereinbarung geregelten Pflichten durch die empfangende Partei oder einen ihrer Mitarbeiter oder Berater ist diese verpflichtet, der offen legenden Partei eine Vertragsstrafe in Höhe von [50 000] Euro zu bezahlen. Das Recht zur Geltendmachung eines weitergehenden Schadens sowie etwaiger Rechtsbehelfe, bspw. Maßnahmen des einstweiligen Rechtsschutzes bleibt unberührt.
1. Erläuterungen zu Ziffer 2.1 und 2.2 Ziffer 2.1 definiert Gegenstand und Umfang der Verschwiegenheitspflicht und erstreckt diese im Ausgangspunkt auf sämtliche überlassenen Informationen. Ziffer 2.2 nimmt anschließend hiervon wieder gewisse Informationen aus1. Die Beweislast dafür, ob eine der genannten Ausnahmen vorliegt, trifft die empfangende Partei2. So werden von der Verschwiegenheitspflicht zunächst die durch die empfangende Partei unabhängig von der offen legenden Partei selbständig entwickelten Informationen „ausgenommen“. Tatsächlich handelt es sich insoweit in der Sache um eine bloße Klarstellung. Derartige Informationen hat die empfangende Partei nicht von der offen legenden Partei „erhalten“ und sind daher nicht von Ziffer 2.1 erfasst. 1 Zu den gewählten Ausnahmen vgl. auch Werder/Kost, BB 2010, 2903 (2906). 2 Vgl. hierzu auch Söbbing, GWR 2010, 237 (238).
Nowak
|
119
16
Teil 1 IV
Rz. 17
Vertraulichkeitsvereinbarung
17
Die Verschwiegenheitspflicht gilt ferner nicht für Informationen, die der empfangenden Partei zur Zeit der Offenbarung durch die offen legende Partei schon bekannt sind bzw. danach rechtmäßig durch einen Dritten offenbart werden. Sie gilt auch nicht für zur Zeit der Offenbarung allgemein bekannte bzw. später bekannt werdende Informationen. Die Verschwiegenheitsvereinbarung soll gerade die Vertraulichkeit der von der offen legenden Partei im Rahmen der Due Diligence-Prüfung zugänglich gemachten Informationen gewährleisten. Informationen, die die empfangende Partei unabhängig davon erlangt hat bzw. erlangen kann, sind mangels Vertraulichkeit nicht schutzwürdig und eine diesbezügliche Verschwiegenheitspflicht würde die empfangende Partei über Gebühr belasten.
18
Stimmt die offen legende Partei der Weitergabe der Information durch die empfangende Partei vorab ausdrücklich schriftlich zu, steht die Verschwiegenheitspflicht dem ebenfalls nicht entgegen. Ein Festhalten an der Verschwiegenheitspflicht wäre insoweit widersprüchlich. Ist die empfangende Partei aufgrund einer Rechtsvorschrift oder behördlichen Anordnung zur Weitergabe der Information verpflichtet, ist dies ebenfalls möglich. Auf eine Verschwiegenheitspflicht für diese Fälle könnte sich die empfangende Partei nicht einlassen und eine solche hätte aufgrund der gesetzlichen bzw. behördlichen Pflicht letztlich auch praktisch keine Wirkung. Um die Interessen der offen legenden Partei auch insoweit weitestgehend zu sichern, hat die empfangende Partei die offen legende Partei über die beabsichtigte Weitergabe – soweit zulässig – vorab schriftlich zu informieren. Ferner hat sie den Umfang der Weitergabe so gering wie möglich zu halten.
2. Erläuterungen zu Ziffer 2.3 19
Um dem Geheimhaltungsinteresse der offen legenden Partei weitestgehend Rechnung zu tragen, bietet es sich an, den Kreis der empfangsberechtigten Personen einzugrenzen und der offen legenden Partei darüber hinaus bekannt zu geben. Aus Sicht der offen legenden Partei dient dies auch der Erleichterung, einen möglichen Verstoß nachzuweisen. Um eine lückenlose Geheimhaltungsverpflichtung zu gewährleisten, ist der empfangenden Partei aufzuerlegen, weitere Empfänger der ihr erteilten Informationen entsprechend zur Verschwiegenheit zu verpflichten. Darüber hinaus ist klarzustellen, dass die empfangende Partei für die von ihr einbezogenen Dritten einzustehen hat. Die Vereinbarung muss vorsehen, wie die empfangende Partei bzw. die von ihr eingeschalteten Dritten mit den überlassenen Informationen zu verfahren haben. Entsprechende Regelungen trifft Ziffer 2.3.
3. Erläuterungen zu Ziffer 2.4 20
Grundsätzlich ist eine Verpflichtung zur Rückgabe bzw. Vernichtung überlassener Unterlagen bzw. Löschung erhaltener Daten zweckmäßig. Diese ist in Ziffer 2.4 geregelt. Diese Rückgabe- bzw. Vernichtungspflicht erstreckt sich darüber hinaus auch auf von der empfangenden Partei bzw. deren Beratern auf Grundlage der überlassenen Informationen erstellte Zusammenfassungen und 120
|
Nowak
Erläuterungen
Rz. 23 Teil 1 IV
Berichte. Dieser Punkt wird oftmals Anlass zu Diskussionen geben und eine Kompromisslösung erfordern, da die empfangende Partei und deren Berater ein Interesse haben können, diese Unterlagen zur Wahrung eigener Interessen zu behalten.
4. Erläuterungen zu Ziffer 2.5 Die Laufzeit der Geheimhaltungsverpflichtung kann je nach Gegenstand der überlassenen Informationen – wie hier in Ziffer 2.5 geregelt – unbefristet oder auch nur befristet ausgestaltet werden, wenn die Informationen nach Ablauf eines gewissen Zeitraums nicht mehr schützenswert sein sollten.
21
5. Erläuterungen zu Ziffer 2.6 und 2.7 Um etwaige Verstöße gegen die Geheimhaltungsvereinbarung effektiv zu ahnden, sieht die Vereinbarung in Ziffer 2.6 eine Hinweispflicht der offen legenden Partei für die ihr bekannt werdenden Verstöße und eine Vertragsstrafenregelung vor. Wird nicht, wie in Ziffer 2.7 vorgesehen, eine Vertragsstrafe vereinbart, kann im Regelfall nur Unterlassung und ggf. Ersatz des entstandenen Schadens verlangt werden. Ein materieller Schaden lässt sich jedoch nur in ganz seltenen Fällen konkret nachweisen und durchsetzen. Im Hinblick auf die Höhe der Vertragsstrafe ist zu berücksichtigen, dass hier AGB-rechtliche Beschränkungen bestehen können, wenn es sich bei der Vertraulichkeitsvereinbarung um ein für die mehrfache Verwendung erstelltes Vertragsmuster handeln sollte (vgl. §§ 309 Nr. 6, 307 BGB). Ungeachtet der praktischen Schwierigkeit eine für alle denkbaren Rechtsverstöße angemessene Vertragsstrafenregelung zu treffen, sollte die Vertragsstrafe stets ausreichend hoch sein, um abschreckende Wirkung zu entfalten.
22
IV. Erläuterungen zu Ziffer 4, 5 und 6 23
E 4. Änderungen und Ergänzungen Änderungen und Ergänzungen zu diesem Vertrag, einschließlich dieser Regelung, bedürfen zu ihrer Wirksamkeit der Schriftform. Die Schriftform wird nur durch eigenhändige Unterzeichnung durch beide Parteien gewahrt. E 5. Salvatorische Klausel Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, so wird die Wirksamkeit der Vereinbarung im Übrigen nicht berührt. Die Parteien werden anstelle der unwirksamen Bestimmung eine wirksame Regelung treffen, die der unwirksamen Bestimmung inhaltlich und wirtschaftlich möglichst nahe kommt. Im Falle von Regelungslücken werden die Parteien eine Regelung treffen, die sie getroffen hätten, wenn sie den betreffenden Punkt bei Abschluss der Vereinbarung bedacht hätten.
Nowak
|
121
Teil 1 IV
Rz. 24
Vertraulichkeitsvereinbarung
E 6. Anwendbares Recht und Gerichtsstand Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand und Erfüllungsort ist [Ort]. 24
Schriftformvorbehalt, salvatorische Klausel sowie die Rechtswahl- und Gerichtsstandsklausel sind allgemein zu empfehlen. Die im Rahmen der salvatorischen Klausel vorgesehene Verpflichtung, eine der unwirksamen Regelung möglichst nahe kommende Bestimmung zu vereinbaren, ist AGB-rechtlich nicht durchsetzbar. Eine Regelung zur Rechtswahl ist natürlich nur erforderlich, wenn es sich um einen internationalen Sachverhalt handelt. Für Gerichtsstandsvereinbarungen sind die Beschränkungen der §§ 38, 40 ZPO bzw., bei internationalen Sachverhalten, des Art. 23 EuGVVO zu beachten. Im Übrigen gibt es AGB-rechtliche Beschränkungen, bspw. wird im Rahmen des § 307 BGB teilweise ein Zusammenhang des gewählten Gerichtsstands mit dem Vertragsgegenstand oder dem Sitz des Verwenders gefordert.
122
|
Nowak
Teil 2 Auftragsdatenverarbeitungsverträge I. Allgemeiner Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich Literaturverzeichnis: Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0, Stand 26.9.2011; Bayerisches Landesamt für Datenschutzaufsicht, Auftragsdatenverarbeitung nach § 11 BDSG – Gesetzestext mit Erläuterungen, Stand Mai 2013; Bartsch/Briner, DGRI-Jahrbuch 2010, 2011; Bergmann/Möhrle/Herb, Kommentar zum Datenschutzrecht, Loseblattwerk, Stand Juli 2012; Bundesamt für Sicherheit in der Informationstechnik (BSI), Eckpunktepapier Sicherheitsempfehlungen für Cloud ComputingAnbieter, Stand Februar 2012; Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), Handreichung zu § 11 Bundesdatenschutzgesetz, 10/2010; Däubler/ Klebe/Wedde/Weichert, Bundesdatenschutzgesetz, 3. Aufl. 2010; Der Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe Auftragsdatenverarbeitung, Stand 24.2.2011; Engels, Datenschutz in der Cloud – Ist hierbei immer eine Auftragsdatenverarbeitung anzunehmen?, K&R 2011, 548; Funke/Wittmann, Cloud Computing – ein klassischer Fall der Auftragsdatenverarbeitung?, ZD 2013, 221; Gaul/Köhler, Mitarbeiterdaten in der Computer Cloud: Datenschutzrechtliche Grenzen des Outsourcing, BB 2011, 2229; Geppert/Schütz, Beck’scher TKG-Kommentar, 4. Aufl. 2013; Gola/Schomerus, BDSG, 11. Aufl. 2012; Hoeren, Dateneigentum – Versuch einer Anwendung von § 303a StGB im Zivilrecht, MMR 2013, 486; Hoeren, Das neue BDSG und die Auftragsdatenverarbeitung, DuD 2010, 688; ISACA Germany Chapter e.V., Prüfleitfaden Auftragsdatenverarbeitung unter Berücksichtigung von Standards, 2011; Kaufmann, Google Analytics: Datenschutzbehörden verlangen unhaltbare Verträge von deutschen Site-Betreibern, ZD-Aktuell 2012, 02945; Kongehl, Datenschutz-Management, Stand Juni 2013; Moos, Die EU-Standardvertragsklauseln für Auftragsverarbeiter 2010, CR 2010, 281; Plath, BDSG, 2013; Robrecht, Überblick über wesentliche Neuerungen der BDSG-Novelle II – Weiterhin viele offene Fragen in der praktischen Umsetzung, ZD 2011, 34; Schmidl/ Krone, Standardvertragsklauseln als Basis intra-europäischer Auftragsdatenverarbeitung, DuD 2010, 838; Schmitz, Telefonanlagenfunktionen „im Netz“ des TK-Providers, ZD 2011, 104; Scholz/Lutz, Standardvertragsklauseln für Auftragsverarbeiter und § 11 BDSG, CR 2011, 424; Schröder/Haag, Stellungnahme der Art. 29-Datenschutzgruppe zum Cloud Computing, ZD 2012, 495; Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2011; Spindler/ Schuster, Recht der elektronischen Medien, 2. Aufl. 2011; Splittgerber/Rockstroh, Sicher durch die Cloud navigieren – Vertragsgestaltung beim Cloud Computing, BB 2011, 2179; Taeger, Law as a Service (LaaS) – Recht im Internet- und Cloud-Zeitalter, 2013; Taeger/ Gabel, Kommentar zum BDSG, 2010; Vander, Auftragsdatenverarbeitung 2.0? – Neuregelungen der Datenschutznovelle II im Kontext von § 11 BDSG, K&R 2010, 292; Voigt, Auftragsdatenverarbeitung mit ausländischen Auftragnehmern, ZD 2012, 546; Voigt/ Klein, Deutsches Datenschutzrecht als „blocking statute“? Auftragsdatenverarbeitung unter dem USA PATRIOT Act, ZD 2013, 16; von dem Bussche/Voigt, Handbuch Konzerndatenschutz, 2013; Weber/Voigt, Internationale Auftragsdatenverarbeitung – Praxisempfehlungen für die Auslagerung von IT-Systemen in Drittstaaten mittels Standardvertragsklauseln, ZD 2011, 74; Weitnauer, Beck’sches Formularbuch IT-Recht, 3. Aufl. 2012; Wanagas, Ein Jahr BDSG-Novelle II – Rückblick unter besonderer Berücksichtigung der Fragen der Auftragsdatenverarbeitung und der Informationspflichten, DStR 2010, 1908; Wolff/Brink, Beck’scher Online-Kommentar Datenschutzrecht, Stand: 1.8.2013 (zit.: BeckOK DatenschutzR/Bearbeiter); Wybitul, Handbuch Datenschutz im Unternehmen, 2011.
Moos
|
123
Teil 2 I
Rz. 1
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
A. Einleitung I. Verwendung des Vertragsmusters 1
Bei dem nachfolgend erläuterten Vertragsmuster handelt es sich um einen Auftragsdatenverarbeitungsvertrag i.S.v. § 11 BDSG. Es dient dazu, die gesetzlichen Anforderungen gem. § 11 Abs. 2 BDSG umzusetzen, wonach Auftragsdatenverarbeitungsverträge schriftlich abzufassen sind und in inhaltlicher Hinsicht Regelungen zu mindestens den in § 11 Abs. 2 Satz 2 BDSG im Einzelnen aufgelisteten Gegenständen enthalten müssen.
1. Auftraggeberfreundlichkeit des Musters 2
Das Vertragsmuster ist auftraggeberfreundlich gestaltet, indem es (1) bei der Umsetzung der gesetzlichen Anforderungen aus § 11 Abs. 2 Satz 2 BDSG durchgehend ein für den Auftraggeber erstrebenswertes, hohes Schutz- und Verpflichtungsniveau vorsieht, und (2) zusätzliche, aus Auftraggebersicht sinnvolle Regelungen aufnimmt, die nach § 11 Abs. 2 BDSG nicht zwingend notwendig wären.
2. Ergänzungs-/Änderungsbedürftigkeit 3
Das nachfolgende Muster soll dabei einen allgemeinen Rahmen für Auftragsdatenverarbeitungen schaffen. Die Verwendung eines solchen „Musters“ im Sinne vorformulierter Standardvertragsregelungen ist für Auftragsdatenverarbeitungsverträge grundsätzlich datenschutzrechtlich zulässig. Auch wenn § 11 Abs. 2 BDSG eine Festlegung der Regelungsgegenstände „im Einzelnen“ verlangt, ist es nicht notwendig, dass der gesamte Auftragsdatenverarbeitungsvertrag ein „Individualvertrag“ ist1. Die auftragsspezifischen Festlegungen sollen in den vorgesehenen Anlagen zum Vertrag erfolgen. Für den Fall, dass besondere Anforderungen bestehen, die sich vor allem aus spezialgesetzlichen Vorschriften oder auch aus besonderen Verarbeitungssituationen ergeben können, wäre das Muster eventuell entsprechend zu ergänzen.
a) Auftragsdatenverarbeitungen in Sondersituationen 4
Für ausgewählte Verarbeitungssituationen stehen dabei eigenständige Muster parat2. Für andere Verwendungszusammenhänge sind ggf. individuelle Anpassungen angezeigt, die je nach den auftragsgegenständlichen Verarbeitungsszenarien und den jeweils einschlägigen bereichsspezifischen Sondervorschriften variieren.
aa) Auftragsdatenverarbeitung von Sozialdaten 5
So besteht etwa in § 80 SGB X eine eigenständige Regelung zur Auftragsdatenverarbeitung von Sozialdaten, die weitergehende Anforderungen als § 11 BDSG 1 So aber Kaufmann, ZD-Aktuell 2012, 02945. 2 Vgl. die kommentierten Muster einer Datenschutzvereinbarung Outsourcingvertrag in Teil 2 III, eines Vertrags zur Datenträger- und Aktenvernichtung in Teil 2 IV sowie eines Vertrags über die Durchführung von Webanalysen in Teil 3 IV.
124
|
Moos
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
Rz. 6 Teil 2 I
aufstellt. Nach § 80 Abs. 2 Satz 6 SGB X setzt die Auftragserteilung an eine nicht-öffentliche Stelle z.B. zusätzlich voraus, dass der Auftragnehmer dem Auftraggeber schriftlich folgende Rechte eingeräumt hat, soweit es im Rahmen des Auftrags für die Überwachung des Datenschutzes erforderlich ist: – das Recht, Auskünfte bei ihm einzuholen; – das Recht, während der Betriebs- oder Geschäftszeiten seine Grundstücke oder Geschäftsräume zu betreten und dort Besichtigungen und Prüfungen vorzunehmen und – das Recht, geschäftliche Unterlagen sowie die gespeicherten Sozialdaten und Datenverarbeitungsprogramme einzusehen. Nach § 80 Abs. 3 Satz 1 SGB X hat der Auftraggeber außerdem seiner Aufsichtsbehörde rechtzeitig vor der Auftragserteilung Einzelheiten zu der beabsichtigten Auftragsdatenverarbeitung schriftlich anzuzeigen.
bb) Cloud Computing Ein sich in jüngster Zeit stark entwickelnder Anwendungsbereich ist derjenige des Cloud Computing. Je nach dem zur Anwendung kommenden Cloud-Modell besteht ein mehr oder minder großes Spannungsverhältnis zu den datenschutzrechtlichen Anforderungen vor allem hinsichtlich Kontrollierbarkeit, Transparenz und Beeinflussbarkeit der Datenverarbeitung1, mit dem sich auch schon die Datenschutzaufsichtsbehörden beschäftigt haben. Gemäß einer Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 28./29.9.2011 dürfen Anwender Cloud-Services nur dann in Anspruch nehmen, wenn sie in der Lage sind, ihre Pflichten als verantwortliche Stelle in vollem Umfang zu erfüllen und die Umsetzung der Datenschutz- und Informationssicherheitsanforderungen geprüft haben2. Nach dieser Entschließung wären z.B. bei der Inanspruchnahme von Cloud Services zu folgenden Aspekten Regelungen in dem entsprechenden Auftragsdatenverarbeitungsvertrag zu ergänzen3: – eine detaillierte und eindeutige vertragliche Regelung zum Ort der Datenverarbeitung und zur Benachrichtigung über eventuelle Ortswechsel, – spezielle Regelungen zur Daten-Portabilität, – die Festlegung, welche Art von aktuellen und aussagekräftigen Nachweisen (bspw. Zertifikate anerkannter und unabhängiger Prüfungsorganisationen) über die Infrastruktur, die bei der Auftragserfüllung in Anspruch genommen wird, die insbesondere die Informationssicherheit betreffen, der Auftragnehmer dem Auftraggeber zur Erfüllung seiner Kontrollpflicht vorlegen muss. 1 Plath/Plath, § 11 BDSG Rz. 50. 2 Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Entschließung „Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing“ vom 28./29. September 2011, S. 1. 3 Detaillierter zur vertraglichen Gestaltung des Auftragsdatenverarbeitungsvertrags im Falle des Cloud Computing Schröder/Haag, ZD 2012, 495 (497 f.).
Moos
|
125
6
Teil 2 I
Rz. 7
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
Details zur datenschutzgerechten Ausgestaltung von Cloud Services und insbesondere auch der entsprechenden Gestaltung des Auftragsdatenverarbeitungsvertrags sind einer Orientierungshilfe der Arbeitskreise „Technik“ und „Medien“1 zu entnehmen, die auch von der Konferenz der Datenschutzbeauftragten des Bundes und der Länder zustimmend zur Kenntnis genommen worden ist.
b) Auftragsdatenverarbeitung im Konzern 7
Auftragsdatenverarbeitungen sind auch innerhalb von Konzernverbünden verbreitet. Das Bestehen gesellschaftsrechtlicher Über- und Unterordnungsverhältnisse schließt die Wahl der Auftragsdatenverarbeitung im Konzern dabei nicht aus, solange gewährleistet ist, dass sich die beauftragte Gesellschaft an die ihr erteilten Weisungen hält2. Deshalb kann es sinnvoll sein, in einen Auftragsdatenverarbeitungsvertrag zwischen zwei konzernangehörigen Unternehmen zusätzlich Regelungen aufzunehmen, die der besonderen Konzern-Situation Rechnung tragen. Sinnvoll ist es z.B., in die Regelung zu den Weisungsbefugnissen und der Weisungsgebundenheit des Auftragsdatenverarbeiters das Verhältnis zu etwaigen gesellschaftsrechtlichen Einwirkungsmöglichkeiten in dem Sinne zu regeln, dass die datenschutzrechtlichen Anforderungen gewahrt sind.
8
Darüber hinaus besteht bei Konzernen mit Gesellschaften in verschiedenen Ländern das Bestreben, die Auftragsdatenverarbeitungen zwischen den einzelnen Konzerngesellschaften möglichst einheitlich zu regeln, und zwar möglichst unabhängig davon, welches nationale Recht jeweils Anwendung findet. Ungeachtet der durch Art. 17 Richtlinie 95/46/EG bewirkten Harmonisierung unterscheiden sich die Anforderungen der nationalen Datenschutzgesetze an wirksame Auftragsdatenverarbeitungsverträge aber im Detail gleichwohl noch. Ein einheitliches Muster müsste sich deshalb an den jeweils strengsten gesetzlichen Anforderungen orientieren. Die Vorgaben des § 11 BDSG können innerhalb des EWR insoweit durchaus als „Gold-Standard“ angesehen werden, so dass mit einem diesen Maßstäben genügenden Auftragsdatenverarbeitungsvertrag auch die Anforderungen der allermeisten weiteren EWR-Vertragsstaaten erfüllt werden. Alternativ können z.B. auch die EU-Standardvertragsklauseln für Auftragsverarbeiter3 als Basis eines einheitlichen Musters für innereuropäische Auftragsdatenverarbeitungen dienen. Eine schlichte Verwendung der EU-Standardvertragsklauseln für innereuropäische Auftragsdatenverarbeitungen verbietet sich zwar4; es ist aber möglich, die Standardvertragsklauseln – z.B. durch Ein1 Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0, Stand 26.9.2011. 2 Plath/Plath, § 11 BDSG Rz. 43. 3 S. hierzu das kommentierte Muster in Teil 5 III. 4 Artikel-29-Datenschutzgruppe, Häufig gestellte Fragen zu bestimmten Aspekten im Zusammenhang mit dem Inkrafttreten des Beschlusses 2010/87/EU der Kommission vom 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG, WP 176, S. 3.
126
|
Moos
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
Rz. 10 Teil 2 I
bettung in einen Rahmenvertrag – so zu modifizieren, dass sie zur Umsetzung der Anforderungen des § 11 BDSG und der in den anderen EWR-Mitgliedstaaten bestehenden Anforderungen an Auftragsdatenverarbeitungsverträge genügen1.
c) Auftragsdatenverarbeitungen außerhalb des EWR Erfolgt eine Weitergabe personenbezogener Daten an einen Auftragsdatenverarbeiter, der in einem anderen EU-Mitgliedstaat bzw. einem Vertragsstaat des Europäischen Wirtschaftsraums (EWR) belegen ist, ergeben sich keine datenschutzrechtlichen Besonderheiten: Innerhalb des EWR gilt aufgrund der Harmonisierung durch die Richtlinie 95/46/EG ein einheitliches Datenschutzniveau, so dass solche Datenweitergaben rein nationalen Datenweitergaben gleich gestellt und Auftragsdatenverarbeitungen unter denselben Voraussetzungen zulässig sind2.
9
Soll eine Auftragsdatenverarbeitung mit einem Dienstleister außerhalb des EWR begründet werden, ergeben sich zwei Problemkreise: Zum einen sind für die Weitergabe personenbezogener Daten an ein Unternehmen außerhalb des EWR zusätzlich zu den vorstehend genannten Anforderungen (sog. 1. Stufe) die Voraussetzungen der §§ 4b und 4c BDSG (sog. 2. Stufe) zu erfüllen. Zum anderen ergeben sich Besonderheiten bei der Zulässigkeit solcher internationaler Auftragsdatenverarbeitungen auf der 1. Stufe.
aa) Zulässigkeit auf der 1. Stufe Eine Auftragsdatenverarbeitung kommt nach dem Wortlaut des Gesetzes (§ 3 Abs. 8 Satz 3 BDSG) nämlich grundsätzlich nur in Betracht, wenn der Auftragsdatenverarbeiter seinen Sitz innerhalb des EWR hat; Empfänger außerhalb des EWR sind hingegen auch dann als „Dritte“ anzusehen, wenn sie die Daten ausschließlich als weisungsgebundene Dienstleister verarbeiten (also ansonsten die Anforderungen nach § 11 BDSG erfüllt sind)3. Zur datenschutzrechtlichen Rechtfertigung von Datenweitergaben an weisungsgebundene Dienstleister außerhalb des EWR werden zwei Lösungen diskutiert: Die auch von den Datenschutzaufsichtbehörden vertretene Meinung nimmt eine Übermittlung von Daten i.S.v. § 3 Abs. 4 Nr. 3 BDSG an, die deshalb nach den allgemeinen Erlaubnistatbeständen gestattet sein muss4. Eine Zulässigkeit nach den allgemeinen Erlaubnistatbeständen sei dann aber regelmäßig – etwa im Rahmen der Interessenabwägung nach § 28 BDSG – gegeben, wenn das Vertragsverhältnis mit dem Dienstleister (ggf. unter Einbeziehung der EU-Standardvertragsklauseln) analog § 11 BDSG ausgestaltet ist5. Nach ei1 2 3 4
Schmidl/Krone, DuD 2010, 838 (840). Taeger/Gabel/Gabel, § 4b BDSG Rz. 3; Plath/Plath, § 11 BDSG Rz. 12; Wybitul, S. 154. Plath/Plath, § 11 BDSG Rz. 13. Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis), Beschluss vom 11./12. September 2013; Scholz/Lutz, CR 2011, 424 (427); Gola/ Schomerus, § 11 BDSG Rz. 16. 5 Gola/Schomerus, § 11 BDSG Rz. 16; Simitis/Dammann, § 3 BDSG Rz. 246; Bayerisches Landesamt für Datenschutzaufsicht, Tätigkeitsbericht 2009/10 v. 14.3.2011, S. 73.
Moos
|
127
10
Teil 2 I
Rz. 11
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
ner anderen Ansicht sei in solchen Fällen § 11 BDSG entsprechend anzuwenden, so dass ein „Umweg“ über die gesetzlichen Erlaubnistatbestände entfiele, wenn bei dem Empfänger z.B. durch Bindung an die EU-Standardvertragsklauseln ausreichende Garantien bestehen1.
bb) Zulässigkeit auf der 2. Stufe 11
Für die Absicherung der Datenweitergaben auf der 2. Stufe stehen ebenfalls Vertragslösungen parat, die in der Praxis große Relevanz besitzen. Gem. § 4c Abs. 2 Satz 1 BDSG kann nämlich eine Übermittlung personenbezogener Daten an einen Empfänger, bei dem per se kein angemessenes Datenschutzniveau gewährleistet ist, ausnahmsweise dennoch erfolgen, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist. Solche Garantien können sich vor allem aus entsprechenden Vertragsklauseln ergeben. Zu diesem Zweck hat die EU-Kommission im Wege des in Art. 31 Abs. 2 Richtlinie 95/46/EG geregelten Ausschussverfahrens festgelegt, dass bestimmte Standardvertragsklauseln bei der Übermittlung personenbezogener Daten aus EU-Staaten in Drittländer ausreichende Garantien für den Schutz des Persönlichkeitsrechts und der damit verbundenen Rechte gem. Art. 26 Abs. 2 Richtlinie 95/46/EG bieten; darunter u.a. die hier relevanten Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern vom 5.2.20102. Sollen im Falle einer internationalen Auftragsdatenverarbeitung nur die EU-Standardvertragsklauseln für Auftragsverarbeiter verwendet werden und kein gesonderter Vertrag nach § 11 BDSG geschlossen werden (was zur Vermeidung von Widersprüchen zu empfehlen ist) muss freilich darauf geachtet werden, dass die EU-Standardvertragsklauseln um die nach § 11 BDSG notwendigen Regelungen ergänzt werden3.
II. Schriftformerfordernis 12
Nach § 11 Abs. 2 Satz 2 BDSG ist der Auftrag schriftlich zu erteilen. Es besteht Einigkeit, dass damit Schriftform i.S.d. § 126 BGB gefordert ist4. Das bedeutet, dass der Auftragsdatenverarbeitungsvertrag eigenhändig zu unterzeichnen ist (§ 126 Abs. 1 BGB). Die Anordnung der Schriftform dient dazu sicherzustellen, dass der Auftraggeber auch tatsächlich Weisungen erteilt und der Auftragnehmer nachweisen kann, dass er weisungsgemäß verfahren ist5. Nach den Vorgaben aus Art. 17 Abs. 4 der Richtlinie 95/46/EG muss es allerdings möglich sein, dass der Vertrag „schriftlich oder in einer anderen Form“ abgeschlos1 Weber/Voigt, ZD 2011, 74 (77); Plath/Plath, § 11 BDSG Rz. 14; s. Teil 5 III Rz. 20. 2 Beschluss K(2010) 593 der Kommission v. 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG, ABl. 2010 L 39, S. 5; s. hierzu Moos, CR 2010, 281 ff. sowie die Erläuterungen in Teil 5 III. 3 Hierzu ausführlich Teil 5 III Rz. 17 ff. 4 Vgl. nur BeckOK DatenschutzR/Spoerr, § 11 Rz. 88. 5 Gola/Schomerus, § 11 BDSG Rz. 17.
128
|
Moos
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
Rz. 14 Teil 2 I
sen wird. § 126 Abs. 3 BGB lässt mangels entgegenstehender Vorgaben im Datenschutzrecht in diesem Sinne auch die elektronische Form i.S.v. § 126a BGB zu1, so dass die Richtlinienvorgaben gewahrt sind. Eine reine Textform (§ 126b BGB) ist allerdings nicht ausreichend.
III. Bußgeldbewehrung Die sorgsame Abfassung des Auftragsdatenverarbeitungsvertrags ist bedeutsam, weil nach § 43 Abs. 1 Nr. 2b BDSG eine Ordnungswidrigkeit begeht, wer entgegen § 11 Abs. 2 Satz 2 BDSG einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt. Da der Gesetzgeber trotz des detaillierten 10-Punkte-Katalogs in § 11 Abs. 2 Satz 2 BDSG bewusst keine abschließende Regelung der notwendigen Inhalte getroffen hat, besteht aus Sicht des Auftraggebers ein latentes Risiko, dass eine Datenschutzaufsichtsbehörde zusätzliche oder detailliertere Regelungen für notwendig hält, als sie in dem tatsächlich geschlossenen Vertrag enthalten sind und sie den Vertrag deshalb als „nicht vollständig“ oder den Auftrag als „nicht richtig“ erteilt ansieht. Auch wenn Zweifel an der Verfassungskonformität der Ordnungswidrigkeitenregelung angebracht sind2, sollte der Auftraggeber deshalb gegenüber dem Auftragnehmer schon aus Gründen der Bußgeldvermeidung darauf dringen, möglichst umfassende und detaillierte Vorgaben in dem Vertrag vorzusehen.
13
IV. Zusätzliche Verpflichtungen bei Auftragsdatenverarbeitungen Der Abschluss eines den Anforderungen von § 11 Abs. 2 BDSG genügenden Auftragsdatenverarbeitungsvertrags ist eine notwendige, nicht aber eine hinreichende Maßnahme zur Begründung einer rechtskonformen Auftragsdatenverarbeitung. Der Auftraggeber ist nach § 11 Abs. 2 Satz 1 BDSG auch verpflichtet, den Auftragnehmer sorgfältig unter besonderer Berücksichtigung der von ihm getroffenen technischen und organisatorischen Maßnahmen auszuwählen. Zu diesem Zweck muss er sich bereits vor Abschluss des Vertrags von der Einhaltung dieser Maßnahmen überzeugen und das Ergebnis seiner Prüfung dokumentieren. Der Auftraggeber sollte sich deshalb bereits vor Vertragsabschluss geeignete Unterlagen (Prüfberichte, Zertifikate, etc.) von dem Auftragnehmer vorlegen lassen oder eigenständige Prüfungen, z.B. durch eine Checkliste oder eine Vor-Ort-Kontrolle durchführen.
1 BeckOK DatenschutzR/Spoerr, § 11 Rz. 88. 2 Vander, K&R 2010, 292 (296).
Moos
|
129
14
Teil 2 I
Rz. 15
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
B. Muster 15
E Auftragsdatenverarbeitungsvertrag (auftraggeberfreundlich) Vertrag über die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag gemäß § 11 Bundesdatenschutzgesetz zwischen […] – nachfolgend „Auftraggeber“ genannt – und […] – nachfolgend „Auftragnehmer“ genannt – 1. Vertragsgegenstand Im Rahmen der Leistungserbringung nach dem Vertrag vom … [Datum] (nachfolgend „Hauptvertrag“ genannt) ist es erforderlich, dass der Auftragnehmer mit personenbezogenen Daten umgeht, für die der Auftraggeber als verantwortliche Stelle im Sinne der datenschutzrechtlichen Vorschriften fungiert (nachfolgend „Auftraggeber-Daten“ genannt). Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit dem Umgang des Auftragnehmers mit Auftraggeber-Daten zur Durchführung des Hauptvertrags. 2. Art, Umfang und Zweck der Auftragsdatenverarbeitung 2.1 Der Auftragnehmer erhebt, verarbeitet und nutzt die Auftraggeber-Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers i.S.v. § 11 Bundesdatenschutzgesetz (BDSG) (Auftragsdatenverarbeitung). Der Auftraggeber bleibt im datenschutzrechtlichen Sinn verantwortliche Stelle („Herr der Daten“). 2.2 Der Auftragnehmer darf die Auftraggeber-Daten ausschließlich in der Art, in dem Umfang und zu den Zwecken erheben und verwenden, die abschließend in Anlage 1 zu diesem Vertrag festgelegt sind. Die Erhebung und Verwendung der Auftraggeber-Daten durch den Auftragnehmer betrifft ausschließlich die in Anlage 1 zu diesem Vertrag abschließend festgelegten Datenarten und den dort bestimmten Kreis der Betroffenen. Jede davon abweichende oder darüber hinausgehende Erhebung oder Verwendung von Auftraggeber-Daten ist dem Auftragnehmer untersagt, insbesondere eine Verwendung der Auftraggeber-Daten zu eigenen Zwecken. 2.3 Die Erhebung und Verwendung der Auftraggeber-Daten durch den Auftragnehmer findet ausschließlich im Gebiet der Bundesrepublik Deutschland statt. Eine Datenverwendung außerhalb Deutschlands, auch im Wege der Gewährung des Zugriffs auf Auftraggeber-Daten an Personen außerhalb Deutschlands, bedarf der vorherigen schriftlichen Zustimmung 130
|
Moos
Vertragstext
Rz. 15 Teil 2 I
des Auftraggebers. Datenverwendungen in Ländern, die weder Mitgliedstaat der Europäischen Union noch Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) sind (nachfolgend „Drittstaaten“ genannt) dürfen nur unter der weiteren Voraussetzung erfolgen, dass die Voraussetzungen der §§ 4b oder 4c BDSG zur Zufriedenheit des Auftraggebers erfüllt sind. 2.4 Sofern der Auftragnehmer Auftraggeber-Daten außerhalb seiner Hauptniederlassung erhebt oder verwendet, informiert er den Auftraggeber über alle sonstigen Orte, an denen er Auftraggeber-Daten erhebt oder verwendet. Der Auftraggeber ist berechtigt, nach billigem Ermessen der Erhebung und Verwendung von Auftraggeber-Daten außerhalb der Hauptniederlassung des Auftragnehmers zu widersprechen. Dem Auftragnehmer ist es untersagt, Auftraggeber-Daten in Privatwohnungen zu erheben oder zu verwenden; hierzu zählt auch eine Zugriffsgewährung an Mitarbeiter in Privatwohnungen, z.B. im Wege der Telearbeit. Ferner ist es dem Auftragnehmer untersagt, Auftraggeber-Daten auf privaten Datenverarbeitungsgeräten der Mitarbeiter zu speichern oder zugänglich zu machen. 2.5 Der Auftragnehmer erwirbt an den Auftraggeber-Daten keine Rechte und ist auf Verlangen des Auftraggebers jederzeit auf erstes Anfordern zur Herausgabe der Auftraggeber-Daten in einer für den Auftraggeber lesbaren und weiterverarbeitbaren Form verpflichtet. Zurückbehaltungsrechte in Bezug auf die Auftraggeber-Daten und die dazugehörigen Datenträger sind ausgeschlossen. 3. Weisungsbefugnisse des Auftraggebers 3.1 Der Auftragnehmer darf die Auftraggeber-Daten ausschließlich in Übereinstimmung mit den in diesem Vertrag enthaltenen Bestimmungen und den sonstigen Weisungen des Auftraggebers erheben und verwenden. Der Auftraggeber besitzt insoweit gegenüber dem Auftragnehmer ein umfassendes Weisungsrecht über Art, Umfang, Zweck und Verfahren der Erhebung und Verwendung von Auftraggeber-Daten. 3.2 Die Weisungen des Auftraggebers sollen grundsätzlich in Schrift- oder Textform erfolgen. Bei Bedarf kann der Auftraggeber Weisungen auch mündlich oder telefonisch erteilen. Mündlich oder telefonisch erteilte Weisungen bedürfen jedoch einer unverzüglichen Bestätigung durch den in Ziffer 3.3. genannten Weisungsberechtigten des Auftraggebers in Schriftoder Textform. 3.3 Weisungen sollen im Regelfall von dem Weisungsberechtigten des Auftraggebers oder dessen Stellvertreter erteilt werden. Derzeit fungieren auf Seiten des Auftraggebers folgende Personen als Weisungsberechtigter und als dessen Stellvertreter: Weisungsberechtigter: … … Moos
|
131
Teil 2 I
Rz. 15
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
Stellvertreter: … … 3.4 Der Auftraggeber wird dem Auftragnehmer einen Wechsel in der Person des Weisungsberechtigten oder des Stellvertreters möglichst frühzeitig anzeigen. 3.5 Die Parteien vereinbaren als Empfangsberechtigten für Weisungen auf Seiten des Auftragnehmers folgende Person: Empfangsberechtigter: … … Stellvertreter: … … In dringenden Fällen darf der Auftraggeber aber auch jedem anderen Beschäftigten des Auftragnehmers entsprechende Weisungen erteilen, sofern weder der Empfangsberechtigte noch sein Stellvertreter für den Auftraggeber erreichbar waren. 3.6 Ein Wechsel in der Person des Empfangsberechtigten oder des Stellvertreters bzw. deren dauerhafte Verhinderung hat der Auftragnehmer dem Auftraggeber möglichst frühzeitig schriftlich unter Benennung eines Vertreters mitzuteilen. Bis zum Zugang einer solchen Mitteilung beim Auftraggeber gelten die benannten Personen weiter als empfangsberechtigt für Weisungen des Auftraggebers. 3.7 Der Auftragnehmer ist verpflichtet, die Weisungen des Auftraggebers unverzüglich auszuführen. Der Auftraggeber ist berechtigt, dem Auftragnehmer hierfür im Einzelfall eine jeweils angemessene Frist zu setzen, die der Auftragnehmer einzuhalten hat. 3.8 Ist der Auftragnehmer der begründeten Ansicht, dass eine Weisung des Auftraggebers gegen diesen Vertrag oder das geltende Datenschutzrecht verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist nach rechtzeitiger vorheriger Ankündigung gegenüber dem Auftraggeber mit mindestens 14-tägiger Frist berechtigt, die Ausführung der Weisung bis zu einer Bestätigung oder Änderung der Weisung durch den Auftraggeber auszusetzen. Bestätigt der Auftraggeber die Weisung, ist der Auftragnehmer verpflichtet, sie zu befolgen. 3.9 Falls eine Weisung die gemäß Ziffer 2.2. und Anlage 1 dieses Vertrags getroffenen Festlegungen ändert oder aufhebt, ist sie nur zulässig, wenn hierbei eine entsprechende neue schriftliche Festlegung nach Ziffer 2.2. erfolgt.
132
|
Moos
Vertragstext
Rz. 15 Teil 2 I
4. Rechtsstellung des Auftraggebers 4.1 Der Auftraggeber steht nach außen, also gegenüber Dritten und den Betroffenen für die Rechtmäßigkeit der auftragsgemäßen Erhebung und Verwendung der Auftraggeber-Daten ein. Er ist nach außen auch für die Wahrung der Rechte der Betroffenen verantwortlich. 4.2 Der Auftraggeber ist Eigentümer der Auftraggeber-Daten und im Verhältnis der Parteien zueinander Inhaber aller etwaigen Rechte an den Auftraggeber-Daten. 5. Pflichten des Auftragnehmers 5.1 Der Auftragnehmer gewährleistet, dass er die Auftraggeber-Daten im Einklang mit den Bestimmungen dieses Vertrags und den Weisungen des Auftraggebers gemäß Ziffer 3.1 erhebt und verwendet. Der Auftragnehmer bestätigt, dass ihm und seinen Mitarbeitern, die mit AuftraggeberDaten umgehen, die Vorschriften des BDSG und die sonstigen einschlägigen Datenschutzvorschriften bekannt sind. 5.2 Die Verwendung der Auftraggeber-Daten für andere als die in Anlage 1 beschriebenen Zwecke bedarf der vorherigen schriftlichen Zustimmung durch den Auftraggeber. Das gilt auch für den Fall einer Verwendung anonymisierter Daten. Der Auftragnehmer ist verpflichtet, auf Verlangen des Auftraggebers Änderungen der Festlegungen in Anlage 1 dieses Vertrags zuzustimmen, soweit er keinen sachlichen Grund zur Verweigerung dieser Zustimmung hat. Die Änderungen sind schriftlich festzulegen. 5.3 Der Auftragnehmer darf ohne vorherige schriftliche Zustimmung durch den Auftraggeber keine Kopien oder Duplikate der Auftraggeber-Daten anfertigen, soweit und solange sie nicht zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung, zur ordnungsgemäßen Erbringung der Leistungen gemäß dem Hauptvertrag (einschließlich der Datensicherung) oder zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Der Auftragnehmer darf Auftraggeber-Daten ohne vorherige schriftliche Zustimmung durch den Auftraggeber auch nicht an Dritte oder andere Empfänger aushändigen. Hiervon ausgenommen sind Datenweitergaben an Unterauftragnehmer, deren Beauftragung der Auftraggeber gemäß Ziffer 10.1. zugestimmt hat. 5.4 Sämtliche Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden vom Auftragnehmer besonders gekennzeichnet und unterliegen seiner laufenden Verwaltung. Jeglicher Eingang und Ausgang dieser Datenträger wird von dem Auftragnehmer schriftlich dokumentiert. Der Auftragnehmer übereignet dem Auftraggeber hiermit zur Sicherheit (Sicherungsübereignung) die Datenträger, auf denen sich Auftraggeber-Daten befinden. Die Übereignung erfolgt nur, wenn die Daten aus technischen Gründen nicht nach den Vorgaben von Ziffer 12.2. und Ziffer 13.4. gelöscht werden können. 5.5 Der Auftragnehmer stellt sicher und kontrolliert regelmäßig vor Ort, mindestens jedoch einmal pro Jahr, dass die Erhebung und -verwendung der Moos
|
133
Teil 2 I
Rz. 15
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
Auftraggeber-Daten in Übereinstimmung mit diesem Vertrag und den Weisungen des Auftraggebers erfolgt und die technisch-organisatorischen Maßnahmen gemäß Ziffer 7 dieses Vertrags eingehalten werden. Der Auftragnehmer ist verpflichtet, die Kontrollen schriftlich in Form von Prüfprotokollen zu dokumentieren und dem Auftraggeber die Prüfprotokolle auf Verlangen unverzüglich vorzulegen. 5.6 Der Auftragnehmer hat den Auftraggeber unverzüglich darüber zu informieren, wenn das Eigentum des Auftraggebers oder seine sonstigen Rechte an den Auftraggeber-Daten beim Auftragnehmer durch Maßnahmen Dritter, z.B. durch Pfändung, Beschlagnahme, Insolvenz oder Vergleichsverfahren, oder durch sonstige Ereignisse gefährdet wird. Ferner wird der Auftragnehmer alle in diesem Zusammenhang Verantwortlichen darüber informieren, dass die Auftraggeber-Daten und die Datenträger, die vom Auftraggeber stammen, im Eigentum des Auftraggebers stehen. 5.7 Ist der Auftraggeber gegenüber einer staatlichen Stelle, einem Betroffenen oder einer anderen Person verpflichtet, Auskünfte über die Auftraggeber-Daten oder deren Erhebung oder Verwendung zu erteilen, so ist der Auftragnehmer verpflichtet, den Auftraggeber bei der Erteilung solcher Auskünfte auf erstes Anfordern zu unterstützen, insbesondere durch unverzügliches Zurverfügungstellen sämtlicher Informationen und Dokumente über die vertragsgegenständliche Erhebung und Verwendung von Auftraggeber-Daten einschließlich den vom Auftragnehmer ergriffenen technisch-organisatorischen Maßnahmen gemäß § 9 BDSG, über den technischen Ablauf der Verwendung von Auftraggeber-Daten, die Orte an denen Auftraggeber-Daten verwendet werden und über die an der Erhebung und Verwendung beteiligten Mitarbeiter. 5.8 Der Auftragnehmer hat dem Auftraggeber auf Verlangen unverzüglich eine jeweils aktuelle Aufstellung der Angaben nach § 4e Satz 1 BDSG sowie der beim Auftragnehmer zugriffsberechtigten Personen (§ 4g Abs. 2 Satz 1 BDSG) zur Verfügung zu stellen. 5.9 Der Auftragnehmer bestätigt, dass er einen fachkundigen und zuverlässigen betrieblichen Datenschutzbeauftragten nach § 4f BDSG bestellt hat und verpflichtet sich, die Bestellung eines betrieblichen Datenschutzbeauftragten während der Dauer des Vertrags aufrechtzuerhalten, auch wenn die gesetzlichen Voraussetzungen für eine Bestellpflicht entfallen sollten. Die Kontaktdaten des betrieblichen Datenschutzbeauftragten sind wie folgt: … … Einen Wechsel in der Person des betrieblichen Datenschutzbeauftragten hat der Auftragnehmer dem Auftraggeber unverzüglich schriftlich mitzuteilen. 5.10 Der Auftragnehmer unterliegt der behördlichen Aufsicht nach § 38 BDSG sowie den Bußgeld- und Strafvorschriften in § 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3 BDSG sowie in § 44 BDSG. 134
|
Moos
Vertragstext
Rz. 15 Teil 2 I
6. Verpflichtung auf das Datengeheimnis 6.1 Der Auftragnehmer hat alle mit der Erhebung oder Verwendung von Auftraggeber-Daten beschäftigten Personen schriftlich auf das Datengeheimnis gemäß § 5 BDSG zu verpflichten. Der Auftragnehmer hat diese Personen dabei in die gesetzlichen Bestimmungen über den Datenschutz einzuweisen und sie zu verpflichten, diese Bestimmungen zu beachten. 6.2 Der Auftragnehmer wird diese Verpflichtungen schriftlich dokumentieren. Auf Verlangen des Auftraggebers wird der Auftragnehmer ihm die Einhaltung dieser Bestimmung durch Vorlage der Verpflichtungserklärungen oder auf andere geeignete Weise nachweisen. 7. Technische und organisatorische Maßnahmen 7.1 Der Auftragnehmer ist verpflichtet, diejenigen technischen und organisatorischen Maßnahmen zu treffen und während der Vertragslaufzeit aufrechtzuerhalten, die erforderlich sind, um die in der Anlage zu § 9 BDSG genannten Anforderungen zu gewährleisten. Der Auftragnehmer garantiert dabei, die in Anlage 2 dieses Vertrags spezifizierten technischen und organisatorischen Maßnahmen i.S.v. § 9 BDSG realisiert zu haben und diese während der Vertragslaufzeit aufrechtzuerhalten. 7.2 Dem Auftragnehmer ist es gestattet, nach vorheriger schriftlicher Zustimmung des Auftraggebers alternative adäquate technische und organisatorische Maßnahmen umzusetzen, sofern das Sicherheitsniveau der in Anlage 2 festgelegten technischen und organisatorischen Maßnahmen nicht unterschritten wird. 7.3 Auf Weisung des Auftraggebers wird der Auftragnehmer darüber hinausgehende wirksame technische und organisatorische Maßnahmen umsetzen, wenn sich die in Anlage 2 des Vertrags bestimmten Maßnahmen als nicht ausreichend erwiesen haben oder wenn der technische Fortschritt dies erfordert. Der Auftragnehmer hat den Auftraggeber unverzüglich schriftlich zu informieren, wenn er Grund zu der Annahme hat, dass die Maßnahmen gemäß Anlage 2 nicht (mehr) ausreichend sind oder der technische Fortschritt weitere Maßnahmen erfordert. 7.4 Für die Sicherheit der Auftraggeber-Daten relevante Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind in jedem Fall vom Auftragnehmer im Voraus mit dem Auftraggeber abzustimmen, auch wenn hierdurch keine Abweichung von den Maßnahmen nach Anlage 2 erfolgt. 7.5 Auf Verlangen weist der Auftragnehmer dem Auftraggeber die Einhaltung der in Anlage 2 festgelegten technischen und organisatorischen Maßnahmen nach. Dabei kann der Nachweis nach Verlangen des Auftraggebers durch die Vorlage eines aktuellen Testats oder Berichts einer unabhängigen Instanz (wie z.B. eines Wirtschaftsprüfers, Revisors, dem betrieblichen Datenschutzbeauftragten oder einem externen Datenschutzauditor etc.) oder einer geeigneten Zertifizierung (z.B. nach BSI-Grundschutz) erMoos
|
135
Teil 2 I
Rz. 15
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
bracht werden. Die Kontrollrechte des Auftraggebers nach Ziffer 10 bleiben davon unberührt. 7.6 Der Auftragnehmer ist verpflichtet, die Grundsätze der ordnungsmäßigen, automatisierten Verarbeitung personenbezogener Daten einzuhalten und insbesondere jeweils aktuelle Dokumentationen aller automatisierten Verfahren zur Verarbeitung von Auftraggeber-Daten vorzuhalten sowie definierte und dokumentierte Test- und Freigabeverfahren für diese automatisierten Verfahren einzuhalten. 7.7 Auf Verlangen stellt der Auftragnehmer dem Auftraggeber ein umfassendes und aktuelles Datenschutz- und Sicherheitskonzept für die Auftragsdatenverarbeitung nach diesem Vertrag zur Verfügung. 8. Mitteilungs- und Unterstützungspflichten des Auftragnehmers bei Datensicherheitsvorfällen 8.1 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er oder eine bei ihm beschäftigte Person gegen Vorschriften zum Schutz personenbezogener Daten, gegen Festlegungen nach diesem Vertrag oder gegen eine vom Auftraggeber erteilte Weisung verstoßen hat, wenn Anhaltspunkte dafür bestehen, dass ein Dritter – egal aus welchem Grund – unrechtmäßig Kenntnis von Auftraggeber-Daten erlangt haben könnte, oder wenn in sonstiger Weise eine Gefährdung für die Integrität oder Vertraulichkeit der Auftraggeber-Daten eingetreten ist („Datensicherheitsvorfall“). 8.2 Die Information über den Datensicherheitsvorfall hat Angaben über den Zeitpunkt und die Art des Vorfalls (einschließlich einer Information, welche Auftraggeber-Daten wie betroffen sind), das betroffene EDV-System, die betroffenen Personen, den Zeitpunkt der Entdeckung, alle denkbaren nachteiligen Folgen des Datensicherheitsvorfalls sowie die von dem Auftragnehmer daraufhin ergriffenen Maßnahmen zu enthalten. 8.3 Eine erste Information des Auftraggebers hat unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung von dem Datensicherheitsvorfall, zu erfolgen. Eine weitere, detaillierte Unterrichtung des Auftraggebers, die sämtliche Informationen gemäß Ziffer 8.2 enthalten muss, hat innerhalb von sieben Tagen nach Kenntniserlangung von dem Datensicherheitsvorfall zu erfolgen. 8.4 Der Auftragnehmer ist verpflichtet, den Auftraggeber im Falle eines Datensicherheitsvorfalls bei seinen diesbezüglichen Aufklärungs-, Abhilfeund Informationsmaßnahmen, einschließlich aller Handlungen zur Erfüllung gesetzlicher Verpflichtungen (etwa nach § 42a BDSG) auf erstes Anfordern im Rahmen des Zumutbaren zu unterstützen. Der Auftragnehmer wird insbesondere unverzüglich sämtliche zumutbaren Maßnahmen ergreifen, um die entstandenen Gefährdungen für die Integrität oder Vertraulichkeit der Auftraggeber-Daten zu minimieren und zu beseitigen, die Auftraggeber-Daten zu sichern und mögliche nachteilige Folgen für 136
|
Moos
Vertragstext
Rz. 15 Teil 2 I
Betroffene zu verhindern oder in ihren Auswirkungen so weit wie möglich zu begrenzen. 8.5 Der Auftragnehmer ist verpflichtet, unverzüglich nach Kenntniserlangung von einem Datensicherheitsvorfall eine Root-Cause-Analyse durchzuführen, diese zu dokumentieren und dem Auftraggeber die Dokumentation auf Verlangen auszuhändigen. Stellt der Auftraggeber hierbei fest, dass die bisherigen, vom Auftragnehmer realisierten technischen und organisatorischen Maßnahmen zum Schutz der Auftraggeber-Daten nicht ausreichend waren, ist der Auftragnehmer verpflichtet, ohne zusätzliche Kosten solche zusätzlichen technischen und organisatorischen Maßnahmen umzusetzen, die nach Ansicht des Auftraggebers erforderlich sind für einen angemessenen Schutz der Auftraggeber-Daten gegen Datensicherheitsvorfälle. 8.6 Der Auftragnehmer ist verpflichtet, ein mindestens fünf Jahre zurückreichendes Verzeichnis über alle sich bei ihm ereignenden Datensicherheitsverletzungen zu führen, in das Informationen aufzunehmen sind über die Umstände und Auswirkungen der jeweiligen Datensicherheitsverletzung und über die ergriffenen Abhilfemaßnahmen. Auf Verlangen des Auftraggebers hat der Auftragnehmer ihm dieses Verzeichnis vorzulegen; soweit Datensicherheitsverletzungen personenbezogene Daten betreffen, bei denen es sich nicht um Auftraggeber-Daten handelt, sorgt der Auftragnehmer für eine hinreichende Anonymisierung vor Aushändigung des Verzeichnisses an den Auftraggeber. 9. Kontrollrechte des Auftraggebers 9.1 Der Auftraggeber ist dazu berechtigt, jederzeit die Erhebung und Verwendung von Auftraggeber-Daten durch den Auftragnehmer einschließlich der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen und die Ordnungsmäßigkeit der Datenverarbeitungsprozesse und -programme des Auftragnehmers zu prüfen, um sich von der Einhaltung der Bestimmungen dieses Vertrags, der vom Auftraggeber erteilten Weisungen sowie der einschlägigen gesetzlichen Datenschutzbestimmungen zu überzeugen. 9.2 Zur Durchführung von Kontrollen nach Ziffer 9.1 ist der Auftraggeber berechtigt, jederzeit sämtliche Geschäftsräume des Auftragnehmers zu betreten und dort Vor-Ort-Kontrollen durchzuführen. Soweit möglich, wird der Auftraggeber dem Auftragnehmer solche Vor-Ort-Kontrollen rechtzeitig vorher ankündigen. Der Auftragnehmer gewährt dem Auftraggeber sämtliche für die Durchführung der Kontrolle vom Auftragnehmer benötigten Zugangs-, Auskunfts- und Einsichtsrechte. Der Auftragnehmer verpflichtet sich insbesondere, dem Auftraggeber Zugang zu den Datenverarbeitungseinrichtungen, Dateien und anderen Dokumenten zu gewähren, um die Kontrolle und Überprüfung der relevanten Datenverarbeitungseinrichtungen, Dateien und anderer Dokumentationen zu ermöglichen, die mit der Erhebung oder Verwendung von AuftraggeberDaten im Zusammenhang stehen. Der Auftragnehmer stellt dem AuftragMoos
|
137
Teil 2 I
Rz. 15
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
geber alle von ihm für die Kontrolle benötigten Informationen zur Verfügung. Der Auftraggeber nimmt hierbei angemessene Rücksicht auf die Betriebsabläufe und berechtigte Geheimhaltungsinteressen des Auftragnehmers. 9.3 Zur Ermöglichung von Kontrollen nach Ziffer 9.1 ist der Auftragnehmer außerdem verpflichtet, dem Auftraggeber unverzüglich sämtliche Zertifikate, Auditberichte und sonstige Ergebnisse von Überprüfungen im Hinblick auf die Erhebung und Verwendung personenbezogener Daten ungekürzt vorzulegen. 9.4 Der Auftraggeber ist berechtigt, von dem betrieblichen Datenschutzbeauftragten des Auftragnehmers Auskunft über sämtliche Aspekte der Erhebung und Verwendung von Auftraggeber-Daten, einschließlich der getroffenen technisch-organisatorischen Maßnahmen, zu erhalten und insbesondere von dem betrieblichen Datenschutzbeauftragten des Auftragnehmers regelmäßig eine Bestätigung der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 zu verlangen. Der Auftragnehmer wird unter Beachtung der Weisungsfreiheit des Datenschutzbeauftragten dafür sorgen, dass der betriebliche Datenschutzbeauftragte auf Verlangen des Auftraggebers Auskünfte und Bestätigungen zeitnah erteilt. 9.5 Der Auftraggeber ist berechtigt, die Kontrollhandlungen nach dieser Ziffer 9 selbst oder durch einen zur Geheimhaltung verpflichteten Bevollmächtigten vorzunehmen. Der Auftragnehmer ist verpflichtet, die Kontrollhandlungen eines solchen Bevollmächtigten in derselben Weise zu dulden und zu unterstützen wie Kontrollen durch den Auftraggeber. 9.6 Gemäß den anwendbaren Datenschutzvorschriften unterliegen der Auftraggeber und der Auftragnehmer öffentlichen Kontrollen durch die zuständige Aufsichtsbehörde. Auf Verlangen des Auftraggebers wird der Auftragnehmer den Auftraggeber im Rahmen von behördlichen Aufsichtsverfahren nach Kräften unterstützen, wenn und soweit die vertragsgegenständliche Erhebung oder Verwendung von Auftraggeber-Daten Gegenstand des Aufsichtsverfahrens ist. Der Auftragnehmer wird insbesondere auf Verlangen des Auftraggebers ihm selbst oder der Aufsichtsbehörde unmittelbar alle Informationen im Zusammenhang mit diesem Vertrag geben und entsprechende Auskünfte erteilen und der Aufsichtsbehörde die Möglichkeit einräumen, Prüfungen in demselben Umfang durchzuführen wie sie die Aufsichtsbehörde beim Auftraggeber durchführen darf. Der Auftragnehmer gewährt der zuständigen Aufsichtsbehörde auch in diesem Rahmen alle erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte. Falls die Aufsichtsbehörde beim Auftragnehmer Kontrollhandlungen, Ermittlungen oder Maßnahmen durchführt, die Auftraggeber-Daten betreffen, hat der Auftragnehmer den Auftraggeber darüber so früh wie möglich und in der Regel unverzüglich nach Erhalt der Ankündigung der Aufsichtsmaßnahme durch die Behörde zu informieren.
138
|
Moos
Vertragstext
Rz. 15 Teil 2 I
10. Unterauftragsverhältnisse 10.1 Der Auftragnehmer darf Unterauftragsverhältnisse hinsichtlich der Erhebung oder Verwendung von Auftraggeber-Daten nur nach vorheriger schriftlicher Zustimmung des Auftraggebers begründen. Der Zustimmungspflicht unterliegen auch Vertragsverhältnisse, die die Prüfung oder Wartung von Datenverarbeitungsverfahren oder -anlagen durch andere Stellen oder andere Nebenleistungen zum Gegenstand haben, sofern dabei ein Zugriff auf Auftraggeber-Daten nicht ausgeschlossen werden kann. Ein Unterauftragsverhältnis im Sinne dieser Ziffer 10 liegt auch vor, wenn ein Unterauftragnehmer in einem Drittstaat eingeschaltet wird – ungeachtet des Umstandes, dass Datenweitergaben an einen solchen Unterauftragnehmer nicht den Privilegierungen des § 11 BDSG unterliegen. 10.2 Zur Prüfung einer solchen Zustimmung hat der Auftragnehmer dem Auftraggeber den Entwurf des Unterauftragsdatenverarbeitungsvertrags zwischen ihm und dem Unterauftragnehmer ungekürzt in Kopie zur Verfügung zu stellen. Ferner muss der Auftragnehmer dem Auftraggeber schriftlich bestätigen, dass er den Unterauftragnehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen sorgfältig ausgewählt hat, er sich von der Einhaltung der beim Unterauftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt hat und dieser Erklärung eine Bestätigung der Ergebnisdokumentation dieser Überprüfung beizufügen. Ein Anspruch auf Erteilung der Zustimmung durch den Auftraggeber besteht nicht. 10.3 Der Auftragnehmer hat den Unterauftragnehmer in dem Unterauftragsdatenverarbeitungsvertrag schriftlich ebenso zu verpflichten, wie auch der Auftragnehmer aufgrund dieses Vertrags gegenüber dem Auftraggeber verpflichtet ist. Dem Auftraggeber sind im Unterauftragsdatenverarbeitungsvertrag gegenüber dem Unterauftragnehmer unmittelbar sämtliche Kontrollrechte gemäß Ziffer 9 dieses Vertrags einzuräumen (echter Vertrag zugunsten Dritter). In dem Unterauftragsdatenverarbeitungsvertrag sind die Verantwortlichkeitssphären des Auftragnehmers und des Unterauftragnehmers klar voneinander abzugrenzen. Werden mehrere Unterauftragnehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen den einzelnen Unterauftragnehmern. Der Auftragnehmer haftet für ein Verschulden seiner Unterauftragnehmer wie für eigenes Verschulden. 10.4 Falls der Auftragnehmer einen Unterauftragnehmer in einem Drittstaat einschalten möchte, gelten zusätzlich die Anforderungen gemäß Ziffer 2.3 bezüglich der Erfüllung der Voraussetzungen der §§ 4b bzw. 4c BDSG. Die Parteien stellen klar, dass nur der Auftraggeber selbst berechtigt ist, Verträge i.S.v. § 4c Abs. 2 Satz 1 BDSG mit Unterauftragnehmern in Drittstaaten abzuschließen und der Auftragnehmer hierzu keinerlei Vollmacht oder sonstige Berechtigung besitzt. Der Auftragnehmer verpflichtet sich bereits jetzt, einem etwa zwischen dem Auftraggeber und Moos
|
139
Teil 2 I
Rz. 15
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
einem Unterauftragnehmer in einem Drittstaat geschlossenen Vertrag auf Basis der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gemäß Beschluss der EU-Kommission vom 5. Februar 2010 („Standardvertragsklauseln“) mit der Wirkung beizutreten, dass der Auftragnehmer primär dafür verantwortlich bleibt, dass der Datenimporteur die Pflichten gemäß den Standardvertragsklauseln einhält. 10.5 Der Auftraggeber stimmt hiermit der Begründung der Unterauftragsverhältnisse gemäß Anlage 3 zu. 10.6 Der Auftragnehmer hat abgeleitete Kontrollpflichten gegenüber den Unterauftragnehmern und kann und muss hierfür die in diesem Vertrag beschriebenen, und in dem Unterauftragsdatenverarbeitungsvertrag zu spiegelnden Kontrollbefugnisse des Auftraggebers wahrnehmen. Der Auftragnehmer hat die Einhaltung der vertraglichen Verpflichtungen des Unterauftragnehmers regelmäßig (d.h. mindestens einmal jährlich) in geeigneter Form zu überprüfen, das Ergebnis der Prüfung zu dokumentieren und den entsprechenden Prüfbericht dem Auftraggeber innerhalb von sechs Wochen nach Durchführung der Prüfung unaufgefordert zur Verfügung zu stellen. Der Auftraggeber bleibt berechtigt, die Ausübung der Kontrollbefugnisse durch den Auftragnehmer uneingeschränkt zu überwachen und kann jederzeit auch selbst diese Kontrolle gegenüber dem Unterauftragnehmer ausüben. 10.7 Nachdem der Auftraggeber der Einschaltung eines Unterauftragnehmers zugestimmt hat, wird der Auftragnehmer ihm eine vollständige Kopie des von beiden Seiten rechtswirksam unterzeichneten Unterauftragsdatenverarbeitungsvertrags zuleiten und ihm Mitteilung machen, wenn die mit der Verarbeitung von Arbeitgeber-Daten betrauten Mitarbeiter des Unterauftragnehmers auf das Datengeheimnis verpflichtet worden sind. Der Auftragnehmer darf Auftraggeber-Daten erst dann an einen Unterauftragnehmer weitergeben, wenn der Auftraggeber dem Auftragnehmer den Erhalt des unterschriebenen Unterauftragsdatenverarbeitungsvertrags und der Mitteilung bzgl. der Verpflichtung auf das Datengeheimnis bestätigt und die Datenverarbeitung freigegeben hat. 10.8 Die Mitteilungspflicht des Auftragnehmers gemäß Ziffer 8.1 gilt entsprechend für Datensicherheitsvorfälle, die sich bei seinen Unterauftragnehmer ereignen. 11. Rechte der Betroffenen 11.1 Die Rechte der durch die Erhebung und Verwendung von AuftraggeberDaten betroffenen Personen sind gegenüber dem Auftraggeber geltend zu machen. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Auskunft, Berichtigung, Löschung oder Sperrung der ihn betreffenden Auftraggeber-Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten und 140
|
Moos
Vertragstext
Rz. 15 Teil 2 I
ohne entsprechende Einzelweisung des Auftraggebers nicht mit dem Betroffenen in Kontakt treten. Der Auftragnehmer darf Auskünfte an Betroffene nur nach vorheriger Weisung durch den Auftraggeber erteilen. 11.2 Der Auftragnehmer ist verpflichtet, den Auftraggeber bei der Erfüllung von Ansprüchen Betroffener auf Auskunft, Berichtigung, Sperrung oder Löschung von Auftraggeber-Daten auf erstes Anfordern im Rahmen des Zumutbaren zu unterstützen. Insbesondere wird der Auftragnehmer dem Auftraggeber unverzüglich, längstens aber innerhalb von fünf Werktagen Informationen über die gespeicherten Auftraggeber-Daten (auch soweit sie sich auf den Speicherungszweck beziehen), die Empfänger von Auftraggeber-Daten, an die der Auftragnehmer sie auftragsgemäß weitergibt und den Zweck der Speicherung mitteilen, sofern dem Auftraggeber diese Informationen nicht selbst vorliegen. 11.3 Der Auftragnehmer ist verpflichtet, Auftraggeber-Daten auf Weisung des Auftraggebers unverzüglich, spätestens aber innerhalb einer Frist von fünf Werktagen, zu berichtigen, zu löschen oder zu sperren (§ 35 BDSG). Der Auftragnehmer wird dem Auftraggeber die weisungsgemäße Berichtigung, Sperrung und Löschung jeweils auf Verlangen schriftlich bestätigen. 12. Auskunft an Dritte Soweit der Auftragnehmer aufgrund gesetzlicher Bestimmungen Dritten Auskunft über Auftraggeber-Daten erteilen muss, ist der Auftragnehmer verpflichtet, den Auftraggeber rechtzeitig vor Auskunftserteilung über Empfänger, Zeitpunkt und Inhalt der zu erteilenden Auskunft und deren Rechtsgrundlage schriftlich zu informieren. 13. Rückgabe und Löschung überlassener Daten 13.1 Dem Auftragnehmer ist es untersagt, nach Beendigung dieses Vertrags Auftraggeber-Daten aktiv zu erheben und zu verwenden; nur eine weitere Speicherung der Auftraggeber-Daten bleibt zugelassen, bis der Auftragnehmer diese Auftraggeber-Daten bestimmungsgemäß an den Auftraggeber herausgegeben oder sie gelöscht oder vernichtet hat; in diesem Fall gelten die Bestimmungen dieses Vertrags auch nach Beendigung des Vertrags bis zu dem Zeitpunkt weiter, in dem der Auftragnehmer über keinerlei Auftraggeber-Daten mehr verfügt. 13.2 Der Auftragnehmer hat sämtliche ihm vom Auftraggeber überlassenen sowie sämtliche im Zuge der Vertragsdurchführung hinzugewonnenen Auftraggeber-Daten und alle Verarbeitungs- und Nutzungsergebnisse hieraus vollständig und unwiederbringlich zu löschen bzw. zu vernichten, sobald ihre Kenntnis für die Erfüllung des Zwecks der jeweiligen Erhebung und Verwendung nicht mehr erforderlich ist, spätestens jedoch nach Beendigung der vertragsgegenständlichen Leistungserbringung. 13.3 Mindestens 18 Werktage vor jeder Löschung oder Vernichtung nach Ziffer 13.2 hat der Auftragnehmer den Auftraggeber unter detaillierter Moos
|
141
Teil 2 I
Rz. 15
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
Angabe der betroffenen Auftraggeber-Daten und Ergebnisse schriftlich über die bevorstehende Löschung bzw. Vernichtung zu informieren. Der Auftraggeber kann innerhalb dieser Frist vom Auftragnehmer die Herausgabe der von der Löschung bzw. Vernichtung betroffenen Auftraggeber-Daten und Ergebnisse verlangen oder ihn anweisen, die Löschung/ Vernichtung nicht vorzunehmen. 13.4 Soweit Auftraggeber-Daten auf Datenträgern enthalten sind, sind diese Datenträger mindestens gemäß Sicherheitsstufe 3 der DIN 66399 „Büro und Datentechnik – Vernichten von Datenträgern“ zu vernichten; soweit Datenträger besondere Arten personenbezogener Daten enthalten, sind diese mindestens gemäß Sicherheitsstufe 4 der DIN 66399 „Büro und Datentechnik – Vernichten von Datenträgern“ zu vernichten. 13.5 Die Bestimmungen der Ziffern 13.2–13.4 gelten auch für Vervielfältigungen der Auftraggeber-Daten (insbesondere Archivierungs- und Sicherungsdateien) in allen Systemen des Auftragnehmers sowie für Test- und Ausschussdaten. 13.6 Über jede Löschung und Vernichtung von Auftraggeber-Daten hat der Auftragnehmer ein schriftliches Protokoll zu erstellen, das dem Auftraggeber auf Verlangen unverzüglich vorzulegen ist. 13.7 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Erhebung und Verwendung von Auftraggeber-Daten dienen, sind durch den Auftragnehmer für eine Dauer von zehn Jahren nach Vertragsende aufzubewahren und dem Auftraggeber auch nach Vertragsende auf Verlangen in Kopie herauszugeben. 14. Vertragsdauer und Kündigung 14.1 Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Die Regelungen zur ordentlichen Kündigung des Hauptvertrags gelten entsprechend. 14.2 Der Auftraggeber ist zu einer jederzeitigen außerordentlichen Kündigung dieses Vertrags sowie des Hauptvertrags aus wichtigem Grund berechtigt. Ein wichtiger Grund liegt für den Auftraggeber insbesondere vor, wenn 14.2.1 der Auftragnehmer gegen eine wesentliche Pflicht aus diesem Vertrag verstößt, 14.2.2 der Auftragnehmer die Auftraggeber-Daten für andere als nach Ziffer 2.2 zugelassene Zwecke verwendet, 14.2.3 eine Weisung des Auftraggebers nach Ziffer 3 dieses Vertrags nicht oder nur teilweise ausführt, 14.2.4 der Auftragnehmer die Ausübung der Kontrollrechte des Auftraggebers nach Ziffer 9 dieses Vertrags verweigert oder nicht nur unerheblich behindert oder 142
|
Moos
Vertragstext
Rz. 15 Teil 2 I
14.2.5 der Auftragnehmer Unterauftragnehmer entgegen Ziffer 10.1 ohne vorherige schriftliche Zustimmung des Auftragnehmers einschaltet. 14.3 Der Hauptvertrag darf im Falle einer Beendigung dieses Vertrags nur fortgeführt werden, wenn ausgeschlossen ist, dass der Auftragnehmer Auftraggeber-Daten verwendet oder darauf zugreift. Im Zweifel gilt eine Kündigung des Hauptvertrags auch als eine Kündigung dieses Vertrags und gilt eine Kündigung dieses Vertrags auch als Kündigung des Hauptvertrags. 15. Haftung und Vertragsstrafe 15.1 Für Schäden des Auftraggebers durch schuldhafte Verstöße des Auftragnehmers gegen diesen Vertrag sowie gegen die ihn treffenden gesetzlichen Datenschutzbestimmungen gelten die gesetzlichen Haftungsregelungen. Etwaige Haftungsbegrenzungen zwischen den Parteien (z.B. aus dem Hauptvertrag) finden diesbezüglich keine Anwendung. Soweit Dritte Ansprüche gegen den Auftraggeber wegen der Verletzung datenschutzrechtlicher Vorschriften geltend machen, die ihre Ursache in der vertragswidrigen Erhebung oder Verwendung von AuftraggeberDaten haben, stellt der Auftragnehmer den Auftraggeber von diesen Ansprüchen auf erstes Anfordern frei. 15.2 Der Auftragnehmer trägt die Beweislast dafür, dass etwaige Schäden nicht auf einem von ihm zu vertretenden Umstand beruhen, soweit die Schadensursache in der Erhebung oder Verwendung von AuftraggeberDaten nach diesem Vertrag besteht. Die Regelung des § 7 Satz 2 BDSG gilt entsprechend. 15.3 Im Falle eines schuldhaften Verstoßes gegen eine der Verpflichtungen aus Ziffer 2.1 bis 2.3, Ziffer 3.1, Ziffer 6, Ziffer 7.1, Ziffer 8.1, Ziffer 9.2, Ziffer 10.1 und Ziffer 13.2 dieses Vertrags wird pro Verstoß eine von dem Auftragnehmer an den Auftraggeber zu zahlende Vertragsstrafe in Höhe von […] Euro fällig. 16. Schlussbestimmungen 16.1 Änderungen, Ergänzungen und die Aufhebung dieses Vertrags bedürfen der Schriftform. Gleiches gilt für eine Änderung oder Aufhebung des Schriftformerfordernisses. 16.2 Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und den Anforderungen des § 11 BDSG am besten gerecht wird. 16.3 Im Fall von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieses Vertrags vor. Moos
|
143
Teil 2 I
Rz. 16
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
… (Ort, Datum)
… (Ort, Datum)
… (Unterschrift Auftraggeber)
… (Unterschrift Auftragnehmer)
Anlagen: Anlage 1: Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kreis der Betroffenen Anlage 2: Technische und organisatorische Maßnahmen Anlage 3: Unterauftragnehmer Anlage 1: Zweck, Art und Umfang der Datenerhebung, -verarbeitung und -nutzung, Art der Daten und Kreis der Betroffenen Zweck der Datenverarbeitung
• …
Art und Umfang der Datenerhebung, -verarbeitung und -nutzung
• …
Art der Daten
• …
Kreis der Betroffenen
• …
Anlage 2: Technische und organisatorische Maßnahmen … Anlage 3: Unterauftragnehmer Unterauftragnehmer
Tätigkeiten
Zweck
Kategorien von Daten
Betroffene
…
…
…
…
…
…
…
…
…
…
C. Erläuterungen I. Vorbemerkungen 1. Anwendungsbereich des Vertragsmusters 16
Bei dem Vertragsmuster handelt es sich um einen Auftragsdatenverarbeitungsvertrag i.S.v. § 11 BDSG. Es dient dazu, die gesetzlichen Anforderungen gem. § 11 Abs. 2 Satz 2 BDSG umzusetzen und darüber hinaus weitere, für den Auftraggeber vorteilhafte Regelungen festzuschreiben. 144
|
Moos
Erläuterungen
Rz. 20 Teil 2 I
a) Auftragsdatenverarbeitungen im Sinne von § 11 BDSG Auftragsdatenverarbeitungen werden gesetzlich einer internen Nutzung durch die verantwortliche Stelle gleichgestellt und sind in dem Sinne privilegiert, dass die Weitergabe an den Auftragnehmer keine erlaubnispflichtige Übermittlung i.S.v. § 3 Abs. 4 Nr. 3 BDSG darstellt1.
17
b) Abgrenzung zur Funktionsübertragung Im Detail ist jedoch umstritten, welche Datenweitergaben einer Auftragsdatenverarbeitung zugänglich sind.
18
aa) Gegenstand der Tätigkeit Teilweise wird (noch) vertreten, dass eine Auftragsdatenverarbeitung u.a. dadurch gekennzeichnet sein müsse, dass sich die ausgelagerte Tätigkeit auf die reine Datenverarbeitung beschränkt2. Zwar rückt eine im Vordringen befindliche Auffassung3, nach der der Gegenstand der Tätigkeit nicht allein ausschlaggebend sei, sondern es maßgeblich darauf ankommen soll, dass der Dienstleister eine weisungsgebundene Tätigkeit ausführt und ein Vertrag nach § 11 BDSG geschlossen werde, von dieser Sichtweise richtigerweise ab (Vertragstheorie).
19
Ob sich eine Datenschutzaufsichtsbehörde dieser Auslegung jedoch im Falle einer Überprüfung im Unternehmen anschließen würde, bleibt ungewiss. Das Bayerische Landesamt für Datenschutzaufsicht verlangt einerseits, dass die auszulagernde Hilfstätigkeit im Kern die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betreffen müsse, und nicht Dienstleistungen völlig anderer Art4. Ob eine Leistung „im Kern“ Datenverarbeitung ist oder ob diese nur Nebenleistungscharakter hat, kann im Einzelfall schwierig zu bestimmen sein. Andererseits erkennt jedoch auch die Aufsichtsbehörde an, dass andere weisungsgebundene Hilfsleistungen, die „im Kern“ nicht Datenverarbeitungstätigkeiten sind, unter Umständen ebenfalls noch als Auftragsdatenverarbeitung nach § 11 BDSG eingeordnet werden können, wenn der Umgang mit den vom Auftraggeber überlassenen Daten beim Dienstleister vertraglich streng weisungsgebunden festgelegt ist. Auch die Artikel-29-Datenschutzgruppe scheint insoweit eine gewisse Flexibilität einzuräumen, wenn sie feststellt, dass die „Verarbeitungstätigkeit [eines Auftragsdatenverarbeiters] auf eine sehr spezifische Aufgabe oder einen sehr spezifischen Kontext beschränkt oder allgemeiner und weiter gefasst sein [kann]“; und dass „das wichtigste Kriterium ist, dass der Auftragsverarbeiter „im Auftrag des für die Verarbeitung Verantwortlichen“ handeln muss“ 5. 1 Bayerisches Landesamt für Datenschutzaufsicht, Auftragsdatenverarbeitung, S. 2. 2 Simitis/Petri, § 11 BDSG Rz. 22; Wanagas, DStR 2010, 1908 (1909). 3 Plath/Plath, § 11 BDSG Rz. 29; Taeger/Gabel/Gabel, § 11 BDSG Rz. 15; Funke/Wittmann, ZD 2013, 221 (223). 4 Bayerisches Landesamt für Datenschutzaufsicht, Auftragsdatenverarbeitung, S. 2. 5 Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ vom 16.2.2010, WP 169, S. 30.
Moos
|
145
20
Teil 2 I
Rz. 21
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
bb) Fallgruppen 21
Weil diese Zuordnung im Einzelfall schwer fallen kann, geben die Aufsichtsbehörden Hilfestellung, indem sie in der Praxis häufig vorkommende Fallgruppen entsprechend zuordnen. Danach seien im Regelfall einer Auftragsdatenverarbeitung zugänglich: – die DV-technischen Arbeiten für die Lohn- und Gehaltsabrechnungen oder die Finanzbuchhaltung, – das Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud Computing, – die Werbeadressenverarbeitung in einem Lettershop, – die Kontaktdatenerhebung durch ein Call-Center, – die Auslagerung eines Teils des eigenen Telekommunikationsanlagenbetriebs (soweit nicht TKG), – die Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten, – die Datenerfassung, die Datenkonvertierung oder das Einscannen von Dokumenten, – die Backup-Sicherheitsspeicherung und andere Archivierungen, – die Datenträgerentsorgung1. Sofern ein den Anforderungen des § 11 Abs. 2 BDSG genügender Auftragsdatenverarbeitungsvertrag geschlossen worden ist, lässt sich im Übrigen auch bei Funktionsübertragungen argumentieren, dass jedenfalls eine vertragliche Vereinbarung besteht, die unter Berücksichtigung der Interessenlagen der betroffenen Personen und unter Beachtung der Zweckbindung der Datenverwendung eine Gewährleistung des Datenschutzes und der Datensicherheit beim übernehmenden Unternehmen sicherstellt, was sich positiv auf die Zulässigkeit der (dann vorliegenden) Datenübermittlung auswirken kann2.
c) Abgrenzung zu reinen Hilfsleistungen ohne Datenverarbeitungselement 22
Abzugrenzen ist die Auftragsdatenverarbeitung auch zu Tätigkeiten, die gar keine aktive Datenverarbeitung zum Gegenstand haben, bei denen aber eine Kenntnisnahme der Daten erfolgen kann. Die einzige Fallgruppe, für die das Gesetz insoweit eine explizite Regelung trifft, ist die Wartung von Datenverarbeitungsanlagen: Gem. § 11 Abs. 5 BDSG ist für diese Fallgruppe ausdrücklich die entsprechende Anwendung der Regelungen zur Auftragsdatenverarbeitung angeordnet. In welchen weiteren Fällen, bei denen ein Zugriff des Vertrags1 Bayerisches Landesamt für Datenschutzaufsicht, Auftragsdatenverarbeitung, S. 2. 2 S. hierzu und zu dem an einen Auftragsdatenverarbeitungsvertrag angelehnten Muster einer Datenschutzklausel für Funktionsübertragungen Teil 6 I.
146
|
Moos
Erläuterungen
Rz. 23 Teil 2 I
partners auf Auftraggeber-Daten nicht ausgeschlossen werden kann, das Auftragsdatenverarbeitungsregime Anwendung finden soll, ist oft unklar. Richtigerweise sollte § 11 Abs. 5 BDSG als Sonderregelung für die Prüfung oder Wartung von Datenverarbeitungsanlagen aufgefasst und andere Tätigkeiten, die im eigentlichen Kern nicht den Umgang mit personenbezogenen Daten betreffen, sondern bei denen der Kontakt mit personenbezogenen Daten nur ein unvermeidliches „Beiwerk“ darstellt, nicht dem Regime der Auftragsdatenverarbeitung unterworfen werden1. Unbeschadet etwaiger besonderer Geheimhaltungsverpflichtungen wie dem Post-, Fernmelde- oder Bankgeheimnis, reicht in solchen Konstellationen im Regelfall eine Geheimhaltungsverpflichtung der externen Personen aus2. In Sonderfällen kann jedoch durchaus auch eine Orientierung am Maßstab eines Auftragsdatenverarbeitungsvertrags nach § 11 BDSG geboten bzw. für den Auftraggeber wünschenswert sein. Beispiele für solche reinen Hilfsleistungen, die einen Zugang zu personenbezogenen Daten mit sich bringen können, sind: – Transportleistungen von Post- oder Kurierdiensten sowie Geldtransportdienstleistungen, – Übertragungsleistungen von öffentlichen Telekommunikationsdiensten, – Bewachungsdienste, – Reinigungsdienstleistungen, – Handwerkereinsätze in Unternehmen für Reparaturen und Wartung (außerhalb des in § 11 Abs. 5 BDSG normierten Spezialfalls)3. Einzelfälle bleiben allerdings umstritten; so soll das Auftragsdatenverarbeitungsregime nicht mehr greifen, wenn lediglich Rechenkapazität eines Rechenzentrums angemietet wird und der Kunde allein und ausschließlich darüber entscheidet, welche personenbezogenen Daten wann und in welcher Weise verarbeitet werden4. In der Literatur wird das entgegen der aufsichtsbehördlichen Meinung5 vereinzelt im Falle des reinen Webhostings bejaht und auch bei spezifischen Gestaltungen des Cloud Computing für denkbar gehalten6.
2. Gesetzliche Anforderungen an Auftragsdatenverarbeitungsverträge Durch das am 1.9.2009 in Kraft getretene Gesetz zur Änderung datenschutzrechtlicher Vorschriften7 (sog. BDSG-Novelle II), ist § 11 BDSG in mehreren 1 So auch Funke/Wittmann, ZD 2013, 221 (224), die sogar § 11 Abs. 5 BDSG wegen Europarechtswidrigkeit für unanwendbar halten. 2 Eine solche kann sich an dem Muster der Geheimhaltungsvereinbarung in Teil 1 IV orientieren. 3 Bayerisches Landesamt für Datenschutzaufsicht, Auftragsdatenverarbeitung, S. 2. 4 Spindler/Schuster, § 11 BDSG Rz. 7; Gola/Schomerus, § 11 BDSG Rz. 8. 5 A.A. Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ vom 16.2.2010, WP 169, S. 31. 6 Engels, K&R 2011, 548 (549 f.). 7 BGBl. I 2009, 2814.
Moos
|
147
23
Teil 2 I
Rz. 24
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
Punkten geändert worden. U.a. sind in § 11 Abs. 2 Satz 2 BDSG die Mindestanforderungen an den Inhalt eines Auftragsdatenverarbeitungsvertrags ausgeweitet und präzisiert worden. Seither enthält die Vorschrift einen Katalog von zehn Punkten im Sinne einer gesetzlich verankerten Checkliste1, die „im Einzelnen“ in dem Auftragsdatenverarbeitungsvertrag festzulegen sind; dies sind: – der Gegenstand und die Dauer des Auftrags, – der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, – die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen, – die Berichtigung, Löschung und Sperrung von Daten, – die nach § 11 Abs. 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, – die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, – die Kontrollrechte des Auftraggebers und die entsprechenden Duldungsund Mitwirkungspflichten des Auftragnehmers, – mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, – der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält und – die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Es handelt sich hierbei um eine nicht abschließende Auflistung2, so dass – je nach Schutzbedarf der Daten – auch weitere Festlegungen notwendig sein können. Die genannten zehn Punkte sind aber mindestens im Vertrag vorzusehen, unabhängig davon, wie umfangreich und dauerhaft die Datenverarbeitungstätigkeit ist3. Die Einhaltung der gesetzlichen Vorgaben wird teilweise als konstitutiv für die Auftragsdatenverarbeitung angesehen. Finden sich die gesetzlich vorgesehenen Mindestinhalte in dem Auftragsdatenverarbeitungsvertrag nicht wieder, wäre nach dieser Ansicht von einer Nichtigkeit des Vertrags nach § 125 BGB auszugehen4. 24
Konkretisierungen bezüglich der Ausgestaltung der Regelungen enthält das Gesetz nicht. In welcher Detailtiefe die einzelnen Regelungsbereiche im Auf-
1 Hoeren, DuD 2010, 688 (688); als „10 Gebote“ bezeichnet von Bartsch/Briner/Bierekoven, S. 105. 2 Taeger/Gabel/Gabel, § 11 BDSG Rz. 41. 3 Krit. dazu Plath/Plath, § 11 BDSG Rz. 4. 4 Gola/Schomerus, § 11 BDSG Rz. 17; BeckOK DatenschutzR/Spoerr, § 11 Rz. 90 f.
148
|
Moos
Erläuterungen
Rz. 26 Teil 2 I
tragsdatenverarbeitungsvertrag auszugestalten sind bleibt offen1. Es ist deshalb der Dispositionsbefugnis des Auftraggebers überlassen, auf welche Art und Weise – und vor allem mit welchem Verpflichtungsgehalt – er die Vorgaben des § 11 Abs. 2 Satz 2 BDSG umsetzt2. Jedenfalls alle nach dem 1.9.2009 geschlossenen Auftragsdatenverarbeitungsverträge müssen diesen inhaltlichen Anforderungen entsprechen; das gilt auch für neue Aufträge, denen ein nach altem Recht geschlossener Auftragsdatenverarbeitungsvertrag zugrunde gelegt wird3. Nach § 43 Abs. 1 Nr. 2b BDSG begeht eine Ordnungswidrigkeit, wer entgegen § 11 Abs. 2 Satz 2 BDSG einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt. Auftraggeber laufen deshalb bereits dann Gefahr, ein Bußgeld zu riskieren, wenn die von Ihnen abgeschlossenen Auftragsdatenverarbeitungsverträge nicht alle nach § 11 Abs. 2 Satz 2 BDSG geforderten Mindestregelungen enthalten.
25
Nicht ausreichend ist es dabei, wenn in dem Auftragsdatenverarbeitungsvertrag auf die Anforderungen des BDSG lediglich verwiesen oder die Vorgaben des § 11 Abs. 2 BDSG nur wortgleich wiedergegeben werden4. Eine Festlegung „im Einzelnen“ verlangt eine auftragsspezifische Umsetzung der Katalogvorgaben unter Zugrundelegung der Eigenverantwortung der Vertragsparteien, der Problemadäquanz der Regelungen und ihrer Verhältnismäßigkeit5.
26
Das Gebot der auftragsspezifischen Gestaltung schließt die Verwendung von Musterverträgen freilich nicht aus6; insbesondere, wenn die Mustervertragsregelungen ein hohes Schutzniveau etablieren, sind sie typischerweise für eine Vielzahl von Verarbeitungsszenarien verwendbar. Es entspricht auch der ganz gängigen Praxis, zumindest als Basis auf Musterverträge zurückzugreifen – so haben ja auch einige Datenschutzaufsichtsbehörden selbst entsprechende „Muster“ veröffentlicht7. Soweit wirklich eine auftragsspezifische Individualisierung notwendig ist (etwa bzgl. Art, Umfang und Zweck der Datenverarbeitung), sehen die Musterverträge typischerweise Platzhalter oder Vertragsanlagen vor, die dann in der Tat einzelfallspezifisch zu befüllen sind.
1 2 3 4
Vander, K&R 2010, 292 (294). BeckOK DatenschutzR/Spoerr, § 11 Rz. 94. Handreichung des BfDI zu § 11 BDSG, Ziff. 1, S. 1; Robrecht, ZD 2011, 34 (24). BT-Drucks. 16/2011, 40; zu der insoweit vor Inkrafttreten der BDSG-Novelle II verbreiteten Praxis Vander, K&R 2010, 282 (292 f.). 5 BeckOK DatenschutzR/Spoerr, § 11 Rz. 94. 6 A.A. Kaufmann, ZD-aktuell 2012, 02945; krit. auch BeckOK DatenschutzR/Spoerr, § 11 Rz. 96. 7 Vgl. die Mustervereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach § 11 BDSG des Hessischen Datenschutzbeauftragten (ehemals Regierungspräsidium Darmstadt); Stand 28.9.2010, abrufbar unter http://www.datenschutz. hessen.de/mustervereinbarung_auftrag.htm.
Moos
|
149
Teil 2 I
Rz. 27
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
II. Erläuterung der einzelnen Klauseln 1. Erläuterungen zu Ziffer 1 27
E 1. Vertragsgegenstand Im Rahmen der Leistungserbringung nach dem Vertrag vom … [Datum] (nachfolgend „Hauptvertrag“ genannt) ist es erforderlich, dass der Auftragnehmer mit personenbezogenen Daten umgeht, für die der Auftraggeber als verantwortliche Stelle im Sinne der datenschutzrechtlichen Vorschriften fungiert (nachfolgend „Auftraggeber-Daten“ genannt). Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit dem Umgang des Auftragnehmers mit Auftraggeber-Daten zur Durchführung des Hauptvertrags.
a) Ratio 28
In Ziffer 1 wird der Vertragsgegenstand definiert. Die Regelung dient damit zugleich der Umsetzung der Vorgabe aus § 11 Abs. 2 Satz 2 Nr. 1 BDSG, wonach in dem Vertrag u.a. der „Gegenstand des Auftrags“ im Einzelnen festzulegen ist. Erforderlich ist danach eine hinreichend präzise Beschreibung des Vertragsgegenstandes1.
b) Definition des Auftragsgegenstandes 29
Das Vertragsmuster bedient sich im Hinblick auf die Festlegung des Auftragsgegenstandes eines Verweises auf den üblicherweise parallel zur Auftragsdatenverarbeitung abgeschlossenen Hauptvertrag, der den Gegenstand der Leistungspflichten festlegt und in der Regel auch die weiteren leistungsspezifischen Bestimmungen zur Vergütung, Haftung für Mängel, etc. beinhaltet. Die Regelungen zur Auftragsverarbeitung müssen nicht in einem separaten Dokument enthalten sein. Sie können regelungstechnisch auch ganz oder teilweise in das zugrunde liegende Rechtsgeschäft integriert sein2. Die Ausgestaltung als separate Vereinbarung, auf die dann – wie hier – in einem Hauptvertrag Bezug genommen wird, ist angesichts des Umfangs der Regelungen zur Auftragsdatenverarbeitung in der Praxis aber weit verbreitet. Sollte ein schriftlicher Hauptvertrag nicht bestehen oder darin der Leistungsgegenstand nur unzureichend definiert sein, müsste wegen § 11 Abs. 2 Satz 2 Nr. 1 BDSG ergänzend eine spezifische Festlegung in dem Auftragsdatenverarbeitungsvertrag erfolgen. Zur Erfüllung der gesetzlichen Anforderungen an die Spezifizierung des Auftragsgegenstandes ist eine kurze, prägnante Kategorisierung der Leistung ausreichend; etwa durch Begriffe wie „Lohnberechnung“, „Wartung“, „Datenträgerentsorgung“, „Call-Center-Leistungen“, etc3. Je nach Art der im Auftrag auszuführenden Leistung kann freilich eine auftragsspezi1 BeckOK DatenschutzR/Spoerr, § 11 Rz. 99. 2 BeckOK DatenschutzR/Spoerr, § 11 Rz. 88. 3 Bayerisches Landesamt für Datenschutzaufsicht, Auftragsdatenverarbeitung, S. 4.
150
|
Moos
Erläuterungen
Rz. 30 Teil 2 I
fische Anpassung oder Ergänzung des Auftragsdatenverarbeitungsvertrags notwendig sein1. Solche Anpassungen sind vor allem dann geboten, wenn für die auszulagernden Datenverarbeitungen bereichsspezifische Datenschutzregeln gelten. In diesen Fällen ist es regelmäßig angezeigt, dass der Auftraggeber dem Auftragnehmer abgeleitete Pflichten in dem Auftragsdatenverarbeitungsvertrag auferlegt2.
2. Erläuterungen zu Ziffer 2 E 2. Art, Umfang und Zweck der Auftragsdatenverarbeitung
30
2.1 Der Auftragnehmer erhebt, verarbeitet und nutzt die Auftraggeber-Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers i.S.v. § 11 Bundesdatenschutzgesetz (BDSG) (Auftragsdatenverarbeitung). Der Auftraggeber bleibt im datenschutzrechtlichen Sinn verantwortliche Stelle („Herr der Daten“). 2.2 Der Auftragnehmer darf die Auftraggeber-Daten ausschließlich in der Art, in dem Umfang und zu den Zwecken erheben und verwenden, die abschließend in Anlage 1 zu diesem Vertrag festgelegt sind. Die Erhebung und Verwendung der Auftraggeber-Daten durch den Auftragnehmer betrifft ausschließlich die in Anlage 1 zu diesem Vertrag abschließend festgelegten Datenarten und den dort bestimmten Kreis der Betroffenen. Jede davon abweichende oder darüber hinausgehende Erhebung oder Verwendung von Auftraggeber-Daten ist dem Auftragnehmer untersagt, insbesondere eine Verwendung der Auftraggeber-Daten zu eigenen Zwecken. 2.3 Die Erhebung und Verwendung der Auftraggeber-Daten durch den Auftragnehmer findet ausschließlich im Gebiet der Bundesrepublik Deutschland statt. Eine Datenverwendung außerhalb Deutschlands, auch im Wege der Gewährung des Zugriffs auf Auftraggeber-Daten an Personen außerhalb Deutschlands, bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers. Datenverwendungen in Ländern, die weder Mitgliedstaat der Europäischen Union noch Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) sind (nachfolgend „Drittstaaten“ genannt) dürfen nur unter der weiteren Voraussetzung erfolgen, dass die Voraussetzungen der §§ 4b oder 4c BDSG zur Zufriedenheit des Auftraggebers erfüllt sind. 2.4 Sofern der Auftragnehmer Auftraggeber-Daten außerhalb seiner Hauptniederlassung erhebt oder verwendet, informiert er den Auftraggeber über alle sonstigen Orte, an denen er Auftraggeber-Daten erhebt oder verwendet. Der Auftraggeber ist berechtigt, nach billigem Ermessen der Erhebung und Verwendung von Auftraggeber-Daten außerhalb der Hauptniederlassung des Auftragnehmers zu widersprechen. Dem Auftragnehmer ist 1 S. beispielhaft das Muster eines Vertrags zur Datenträger- und Aktenvernichtung in Teil 2 IV. 2 Als Beispiel dient das Webtracking; s. hierzu die Erläuterungen zu dem entsprechenden Muster in Teil 3 IV Rz. 17 und 62 ff.
Moos
|
151
Teil 2 I
Rz. 31
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
es untersagt, Auftraggeber-Daten in Privatwohnungen zu erheben oder zu verwenden; hierzu zählt auch eine Zugriffsgewährung an Mitarbeiter in Privatwohnungen, z.B. im Wege der Telearbeit. Ferner ist es dem Auftragnehmer untersagt, Auftraggeber-Daten auf privaten Datenverarbeitungsgeräten der Mitarbeiter zu speichern oder zugänglich zu machen. 2.5 Der Auftragnehmer erwirbt an den Auftraggeber-Daten keine Rechte und ist auf Verlangen des Auftraggebers jederzeit auf erstes Anfordern zur Herausgabe der Auftraggeber-Daten in einer für den Auftraggeber lesbaren und weiterverarbeitbaren Form verpflichtet. Zurückbehaltungsrechte in Bezug auf die Auftraggeber-Daten und die dazugehörigen Datenträger sind ausgeschlossen.
a) Ratio 31
In Ziffer 2.1 wird festgelegt, dass eine Auftragsdatenverarbeitung i.S.v. § 11 BDSG begründet wird. Hierdurch wird die Art der Beziehung zwischen den Vertragsparteien insbesondere von einer sog. Funktionsübertragung abgegrenzt (siehe Rz. 18 ff.), bei der Datenweitergaben an den Auftragnehmer im Wege einer Übermittlung nach § 3 Abs. 4 Satz 2 Nr. 3 BDSG erfolgen, und bei der der Auftragnehmer für die Rechtmäßigkeit der durch ihn erfolgenden Datenverarbeitungen selbst als verantwortliche Stelle einzustehen hätte. Die Ziffern 2.1–2.5 sind Folgeregelungen, die die Auftragsdatenverarbeitung weiter konturieren.
b) Begründung der Auftragsdatenverarbeitung (Ziffer 2.1) 32
Aus der Typisierung der Vertragsbeziehung als Auftragsdatenverarbeitung ergeben sich unmittelbar spezifische gesetzliche Pflichten und Verantwortlichkeiten beider Vertragsparteien: Den Auftraggeber treffen im Hinblick auf die konkrete Leistungsbeziehung zu dem Auftragnehmer insbesondere die Pflichten aus § 11 Abs. 2 BDSG. Für den Auftragnehmer folgt daraus, dass er die Auftraggeber-Daten nur weisungsgebunden und insbesondere nicht für eigene Zwecke verarbeiten darf, wie es in § 11 Abs. 3 Satz 1 BDSG bestimmt ist. Die Begründung einer Auftragsdatenverarbeitung bringt es mit sich, dass der Auftraggeber auch im Hinblick auf die dem Auftrag unterfallenden Datenerhebungen und -verwendungen durch den Auftragnehmer „verantwortliche Stelle“ i.S.v. § 3 Abs. 7 BDSG bleibt. Die entsprechende Regelung in Ziffer 2.1 Satz 2 gibt somit nur die gesetzliche Rechtslage wieder, wie sie in § 11 Abs. 1 Satz 1 BDSG festgeschrieben ist.
c) Festlegung von Art, Umfang und Zweck der Datenverarbeitung, Datenarten und Kreis der Betroffenen (Ziffer 2.2) aa) Spezifizierung der Angaben 33
Nach § 11 Abs. 2 Satz 2 Nr. 2 BDSG muss der dem Auftragnehmer gestattete Umgang mit den Auftraggeber-Daten präzise beschrieben werden. Umfang, Art und Zweck der Datenerhebung und -verwendung sind ebenso in den Vertrag 152
|
Moos
Erläuterungen
Rz. 35 Teil 2 I
aufzunehmen wie die Art der personenbezogenen Daten und der Kreis der Betroffenen. Diese Angaben müssen so konkret angegeben werden, dass Umfang und Gegenstand des zugelassenen Datenumgangs durch den Auftragnehmer im Einzelnen nachvollzogen werden kann1 und der Auftraggeber seiner Rolle als verantwortliche Stelle gerecht wird2. Gewisse Kategorisierungen und Abstrahierungen sind freilich zulässig3. Die auftragsspezifische Festlegung dient auch dazu, die dem jeweiligen Auftrag unterfallende Datenverarbeitung von anderen Auftragsdatenverarbeitungen, die möglicherweise zwischen den Vertragsparteien bestehen, abzugrenzen. Das Muster sieht eine Umsetzung dergestalt vor, dass die konkreten Einzelangaben hierzu in der Tabelle gemäß Anlage 1 zum Muster eingetragen werden. Als Spezifizierung der Datenarten kommt etwa eine Beschreibung als „Vertragsdaten“, „Kontaktdaten“, „Beschäftigtendaten“, „Gesundheitsdaten“ o.ä. in Betracht4; der Kreis der Betroffenen kann durch Angaben wie „Kunden“, „Interessenten“, „Beschäftigte“, „Lieferanten“ etc. spezifiziert werden5. Erfolgt die Datenerhebung, -verarbeitung oder -nutzung für verschiedene Zwecke, sind die Art der Daten und der Kreis der Betroffenen jeweils gesondert anzugeben, ggf. ist hierbei zwischen den einzelnen Phasen der Datenverwendung (Erhebung, Speicherung, Veränderung, Übermittlung, Sperrung, Löschung, Nutzung) zu differenzieren. Umfasst der auftragsmäßige Datenumgang auch die Übermittlung von Daten an einen Dritten, sind auch die Datenempfänger und der Umfang der zu übermittelnden Daten festzulegen6.
34
Alternativ oder ergänzend zu den in die Anlage 1 einzutragenden Angaben kann anerkanntermaßen auf eine entsprechende Leistungsvereinbarung oder die betreffende Passage in einem separaten Dienstvertrag verwiesen werden7 – hier also etwa auf den in Ziffer 1 des Musters referenzierten Hauptvertrag.
bb) Spätere Festlegung In Ausnahmefällen kann es dazu kommen, dass im Zeitpunkt des Vertragsschlusses noch keine abschließende Festlegung der Datenarten oder des Umfangs der Datenverarbeitung erfolgen kann; z.B. in einem komplexen IT-Projekt, bei dem zunächst in einer Planungs- oder Migrationsphase eine genauere Definition des Umfangs der späteren Datenverarbeitung im Regelbetrieb („Future Mode of Operations“) erfolgt. Dann – aber auch nur dann – ist es zulässig, hier nur generelle Vorgaben zu machen und an dieser Stelle im Vertrag darauf
1 BeckOK DatenschutzR/Spoerr, § 11 Rz. 100. 2 Der Hessische Datenschutzbeauftragte, Mustervereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach § 11 BDSG, Stand 28.9.2010, S. 2; vgl. auch Empfehlungen der Ausschüsse, BR-Drucks. 4/1/09 vom 3.2.2009, 9. 3 Taeger/Gabel/Gabel, § 11 BDSG Rz. 43. 4 Bayerisches Landesamt für Datenschutzaufsicht, Auftragsdatenverarbeitung, S. 4. 5 Bayerisches Landesamt für Datenschutzaufsicht, Auftragsdatenverarbeitung, S. 5. 6 Kongehl/Koch, Datenschutz-Management, Gruppe 2.26, S. 17. 7 Der Hessische Datenschutzbeauftragte, Mustervereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach § 11 BDSG, Stand 28.9.2010, S. 2.
Moos
|
153
35
Teil 2 I
Rz. 36
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
zu verweisen, dass im Laufe der ersten Projektphase vor Beginn des Regelbetriebs genauere Festlegungen erfolgen1. In einem solchen Fall sollte sinnvollerweise das Verfahren vereinbart werden, in dem diese Konkretisierungen erfolgen; also insbesondere, ob dies einvernehmlich zwischen den Parteien erfolgen muss, oder ob dies auf Weisung des Auftraggebers geschieht.
cc) Verbot zweckwidriger Verwendungen der Daten 36
In Ziffer 2.2 Satz 3 des Musters findet sich noch eine ausdrückliche Regelung, dass dem Auftragnehmer jede von den vertraglichen Vorgaben abweichende oder darüber hinausgehende Erhebung oder Verwendung der Daten, insbesondere eine Verwendung der Daten zu eigenen Zwecken, untersagt ist. Hierdurch soll vermieden werden, dass der Dienstleister die Daten z.B. unter Berufung auf gesetzliche Erlaubnistatbestände2 neben der Auftragsdurchführung parallel auch zu anderen (eigenen) Zwecken verwendet. In bestimmten Verarbeitungszusammenhängen kann freilich eine derart enge Verflechtung von eigen- und fremdnützigen Datenverarbeitungen bestehen, dass dieses pauschale Verbot durch eine andere, interessengerechte Regelung ersetzt werden müsste3.
d) Ort der Datenverarbeitung (Ziffer 2.3–2.4) aa) Auftragsdatenverarbeitung nur innerhalb des EWR 37
Eine Auftragsdatenverarbeitung kommt nach dem Wortlaut des Gesetzes (§ 3 Abs. 8 Satz 3 BDSG) nur in Betracht, wenn der Auftragsdatenverarbeiter die Daten innerhalb des EWR verarbeitet. Empfänger, die Daten außerhalb des EWR verarbeiten, sind danach auch dann als „Dritte“ anzusehen, wenn sie mit den Daten ausschließlich als weisungsgebundene Dienstleister umgehen (also ansonsten die Anforderungen nach § 11 BDSG erfüllt sind). Zur datenschutzrechtlichen Rechtfertigung von Datenweitergaben an weisungsgebundene Dienstleister außerhalb des EWR werden zwei Lösungen diskutiert4: Die auch von den Datenschutzaufsichtbehörden vertretene Meinung nimmt eine Übermittlung von Daten i.S.v. § 3 Abs. 4 Nr. 3 BDSG an, die deshalb nach den allgemeinen Erlaubnistatbeständen gestattet sein muss5. Eine Zulässigkeit nach den allgemeinen Erlaubnistatbeständen sei dann aber regelmäßig – etwa im Rahmen der Interessenabwägung nach § 28 BDSG – gegeben, wenn das Vertragsverhältnis mit dem Dienstleister (ggf. unter Einbeziehung der EU-Standardvertragsklauseln) analog § 11 BDSG ausgestaltet ist6. Nach einer anderen Ansicht sei in solchen Fällen § 11 BDSG entsprechend anzuwenden, so dass ein „Umweg“ über die gesetzlichen Erlaubnistatbestände entfiele, wenn bei 1 So auch Hoeren, DuD 2010, 688 (689); BeckOK DatenschutzR/Spoerr, § 11 Rz. 102. 2 Für diese Möglichkeit Plath/Plath, § 11 BDSG Rz. 25. 3 Zu dem Beispiel der Datenverwendung zum Zweck der Bereitstellung einer netzseitigen Telefonanlagenfunktion Schmitz, ZD 2011, 104 (108). 4 S. hierzu Teil 5 III Rz. 18 ff. 5 Scholz/Lutz, CR 2011, 424 (427); Gola/Schomerus, § 11 BDSG Rz. 16. 6 Gola/Schomerus, § 11 BDSG Rz. 16; Simitis/Dammann, § 3 BDSG Rz. 246; Bayerisches Landesamt für Datenschutzaufsicht, Tätigkeitsbericht 2009/10 v. 14.3.2011, S. 73.
154
|
Moos
Erläuterungen
Rz. 39 Teil 2 I
dem Empfänger z.B. durch Bindung an die EU-Standardvertragsklauseln ausreichende Garantien bestehen1. Häufig kommt man in der Praxis bei beiden vorgeschlagenen Lösungen zu demselben Ergebnis (also dass die Daten an den weisungsgebundenen Dienstleister trotz Verarbeitung außerhalb des EWR auf Basis eines den Anforderungen des § 11 BDSG genügenden Vertrags weitergegeben werden dürfen). Der Auftraggeber kann deshalb datenschutzrechtskonform auch „Auftragsdatenverarbeitungen“ in Drittländern zulassen. Unsicherheiten ergeben sich aber, wenn die einschlägige Erlaubnisvorschrift für die Datenübermittlung (wie sie die erste Ansicht verlangt) gar keine Interessenabwägung vorsieht und deshalb für eine „Vertragslösung“ in Anlehnung an § 11 BDSG eigentlich gar kein Raum ist. Das gilt vor allem für besondere Arten personenbezogener Daten i.S.v. § 3 Abs. 9 BDSG: Im Rahmen von Auftragsdatenverarbeitungen lassen sich solche Daten weitergeben, ohne den erhöhten Vorgaben des § 28 Abs. 6–9 BDSG unterworfen zu sein. Nimmt man aber eine „Übermittlung“ an, ist eine genauere Prüfung erforderlich, ob die jeweilige Erlaubnisvorschrift auch die Weitergabe solcher Datenarten gestattet. Da hier eine gewisse Rechtsunsicherheit verbleibt, ist es für den Auftraggeber vorteilhaft, die Erhebung und Verwendung der Auftraggeber-Daten durch den Auftragnehmer regional (jedenfalls auf das Gebiet des EWR) zu begrenzen. Insoweit kommt es entscheidend darauf an, wo die tatsächliche Datenverarbeitung erfolgt, und nicht darauf, wo der Dienstleister seinen Sitz hat2.
38
bb) Lokale Beschränkung unter Kontrollaspekten Weitere Umstände können aus Auftraggebersicht sogar eine weitergehende lokale Beschränkung der Datenverarbeitung angezeigt erscheinen lassen: Zum einen ist es so, dass auch innerhalb des EWR trotz der Harmonisierung durch die Richtlinie 95/46/EG durchaus noch Unterschiede in der Anwendung und Durchsetzung der Datenschutzvorschriften durch die jeweiligen Aufsichtsbehörden bestehen. Zum anderen kann eine effektive Vor-Ort-Kontrolle der Auftragsdatenverarbeitungen durch den Auftraggeber eingeschränkt sein, wenn die Daten im Ausland verarbeitet werden. In diesem Sinne sieht Ziffer 2.3 des Musters vor, dass die Erhebung und Verwendung der Daten ausschließlich im Gebiet der Bundesrepublik Deutschland stattzufinden hat und eine Datenverwendung außerhalb Deutschlands, auch im Wege der Gewährung des Zugriffs auf Auftraggeber-Daten an Personen außerhalb Deutschlands, nur mit vorheriger schriftlicher Zustimmung des Auftraggebers zulässig ist. Datenverwendungen in Ländern, die weder Mitgliedstaat der EU noch Vertragsstaat des Abkommens über den EWR sind (nachfolgend „Drittstaaten“ genannt) dürfen nur unter der weiteren Voraussetzung erfolgen, dass die Voraussetzungen der §§ 4b oder 4c BDSG zur Zufriedenheit des Auftraggebers erfüllt sind. 1 Weber/Voigt, ZD 2011, 74 (77); Plath/Plath, § 11 BDSG Rz. 14; s. Teil 5 III Rz. 20. 2 Plath/Plath, § 11 BDSG Rz. 15.
Moos
|
155
39
Teil 2 I
Rz. 40
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
Eine ähnliche Regelung könnte im Fall der Inanspruchnahme von Cloud Services geboten sein. Nach Ansicht der Aufsichtsbehörden und Teilen der Literatur müsse beim Cloud Computing durch vertragliche Vereinbarungen zwischen dem Auftraggeber und dem Auftragnehmer der Ort der technischen Verarbeitung personenbezogener Daten vereinbart werden1. Cloud-Anbieter sowie deren Unterauftragnehmer könnten in diesem Sinne bspw. verpflichtet werden, nur technische Infrastrukturen zu verwenden, die sich physikalisch auf dem Gebiet des EWR befinden.
cc) Datenverarbeitungen außerhalb der Hauptniederlassung 40
Die Regelung in Ziffer 2.4 wonach der Auftragnehmer den Auftraggeber über alle Verarbeitungen außerhalb seiner Hauptniederlassung zu informieren und ggf. auf Widerspruch zu unterlassen hat, dient wiederum dazu, dem Auftraggeber eine effektive Auftragskontrolle zu ermöglichen und „unsichere“ Verarbeitungsbedingungen auszuschließen. Bestimmte Verarbeitungsszenarien, denen per se eine zu große Unsicherheit anhaftet, wie z.B. Datenverarbeitungen in Privatwohnungen – auch im Wege einer Zugriffsgewährung an Mitarbeiter in Privatwohnungen, z.B. im Wege der Telearbeit –, verbietet das Muster generell. Angesichts der zunehmenden Verbreitung von Bring Your Own Device (BYOD) wird es dem Auftragnehmer wegen der damit verbundenen Datensicherheitsrisiken2 auch untersagt, Auftraggeber-Daten auf privaten Datenverarbeitungsgeräten der Mitarbeiter zu speichern oder zugänglich zu machen.
e) Rechte an den Daten und Zurückbehaltungsrechte (Ziffer 2.5) 41
Insbesondere wenn der Auftragsdatenverarbeitung besonders sensible personenbezogene Daten unterfallen, soll nach Auffassung mancher Datenschutzaufsichtsbehörden die Einrede des Zurückbehaltungsrechts nach § 273 BGB hinsichtlich der verarbeiteten Daten und der dazugehörigen Datenträger vertraglich ausgeschlossen werden3. Entsprechende Regelungen sind in Ziffer 2.5 aufgenommen, in der klargestellt wird, dass der Auftragnehmer an den Auftraggeber-Daten keine Rechte erwirbt und auf Verlangen des Auftraggebers jederzeit zur Herausgabe der Daten verpflichtet ist. Zurückbehaltungsrechte in Bezug auf die Auftraggeber-Daten und die dazugehörigen Datenträger werden explizit ausgeschlossen. Durch die Formulierung „auf erstes Anfordern“ wird erreicht, dass generell Einreden und Einwendungen des Auftragnehmers gegen den Herausgabeanspruch ausgeschlossen sind. Die Regelung ist Ausfluss des umfassenden Weisungsrechts des Auftraggebers, wie es in allgemeiner Form in Ziffer 3.1 des Vertragsmusters niedergelegt ist. 1 Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0, Stand 26.9.2011, S. 10; Splittgerber/Rockstroh, BB 2011, 2179 (2181). 2 S. hierzu die Erläuterungen zu dem Muster einer BYOD-Betriebsvereinbarung in Teil 4 VI Rz. 13. 3 Der Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe Auftragsdatenverarbeitung, S. 15; zu weitgehend Taeger/Bergt, der einen zwingenden Ausschluss des Zurückbehaltungsrechts verlangt, Law as a Service (LaaS), S. 37 (42).
156
|
Moos
Erläuterungen
Rz. 43 Teil 2 I
Die Herausgabe der Daten an den Auftraggeber kann dazu führen, dass der Auftragnehmer seine Pflichten aus dem Hauptvertrag nicht mehr erfüllen kann. Bei der Bereitstellung der vom Auftragnehmer zur Vertragserfüllung benötigten Daten handelt es sich im Regelfall um eine erforderliche Mitwirkung des Auftraggebers. Das Gesetz ordnet solche Mitwirkungshandlungen grundsätzlich als sog. Obliegenheiten ein (vgl. § 642 BGB), deren Verletzung eine Entschädigungsverpflichtung und ein Kündigungsrecht des Auftragnehmers nach sich ziehen kann. Hier ist eine Abstimmung mit dem Hauptvertrag notwendig. Aus Auftraggebersicht könnte eine ergänzende Regelung sinnvoll sein, wonach etwaige Ansprüche des Auftragnehmers aus §§ 642, 643 BGB wegen eines Herausgabeverlangens der Daten nach Ziffer 2.5 des Musters ausgeschlossen werden. Es ist freilich auch nicht unüblich, solche Mitwirkungen vertraglich in den Rang echter Vertragspflichten zu heben, deren Einhaltung dann von dem Auftragnehmer eigenständig eingeklagt werden könnte. Wenn das so in dem Hauptvertrag vorgesehen ist, wären weitergehende Sonderregelungen zu den zivilrechtlichen Auswirkungen eines Herausgabeverlangens durch den Auftraggeber angeraten.
42
3. Erläuterungen zu Ziffer 3 43
E 3. Weisungsbefugnisse des Auftraggebers 3.1 Der Auftragnehmer darf die Auftraggeber-Daten ausschließlich in Übereinstimmung mit den in diesem Vertrag enthaltenen Bestimmungen und den sonstigen Weisungen des Auftraggebers erheben und verwenden. Der Auftraggeber besitzt insoweit gegenüber dem Auftragnehmer ein umfassendes Weisungsrecht über Art, Umfang, Zweck und Verfahren der Erhebung und Verwendung von Auftraggeber-Daten. 3.2 Die Weisungen des Auftraggebers sollen grundsätzlich in Schrift- oder Textform erfolgen. Bei Bedarf kann der Auftraggeber Weisungen auch mündlich oder telefonisch erteilen. Mündlich oder telefonisch erteilte Weisungen bedürfen jedoch einer unverzüglichen Bestätigung durch den in Ziffer 3.3. genannten Weisungsberechtigten des Auftraggebers in Schriftoder Textform. 3.3 Weisungen sollen im Regelfall von dem Weisungsberechtigten des Auftraggebers oder dessen Stellvertreter erteilt werden. Derzeit fungieren auf Seiten des Auftraggebers folgende Personen als Weisungsberechtigter und als dessen Stellvertreter: Weisungsberechtigter: … … Stellvertreter: … … 3.4 Der Auftraggeber wird dem Auftragnehmer einen Wechsel in der Person des Weisungsberechtigten oder des Stellvertreters möglichst frühzeitig anzeigen. Moos
|
157
Teil 2 I
Rz. 44
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
3.5 Die Parteien vereinbaren als Empfangsberechtigten für Weisungen auf Seiten des Auftragnehmers folgende Person: Empfangsberechtigter: … … Stellvertreter: … … In dringenden Fällen darf der Auftraggeber aber auch jedem anderen Beschäftigten des Auftragnehmers entsprechende Weisungen erteilen, sofern weder der Empfangsberechtigte noch sein Stellvertreter für den Auftraggeber erreichbar waren. 3.6 Ein Wechsel in der Person des Empfangsberechtigten oder des Stellvertreters bzw. deren dauerhafte Verhinderung hat der Auftragnehmer dem Auftraggeber möglichst frühzeitig schriftlich unter Benennung eines Vertreters mitzuteilen. Bis zum Zugang einer solchen Mitteilung beim Auftraggeber gelten die benannten Personen weiter als empfangsberechtigt für Weisungen des Auftraggebers. 3.7 Der Auftragnehmer ist verpflichtet, die Weisungen des Auftraggebers unverzüglich auszuführen. Der Auftraggeber ist berechtigt, dem Auftragnehmer hierfür im Einzelfall eine jeweils angemessene Frist zu setzen, die der Auftragnehmer einzuhalten hat. 3.8 Ist der Auftragnehmer der begründeten Ansicht, dass eine Weisung des Auftraggebers gegen diesen Vertrag oder das geltende Datenschutzrecht verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist nach rechtzeitiger vorheriger Ankündigung gegenüber dem Auftraggeber mit mindestens 14-tägiger Frist berechtigt, die Ausführung der Weisung bis zu einer Bestätigung oder Änderung der Weisung durch den Auftraggeber auszusetzen. Bestätigt der Auftraggeber die Weisung, ist der Auftragnehmer verpflichtet, sie zu befolgen. 3.9 Falls eine Weisung die gemäß Ziffer 2.2. und Anlage 1 dieses Vertrags getroffenen Festlegungen ändert oder aufhebt, ist sie nur zulässig, wenn hierbei eine entsprechende neue schriftliche Festlegung nach Ziffer 2.2. erfolgt.
a) Ratio 44
In Ziffer 3 des Musters werden der Umfang und die Art der Ausübung des Weisungsrechts des Auftraggebers festgelegt. Die Festschreibung der Weisungsrechte des Auftraggebers in Ziffer 3 des Musters geht grundsätzlich auf die Regelung in § 11 Abs. 2 Satz 2 Nr. 9 BDSG zurück. Danach ist der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, im Einzelnen festzulegen.
158
|
Moos
Erläuterungen
Rz. 47 Teil 2 I
b) Weisungsrecht des Auftraggebers (Ziffer 3.1) In seiner Gesamtheit kann das Weisungsrecht des Auftraggebers nicht abbedungen werden, ohne dass das Vertragsverhältnis seinen Charakter als Auftragsdatenverarbeitung verliert. Fehlt es an der Weisungsgebundenheit, weil der Auftragnehmer selbst über den Umgang mit den Daten bestimmen darf, wird der Bereich der Auftragsdatenverarbeitung verlassen und es liegt ggf. eine Funktionsübertragung vor, die eine Übermittlung der Daten i.S.v. § 3 Abs. 4 Nr. 3 BDSG impliziert1.
45
Das Muster definiert die Weisungsbefugnis des Auftraggebers in Ziffer 3.1 Satz 2 denkbar weit und gewährt ihm ein umfassendes, uneingeschränktes Weisungsrecht bezüglich Art, Umfang, Zweck und Verfahren der Erhebung und Verwendung von Auftraggeber-Daten. Diese weit gefasste Weisungsbefugnis ist grundsätzlich im Interesse des Auftraggebers. In besonderen Fällen mag der Auftraggeber aber auch einem eingeschränkten Weisungsrecht den Vorzug geben. So steht das datenschutzrechtliche Weisungsrecht des auftraggebenden Unternehmens in einem Konzernverbund mit zentralisierten IT- und Datenverarbeitungsfunktionen tendenziell in einem Spannungsverhältnis2 zu dem gleichzeitigen Bestreben einer einheitlichen, konzernweiten Handhabung. Es kann deshalb sinnvoll sein, dass sich konzerngebundene Auftraggeber kein vollumfassendes Weisungsrecht einräumen lassen, sondern dem Konzernauftragsdatenverarbeiter – innerhalb eines definierten Rahmens – Entscheidungsspielräume, etwa bei Änderungen technisch-organisatorischer Maßnahmen, zugestehen. Problematisch kann die Erteilung von Einzelweisungen auch bei der Inanspruchnahme weitgehend standardisierter Leistungen sein, wie es z.B. für das Cloud Computing kennzeichnend ist. Bei der Inanspruchnahme solcher Leistungen wäre das Muster ggf. in der Weise anzupassen, dass der Auftraggeber nur zu allgemeinen Anweisungen berechtigt ist, die ggf. sogar abschließend in dem Auftragsdatenverarbeitungsvertrag beschrieben werden3.
46
c) Form der Weisungen (Ziffer 3.2) Aus Gründen der Rechtssicherheit soll für Einzelweisungen ein Formerfordernis festgelegt werden4. In diesem Sinne wird in Ziffer 3.2 grundsätzlich Schriftoder Textform verlangt. Um dem Auftraggeber aber die notwendige Flexibilität zu geben, schnell und unbürokratisch Weisungen erteilen zu können, ist er bei Bedarf auch zu mündlichen oder telefonischen Weisungen berechtigt, die dann im Nachhinein schriftlich oder in Textform zu bestätigen sind.
1 S. hierzu das Muster in Teil 6 I Rz. 6. 2 Vgl. Nink/Müller, ZD 2012, 505 (505). 3 Vgl. Plath/Plath, § 11 BDSG Rz. 56; krit. zur Möglichkeit einer rechtskonformen Umsetzung des Weisungsrechts gegenüber Cloud-Anbietern Gaul/Koehler, BB 2011, 2229 (2232). 4 BeckOK DatenschutzR/Spoerr, § 11 Rz. 109.
Moos
|
159
47
Teil 2 I
Rz. 48
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
d) Weisungs- und Empfangsberechtigte (Ziffer 3.3–3.6) 48
Es wird in der Literatur empfohlen, die weisungsberechtigten Personen in dem Vertrag zu bezeichnen1. In Ziffer 3.3 ist eine solche Nennung vorgesehen. Damit sich der Auftraggeber aber insoweit nicht über Gebühr selbst bindet, wird die Weisungsbefugnis nicht abschließend auf eine bestimmte Person verengt. Vielmehr soll die namentlich zu nennende Person nur im Regelfall für Weisungen zuständig sein. Die Erteilung von Weisungen durch andere Personen bleibt also möglich. Ferner steht es dem Auftraggeber frei, den Weisungsberechtigten und dessen Stellvertreter auszuwechseln; d.h. die namentliche Benennung in dem Vertrag ist nur deklaratorisch. Dem Auftragnehmer wird in dem Muster weniger Flexibilität zugestanden. Dadurch soll zugunsten des Auftraggebers Unsicherheit darüber vermieden werden, an welche Person er Weisungen zu erteilen hat, um eine etwaige Nichtbefolgung von Weisungen wegen vermeintlicher Unzuständigkeit des Weisungsempfängers zu vermeiden. In diesem Sinne sieht das Muster vor, dass – der Auftraggeber bei Nichterreichbarkeit der vereinbarten Weisungsempfänger auch jedem anderen Beschäftigten des Auftragnehmers Weisungen erteilen kann (Ziffer 3.5); – die benannten Weisungsempfänger bis zum Zugang einer Änderungsmitteilung durch den Auftragnehmer empfangsberechtigt bleiben (Ziffer 3.6).
e) Frist zur Umsetzung von Weisungen (Ziffer 3.7) 49
Nach Ziffer 3.7 ist auch die Bemessung einer Frist zur Ausführung von Weisungen in die Bestimmungsmacht des Auftraggebers gestellt. Gibt er dem Auftragnehmer im Einzelfall keine konkrete Frist vor, hat der Auftragnehmer die Weisung unverzüglich, also gem. § 121 Abs. 1 Satz 1 BGB ohne schuldhaftes Zögern auszuführen.
f) Remonstration des Auftragnehmers (Ziffer 3.8) 50
Nach § 11 Abs. 3 Satz 2 BDSG ist der Auftragnehmer zur Remonstration gegenüber dem Auftraggeber verpflichtet, wenn er der Ansicht ist, dass eine Weisung des Auftraggebers gegen das geltende Datenschutzrecht verstößt. Ziffer 3.8 des Musters regelt die Auswirkungen einer solchen Remonstration auf die weitere Vertragserfüllung seitens des Auftragnehmers. Nach dem Muster soll der Auftragnehmer grundsätzlich nicht berechtigt sein, die – aus seiner Sicht datenschutzwidrige – Verarbeitung auszusetzen, sondern nur, wenn der Auftraggeber die vermeintlich datenschutzwidrige Weisung nicht in angemessener Frist bestätigt. Bestätigt der Auftraggeber die Weisung, ist der Auftragnehmer verpflichtet, sie zu befolgen. Die Regelung in Ziffer 3.8 sieht nicht vor, dass der Auftragnehmer jede Weisung des Auftraggebers auf Rechtmäßigkeit zu überprüfen hätte. Angesichts des 1 BeckOK DatenschutzR/Spoerr, § 11 Rz. 109; Kongehl/Koch, Datenschutz-Management, Gruppe 2.26, S. 19.
160
|
Moos
Erläuterungen
Rz. 54 Teil 2 I
Umstandes, dass der Auftraggeber die verantwortliche Stelle i.S.v. § 3 Abs. 7 BDSG ist, steht er für die Rechtmäßigkeit weiterhin ein1. Wenn der Auftraggeber eine intensivere Kontrolle der Datenschutzkonformität durch den Auftragnehmer wünscht, etwa weil dieser über besondere Kenntnisse oder Kapazitäten verfügt, die er sich zunutze machen will, kann eine solche Überprüfungspflicht freilich in den Vertrag mit aufgenommen werden.
g) Vertragsändernde Weisungen (Ziffer 3.9) Die Regelung in Ziffer 3.9 trägt dem Umstand Rechnung, dass § 11 Abs. 2 Satz 2 BDSG für die darin genannten Festlegungen Schriftform verlangt. Da das Weisungsrecht hier zugunsten des Auftraggebers sehr umfassend angelegt ist (vgl. Ziffer 3.1 Satz 2), ist es denkbar, dass hierdurch auch vertragliche Festlegungen überschrieben werden; z.B. wenn die Realisierung einer bestimmten, zusätzlichen technischen oder organisatorischen Maßnahme angeordnet wird, wie es durch Ziffer 7.3 des Musters ermöglicht wird. In solchen Fällen verlangt Ziffer 3.9, dass eine neue schriftliche Festlegung nach Ziffer 2.2. erfolgt.
51
4. Erläuterungen zu Ziffer 4 E 4. Rechtsstellung des Auftraggebers
52
4.1 Der Auftraggeber steht nach außen, also gegenüber Dritten und den Betroffenen für die Rechtmäßigkeit der auftragsgemäßen Erhebung und Verwendung der Auftraggeber-Daten ein. Er ist nach außen auch für die Wahrung der Rechte der Betroffenen verantwortlich. 4.2 Der Auftraggeber ist Eigentümer der Auftraggeber-Daten und im Verhältnis der Parteien zueinander Inhaber aller etwaigen Rechte an den Auftraggeber-Daten.
a) Ratio Ziffer 4 des Musters dient dazu, die Rechtsstellung des Auftraggebers und die sich daraus ergebenden Rechte und Pflichten klarzustellen.
53
b) Verantwortlichkeit des Auftraggebers (Ziffer 4.1) Es entspricht der gesetzlichen Lage, dass der Auftraggeber als verantwortliche Stelle i.S.v. § 3 Abs. 7 BDSG nach außen, also gegenüber Dritten und den Betroffenen für die Rechtmäßigkeit der auftragsgemäßen Erhebung und Verwendung der Auftraggeber-Daten einzustehen hat und in dieser Funktion auch für die Wahrung der Rechte der Betroffenen verantwortlich ist. Ziffer 4.1 hat deshalb nur deklaratorische Wirkung. Die erforderliche Mitwirkung des Auftragnehmers bei der Erfüllung der Rechte der Betroffenen ist in Ziffer 5.7 und 11.1 geregelt.
1 Weitnauer/Missling, Kap. H.3, S. 387.
Moos
|
161
54
Teil 2 I
Rz. 55
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
c) Rechte an den Daten (Ziffer 4.2) 55
Vor allem im Falle der Verarbeitung besonders sensibler personenbezogener Daten verlangen manche Datenschutzaufsichtsbehörden, dass die Eigentumsverhältnisse an den im Rahmen der Auftragsdatenverarbeitung zu erhebenden, verarbeitenden oder zu nutzenden personenbezogenen Daten vertraglich geregelt wird1. Das ist generell sinnvoll, zumal die zivilrechtliche Lage im Hinblick auf das Eigentum und die Verfügungsbefugnis an Daten bisher nicht hinreichend geklärt ist2. Das Muster klammert diese Fragestellung aus, legt aber in Ziffer 4.2 fest, dass jedenfalls im Verhältnis der Vertragsparteien zueinander der Auftraggeber Eigentümer der Auftraggeber-Daten Inhaber aller etwaigen Rechte an den Auftraggeber-Daten sein soll.
5. Erläuterungen zu Ziffer 5 56
E 5. Pflichten des Auftragnehmers 5.1 Der Auftragnehmer gewährleistet, dass er die Auftraggeber-Daten im Einklang mit den Bestimmungen dieses Vertrags und den Weisungen des Auftraggebers gemäß Ziffer 3.1 erhebt und verwendet. Der Auftragnehmer bestätigt, dass ihm und seinen Mitarbeitern, die mit AuftraggeberDaten umgehen, die Vorschriften des BDSG und die sonstigen einschlägigen Datenschutzvorschriften bekannt sind. 5.2 Die Verwendung der Auftraggeber-Daten für andere als die in Anlage 1 beschriebenen Zwecke bedarf der vorherigen schriftlichen Zustimmung durch den Auftraggeber. Das gilt auch für den Fall einer Verwendung anonymisierter Daten. Der Auftragnehmer ist verpflichtet, auf Verlangen des Auftraggebers Änderungen der Festlegungen in Anlage 1 dieses Vertrags zuzustimmen, soweit er keinen sachlichen Grund zur Verweigerung dieser Zustimmung hat. Die Änderungen sind schriftlich festzulegen. 5.3 Der Auftragnehmer darf ohne vorherige schriftliche Zustimmung durch den Auftraggeber keine Kopien oder Duplikate der Auftraggeber-Daten anfertigen, soweit und solange sie nicht zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung, zur ordnungsgemäßen Erbringung der Leistungen gemäß dem Hauptvertrag (einschließlich der Datensicherung) oder zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Der Auftragnehmer darf Auftraggeber-Daten ohne vorherige schriftliche Zustimmung durch den Auftraggeber auch nicht an Dritte oder andere Empfänger aushändigen. Hiervon ausgenommen sind Datenweitergaben an Unterauftragnehmer, deren Beauftragung der Auftraggeber gemäß Ziffer 10.1. zugestimmt hat. 5.4 Sämtliche Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden vom Auftragnehmer besonders 1 Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe Auftragsdatenverarbeitung, S. 15. 2 Instruktiv hierzu Hoeren, MMR 2013, 486 ff.
162
|
Moos
Erläuterungen
Rz. 56 Teil 2 I
gekennzeichnet und unterliegen seiner laufenden Verwaltung. Jeglicher Eingang und Ausgang dieser Datenträger wird von dem Auftragnehmer schriftlich dokumentiert. Der Auftragnehmer übereignet dem Auftraggeber hiermit zur Sicherheit (Sicherungsübereignung) die Datenträger, auf denen sich Auftraggeber-Daten befinden. Die Übereignung erfolgt nur, wenn die Daten aus technischen Gründen nicht nach den Vorgaben von Ziffer 12.2. und Ziffer 13.4. gelöscht werden können. 5.5 Der Auftragnehmer stellt sicher und kontrolliert regelmäßig vor Ort, mindestens jedoch einmal pro Jahr, dass die Erhebung und -verwendung der Auftraggeber-Daten in Übereinstimmung mit diesem Vertrag und den Weisungen des Auftraggebers erfolgt und die technisch-organisatorischen Maßnahmen gemäß Ziff. 7 dieses Vertrags eingehalten werden. Der Auftragnehmer ist verpflichtet, die Kontrollen schriftlich in Form von Prüfprotokollen zu dokumentieren und dem Auftraggeber die Prüfprotokolle auf Verlangen unverzüglich vorzulegen. 5.6 Der Auftragnehmer hat den Auftraggeber unverzüglich darüber zu informieren, wenn das Eigentum des Auftraggebers oder seine sonstigen Rechte an den Auftraggeber-Daten beim Auftragnehmer durch Maßnahmen Dritter, z.B. durch Pfändung, Beschlagnahme, Insolvenz oder Vergleichsverfahren, oder durch sonstige Ereignisse gefährdet wird. Ferner wird der Auftragnehmer alle in diesem Zusammenhang Verantwortlichen darüber informieren, dass die Auftraggeber-Daten und die Datenträger, die vom Auftraggeber stammen, im Eigentum des Auftraggebers stehen. 5.7 Ist der Auftraggeber gegenüber einer staatlichen Stelle, einem Betroffenen oder einer anderen Person verpflichtet, Auskünfte über die Auftraggeber-Daten oder deren Erhebung oder Verwendung zu erteilen, so ist der Auftragnehmer verpflichtet, den Auftraggeber bei der Erteilung solcher Auskünfte auf erstes Anfordern zu unterstützen, insbesondere durch unverzügliches Zurverfügungstellen sämtlicher Informationen und Dokumente über die vertragsgegenständliche Erhebung und Verwendung von Auftraggeber-Daten einschließlich den vom Auftragnehmer ergriffenen technisch-organisatorischen Maßnahmen gemäß § 9 BDSG, über den technischen Ablauf der Verwendung von Auftraggeber-Daten, die Orte an denen Auftraggeber-Daten verwendet werden und über die an der Erhebung und Verwendung beteiligten Mitarbeiter. 5.8 Der Auftragnehmer hat dem Auftraggeber auf Verlangen unverzüglich eine jeweils aktuelle Aufstellung der Angaben nach § 4e Satz 1 BDSG sowie der beim Auftragnehmer zugriffsberechtigten Personen (§ 4g Abs. 2 Satz 1 BDSG) zur Verfügung zu stellen. 5.9 Der Auftragnehmer bestätigt, dass er einen fachkundigen und zuverlässigen betrieblichen Datenschutzbeauftragten nach § 4f BDSG bestellt hat und verpflichtet sich, die Bestellung eines betrieblichen Datenschutzbeauftragten während der Dauer des Vertrags aufrechtzuerhalten, auch wenn die gesetzlichen Voraussetzungen für eine Bestellpflicht entfallen sollten. Moos
|
163
Teil 2 I
Rz. 57
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
Die Kontaktdaten des betrieblichen Datenschutzbeauftragten sind wie folgt: … … Einen Wechsel in der Person des betrieblichen Datenschutzbeauftragten hat der Auftragnehmer dem Auftraggeber unverzüglich schriftlich mitzuteilen. 5.10 Der Auftragnehmer unterliegt der behördlichen Aufsicht nach § 38 BDSG sowie den Bußgeld- und Strafvorschriften in § 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3 BDSG sowie in § 44 BDSG.
a) Ratio 57
In Ziffer 5 des Musters werden eine Reihe von allgemeinen Verpflichtungen des Auftragnehmers festgeschrieben.
b) Auftragskonformität der Datenverarbeitung (Ziffer 5.1) 58
Die in § 11 BDSG gesetzlich verankerte Verantwortlichkeitsverteilung zwischen Auftraggeber und Auftragnehmer gilt zunächst für das Außenverhältnis gegenüber Betroffenen und Aufsichtsbehörden, so dass hiervon abweichende Zuweisungen von Verantwortlichkeiten an den Auftragsverarbeiter im (internen) Verhältnis der Parteien zueinander möglich bleiben1. Ziffer 5.1 greift diese Möglichkeit auf und erstreckt die Verpflichtung, sich und den Mitarbeitern, die mit Auftraggeber-Daten umgehen, Kenntnis von allen für die Auftragsdurchführung relevanten Datenschutzvorschriften zu verschaffen, auf den Auftragnehmer. Bei sehr speziellen Vorschriften, könnte es sogar angezeigt sein, diese explizit im Auftragsdatenverarbeitungsvertrag aufzuführen, damit der Auftragnehmer weiß, was er zur Umsetzung welcher Spezialvorschriften zu beachten hat2. Als Folge dieser Vertragsregelung kann sich der Auftragnehmer im Falle eines in seinem Verantwortungsbereich liegenden Verstoßes gegen die Datenschutzvorschriften gegenüber dem Auftraggeber nicht darauf berufen, dass er die entsprechende gesetzliche Regelung nicht kannte.
c) Änderungen des Auftrags (Ziffer 5.2) 59
Gem. Ziffer 2.2 ist der Auftragnehmer an die Festlegung der Verarbeitungszwecke in Anlage 1 zu dem Muster gebunden. An dieser Regelung setzt Ziffer 5.2 an und spezifiziert die Verpflichtungen des Auftragnehmers.
1 Taeger/Gabel/Gabel, § 11 BDSG Rz. 29. 2 Der Hessische Datenschutzbeauftragte, Mustervereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach § 11 BDSG, Stand 28.9.2010, S. 6.
164
|
Moos
Erläuterungen
Rz. 62 Teil 2 I
aa) Verwendungsverbot für anonymisierte Daten Anonymisierte Daten unterliegen nicht den gesetzlichen Datenschutzvorschriften1. Datenschutzrechtlich wäre der Auftragnehmer deshalb prinzipiell berechtigt, anonyme Auftraggeber-Daten anderweitig zu verwenden. Für den Fall, dass die Daten – wie hier – ursprünglich personenbezogen sind, mag man zwar schon eine Berechtigung des Auftragnehmers zur Anonymisierung solcher Daten für eigene Zwecke ablehnen, weil es sich bei einer Anonymisierung um eine (erlaubnispflichtige) Datenveränderung handeln könnte2. Um insoweit Unsicherheiten zu Lasten des Auftraggebers zu vermeiden, wird in Ziffer 5.2 Satz 2 aber ausdrücklich festgelegt, dass dem Auftragnehmer auch jede Verwendung anonymisierter Auftraggeber-Daten ohne Zustimmung des Auftraggebers untersagt ist.
60
bb) Zustimmungspflicht zu Änderungen der Datenverarbeitung In der Praxis kann es gerade bei längerfristigen Auftragsdatenverarbeitungen dazu kommen, dass der Auftraggeber den Umfang des Datenumgangs ändern möchte, z.B. weil er die Arten der vom Auftragnehmer verarbeiteten Daten oder den Kreis der Betroffenen ändern oder erweitern will. Ziffer 5.2 Satz 2 verpflichtet den Auftragnehmer, einem solchen Verlangen des Auftraggebers zuzustimmen, soweit er keinen sachlichen Grund zur Verweigerung dieser Zustimmung hat. Dadurch hat der Auftraggeber die notwendige Planungssicherheit. Alternativ wäre es auch denkbar, derartige Änderungen oder Erweiterungen des Datenumgangs dem Weisungsrecht des Auftraggebers zuzuordnen.
61
d) Kopien und Datenweitergaben (Ziffer 5.3) Das Kopieren von Daten stellt eine Nutzung i.S.v. § 3 Abs. 5 BDSG und damit einen für den Auftraggeber grundsätzlich erlaubnispflichtigen Datenumgang dar3. Um sicherzustellen, dass seitens des Auftragnehmers keine exzessiven, dem Auftraggeber zuzurechnenden Vervielfältigungen der Daten erfolgen, für die keine Notwendigkeit besteht, beschränkt Ziffer 5.3 das Anfertigen von Kopien oder Duplikaten der Auftraggeber-Daten auf das zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungsgemäßen Erbringung der Leistungen gemäß dem Hauptvertrag (einschließlich der Datensicherung) erforderliche bzw. zur Einhaltung gesetzlicher Aufbewahrungspflichten notwendige Maß. Dasselbe gilt für Weitergaben der Daten durch den Auftragnehmer. Ziffer 5.3 Satz 2 bestimmt insoweit, dass der Auftragnehmer für jede Weitergabe von Auftraggeber-Daten an Dritte oder andere Empfänger (was Unterbeauftragte einschließt) grundsätzlich einer vorherigen schriftlichen Zustimmung des Auftraggebers bedarf.
1 Gola/Schomerus, § 3 BDSG Rz. 43. 2 A.A. Gola/Schomerus, § 3 BDSG Rz. 31. 3 Simitis/Dammann, § 3 BDSG Rz. 195.
Moos
|
165
62
Teil 2 I
Rz. 63
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
e) Kennzeichnungs- und Aussonderungspflichten (Ziffer 5.4) 63
Gerade wenn es sich bei dem Auftragnehmer um ein Dienstleistungsunternehmen handelt, das seine Dienstleistungen für zahlreiche Auftraggeber erbringt und deshalb mit Daten diverser Auftraggeber umgeht, liegt es im Interesse des Auftraggebers, die Separierung seiner Daten besonders abzusichern. Diesem Zweck dient die Verpflichtung in Ziffer 5.4 Satz 1, wonach der Auftragnehmer sämtliche Datenträger, auf denen Auftraggeber-Daten enthalten sind, besonders kennzeichnen und seiner laufende Datenträgerverwaltung unterstellen muss.
64
Angesichts des Umstandes, dass in der juristischen Literatur umstritten ist, ob das „Eigentum an den Daten“ möglicherweise dem Sacheigentum an den entsprechenden Datenträgern folgt1, hat der Auftraggeber ein Interesse daran sicherzustellen, dass die Berechtigung an seinen Daten nicht dadurch beeinträchtigt wird, dass sie auf dem Auftragnehmer gehörenden Datenträgern gespeichert werden. Hierzu sieht das Muster in Ziffer 5.4 Satz 2 eine eingeschränkte Sicherungsübereignung der Datenträger, auf denen sich Auftraggeber-Daten befinden, zugunsten des Auftraggebers vor.
f) Eigenkontrolle (Ziffer 5.5) 65
Gem. § 11 Abs. 2 Satz 2 Nr. 5 BDSG sind in dem Auftragsdatenverarbeitungsvertrag auch die nach § 11 Abs. 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen festzulegen. In dem Auftragsdatenverarbeitungsvertrag müssen somit konkrete Pflichten des Auftragnehmers zur Eigenkontrolle seiner Tätigkeit angeführt werden2. In Ziffer 5.5 sind deshalb die Kontrollpflichten des Auftragnehmers spezifiziert. Das Gesetz macht keine konkreten inhaltlichen Vorgaben dazu, wie diese Kontrollen durchzuführen sind. Häufigkeit und Umfang der Kontrollen unterliegen deshalb – unter Beachtung des datenschutzrechtlich verlangten Mindestschutzniveaus – grundsätzlich der Disposition der Vertragsparteien. Die Vertragsregelung konkretisiert die Kontrollvorgaben indem sie (1) Vor-Ort-Kontrollen verlangt, (2) ein Mindestkontrollintervall von einem Jahr vorsieht, (3) die gesamte Erhebung und -verwendung der Auftraggeber-Daten nach Maßgabe des Auftragsdatenverarbeitungsvertrags und der spezifischen Weisungen des Auftraggebers sowie die Einhaltung der technischen und organisatorischen Maßnahmen gem. Ziffer 7 des Musters zum Kontrollgegenstand macht und (4) eine schriftliche Dokumentation der Prüfungen verlangt. Die Regelung wird ergänzt durch Ziffer 10.6 des Musters, in dem spezifische, abgeleitete Kontrollpflichten des Auftragnehmers in Bezug auf etwa von ihm eingesetzte Unterauftragnehmer geregelt sind.
1 Ablehnend Hoeren, MMR 20013, 486 (487) m.w.N. 2 Der Hessische Datenschutzbeauftragte, Mustervereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach § 11 BDSG, Stand 28.9.2010, S. 3.
166
|
Moos
Erläuterungen
Rz. 68 Teil 2 I
g) Informationspflichten (Ziffer 5.6) Vor allem bei einer Verarbeitung besonders sensibler personenbezogener Daten fordern Datenschutzaufsichtsbehörden teilweise, dass in den Vertrag auch Klauseln aufgenommen werden, die den Schutz des Eigentums und der personenbezogenen Daten des Auftraggebers vor Zugriffen Dritter (z.B. bezüglich Pfändung, Beschlagnahme, Zwangsvollstreckung oder Insolvenz des Auftragnehmers) regeln. Dem Auftragnehmer sei diesbezüglich die Pflicht aufzuerlegen, in einem derartigen Falle den Auftraggeber unverzüglich davon in Kenntnis zu setzen1. Solche Regelungen enthält Ziffer 5.6, die im Zusammenhang steht mit den Bestimmungen in Ziffer 5.4 des Vertragsmusters. Auch sie dient der Absicherung der Verfügungsbefugnis des Auftraggebers an seinen Daten. Die Regelung normiert eine Informationspflicht des Auftragnehmers, die bereits im Vorfeld einer Eigentumsbeeinträchtigung greift, wenn das Eigentum des Auftraggebers oder seine sonstigen Rechte an den Auftraggeber-Daten durch Maßnahmen Dritter (Pfändung, Beschlagnahme, Insolvenz, etc.) gefährdet werden.
66
h) Unterstützungspflichten (Ziffer 5.7–5.8) In den Ziffern 5.7 und 5.8 etabliert das Vertragsmuster weitere allgemeine Unterstützungspflichten des Auftragnehmers.
67
aa) Unterstützung bei Drittauskünften (Ziffer 5.7) Ziffer 5.7 regelt Unterstützungspflichten des Auftragnehmers in Fällen, in denen der Auftraggeber gegenüber einer staatlichen Stelle, einem Betroffenen oder einer anderen Person zur Erteilung von Auskünften über die AuftraggeberDaten oder deren Erhebung oder Verwendung verpflichtet ist. Entsprechende Auskunftspflichten des Auftraggebers können sich vor allem aus § 34 und § 38 Abs. 3 Satz 1 BDSG ergeben. Nach letztgenannter Vorschrift ist die verantwortliche Stelle verpflichtet, der Aufsichtsbehörde umfassend Auskunft zu erteilen. Die Auskunft muss alle zur Erfüllung der Aufgaben der Aufsichtsbehörde erforderlichen und angeforderten Angaben enthalten, also zutreffend, umfassend und vollständig sein2. Um sicherzustellen, dass er diese Anforderungen seinerseits gegenüber der Aufsichtsbehörde auch im Hinblick auf solche Datenverarbeitungen erfüllen kann, die von dem Auftragnehmer für ihn vorgenommen werden, enthält Ziffer 5.7 eine umfassende Informationspflicht des Auftragnehmers über seinen Umgang mit den Auftraggeber-Daten einschließlich den von ihm ergriffenen technisch-organisatorischen Maßnahmen, den technischen Ablauf der Datenverwendung, die Verarbeitungsorte und die an der Erhebung und Verwendung der Daten beteiligten Mitarbeiter des Auftragnehmers. 1 Der Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe Auftragsdatenverarbeitung, S. 14. 2 BeckOK DatenschutzR/Brink, § 38 Rz. 58; AG Trier v. 24.11.1987 – 13 Js 29024/87 – 3 OW, RDV 1988, 154; OLG Celle v. 14.6.1995 – 2 Ss (Owi) 185/95, RDV 1995, 244.
Moos
|
167
68
Teil 2 I 69
Rz. 69
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
Die Auskunft an die Aufsichtsbehörde nach § 38 Abs. 3 Satz 1 BDSG muss unverzüglich, d.h. ohne schuldhaftes Zögern (vgl. § 121 Abs. 1 Satz 1 BGB) gegeben werden. Die Aufsichtsbehörde kann hierzu eine angemessene Frist setzen; ihren aktuellen Kenntnisstand muss die verantwortliche Stelle allerdings sofort mitteilen, eine ‚Überlegungsfrist‘ räumt ihr das Gesetz nicht ein1. Das Muster sieht in Ziffer 5.7 deshalb ebenfalls eine „unverzügliche“ Erteilung der Auskünfte und Übergabe der Informationen vor, wobei durch die Formulierung „auf erstes Anfordern“ gewährleistet wird, dass der Auftragnehmer keine Einreden oder Einwendungen geltend machen darf.
bb) Erstellung des Verfahrensverzeichnisses (Ziffer 5.8) 70
Die verantwortliche Stelle ist nach § 4g Abs. 2 Satz 1 i.V.m. § 4e Satz 1 BDSG verpflichtet, eine interne Verarbeitungsübersicht zu erstellen2 und sie ihrem Datenschutzbeauftragten zur Wahrnehmung seiner Tätigkeit auszuhändigen. Diese Übersicht muss alle Verarbeitungen einbeziehen3, auch solche, die die verantwortliche Stelle an Auftragsdatenverarbeiter i.S.v. § 11 BDSG verlagert hat. Um dieser gesetzlichen Verpflichtung nachkommen zu können, statuiert Ziffer 5.8 des Musters eine Verpflichtung des Auftragnehmers dem Auftraggeber auf Verlangen unverzüglich eine jeweils aktuelle Aufstellung der Angaben nach § 4e Satz 1 BDSG in Bezug auf die von ihm vorgenommenen Datenverarbeitungen sowie der bei ihm zugriffsberechtigten Personen zur Verfügung zu stellen. Im Falle einer Verarbeitung sehr sensibler Daten fordern manche Aufsichtsbehörden sogar, dass der Auftragnehmer vertraglich dazu verpflichtet werden soll, das gesamte, von ihm im Rahmen der Auftragsdatenverarbeitung eingesetzte Personal namentlich zu benennen4.
i) Eigene gesetzliche Pflichten des Auftragnehmers (Ziffer 5.9–5.10) 71
§ 11 Abs. 4 BDSG listet diejenigen gesetzlichen Vorschriften auf, die für den Auftragsdatenverarbeiter direkt gelten; das sind: – die Verpflichtung bezüglich des Datengeheimnisses nach § 5 BDSG; – die Verpflichtung zur Ergreifung technischer und organisatorischer Maßnahmen nach § 9 BDSG; – die den Auftragnehmer betreffenden Bußgeld- und Strafvorschriften nach §§ 43, 44 BDSG, sowie – die Regelungen über die Datenschutzkontrolle, d.h. für nicht-öffentliche Stellen die Regelungen in §§ 4f, 4g BDSG über den betrieblichen Datenschutzbeauftragten und § 38 BDSG über die behördliche Aufsicht.
1 2 3 4
BeckOK DatenschutzR/Brink, § 38 Rz. 58; Simitis/Petri, § 38 BDSG Rz. 55. BeckOK DatenschutzR/Brink, § 4g Rz. 30. Simitis/Simitis, § 4g BDSG Rz. 67. Der Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe Auftragsdatenverarbeitung, S. 14.
168
|
Moos
Erläuterungen
Rz. 74 Teil 2 I
Inwieweit diese Regelung einer weiteren Festlegung im Auftragsdatenverarbeitungsvertrag bedarf, ist nicht ganz klar. Teilweise wird die Aufnahme einer Vertragsregelung, die den Auftragnehmer zur Beachtung der in § 11 Abs. 4 BDSG genannten Normen verpflichtet, generell für überflüssig gehalten1. Teilweise wird wegen der recht spezifischen Regelungsgegenstände der in Absatz 4 referenzierten Vorschriften eine pauschale Verweisung auf diese Vorschriften in dem Auftragsdatenverarbeitungsvertrag für ausreichend gehalten und nur für die von dem Auftragnehmer hiernach vorzunehmenden Eigenkontrollen eine dezidierte Regelung verlangt2. Sicherheitshalber sollten die sich aus diesen Gesetzesvorschriften ergebenden Pflichten jedoch explizit benannt werden. Für Auftragnehmer, die ihren Sitz in einem anderen EU-Mitgliedstaat haben, gilt § 11 Abs. 4 BDSG hingegen nicht3. Gleichwohl oder gerade deshalb kann es für den Auftraggeber geboten erscheinen, die in § 11 Abs. 4 BDSG genannten Regelungen gegenüber einem ausländischen Auftragnehmer auf vertraglicher Grundlage zur Geltung zu bringen.
72
Zur Umsetzung der Vorgaben aus § 11 Abs. 4 BDSG dienen – neben den Regelungen zur Eigenkontrolle in Ziffer 5.5, zur Verpflichtung auf das Datengeheimnis in Ziffer 6 und zur Ergreifung technisch-organisatorischer Maßnahmen in Ziffer 7 – vor allem die Vorgaben in Ziffer 5.9. und 5.10 des Musters4.
aa) Bestellung eines Datenschutzbeauftragten Die von § 11 Abs. 2 Satz 2 Nr. 5 BDSG verlangte Festlegung der Pflichten des Auftragnehmers nach §§ 4f, 4g BDSG finden sich in Ziffer 5.9 des Musters, wobei der Verpflichtungsgehalt der Regelung für den Auftragnehmer über das gesetzlich Verlangte hinausgeht. Nach § 11 Abs. 4 BDSG muss ein Auftragsdatenverarbeiter einen betrieblichen Datenschutzbeauftragten nach § 4g BDSG nur bestellen, wenn und soweit die Voraussetzungen des § 4f BDSG erfüllt sind. Das ist in der Regel nur der Fall, wenn bei dem Auftragnehmer mehr als neun Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind, was zwar bei klassischen Outsourcing-Unternehmen regelmäßig so ist, bei kleineren Datenverarbeitungs-Dienstleistern aber nicht immer sein muss. Das Fehlen eines betrieblichen Datenschutzbeauftragten kann zur Folge haben, dass die Eigenkontrolle des Auftragnehmers vernachlässigt wird. Das Muster verpflichtet den Auftragnehmer deshalb, unabhängig von den gesetzlichen Voraussetzungen für eine Bestellpflicht, einen fachkundigen und zuverlässigen betrieblichen Datenschutzbeauftragten nach § 4f BDSG zu bestellen.
73
In Ziffer 5.9 wird explizit auch der Fall geregelt, dass eine derzeit noch bestehende Bestellpflicht künftig eventuell entfallen könnte. Auch ein solcher Fortfall der Bestellpflicht soll die vertragliche Verpflichtung des Auftragnehmers
74
1 2 3 4
Voigt, ZD 2012, 546 (549). BeckOK DatenschutzR/Spoerr, § 11 Rz. 105. Voigt, ZD 2012, 546 (549). Die Regelung bezüglich des Datengeheimnisses nach § 5 BDSG ist gesondert in Ziffer 6 reflektiert; diejenige zu den technischen und organisatorischen Maßnahmen nach § 9 BDSG in Ziffer 7 des Musters.
Moos
|
169
Teil 2 I
Rz. 75
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
zur Benennung eines Datenschutzbeauftragten unberührt lassen. In der Praxis könnte dies vor allem in zwei Konstellationen Bedeutung erlangen: zum einen, wenn die Mitarbeiterzahl unter den Schwellenwert von neun Personen sinkt; zum anderen, wenn die gesetzlichen Bestellvoraussetzungen geändert und ein höherer Schwellenwert festgelegt wird, wie dies ausweislich des Entwurfs einer EU-Datenschutzgrundverordnung derzeit geplant ist: Der von der Kommission vorgeschlagene Entwurf der Datenschutz-Grundverordnung sieht in Art. 35 Abs. 1 EU-DSGVO-E vor, dass der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter im nicht-öffentlichen Bereich einen Datenschutzbeauftragten nur benennen müssen, falls die Bearbeitung durch ein Unternehmen erfolgt, das 250 oder mehr Mitarbeiter beschäftigt, oder die Kerntätigkeit der Stelle in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen. 75
Die Regelung in Ziffer 5.9 sieht weiter vor, dem Auftraggeber Personalien und Kontaktdaten des betrieblichen Datenschutzbeauftragten und etwaige künftige Änderungen bekannt zu machen. Dies ist vor allem deshalb sinnvoll, weil der Auftraggeber nach Ziffer 9.4 berechtigt ist, von dem betrieblichen Datenschutzbeauftragten des Auftragnehmers im Rahmen seiner Kontrollen Auskünfte und eine Bestätigung der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 zu verlangen. Die Angaben sollen eine direkte Kontaktaufnahme ermöglichen.
bb) Hinweis auf Bußgeld- und Kontrollvorschriften 76
In Ziffer 5.10 sind schließlich in Umsetzung der Verpflichtung gem. § 11 Abs. 2 Satz 2 Nr. 5 BDSG Verweise auf die den Auftragnehmer schon von Gesetzes wegen treffende Aufsicht nach § 38 BDSG sowie die für ihn relevanten Bußgeldund Strafvorschriften in § 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3 BDSG sowie in § 44 BDSG enthalten.
6. Erläuterungen zu Ziffer 6 77
E 6. Verpflichtung auf das Datengeheimnis 6.1 Der Auftragnehmer hat alle mit der Erhebung oder Verwendung von Auftraggeber-Daten beschäftigten Personen schriftlich auf das Datengeheimnis gemäß § 5 BDSG zu verpflichten. Der Auftragnehmer hat diese Personen dabei in die gesetzlichen Bestimmungen über den Datenschutz einzuweisen und sie zu verpflichten, diese Bestimmungen zu beachten. 6.2 Der Auftragnehmer wird diese Verpflichtungen schriftlich dokumentieren. Auf Verlangen des Auftraggebers wird der Auftragnehmer ihm die Einhaltung dieser Bestimmung durch Vorlage der Verpflichtungserklärungen oder auf andere geeignete Weise nachweisen.
170
|
Moos
Erläuterungen
Rz. 81 Teil 2 I
a) Ratio Zu den nach § 11 Abs. 4 BDSG direkt für den Auftragnehmer geltenden gesetzlichen Vorschriften zählt u.a. die Verpflichtung bezüglich des Datengeheimnisses nach § 5 BDSG. Ziffer 6 des Musters greift diese Verpflichtung auf und etabliert entsprechende Nachweispflichten des Auftragnehmers.
78
b) Verpflichtung auf das Datengeheimnis (Ziffer 6.1) Sowohl der Auftraggeber als auch der Auftragnehmer selbst ist nach § 5 Satz 2 BDSG unmittelbar gesetzlich verpflichtet, alle mit der Erhebung oder Verwendung personenbezogener Daten beschäftigten Personen bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Im Falle der Auftragsdatenverarbeitung sind die Mitarbeiter also durch den Auftragsdatenverarbeiter, nicht aber durch den Auftraggeber zu verpflichten1. Gem. § 11 Abs. 2 Satz 2 Nr. 5 i.V.m. § 11 Abs. 4 BDSG ist deshalb in dem Auftragsdatenverarbeitungsvertrag festzulegen, dass der Auftragnehmer die erforderliche Verpflichtung auf das Datengeheimnis auch vorzunehmen hat.
79
Diese Anforderung setzt Ziffer 6.1 des Musters um, wobei dem Auftragnehmer explizit aufgegeben wird, die zu verpflichtenden Personen auch in die gesetzlichen Bestimmungen über den Datenschutz einzuweisen und sie zu verpflichten, diese Bestimmungen zu beachten.
c) Dokumentations- und Nachweispflicht (Ziffer 6.2) Den Auftraggeber trifft eine Obliegenheit, sich die Einhaltung dieser Verpflichtung durch den Auftragnehmer auch nachweisen zu lassen2. Diese Obliegenheit wird in Ziffer 6.2 in eine entsprechende Dokumentations- und Nachweispflicht des Auftragnehmers umgemünzt.
80
7. Erläuterungen zu Ziffer 7 E 7. Technische und organisatorische Maßnahmen
81
7.1 Der Auftragnehmer ist verpflichtet, diejenigen technischen und organisatorischen Maßnahmen zu treffen und während der Vertragslaufzeit aufrechtzuerhalten, die erforderlich sind, um die in der Anlage zu § 9 BDSG genannten Anforderungen zu gewährleisten. Der Auftragnehmer garantiert dabei, die in Anlage 2 dieses Vertrags spezifizierten technischen und organisatorischen Maßnahmen i.S.v. § 9 BDSG realisiert zu haben und diese während der Vertragslaufzeit aufrechtzuerhalten. 7.2 Dem Auftragnehmer ist es gestattet, nach vorheriger schriftlicher Zustimmung des Auftraggebers alternative adäquate technische und organisatorische Maßnahmen umzusetzen, sofern das Sicherheitsniveau der in An-
1 BeckOK DatenschutzR/Schmidt, § 5 Rz. 9. 2 BeckOK DatenschutzR/Schmidt, § 5 Rz. 9.
Moos
|
171
Teil 2 I
Rz. 82
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
lage 2 festgelegten technischen und organisatorischen Maßnahmen nicht unterschritten wird. 7.3 Auf Weisung des Auftraggebers wird der Auftragnehmer darüber hinausgehende wirksame technische und organisatorische Maßnahmen umsetzen, wenn sich die in Anlage 2 des Vertrags bestimmten Maßnahmen als nicht ausreichend erwiesen haben oder wenn der technische Fortschritt dies erfordert. Der Auftragnehmer hat den Auftraggeber unverzüglich schriftlich zu informieren, wenn er Grund zu der Annahme hat, dass die Maßnahmen gemäß Anlage 2 nicht (mehr) ausreichend sind oder der technische Fortschritt weitere Maßnahmen erfordert. 7.4 Für die Sicherheit der Auftraggeber-Daten relevante Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind in jedem Fall vom Auftragnehmer im Voraus mit dem Auftraggeber abzustimmen, auch wenn hierdurch keine Abweichung von den Maßnahmen nach Anlage 2 erfolgt. 7.5 Auf Verlangen weist der Auftragnehmer dem Auftraggeber die Einhaltung der in Anlage 2 festgelegten technischen und organisatorischen Maßnahmen nach. Dabei kann der Nachweis nach Verlangen des Auftraggebers durch die Vorlage eines aktuellen Testats oder Berichts einer unabhängigen Instanz (wie z.B. eines Wirtschaftsprüfers, Revisors, dem betrieblichen Datenschutzbeauftragten oder einem externen Datenschutzauditor etc.) oder einer geeigneten Zertifizierung (z.B. nach BSI-Grundschutz) erbracht werden. Die Kontrollrechte des Auftraggebers nach Ziffer 10 bleiben davon unberührt. 7.6 Der Auftragnehmer ist verpflichtet, die Grundsätze der ordnungsmäßigen, automatisierten Verarbeitung personenbezogener Daten einzuhalten und insbesondere jeweils aktuelle Dokumentationen aller automatisierten Verfahren zur Verarbeitung von Auftraggeber-Daten vorzuhalten sowie definierte und dokumentierte Test- und Freigabeverfahren für diese automatisierten Verfahren einzuhalten. 7.7 Auf Verlangen stellt der Auftragnehmer dem Auftraggeber ein umfassendes und aktuelles Datenschutz- und Sicherheitskonzept für die Auftragsdatenverarbeitung nach diesem Vertrag zur Verfügung.
a) Ratio 82
Sowohl den Auftraggeber als auch den Auftragnehmer selbst trifft nach § 9 BDSG eine unmittelbare gesetzliche Verpflichtung, die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung des BDSG und insbesondere die der Anlage zu § 9 BDSG genannten Anforderungen zu erfüllen. Ungeachtet der eigenen gesetzlichen Verpflichtung des Auftragnehmers, verlangen § 11 Abs. 2 Nr. 3 BDSG und § 11 Abs. 2 Satz 2 Nr. 5 i.V.m. § 11 Abs. 4 BDSG eine Festlegung der zu ergreifenden technischen und organisatorischen Maßnahmen auch in dem Auftragsdatenverarbeitungsvertrag. Hierzu dient Ziffer 7 des Musters, in der neben der reinen Festlegung 172
|
Moos
Erläuterungen
Rz. 85 Teil 2 I
dieser Maßnahmen auch deren Dokumentation, Änderung und Ergänzung geregelt wird.
b) Spezifizierung der technischen und organisatorischen Maßnahmen (Ziffer 7.1) Gem. § 11 Abs. 2 Nr. 3 BDSG hat der Auftragsdatenverarbeitungsvertrag auch die nach § 9 BDSG von dem Auftragnehmer zu treffenden, technischen und organisatorischen Maßnahmen zu bestimmen. Entsprechend diesem § 9 BDSG müssen es sich um solche technischen und organisatorischen Maßnahmen handeln, die erforderlich sind, um die Einhaltung der Datenschutzvorschriften und insbesondere die Anforderungen gemäß der Anlage zu § 9 BDSG zu gewährleisten. Üblicherweise werden deshalb – entsprechend den einzelnen in der Anlage zu § 9 BDSG genannten Schutzzielen – in dem Auftragsdatenverarbeitungsvertrag Vorgaben gemacht zur Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle und zur Verfügbarkeitskontrolle sowie zum Trennungsgebot.
83
Den Anforderungen des § 11 Abs. 2 Satz 2 Nr. 3 BDSG genügt es nicht, die Inhalte von § 9 BDSG oder die in der Anlage aufgelisteten Schutzziele schlicht zu wiederholen1. Die gesetzlichen Vorgaben zu § 9 BDSG sind dergestalt auszufüllen, dass zu jedem Schutzziel (und je nach Bedarf ggf. zu weiteren relevanten Schutzzielen) ganz konkrete, von dem Auftragnehmer umzusetzende Maßnahmen festgeschrieben werden. Das Muster sieht in Ziffer 7.1 vor, dass diese Einzelmaßnahmen in einer Anlage 2 zum Auftragsdatenverarbeitungsvertrag aufgelistet werden. Für deren Umsetzung und Aufrechterhaltung während der gesamten Vertragslaufzeit soll der Auftragnehmer hier verschuldensunabhängig im Rahmen einer Garantiehaftung einstehen. Die Einhaltung dieser konkreten, in Anlage 2 benannten Sicherheitsmaßnahmen ist nach der Formulierung in Ziffer 7.1 als Mindestschutz ausgestaltet. Nach Satz 1 hat der Auftragnehmer darüber hinaus – allerdings verschuldensabhängig – gegenüber dem Auftraggeber dafür einzustehen, dass er auch alle sonstigen technischen und organisatorischen Maßnahmen trifft, die ggf. zusätzlich erforderlich sein sollten, um die in der Anlage zu § 9 BDSG genannten Anforderungen zu gewährleisten.
84
Praktische Schwierigkeiten bei der Auswahl und Gestaltung der Maßnahmen können daraus resultieren, dass Unwägbarkeiten bei der Bestimmung der gebotenen Maßnahmen bestehen: nach § 9 BDSG ist eine Orientierung am Erforderlichkeitsprinzip vorgegeben2. Art und Umfang der Schutzmaßnahmen hängen deshalb maßgeblich von dem Schutzbedarf der im Auftrag verarbeiteten personenbezogenen Daten ab: Beschränkt sich der Auftrag auf einen Umgang mit Daten, der für die Betroffenen keine besonderen Risiken erwarten lässt, sind in der Regel standardisierte Sicherheitsmaßnahmen, wie sie z.B. im Grundschutzhandbuch des BSI für bestimmte technische Konstellationen beschrieben
85
1 BeckOK DatenschutzR/Spoerr, § 11 Rz. 103; Vander, K&R 2010, 292 (294). 2 Vander, K&R 2010, 292 (294).
Moos
|
173
Teil 2 I
Rz. 86
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
werden, ausreichend1. Zur Auswahl geeigneter technisch-organisatorischer Maßnahmen im Fall des Cloud Computing kann zudem auf ein Eckpunktepapier des BSI2 zurückgegriffen werden. Das Eckpunktepapier soll und kann als Richtschnur und Grundlage für die Diskussion zwischen Cloud-Anbieter und Auftraggeber dienen, um darauf aufbauend konkrete Maßnahmen zur Absicherung von Cloud Services festzulegen3. Im Hinblick auf den gesetzlich geforderten Standard für Datensicherheitsmaßnahmen, die von dem Auftragsdatenverarbeiter einzuhalten sind, ist zu beachten, dass hierfür innerhalb des EWR nicht das auf den Auftraggeber anwendbare Recht einschlägig ist: Gem. Art. 17 Richtlinie 95/46/EG ist das einzelstaatliche Recht desjenigen Mitgliedstaates hinsichtlich der Sicherheit der Verarbeitung einschlägig, in dem der Auftragsdatenverarbeiter seinen Sitz hat4.
c) Änderung und Fortschreibung der Maßnahmen (Ziffer 7.2–7.3) 86
Zulässig und entsprechend der Zielsetzung eines dauerhaft hohen Sicherheitsniveaus wünschenswert ist eine vertragliche Dynamisierung der Festlegungen für technische und organisatorische Maßnahmen5. Hierzu dienen die Regelungen in Ziffer 7.2–7.4 des Musters.
87
Ziffer 7.2 eröffnet die grundsätzliche Möglichkeit, andere als die in der Anlage 2 festgeschriebenen Maßnahmen umzusetzen, macht dies aber zum einen von einer vorherigen schriftlichen Zustimmung des Auftraggebers und der weiteren Bedingung abhängig, dass das bisherige Sicherheitsniveau nicht unterschritten wird. Insbesondere durch das Zustimmungserfordernis hat der Auftraggeber die volle Kontrolle über etwaige Abweichungen von den ursprünglich festgelegten Vorgaben.
88
Ziffer 7.3 lässt eine weitere Dynamisierung bzw. Änderung und Ergänzung der in Anlage 2 festgeschriebenen Einzelmaßnahmen aufgrund einer entsprechenden Weisung des Auftraggebers zu, zu deren Umsetzung der Auftragnehmer verpflichtet ist, wenn sich herausgestellt hat (z.B. durch das Auftreten einer Datenpanne oder auch im Zuge eines Audits), dass die bisherigen Maßnahmen unzureichend waren oder der technische Fortschritt weitere Schutzmaßnahmen verlangt (z.B. eine stärkere Verschlüsselung). Da oftmals der Auftragsdatenverarbeiter selbst in Datensicherheitsmaßnahmen beschlagener ist als der Auftraggeber und er darüber hinaus näher dran ist an der Ausführung der Datenverarbeitung, ist es für den Auftraggeber sinnvoll, diesen Wissens- und Erfahrungsvorsprung für sich nutzbar zu machen. Ziffer 7.3 Satz 2 des Musters 1 Der Hessische Datenschutzbeauftragte, Mustervereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach § 11 BDSG, Stand 28.9.2010, S. 9. 2 BSI, Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing-Anbieter, Stand: Februar 2012; abrufbar unter https://www.bsi.bund.de/DE/Themen/CloudComputing/ Eckpunktepapier/Eckpunktepapier_node.html. 3 Hierzu auch Schröder/Haag, ZD 2012, 495 (498 ff.). 4 Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ vom 16.2.2010, WP 169, S. 7. 5 BeckOK DatenschutzR/Spoerr, § 11 Rz. 103.
174
|
Moos
Erläuterungen
Rz. 90 Teil 2 I
sieht deshalb eine entsprechende Informationspflicht des Auftragnehmers für den Fall vor, dass er die Maßnahmen gemäß Anlage 2 für nicht mehr ausreichend oder für ergänzungsbedürftig hält.
d) Sicherheitsrelevante Entscheidungen (Ziffer 7.4) Die Sicherheit der Datenverarbeitung kann – je nach Umfang und Grad der Spezifizierung in dem Auftragsdatenverarbeitungsvertrag – auch durch Faktoren außerhalb der Festlegungen in Anlage 2 zum Muster beeinflusst werden. Hinsichtlich der Inanspruchnahme von Cloud Services meinen die Aufsichtsbehörden, dass der Cloud-Anbieter Bestandteile seiner Service-Umgebung nur ändern dürfen solle, wenn er den Auftraggeber vorher informiert – in Einzelfällen auch aktiv die Zustimmung des Auftraggebers eingeholt – hat1.
89
Ziffer 7.4 des Musters soll dem Auftraggeber vor diesem Hintergrund auch in solchen Fällen eine Mitwirkung ermöglichen, indem die Regelung bei sicherheitsrelevanten Entscheidungen des Auftragnehmers zur Organisation der Datenverarbeitung und zu den angewandten Verfahren eine vorherige Abstimmung mit dem Auftraggeber verlangt.
e) Nachweispflicht (Ziffer 7.5) Die Aufsichtsbehörden verlangen bei ihren Kontrollen bzgl. der Einhaltung von § 9 BDSG regelmäßig angemessene Aufzeichnungen; etwa in Form von systemseitig erzeugten Protokollen oder anderen Dokumentationen2. Der Nachweis der ordnungsgemäßen Umsetzung geeigneter technischer und organisatorischer Maßnahmen muss bei Bedarf lückenlos geführt werden können3. Damit der Auftraggeber bei behördlichen Kontrollen satisfaktionsfähig ist und auch seine eigenen Kontrollen (hierzu sogleich zu Ziffer 9) fundiert durchführen kann, wird der Auftragnehmer in Ziffer 7.5 verpflichtet, dem Auftraggeber auf Verlangen die Einhaltung aller in Anlage 2 festgelegten technischen und organisatorischen Maßnahmen nachzuweisen. Dem Auftraggeber wird dabei ein Wahlrecht im Hinblick auf die geeignete Form des Nachweises eingeräumt (aktuelles Testat oder Bericht einer unabhängigen Instanz, wie z.B. eines Wirtschaftsprüfers, Revisors, dem betrieblichen Datenschutzbeauftragten oder einem externen Datenschutzauditor etc., oder eine geeignete Zertifizierung (z.B. nach BSI-Grundschutz). Für den Fall, dass es bei dem Auftragnehmer hierzu ein akzeptables Standardprocedere gibt, kann auch dieses hier vereinbart werden. Ggf. wäre auch noch eine Kostenregelung zu ergänzen.
1 Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0, Stand 26.9.2011, S. 20. 2 Vgl. schon Hinweise zum BDSG Nr. 12, Staatsanz. 1980, Nr. 53, S. 4. 3 Gola/Schomerus, § 9 BDSG Rz. 10.
Moos
|
175
90
Teil 2 I
Rz. 91
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
f) Ordnungsmäßigkeit und Dokumentation (Ziffer 7.6) 91
Der Begriff der technischen und organisatorischen Maßnahmen ist weit zu fassen; er umfasst auch die in § 31 BDSG unterschiedenen Zielrichtungen der Datenschutzkontrollen oder der Maßnahmen zur Gewährleistung des ordnungsgemäßen Betriebsablaufs1. Die Verpflichtung zur Ergreifung allgemeiner Maßnahmen im Sinne einer ordnungsmäßigen Datenverarbeitung wird in Ziffer 7.6 konkretisiert, indem dem Auftragnehmer aufgegeben wird, insbesondere jeweils aktuelle Dokumentationen aller automatisierten Verfahren zur Verarbeitung von Auftraggeber-Daten vorzuhalten sowie definierte und dokumentierte Test- und Freigabeverfahren für diese automatisierten Verfahren einzuhalten.
g) Datenschutz- und Datensicherheitskonzept (Ziffer 7.7) 92
Wenn der Auftraggeber ein Datensicherheitskonzept besitzt, muss der Auftraggeber prüfen und schriftlich festlegen, ob es seinen und den gesetzlichen Datensicherheitsanforderungen entspricht. Wenn und soweit in diesem Datensicherheitskonzept die nach § 9 BDSG erforderlichen Maßnahmen hinreichend spezifiziert enthalten sind, kann auf eine Wiederholung in der Anlage zum Auftragsdatenverarbeitungsvertrag verzichtet und das Sicherheitskonzept an sich zur Vertragsanlage gemacht werden2. Sind die darin genannten Maßnahmen nicht ausreichend, müssen im Einzelfall ergänzende Maßnahmen vereinbart werden.
93
Die datenschutzrechtlichen Anforderungen an die Datensicherheit nach der Anlage zu § 9 BDSG überschneiden sich dabei mit anderweitigen IT-Sicherheitsvorgaben und Standards; z.B. solcher der Wirtschaftsprüfungsorganisationen, der technischen Standardisierungsgremien, etc. In der Praxis stellt man deshalb häufig fest, dass sich IT-Sicherheitskonzepte maßgeblich an anderen Normen und Standards orientieren und eine Zuordnung zu den im Rahmen der Auftragsdatenverarbeitung zugrunde zu legenden Anforderungen nach § 9 BDSG schwer fällt. Hilfe bietet hier der ISACA-Leitfaden zur Auftragsdatenverarbeitung unter Berücksichtigung von Standards3, der eine Zuordnung der nach § 9 BDSG geforderten Maßnahmen zu etablierten Standards vornimmt, die es dem Auftraggeber und auch dem Auftragnehmer erleichtern können, redundante Festlegungen zu vermeiden bzw. konkrete Maßnahmen, die der Auftragnehmer nach Maßgabe von COBIT, BSI IT-Grundschutz oder ISO 27001 definiert hat, den Kontrollzielen der Anlage zu § 9 BDSG zuzuordnen.
1 Gola/Schomerus, § 9 BDSG Rz. 5. 2 Der Hessische Datenschutzbeauftragte, Mustervereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach § 11 BDSG, Stand 28.9.2010, S. 9. 3 ISACA, Leitfaden zur Auftragsdatenverarbeitung unter Berücksichtigung von Standards, Frankfurt 2011, abrufbar unter http://www.isaca.de/images/pdfs/isaca_leitfaden_prue fungauftragsdatenverarbeitung.pdf.
176
|
Moos
Erläuterungen
Rz. 94 Teil 2 I
8. Erläuterungen zu Ziffer 8 94
E 8. Mitteilungs- und Unterstützungspflichten des Auftragnehmers bei Datensicherheitsvorfällen 8.1 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er oder eine bei ihm beschäftigte Person gegen Vorschriften zum Schutz personenbezogener Daten, gegen Festlegungen nach diesem Vertrag oder gegen eine vom Auftraggeber erteilte Weisung verstoßen hat, wenn Anhaltspunkte dafür bestehen, dass ein Dritter – egal aus welchem Grund – unrechtmäßig Kenntnis von Auftraggeber-Daten erlangt haben könnte, oder wenn in sonstiger Weise eine Gefährdung für die Integrität oder Vertraulichkeit der Auftraggeber-Daten eingetreten ist („Datensicherheitsvorfall“). 8.2 Die Information über den Datensicherheitsvorfall hat Angaben über den Zeitpunkt und die Art des Vorfalls (einschließlich einer Information, welche Auftraggeber-Daten wie betroffen sind), das betroffene EDV-System, die betroffenen Personen, den Zeitpunkt der Entdeckung, alle denkbaren nachteiligen Folgen des Datensicherheitsvorfalls sowie die von dem Auftragnehmer daraufhin ergriffenen Maßnahmen zu enthalten. 8.3 Eine erste Information des Auftraggebers hat unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung von dem Datensicherheitsvorfall, zu erfolgen. Eine weitere, detaillierte Unterrichtung des Auftraggebers, die sämtliche Informationen gemäß Ziffer 8.2 enthalten muss, hat innerhalb von sieben Tagen nach Kenntniserlangung von dem Datensicherheitsvorfall zu erfolgen. 8.4 Der Auftragnehmer ist verpflichtet, den Auftraggeber im Falle eines Datensicherheitsvorfalls bei seinen diesbezüglichen Aufklärungs-, Abhilfeund Informationsmaßnahmen, einschließlich aller Handlungen zur Erfüllung gesetzlicher Verpflichtungen (etwa nach § 42a BDSG) auf erstes Anfordern im Rahmen des Zumutbaren zu unterstützen. Der Auftragnehmer wird insbesondere unverzüglich sämtliche zumutbaren Maßnahmen ergreifen, um die entstandenen Gefährdungen für die Integrität oder Vertraulichkeit der Auftraggeber-Daten zu minimieren und zu beseitigen, die Auftraggeber-Daten zu sichern und mögliche nachteilige Folgen für Betroffene zu verhindern oder in ihren Auswirkungen so weit wie möglich zu begrenzen. 8.5 Der Auftragnehmer ist verpflichtet, unverzüglich nach Kenntniserlangung von einem Datensicherheitsvorfall eine Root-Cause-Analyse durchzuführen, diese zu dokumentieren und dem Auftraggeber die Dokumentation auf Verlangen auszuhändigen. Stellt der Auftraggeber hierbei fest, dass die bisherigen, vom Auftragnehmer realisierten technischen und organisatorischen Maßnahmen zum Schutz der Auftraggeber-Daten nicht ausreichend waren, ist der Auftragnehmer verpflichtet, ohne zusätzliche Kosten solche zusätzlichen technischen und organisatorischen Maßnahmen umzusetzen, die nach Ansicht des Auftraggebers erforderlich sind für einen angemessenen Schutz der Auftraggeber-Daten gegen Datensicherheitsvorfälle. Moos
|
177
Teil 2 I
Rz. 95
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
8.6 Der Auftragnehmer ist verpflichtet, ein mindestens fünf Jahre zurückreichendes Verzeichnis über alle sich bei ihm ereignenden Datensicherheitsverletzungen zu führen, in das Informationen aufzunehmen sind über die Umstände und Auswirkungen der jeweiligen Datensicherheitsverletzung und über die ergriffenen Abhilfemaßnahmen. Auf Verlangen des Auftraggebers hat der Auftragnehmer ihm dieses Verzeichnis vorzulegen; soweit Datensicherheitsverletzungen personenbezogene Daten betreffen, bei denen es sich nicht um Auftraggeber-Daten handelt, sorgt der Auftragnehmer für eine hinreichende Anonymisierung vor Aushändigung des Verzeichnisses an den Auftraggeber.
a) Ratio 95
§ 11 Abs. 2 Satz 2 Nr. 8 BDSG verlangt Festlegungen zu Mitteilungspflichten des Auftragnehmers bei Verstößen (durch ihn oder seine Mitarbeiter) gegen datenschutzrechtliche Bestimmungen oder Festlegungen in dem Auftragsdatenverarbeitungsvertrag. Ziffer 8 setzt diese Vorschrift um und ergänzt die danach verpflichtenden Festlegungen um weitergehende Nebenpflichten des Auftragnehmers.
b) Informationspflicht bei Datensicherheitsvorfällen 96
§ 11 Abs. 2 Satz 2 Nr. 8 BDSG korrespondiert mit den in § 42a BDSG, § 15a TMG und § 109a TKG normierten Informationspflichten der verantwortlichen Stellen gegenüber Betroffenen und Aufsichtsbehörden im Fall von Datenpannen.
aa) Keine gesetzliche Informationspflicht des Auftragsdatenverarbeiters 97
Ein Unternehmen, das Daten für andere im Auftrag verarbeitet, trifft keine eigenständige gesetzliche Pflicht zur Information bei Datenpannen. Das ergibt sich bereits aus § 11 Abs. 1 Satz 1 BDSG, wonach der Auftraggeber selbst für die Einhaltung der Datenschutzvorschriften verantwortlich bleibt1, und lässt sich auch aus § 11 Abs. 4 BDSG ableiten, der die für den Auftragnehmer geltenden Datenschutzvorschriften explizit benennt und die Vorschriften zu Informationspflichten bei Datenpannen eben nicht für anwendbar erklärt2. Dies hat zur Folge, dass eine Datenpanne im Rahmen der Auftragsdatenverarbeitung nicht zu einer Informationspflicht des Auftragsdatenverarbeiters selbst führen kann. Kommt es zu einem solchen Vorfall, ist und bleibt der Auftraggeber nach außen hin auch insoweit voll verantwortlich. Der Auftraggeber muss deshalb Sorge dafür tragen, seinerseits rechtzeitig von dem Auftragnehmer von datenschutzrechtlich relevanten Vorfällen zu erfahren. Außerdem ist der Auftraggeber bei der Ergreifung von Maßnahmen zur Eindämmung der Auswirkungen auf die Unterstützung des Auftragnehmers angewiesen. Er muss deshalb im Auftragsdatenverarbeitungsvertrag hierfür bereits hinreichend Vorsorge treffen. 1 Bergmann/Möhrle/Herb, § 42a Rz. 5. 2 Gabel, BB 2009, 2045.
178
|
Moos
Erläuterungen
Rz. 99 Teil 2 I
bb) Vertragliche Informationspflicht des Auftragsdatenverarbeiters (Ziffer 8.1) Die vertragliche Informationspflicht des Auftragnehmers gem. Ziffer 8.1 des Musters soll es dem Auftraggeber deshalb ermöglichen, seinerseits seine etwaige gesetzliche Informationspflicht nach diesen Vorschriften erfüllen zu können.
98
Das Muster legt die Informationspflicht des Auftragnehmers Vorschlägen in der Literatur folgend1 dabei in Ziffer 8.1 relativ breit an und beschränkt sich vor allem nicht auf Situationen, in denen der Auftraggeber seinerseits einer Verpflichtung nach § 42a BDSG unterliegen würde. Die Informationspflicht des Auftragnehmers greift bei allen sog. Datensicherheitsvorfällen, die der Vertrag definiert als: – Verstöße gegen Vorschriften zum Schutz personenbezogener Daten oder gegen Festlegungen nach diesem Vertrag – Verstöße gegen eine vom Auftraggeber erteilte Weisung – das Bestehen von Anhaltspunkten dafür, dass ein Dritter – egal aus welchem Grund – unrechtmäßig Kenntnis von Auftraggeber-Daten erlangt haben könnte und – den Eintritt einer sonstigen Gefährdung für die Integrität oder Vertraulichkeit der Auftraggeber-Daten. Die Vertragsregelung spart also die die Datenpanne qualifizierenden Anforderungen aus § 42a BDSG (wie z.B. die Zuordnung zu einer der darin genannten Datenkategorien oder auch das Erfordernis einer drohenden schwerwiegenden Beeinträchtigung für die Rechte oder schutzwürdigen Interessen der Betroffenen) gerade aus. Hierdurch soll vermieden werden, dass der Auftragnehmer eine solche Prüfung autonom und ohne Beteiligung des Auftraggebers vornimmt, was ansonsten die Gefahr bergen würde, dass der Auftragnehmer eine Informationspflicht zu unrecht ablehnt und dem Auftraggeber eine eigenständige Prüfung und ggf. Korrektur dieser Einschätzung verwehrt bliebe. Außerdem wird mit dem „Eintritt einer sonstigen Gefährdung für die Integrität oder Vertraulichkeit der Auftraggeber-Daten“ ein breit angelegter Auffangtatbestand eingeführt.
cc) Inhalt der Information (Ziffer 8.2) Damit der Auftraggeber eine ausreichende Faktenbasis für eine Entscheidung darüber besitzt, ob und zu welchen Abhilfemaßnahmen er den Auftragnehmer ggf. anweisen will und vor allem, ob er einer gesetzlichen Informationspflicht nach § 42a BDSG oder den bereichsspezifischen Parallelregelungen unterliegt, benötigt er vom Auftragnehmer möglichst umfassende Informationen über den Datensicherheitsvorfall. Angesichts der Bußgeldandrohung in § 43 Abs. 2 Nr. 7 BDSG für eine nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig gemachte Meldung nach § 42a Satz 1 BDSG, kann ihn hier jede Fehleinschätzung teuer zu stehen kommen. 1 Plath/Plath, § 11 BDSG Rz. 109; Taeger/Bergt, Law as a Service (LaaS), S. 37 (43).
Moos
|
179
99
Teil 2 I
Rz. 100
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
In Ziffer 8.2 wird dem Auftragnehmer vor diesem Hintergrund der Mindestinhalt der Information vorgeschrieben, der wiederum auftraggeberfreundlich umfassend angelegt ist. Wegen § 42a Satz 3 und 4 BDSG zählen zu den vom Auftragnehmer zu machenden Angaben u.a. auch die Art des Vorfalls und alle denkbaren nachteiligen Folgen sowie die von dem Auftragnehmer daraufhin etwa schon ergriffenen Maßnahmen.
dd) Reaktionszeit (Ziffer 8.3) 100
Es wird für notwendig gehalten, auch die Reaktionsgeschwindigkeit des Auftragnehmers im Vertrag zu regeln1. Das erfolgt in Ziffer 8.3 des Musters. Die darin vorgesehene Verpflichtung auf eine Erstmeldung spätestens innerhalb von 24 Stunden nach Kenntniserlangung von dem Datensicherheitsvorfall orientiert sich an der am 25.8.2013 Kraft getretenen Verordnung (EU) Nr. 611/ 2013 der EU-Kommission vom 24.6.20132, die freilich nur für Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste gilt. Nach Art. 2 Abs. 2 VO 611/2013 ist der Betreiber verpflichtet, die zuständige nationale Behörde von der Verletzung des Schutzes personenbezogener Daten binnen 24 Stunden nach Feststellung der Verletzung zu unterrichten, soweit dies möglich ist. Eine weitere, detaillierte Unterrichtung des Auftraggebers, sieht Ziffer 8.3 Satz 2 innerhalb von sieben Tagen nach Kenntniserlangung von dem Datensicherheitsvorfall vor.
c) Unterstützungspflicht und Abhilfemaßnahmen (Ziffer 8.4) 101
Im Falle einer Auftragsdatenverarbeitung kann der Auftraggeber weder die Aufklärung des Datensicherheitsvorfalls noch die Umsetzung von Abhilfemaßnahmen alleine leisten. Er ist deshalb auf eine entsprechende Kooperation des Auftragnehmers angewiesen. In Ziffer 8.4 werden deshalb entsprechende Unterstützungspflichten des Auftragnehmers verankert. Auch die danach bestehenden Verpflichtungen des Auftragnehmers sind umfassend angelegt und erstrecken sich auf alle zumutbaren Unterstützungshandlungen zur Erfüllung der gesetzlichen Verpflichtungen des Auftraggebers (etwa nach § 42a BDSG). Der Auftraggeber hat ein erhebliches Eigeninteresse daran, etwaige Sicherheitslücken umgehend zu schließen und alle gebotenen Maßnahmen zu ergreifen, die die Auswirkungen der Datenpanne möglichst minimieren, um den Datenschutzverstoß und etwaige aufsichtsbehördliche Sanktionen so gering wie möglich zu halten. Die Benachrichtigung der Aufsichtsbehörde muss nach § 42a Satz 4 BDSG u.a. eine Darlegung der von der verantwortlichen Stelle nach dem Abhandenkommen der Daten ergriffenen Maßnahmen enthalten. Diese Verpflichtung soll es der Aufsichtsbehörde ermöglichen sicherzustellen, dass der datenschutzrechtliche Verstoß beseitigt wurde und andernfalls even1 Hoeren, DuD 2010, 688 (691). 2 Verordnung (EU) Nr. 611/2013 der EU-Kommission vom 24.6.2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (Datenschutzrichtlinie für elektronische Kommunikation), ABl. EU v. 26.6.2013, L 173/2.
180
|
Moos
Erläuterungen
Rz. 104 Teil 2 I
tuell Maßnahmen nach § 38 Abs. 5 BDSG anzuordnen1. Um dem möglichst zu entgehen, sollte der Auftraggeber darauf drängen, dass auch der Auftragnehmer seinerseits unverzüglich sämtliche zumutbaren Maßnahmen mit dieser Zielsetzung ergreift. Auch insoweit sieht das Muster in Ziffer 8.4 weitgehende Verpflichtungen des Auftragnehmers vor.
d) Untersuchung und Nachbesserung (Ziffer 8.5) Hat sich ein Datensicherheitsvorfall i.S.d. Ziffer 8.1 ereignet, gibt das dem Auftraggeber Anlass zu hinterfragen, ob die verabredeten Datensicherheitsmaßnahmen eingehalten worden sind und ob die festgelegten Datensicherheitsmaßnahmen ausreichend oder ggf. lückenhaft sind. Insofern kommt der Informationspflicht nach § 42a BDSG auch eine präventive Wirkung zu, indem für die verantwortlichen Stellen ein Anreiz geschaffen wird, für ein hohes Niveau der Datensicherheit zu sorgen. Denn das Bekanntwerden von (weiteren) Datensicherheitsverletzungen kann zur Abwanderung von Kunden, zu allgemeinen Imageschäden und (jedenfalls vorübergehend) zu einer Minderung des Unternehmenswertes führen2. Damit der Auftraggeber auch für den Verantwortungsbereich des Auftragnehmers solche Konsequenzen aus der Datenpanne ziehen kann, verpflichtet Ziffer 8.5 des Musters den Auftragnehmer dazu, unverzüglich nach Kenntniserlangung von einem Datensicherheitsvorfall eine RootCause-Analyse durchzuführen, diese zu dokumentieren und dem Auftraggeber die Dokumentation auszuhändigen.
102
Stellt sich heraus, dass das bestehende Sicherheitskonzept nicht ausreichend ist, verlangen die Aufsichtsbehörden explizit, dass ergänzende Maßnahmen zu vereinbaren sind, deren Umsetzung vom Auftraggeber wiederum überwacht werden muss3. Sollte sich deshalb erweisen, dass die bisherigen technischen und organisatorischen Maßnahmen nicht ausreichend sind, verpflichtet Ziffer 8.5 Satz 2 den Auftragnehmer in diesem Sinne, solche zusätzlichen technischen und organisatorischen Maßnahmen umzusetzen, die nach Ansicht des Auftraggebers erforderlich sind für einen angemessenen Schutz seiner Daten. Das Muster weist die Kostentragungspflicht für solche zusätzlichen Maßnahmen dem Auftragnehmer zu; dies dürfte jedenfalls sachgerecht sein, solange es sich bei dem Auftragnehmer um einen professionellen IT-Dienstleister handelt, der ein erhebliches Eigeninteresse an der Sicherheit seiner Datenverarbeitungssysteme haben dürfte.
103
e) Führung eines Verzeichnisses der Datenpannen (Ziffer 8.6) Der Auftraggeber hat ein Interesse daran, dass der Auftragnehmer die eingetretenen Datensicherheitsvorfälle dokumentiert, damit er die tatsächlich erstatteten Meldungen mit dem Verzeichnis der eingetretenen Sicherheitsverletzungen abgleichen kann. Außerdem bezieht sich die Informationspflicht nach Zif1 BeckOK DatenschutzR/Scheffczyk, § 42a BDSG Rz. 48. 2 BeckOK DatenschutzR/Scheffczyk, § 42a BDSG Rz. 3. 3 Der Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe Auftragsdatenverarbeitung, S. 16.
Moos
|
181
104
Teil 2 I
Rz. 105
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
fer 8.1 des Musters nur auf Vorfälle bezüglich der Auftraggeber-Daten, nicht aber auf Vorfälle im Hinblick auf die Daten anderer Auftraggeber. Für den Auftraggeber können aber auch solche Informationen über Datenpannen bei Dritten aufschlussreich sein, weil z.B. ein IT-System des Auftragnehmers betroffen war, welches baugleich auch für den Auftraggeber eingesetzt wird, so dass der Auftraggeber ggf. präventiv schon Sicherungsmaßnahmen ergreifen kann. Ziffer 8.6 statuiert deshalb eine vertragliche Verpflichtung des Auftragnehmers, ein mindestens fünf Jahre zurückreichendes Verzeichnis über alle sich bei ihm ereignenden Datensicherheitsverletzungen zu führen und dem Auftraggeber auf Verlangen vorzulegen. In das Verzeichnis sollen dabei nicht nur Verletzungen im Hinblick auf die Auftraggeber-Daten eingetragen werden, sondern auch, soweit sie personenbezogene Daten von Dritten betreffen, wobei die Angaben dann zu anonymisieren sind. Sofern der Auftragnehmer trotz der Anonymisierung Vertraulichkeitsverpflichtungen gegenüber anderen Auftraggebern unterliegt, die ihm eine solche Information verbieten, wäre die Regelung hier ggf. entsprechend einzuschränken. Die Regelung lehnt sich an die neu in § 109a Abs. 3 TKG aufgenommene Pflicht zur Führung eines Verzeichnisses über Datenpannen an1.
9. Erläuterungen zu Ziffer 9 105
E 9. Kontrollrechte des Auftraggebers 9.1 Der Auftraggeber ist dazu berechtigt, jederzeit die Erhebung und Verwendung von Auftraggeber-Daten durch den Auftragnehmer einschließlich der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen und die Ordnungsmäßigkeit der Datenverarbeitungsprozesse und -programme des Auftragnehmers zu prüfen, um sich von der Einhaltung der Bestimmungen dieses Vertrags, der vom Auftraggeber erteilten Weisungen sowie der einschlägigen gesetzlichen Datenschutzbestimmungen zu überzeugen. 9.2 Zur Durchführung von Kontrollen nach Ziffer 9.1 ist der Auftraggeber berechtigt, jederzeit sämtliche Geschäftsräume des Auftragnehmers zu betreten und dort Vor-Ort-Kontrollen durchzuführen. Soweit möglich, wird der Auftraggeber dem Auftragnehmer solche Vor-Ort-Kontrollen rechtzeitig vorher ankündigen. Der Auftragnehmer gewährt dem Auftraggeber sämtliche für die Durchführung der Kontrolle vom Auftragnehmer benötigten Zugangs-, Auskunfts- und Einsichtsrechte. Der Auftragnehmer verpflichtet sich insbesondere, dem Auftraggeber Zugang zu den Datenverarbeitungseinrichtungen, Dateien und anderen Dokumenten zu gewähren, um die Kontrolle und Überprüfung der relevanten Datenverarbeitungseinrichtungen, Dateien und anderer Dokumentationen zu ermöglichen, die mit der Erhebung oder Verwendung von AuftraggeberDaten im Zusammenhang stehen. Der Auftragnehmer stellt dem Auftraggeber alle von ihm für die Kontrolle benötigten Informationen zur Ver1 Vgl. hierzu Eckhardt, Beck’scher TKG-Kommentar, § 109a TKG Rz. 47.
182
|
Moos
Erläuterungen
Rz. 105 Teil 2 I
fügung. Der Auftraggeber nimmt hierbei angemessene Rücksicht auf die Betriebsabläufe und berechtigte Geheimhaltungsinteressen des Auftragnehmers. 9.3 Zur Ermöglichung von Kontrollen nach Ziffer 9.1 ist der Auftragnehmer außerdem verpflichtet, dem Auftraggeber unverzüglich sämtliche Zertifikate, Auditberichte und sonstige Ergebnisse von Überprüfungen im Hinblick auf die Erhebung und Verwendung personenbezogener Daten ungekürzt vorzulegen. 9.4 Der Auftraggeber ist berechtigt, von dem betrieblichen Datenschutzbeauftragten des Auftragnehmers Auskunft über sämtliche Aspekte der Erhebung und Verwendung von Auftraggeber-Daten, einschließlich der getroffenen technisch-organisatorischen Maßnahmen, zu erhalten und insbesondere von dem betrieblichen Datenschutzbeauftragten des Auftragnehmers regelmäßig eine Bestätigung der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 zu verlangen. Der Auftragnehmer wird unter Beachtung der Weisungsfreiheit des Datenschutzbeauftragten dafür sorgen, dass der betriebliche Datenschutzbeauftragte auf Verlangen des Auftraggebers Auskünfte und Bestätigungen zeitnah erteilt. 9.5 Der Auftraggeber ist berechtigt, die Kontrollhandlungen nach dieser Ziffer 9 selbst oder durch einen zur Geheimhaltung verpflichteten Bevollmächtigten vorzunehmen. Der Auftragnehmer ist verpflichtet, die Kontrollhandlungen eines solchen Bevollmächtigten in derselben Weise zu dulden und zu unterstützen wie Kontrollen durch den Auftraggeber. 9.6 Gemäß den anwendbaren Datenschutzvorschriften unterliegen der Auftraggeber und der Auftragnehmer öffentlichen Kontrollen durch die zuständige Aufsichtsbehörde. Auf Verlangen des Auftraggebers wird der Auftragnehmer den Auftraggeber im Rahmen von behördlichen Aufsichtsverfahren nach Kräften unterstützen, wenn und soweit die vertragsgegenständliche Erhebung oder Verwendung von Auftraggeber-Daten Gegenstand des Aufsichtsverfahrens ist. Der Auftragnehmer wird insbesondere auf Verlangen des Auftraggebers ihm selbst oder der Aufsichtsbehörde unmittelbar alle Informationen im Zusammenhang mit diesem Vertrag geben und entsprechende Auskünfte erteilen und der Aufsichtsbehörde die Möglichkeit einräumen, Prüfungen in demselben Umfang durchzuführen wie sie die Aufsichtsbehörde beim Auftraggeber durchführen darf. Der Auftragnehmer gewährt der zuständigen Aufsichtsbehörde auch in diesem Rahmen alle erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte. Falls die Aufsichtsbehörde beim Auftragnehmer Kontrollhandlungen, Ermittlungen oder Maßnahmen durchführt, die Auftraggeber-Daten betreffen, hat der Auftragnehmer den Auftraggeber darüber so früh wie möglich und in der Regel unverzüglich nach Erhalt der Ankündigung der Aufsichtsmaßnahme durch die Behörde zu informieren.
Moos
|
183
Teil 2 I
Rz. 106
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
a) Ratio 106
Ziffer 9 des Musters setzt die Gestaltungsanforderung gem. § 11 Abs. 2 Satz 2 Nr. 7 BDSG um, wonach in dem Vertrag die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers festzulegen sind.
b) Kontrollrecht des Auftraggebers (Ziffer 9.1) 107
Auf gesetzliche Kontrollbefugnisse kann der Auftraggeber gegenüber dem Auftragnehmer grundsätzlich nicht zurückgreifen1. Ziffer 9.1 gewährt dem Auftraggeber deshalb in Umsetzung von § 11 Abs. 2 Satz 2 Nr. 7 BDSG das Recht zu einer jederzeitigen Kontrolle. Die Regelung des § 11 Abs. 2 Satz 2 Nr. 7 BDSG steht im Zusammenhang mit § 11 Abs. 2 Satz 4 BDSG2, wonach der Auftraggeber sich auch während der Auftragsdurchführung regelmäßig von der Einhaltung der technischen und organisatorischen Maßnahmen bei dem Auftragnehmer zu überzeugen hat. Auch diese Überzeugungsbildung erfolgt regelmäßig durch Kontrollen.
aa) Gegenstand der Kontrollen 108
Der Gegenstand der Kontrollen, zu denen der Auftraggeber nach Ziffer 9.1 berechtigt sein soll, ist weit gefasst und bezieht sich auf: – die Erhebung und Verwendung von Auftraggeber-Daten durch den Auftragnehmer allgemein, – die Einhaltung der getroffenen technischen und organisatorischen Maßnahmen und – die Ordnungsmäßigkeit der Datenverarbeitungsprozesse und -programme des Auftragnehmers. Die Kontrollrechte dienen dem Auftraggeber dazu, sich davon zu überzeugen, dass der Auftragnehmer die Bestimmungen des Vertrags, die vom Auftraggeber erteilten Weisungen und die einschlägigen gesetzlichen Datenschutzbestimmungen einhält.
bb) Häufigkeit der Kontrollen 109
Das Gesetz macht keine konkreten Vorgaben dazu, wie oft der Auftraggeber entsprechende Kontrollen durchführen muss3. Die Vorgaben der „regelmäßigen“ Kontrolle will der Gesetzgeber dahingehend verstanden wissen, dass insbesondere bei längerfristigen Auftragsdatenverarbeitungen eine einmalige Kontrolle nicht ausreiche und auch eine starre Frist, z.B. eine jährliche Kontrolle, der in der Praxis vorkommenden Bandbreite an Auftragsdatenverarbeitungen nicht gerecht werde4. Die Aufsichtsbehörden fordern teilweise gleichwohl, dass 1 2 3 4
BeckOK DatenschutzR/Spoerr, § 11 Rz. 108. Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 48. Weitnauer/Missling, Kap H.3, S. 388. BT-Drucks. 16/13657, 18.
184
|
Moos
Erläuterungen
Rz. 111 Teil 2 I
Kontrollen mindestens einmal jährlich durchgeführt werden1. Bei auf mehrere Jahre angelegten Auftragsverhältnissen wird vorgeschlagen, sich bezüglich der Häufigkeit der Kontrollen an revisionstypischen Prüfungszyklen und der jeweiligen Risikoeinordnung zu orientieren, wonach in der Regel ein- bis dreijährige Kontrollzyklen etabliert sind2. Hierbei handelt es sich freilich nur um generelle Leitlinien. Je nach Art und Umfang der Auftragsdatenverarbeitung variiert der Kontrollzyklus. Sind die Zeitabstände zu groß (etwa nur alle fünf Jahre), könne von einer regelmäßigen Überprüfung nicht mehr gesprochen werden3. Ferner sind ggf. anlassbezogene Kontrollen vorzunehmen, etwa im Nachgang zu Datenpannen bei dem Auftragnehmer. Aus Auftraggebersicht ist es deshalb sinnvoll, sich gegenüber dem Auftragnehmer vertraglich in dieser Hinsicht nicht einzuschränken. Das Muster sieht deshalb in Ziffer 9.1 vor, dass der Auftraggeber jederzeit kontrollieren und er nach Ziffer 9.2 zu diesem Zweck auch jederzeit die Geschäftsräume des Auftragnehmers betreten darf.
c) Art der Kontrollen Das Gesetz schreibt auch nicht ausdrücklich vor, auf welche Art und Weise die von dem Auftraggeber vorzunehmenden Kontrollen erfolgen müssen. Der Auftraggeber wird diese Flexibilität in seinem Sinne nutzen und sich in dem Vertrag vorab ungern auf bestimmte Arten von Kontrollen beschränken lassen.
110
aa) Vor-Ort-Kontrollen (Ziffer 9.2) Ausdrücklich abgesehen hat der Gesetzgeber im Falle des § 11 BDSG davon, dass sich der Auftraggeber unmittelbar beim Auftragnehmer vor Ort oder selbst in Person überzeugen müsse4. Auch wenn es also keine generelle Verpflichtung zu Vor-Ort-Kontrollen gibt, wird ein Auftraggeber solche auch nicht pauschal ausschließen wollen und dürfen; denn je nach Auftragsgegenstand, Fallgestaltung und konkretem Anlass kann eine Kontrolle bei dem Auftragnehmer vor Ort dennoch geboten sein5. Nach Ansicht der Aufsichtsbehörden könne bei bekannten Rechenzentren, Dienstleistern, Systemhäusern oder Internet-/E-Mail-Providern mit „gutem Ruf“ eine Vor-Ort-Prüfung eher entfallen als bei bisher unbekannten Call-Centern, Direktwerbeunternehmen oder Datenträgerentsorgern6. Nach § 80 Abs. 2 Satz 6 SGB X besteht im Falle einer Auftragsdatenverarbeitung von Sozialdaten sogar eine Verpflichtung des Auftraggebers, sich Rechte 1 Der Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe Auftragsdatenverarbeitung, S. 16. 2 Vander, K&R 2010, 292 (295). 3 BfDI, Handreichung zu § 11 BDSG, S. 3, abrufbar unter http://www.bfdi.bund.de/Shared Docs/Publikationen/Arbeitshilfen/Handreichung11BDSG.pdf;j.1_cid134?__blob=publi cationFile. 4 BT-Drucks. 16/13657, 18. 5 Solche Betretungsrechte hält Kaufmann, ZD-Aktuell 2012, 02945, im Falle der Verwendung von Google Analytics durch deutsche Webseitenbetreiber für geboten. 6 Bayerisches Landesamt für Datenschutzaufsicht, Tätigkeitsbericht 2009/10, S. 37.
Moos
|
185
111
Teil 2 I
Rz. 112
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
zu einer Vor-Ort-Kontrolle auszubedingen. Danach ist es bei einer Auftragserteilung an eine nicht-öffentliche Stelle notwendig, dass der Auftraggeber u.a. das Recht erhält, während der Betriebs- oder Geschäftszeiten die Grundstücke oder Geschäftsräume des Auftragnehmers zu betreten und dort Besichtigungen und Prüfungen vorzunehmen sowie geschäftliche Unterlagen sowie die gespeicherten Sozialdaten und Datenverarbeitungsprogramme einzusehen. In Ziffer 9.2 werden dem Auftraggeber weitgehende Rechte zur Vor-Ort-Kontrolle der Datenverarbeitung in den Geschäftsräumen des Auftragnehmers eingeräumt. Das Muster sieht eine vorherige Ankündigung der Kontrollen vor, gestattet ausdrücklich aber auch Ausnahmen, so dass aus begründetem Anlass auch unangekündigte Ad-hoc-Kontrollen erfolgen dürfen. 112
Die Kontrollen des Auftraggebers müssen dabei unter Wahrung der Betriebsund Geschäftsgeheimnisse des Auftragnehmers erfolgen. Sieht ein als AGB einzustufender Vertrag insoweit zu weitgehende Kontrollrechte vor, kann ein Verstoß gegen § 307 Abs. 2 Nr. 1 BGB in Betracht kommen1. Der Vertrag sollte deshalb angemessene Schutzmaßnahmen für die Geheimhaltungs- und sonstigen berechtigten Interessen des Auftragnehmers vorsehen2. Zu weit geht es aber, für Auftragsdatenverarbeitungen zu konstatieren, dass die Rechtsprechung Audit-Rechte des Auftraggebers vor Ort als problematisch ansehe3. Die Auftragsdatenverarbeitung ist ja gerade ein Vertragsverhältnis, dass schon aufgrund der gesetzlichen Vorgaben in § 11 BDSG durch Weisung und Kontrolle des Auftraggebers geprägt ist. Ein Recht zur Vor-Ort-Kontrolle stellt deshalb per se kaum eine AGB-widrige unangemessene Benachteiligung i.S.v. § 307 Abs. 2 Nr. 1 BGB dar, weil eine solche Vorschrift in einem Auftragsdatenverarbeitungsvertrag gerade nicht von wesentlichen Grundgedanken der gesetzlichen Regelung (§ 11 BDSG) abweicht, sondern sie im Gegenteil gerade im Sinne des gesetzlichen Leitbildes aufgreift und umsetzt.
bb) Zugangs-, Auskunfts- und Einsichtsrechte (Ziffer 9.2) 113
Zugangs- und Einsichtsrechte des Auftraggebers sind notwendig, um Vor-OrtKontrollen überhaupt zu ermöglichen. In diesem Sinne gewährt Ziffer 9.2 dem Auftraggeber die im Zusammenhang mit solchen Vor-Ort-Kontrollen benötigten Zugangs-, Auskunfts- und Einsichtsrechte. Explizit als Beispiel der vom Auftragnehmer insoweit geschuldeten Mitwirkung genannt wird die Zugangsgewährung zu den Datenverarbeitungseinrichtungen, Dateien und anderen auftragsrelevanten Dokumenten und Informationen.
cc) Vorlage von Zertifikaten und Auditberichten (Ziffer 9.3) 114
Der Verzicht des Gesetzgebers auf die Festschreibung einer generellen Vor-OrtKontrollpflicht wird damit begründet, dass dem Auftraggeber die Flexibilität zugestanden werden soll, anstelle einer Vor-Ort-Kontrolle z.B. ein Testat eines Sachverständigen oder auch nur eine schriftliche Auskunft des Auftragneh1 Hoeren, DuD 2010, 687 (690). 2 BeckOK DatenschutzR/Spoerr, § 11 Rz. 108. 3 So aber Hoeren, DuD 2010, 688 (690).
186
|
Moos
Erläuterungen
Rz. 116 Teil 2 I
mers einzuholen, wenn dies im Einzelfall ausreichend ist1. Der Auftraggeber kann deshalb seiner Kontrollpflicht auch dadurch genügen, dass er sich vom Auftragnehmer werthaltige und aussagekräftige Datenschutzzertifizierungen oder -audits vorlegen lässt2. Die Regelung in Ziffer 9.3 gibt dem Auftraggeber vor diesem Hintergrund das Recht, die Vorlage solcher Zertifikate, Auditberichte und anderer Ergebnisse von Datenschutzprüfungen vom Auftragnehmer zu verlangen.
dd) Anrufung des betrieblichen Datenschutzbeauftragten (Ziffer 9.4) Ziffer 9.4 gibt dem Auftraggeber darüber hinaus das Recht, zur Durchführung von Kontrollen explizit den Datenschutzbeauftragten des Auftragnehmers zu Auskünften und Bestätigungen heranzuziehen. Das hat seinen Grund darin, dass der Datenschutzbeauftragte des Auftragnehmers in besonderer Weise geeignet erscheint, dem Auftraggeber zutreffende und objektive Informationen über die Datenverarbeitung bei dem Auftragnehmer und deren Übereinstimmung mit den gesetzlichen und vertraglichen Festlegungen zu vermitteln.
115
Das folgt schon aus der Funktion des betrieblichen Datenschutzbeauftragten als ein unabhängiges Selbstkontrollorgan der Daten verarbeitenden Stelle3. Hinzu kommt, dass der Datenschutzbeauftragte in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei ist, so dass Einwirkungen der Geschäftsleitung des Auftragnehmers auf die Anwendung der Kenntnisse des Datenschutzbeauftragten ausscheiden müssen. Dem Datenschutzbeauftragten dürfen also durch die Daten verarbeitende Stelle nicht bestimmte Meinungen oder Ergebnisse bezüglich seiner Prüfungs- und Kontrolltätigkeit vorgegeben werden4; so etwa auch nicht Inhalt oder Ergebnis seiner Mitwirkung bei einer Auftragskontrolle durch den Auftraggeber. Der Auftraggeber sollte sich diese von Gesetzes wegen notwendigerweise bestehende Unabhängigkeit und Weisungsfreiheit deshalb auch im Rahmen der von ihm durchzuführenden Auftragskontrolle zu Nutze machen. In diesem Sinne sieht Ziffer 9.4 des Musters vor, dass der Auftraggeber von dem betrieblichen Datenschutzbeauftragten des Auftragnehmers Auskunft über sämtliche Aspekte der Erhebung und Verwendung von Auftraggeber-Daten, einschließlich der getroffenen technisch-organisatorischen Maßnahmen, sowie eine Bestätigung der Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen verlangen darf.
d) Kontrolle durch Bevollmächtigte (Ziffer 9.5) Zuständig für die Prüfungen beim Auftragnehmer über die Einhaltung der gebotenen Sicherheitsmaßnahmen ist grundsätzlich die Unternehmensleitung des Auftraggebers, die daraus bestimmte Prüfungsaufgaben an die jeweiligen Unternehmenseinheiten (Fachabteilung, Revision, etc.) übertragen kann5. Der Auf1 2 3 4 5
BT-Drucks. 16/13657, 18. Simitis/Petri, § 11 BDSG Rz. 59. Vgl. BeckOK DatenschutzR/Moos, § 4f Rz. 1. BeckOK DatenschutzR/Moos, § 4f Rz. 67. Bayerisches Landesamt für Datenschutzaufsicht, Tätigkeitsbericht 2009/10, S. 36.
Moos
|
187
116
Teil 2 I
Rz. 117
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
traggeber muss die Kontrollen aber nicht selbst durchführen. Teilweise werden ihm dazu auch das notwendige technische Know-How1 oder die Personalkapazitäten fehlen. Ziffer 9.5 gestattet es dem Auftraggeber deshalb, die Kontrollen durch einen Bevollmächtigten, wie z.B. einen externen Sachverständigen, einen Auditor, etc. vorzunehmen. Teilweise wird vertreten, dass in dem Auftragsdatenverarbeitungsvertrag explizit auch Kontrollrechte des Datenschutzbeauftragten des Auftraggebers beim Auftragnehmer verankert werden müssten2. Wenn man das für notwendig erachten sollte, würde die Regelung auch dieser Anforderung genügen, da es sich bei dem Bevollmächtigten auch um den Datenschutzbeauftragten des Auftraggebers handeln kann.
e) Behördliche Kontrollen (Ziffer 9.6) 117
Als verantwortliche Stelle steht grundsätzlich der Auftraggeber nach außen hin für die Datenschutzkonformität auch der durch den Auftragnehmer vorgenommenen Datenverarbeitungen ein, die dem Auftraggeber zugerechnet werden. Etwaige Kontrollen der Aufsichtsbehörden richten sich deshalb grundsätzlich gegen den Auftraggeber. Aus Sicht des Auftraggebers ist es deshalb empfehlenswert, den Auftragnehmer dazu zu verpflichten, die notwendigen Mitwirkungshandlungen zu erbringen, damit er seinerseits seine Pflichten gegenüber der Aufsichtsbehörde erfüllen3 und auch seine Rechte effektiv wahrnehmen kann. Ziffer 9.6 sieht vor diesem Hintergrund vor, dass der Auftragnehmer den Auftraggeber im Rahmen solcher behördlichen Aufsichtsverfahren nach Kräften zu unterstützen hat, soweit der Umgang mit Auftraggeber-Daten Gegenstand des Aufsichtsverfahrens ist. Die Unterstützungspflicht ist breit angelegt und umfasst u.a. die Erteilung aller benötigten Information, die Gestattung von Prüfungen durch die Aufsichtsbehörde und die Gewährung von entsprechenden Zugangs-, Auskunfts- und Einsichtsrechten der Aufsichtsbehörde.
118
Ob die für den Auftraggeber zuständige Datenschutzaufsichtsbehörde solche Kontrollhandlungen auch direkt bei dem Auftragnehmer vornehmen wird, hängt auch davon ab, ob und in welchem Umfang die jeweilige Aufsichtsbehörde hierfür sachlich und örtlich zuständig ist. In den Datenschutzgesetzen in Bund und Ländern ist nicht einheitlich festgelegt, von welcher Datenschutzaufsicht und in welchem Umfang der Auftragnehmer selbst ggf. vor Ort im Zusammenhang mit der Beauftragung kontrolliert wird. Soweit in den Datenschutzgesetzen dazu überhaupt Regelungen getroffen wurden, unterscheiden sich diese in mehrfacher Hinsicht; das gilt maßgeblich für den nicht-öffentlichen Bereich4. 1 Vgl. Der Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe Auftragsdatenverarbeitung, S. 17. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 48. 3 Plath/Plath, § 11 BDSG Rz. 41. 4 Vgl. hierzu BfDI, Kontrollzuständigkeiten bei Datenverarbeitung im Auftrag, S. 2 f.; abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikationen/Arbeitshilfen/Kon trollzustaendigkeitAufragsdatenverarbeitung.pdf?__blob=publicationFile.
188
|
Moos
Erläuterungen
Rz. 119 Teil 2 I
10. Erläuterungen zu Ziffer 10 119
E 10. Unterauftragsverhältnisse 10.1 Der Auftragnehmer darf Unterauftragsverhältnisse hinsichtlich der Erhebung oder Verwendung von Auftraggeber-Daten nur nach vorheriger schriftlicher Zustimmung des Auftraggebers begründen. Der Zustimmungspflicht unterliegen auch Vertragsverhältnisse, die die Prüfung oder Wartung von Datenverarbeitungsverfahren oder -anlagen durch andere Stellen oder andere Nebenleistungen zum Gegenstand haben, sofern dabei ein Zugriff auf Auftraggeber-Daten nicht ausgeschlossen werden kann. Ein Unterauftragsverhältnis im Sinne dieser Ziffer 10 liegt auch vor, wenn ein Unterauftragnehmer in einem Drittstaat eingeschaltet wird – ungeachtet des Umstandes, dass Datenweitergaben an einen solchen Unterauftragnehmer nicht den Privilegierungen des § 11 BDSG unterliegen. 10.2 Zur Prüfung einer solchen Zustimmung hat der Auftragnehmer dem Auftraggeber den Entwurf des Unterauftragsdatenverarbeitungsvertrags zwischen ihm und dem Unterauftragnehmer ungekürzt in Kopie zur Verfügung zu stellen. Ferner muss der Auftragnehmer dem Auftraggeber schriftlich bestätigen, dass er den Unterauftragnehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen sorgfältig ausgewählt hat, er sich von der Einhaltung der beim Unterauftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt hat und dieser Erklärung eine Bestätigung der Ergebnisdokumentation dieser Überprüfung beizufügen. Ein Anspruch auf Erteilung der Zustimmung durch den Auftraggeber besteht nicht. 10.3 Der Auftragnehmer hat den Unterauftragnehmer in dem Unterauftragsdatenverarbeitungsvertrag schriftlich ebenso zu verpflichten, wie auch der Auftragnehmer aufgrund dieses Vertrags gegenüber dem Auftraggeber verpflichtet ist. Dem Auftraggeber sind im Unterauftragsdatenverarbeitungsvertrag gegenüber dem Unterauftragnehmer unmittelbar sämtliche Kontrollrechte gemäß Ziffer 9 dieses Vertrags einzuräumen (echter Vertrag zugunsten Dritter). In dem Unterauftragsdatenverarbeitungsvertrag sind die Verantwortlichkeitssphären des Auftragnehmers und des Unterauftragnehmers klar voneinander abzugrenzen. Werden mehrere Unterauftragnehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen den einzelnen Unterauftragnehmern. Der Auftragnehmer haftet für ein Verschulden seiner Unterauftragnehmer wie für eigenes Verschulden. 10.4 Falls der Auftragnehmer einen Unterauftragnehmer in einem Drittstaat einschalten möchte, gelten zusätzlich die Anforderungen gemäß Ziffer 2.3 bezüglich der Erfüllung der Voraussetzungen der §§ 4b bzw. 4c BDSG. Die Parteien stellen klar, dass nur der Auftraggeber selbst berechtigt ist, Verträge i.S.v. § 4c Abs. 2 Satz 1 BDSG mit Unterauftragnehmern in Drittstaaten abzuschließen und der Auftragnehmer hierzu keinerlei Moos
|
189
Teil 2 I
Rz. 120
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
Vollmacht oder sonstige Berechtigung besitzt. Der Auftragnehmer verpflichtet sich bereits jetzt, einem etwa zwischen dem Auftraggeber und einem Unterauftragnehmer in einem Drittstaat geschlossenen Vertrag auf Basis der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gemäß Beschluss der EU-Kommission vom 5. Februar 2010 („Standardvertragsklauseln“) mit der Wirkung beizutreten, dass der Auftragnehmer primär dafür verantwortlich bleibt, dass der Datenimporteur die Pflichten gemäß den Standardvertragsklauseln einhält. 10.5 Der Auftraggeber stimmt hiermit der Begründung der Unterauftragsverhältnisse gemäß Anlage 3 zu. 10.6 Der Auftragnehmer hat abgeleitete Kontrollpflichten gegenüber den Unterauftragnehmern und kann und muss hierfür die in diesem Vertrag beschriebenen, und in dem Unterauftragsdatenverarbeitungsvertrag zu spiegelnden Kontrollbefugnisse des Auftraggebers wahrnehmen. Der Auftragnehmer hat die Einhaltung der vertraglichen Verpflichtungen des Unterauftragnehmers regelmäßig (d.h. mindestens einmal jährlich) in geeigneter Form zu überprüfen, das Ergebnis der Prüfung zu dokumentieren und den entsprechenden Prüfbericht dem Auftraggeber innerhalb von sechs Wochen nach Durchführung der Prüfung unaufgefordert zur Verfügung zu stellen. Der Auftraggeber bleibt berechtigt, die Ausübung der Kontrollbefugnisse durch den Auftragnehmer uneingeschränkt zu überwachen und kann jederzeit auch selbst diese Kontrolle gegenüber dem Unterauftragnehmer ausüben. 10.7 Nachdem der Auftraggeber der Einschaltung eines Unterauftragnehmers zugestimmt hat, wird der Auftragnehmer ihm eine vollständige Kopie des von beiden Seiten rechtswirksam unterzeichneten Unterauftragsdatenverarbeitungsvertrags zuleiten und ihm Mitteilung machen, wenn die mit der Verarbeitung von Arbeitgeber-Daten betrauten Mitarbeiter des Unterauftragnehmers auf das Datengeheimnis verpflichtet worden sind. Der Auftragnehmer darf Auftraggeber-Daten erst dann an einen Unterauftragnehmer weitergeben, wenn der Auftraggeber dem Auftragnehmer den Erhalt des unterschriebenen Unterauftragsdatenverarbeitungsvertrags und der Mitteilung bzgl. der Verpflichtung auf das Datengeheimnis bestätigt und die Datenverarbeitung freigegeben hat. 10.8 Die Mitteilungspflicht des Auftragnehmers gemäß Ziffer 8.1 gilt entsprechend für Datensicherheitsvorfälle, die sich bei seinen Unterauftragnehmern ereignen.
a) Ratio 120
In Ziffer 10 werden die Voraussetzungen für die Begründung von Unterauftragsdatenverarbeitungsverhältnissen normiert und Vorgaben für das Verfahren der Einschaltung von Unterauftragnehmern sowie der Durchführung der Unterauftragsverhältnisse gemacht. 190
|
Moos
Erläuterungen
Rz. 123 Teil 2 I
b) Begründung von Unterauftragsverhältnissen (Ziffer 10.1) Gem. § 11 Abs. 2 Satz 2 Nr. 6 BDSG ist auch die Berechtigung zur Begründung von Unterauftragsverhältnissen im Auftragsdatenverarbeitungsvertrag festzulegen. Dies erfolgt in Ziffer 10.1 des Musters.
121
Für die Auftragsdatenverarbeitung gilt gesetzlich der Grundsatz der höchstpersönlichen Leistungserbringung1. Das Gesetz schließt die Begründung von Unterauftragsverhältnissen freilich auch nicht aus, verlangt insoweit aber, dass die Einschaltung eines Unterauftragnehmers explizit vertraglich zugelassen sein muss2; sonst ist dem Auftragnehmer die Untervergabe der im Auftrag übernommenen Datenverarbeitungstätigkeiten verwehrt. Die Regelung in Ziffer 10.1 weicht von dieser gesetzlichen Regelung nicht ab, sondern bekräftigt, dass der Auftragnehmer Unterauftragsverhältnisse nur nach vorheriger schriftlicher Zustimmung des Auftraggebers begründen darf. In der Praxis besteht oft Unklarheit darüber, bei welchen Dienstverhältnissen, die der Auftragnehmer eingeht, es sich um eine Unterbeauftragung im Sinne der datenschutzrechtlichen Vorschriften und dem vom Auftragnehmer geschlossenen Auftragsdatenverarbeitungsvertrag handelt. Klar ist, dass zustimmungspflichtige Unterbeauftragungen dann vorliegen, wenn der Auftragnehmer Erfüllungsgehilfen einsetzt, die Teile der dem Auftraggeber gegenüber zu erbringenden Leistungen übernehmen und dabei Zugriff auf Auftraggeber-Daten erhalten. Zweifel können aber teilweise dort bestehen, wo der Vertragspartner des Auftragnehmers reine Nebenleistungen erbringt (siehe Rz. 22). Ein Beispiel bildet die Wartung und Prüfung von Hard- und Software, die der Auftragnehmer zur Leistungserbringung einsetzt. Da § 11 Abs. 5 BDSG für diese Fallgruppe ausdrücklich die entsprechende Anwendung der Regelungen zur Auftragsdatenverarbeitung anordnet, ist sie auch hier als zustimmungspflichtige Unterbeauftragung einzuordnen. In welchen weiteren Fällen, bei denen ein Zugriff des Vertragspartners des Auftragnehmers auf Auftraggeber-Daten nicht ausgeschlossen werden kann, ist oft unklar. Die Regelung in Ziffer 10.1 bezieht deshalb auch alle sonstigen „Nebenleistungen“ ein.
122
Ein Unterauftragsverhältnis, welches an der Privilegierung des § 11 BDSG teilnimmt, liegt von Gesetzes wegen nicht vor, wenn ein Unterauftragnehmer außerhalb des EWR eingeschaltet wird, weil es sich bei Datenweitergaben an einen Empfänger in einem Drittland nach § 3 Abs. 4 Satz 2 Nr. 3 BDSG i.V.m. § 3 Abs. 8 BDSG zwingend um eine Datenübermittlung handelt (siehe Rz. 10). Die Einschaltung eines Unterauftragnehmers außerhalb des EWR kann aber gleichwohl – dann als Datenübermittlung – zulässig3 und im Interesse des Auftraggebers sein. Ziffer 10.1 Satz 3 des Musters eröffnet hierfür die Möglichkeit, indem auch solche Datenübermittlungen als Unterbeauftragungen eingestuft und dem Zustimmungserfordernis unterworfen werden.
123
1 BeckOK DatenschutzR/Spoerr, § 11 Rz. 106. 2 Hoeren, DuD 2010, 688 (690). 3 S. Teil 5 III Rz. 19.
Moos
|
191
Teil 2 I
Rz. 124
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
c) Erteilung der Zustimmung (Ziffer 10.2 und 10.5) 124
Das Muster sieht vor, dass der Auftraggeber mit Vertragsabschluss bestimmten Unterauftragsverhältnissen zustimmt und verweist in Ziffer 10.5 zu Einzelheiten der Unterauftragnehmer auf konkrete Festlegungen in Anlage 3 zu dem Muster. Darin sollen die Identität des Unterauftragnehmers, die von ihm zu erbringenden Tätigkeiten, der Zweck der durch ihn erfolgenden Datenverarbeitung, die betroffenen Kategorien von Daten und der Kreis der Betroffenen spezifiziert werden. Nach einer in der Literatur vertretenen Auffassung soll es zwar nicht erforderlich sein, die Identität der Unterauftragnehmer vertraglich zu regeln1. Die Aufsichtsbehörden vertreten aber teilweise einen anderen Standpunkt. Danach soll der Unterauftragnehmer – soweit möglich – gleich im Vertrag benannt oder festgelegt werden; jedenfalls seien ansonsten Name und Anschrift des Unterauftragnehmers aber mitzuteilen, sobald das Unternehmen feststeht2. Spätestens im Zeitpunkt der Einschaltung sollte der Auftraggeber also die Identität des Unterauftragnehmers kennen; allein schon um seinen Kontrollpflichten effektiv nachkommen zu können. Die Einbeziehung von Unterauftragnehmern droht vor allem bei der Inanspruchnahme von Cloud Services intransparent zu sein, da deren Inanspruchnahme oft nur für einen kurzzeitig gestiegenen Bedarf an Rechenleistung erfolgt und nicht vorab feststeht, wessen Kapazitäten konkret genutzt werden. Der Cloud-Anbieter soll deshalb nach Vorstellung der Aufsichtsbehörden3 vertraglich verpflichtet werden, sämtliche Unterauftragnehmer abschließend gegenüber dem Cloud-Anwender zu benennen. Eine genaue Spezifizierung des Umfangs der Unterbeauftragung – wie in der Anlage 3 vorgesehen – ist vor allem dann wichtig, wenn ein Unterauftragnehmer nicht die gesamten Leistungen des Auftragnehmers übernimmt und deshalb auch eine Abgrenzung seiner Tätigkeitssphäre zu derjenigen des Hauptauftragnehmers und anderer Unterauftragnehmer möglich sein muss.
d) Verpflichtung des Unterauftragnehmers (Ziffer 10.3) 125
§ 11 Abs. 2 Satz 2 Nr. 6 BDSG verlangt per se neben dem Ob der Berechtigung zur Unterbeauftragung keine weitergehenden Regelungen. In der Praxis ist es aber üblich, dass in dem Auftragsdatenverarbeitungsvertrag weitere Anforderungen an die Einschaltung von Unterauftragnehmern definiert werden.
aa) Spiegelung der Regelungen des übergeordneten Auftragsdatenvertrags 126
Selbstverständlich ist, dass die Unterbeauftragung ihrerseits den Vorgaben des § 11 BDSG genügen muss. Bei einer Unterbeauftragung sind zusätzlich die Vor1 BeckOK DatenschutzR/Spoerr, § 11 Rz. 107; Kongehl/Koch, Datenschutz-Management, Gruppe 2.26 S. 18. 2 Der Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe Auftragsdatenverarbeitung, S. 15. 3 Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0, Stand 26.9.2011, S. 8; so wohl auch Splittgerber/Rockstroh, BB 2011, 2179 (2181).
192
|
Moos
Erläuterungen
Rz. 128 Teil 2 I
gaben der übergeordneten Auftragsdatenverarbeitung im Regelfall umfassend zu berücksichtigen1. Diese Verpflichtung greift die Regelung in Ziffer 10.3 des Musters auf und gibt dem Auftragnehmer auf, den Unterauftragnehmer in dem Unterauftragsdatenverarbeitungsvertrag ebenso zu verpflichten, wie auch der Auftragnehmer gegenüber dem Auftraggeber verpflichtet ist – die eigenen Vertragspflichten also gegenüber dem Unterauftragnehmer zu spiegeln. Etwas anderes gilt nur dann, wenn die Datenverarbeitung nicht vollständig an den Unterauftragnehmer weitergereicht wird, sondern nur bestimmte Leistungsanteile; in diesem Fall wäre auch eine sachbereichsspezifische Anpassung zulässig2. Das Muster geht jedoch generell von einer 1:1-Weitergabe der Pflichten an den Unterauftragnehmer aus; die Regelung wäre auf diesen Fall ggf. anzupassen.
bb) Eigene Kontrollrechte des Auftraggebers Ein schlichtes „Kopieren“ der Vertragspflichten reicht jedoch nicht aus. Es wird bei einer „gestuften Auftragsdatenverarbeitung“, d.h. bei einer Einschaltung von Unterauftragnehmern zusätzlich für erforderlich gehalten, dass der Auftraggeber eigene Kontrollrechte bei dem Unterauftragnehmer erhält3. Das gelte nach Ansicht der Aufsichtsbehörden auch unabhängig vom geografischen Ort der unterbeauftragten Datenverarbeitung4. Das Muster setzt dies in Ziffer 10.3 um und verpflichtet den Auftragnehmer, dem Auftraggeber im Unterauftragsdatenverarbeitungsvertrag unmittelbare Kontrollrechte im Sinne eines Vertrags zugunsten eines Dritten zu sichern. Das bedeutet freilich nicht, dass der Auftraggeber die Kontrollen tatsächlich auch selbst durchführen muss – das kann in der Praxis auch von dem Haupt-Auftragsverarbeiter gemacht werden; Eigenkontrollen des Auftraggebers dürften nur nicht vertraglich ausgeschlossen, sondern müssten im Gegenteil explizit vertraglich verankert sein5.
127
In dem Unterauftragsdatenverarbeitungsvertrag sind die Verantwortlichkeitssphären des Auftragnehmers und des Unterauftragnehmers klar voneinander abzugrenzen. Werden mehrere Unterauftragnehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen den einzelnen Unterauftragnehmern. Der Auftragnehmer haftet für ein Verschulden seiner Unterauftragnehmer wie für eigenes Verschulden.
e) Unterauftragnehmer außerhalb des EWR (Ziffer 10.4) Soll ein Subdienstleister außerhalb des EWR eingeschaltet werden, muss auch die Datenschutzkonformität auf der 2. Stufe sichergestellt sein (siehe hierzu Rz. 11). Zu diesem Zweck wird in der Regelung klargestellt, dass zusätzlich zu den Anforderungen gem. Ziffer 2.3 die Voraussetzungen der §§ 4b bzw. 4c BDSG erfüllt sein müssen. In einer solchen Konstellation ist aber der Auftraggeber als 1 BeckOK DatenschutzR/Spoerr, § 11 Rz. 107. 2 BeckOK DatenschutzR/Spoerr, § 11 Rz. 107. 3 Bayerisches Landesamt für Datenschutzaufsicht, Tätigkeitsbericht 2011/12, S. 59; BeckOK DatenschutzR/Spoerr, § 11 Rz. 107. 4 Bayerisches Landesamt für Datenschutzaufsicht, Tätigkeitsbericht 2011/12, S. 59. 5 Bayerisches Landesamt für Datenschutzaufsicht, Tätigkeitsbericht 2011/12, S. 59.
Moos
|
193
128
Teil 2 I
Rz. 129
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
Datenexporteur i.S.d. §§ 4b, 4c BDSG und der Unterauftragnehmer als Datenimporteur einzustufen, so dass diese beiden Unternehmen Vertragsparteien des EU-Standardvertrags sein müssen1 und folglich nur der Auftraggeber selbst berechtigt ist, Verträge i.S.v. § 4c Abs. 2 Satz 1 BDSG mit Unterauftragnehmern in Drittstaaten abzuschließen. Das Muster macht insoweit zugunsten des Auftraggebers nicht von der Möglichkeit2 Gebrauch, den Auftragnehmer zum Abschluss eines solchen Vertrags namens des Auftraggebers zu bevollmächtigen. Eine solche Vorgehensweise kann freilich sinnvoll sein, wenn eine Vielzahl von Unterauftragnehmern eingeschaltet werden soll. Die Aufsichtsbehörden empfehlen in einer solchen Konstellation zudem einen Beitritt des Auftragnehmers zu dem direkt zwischen dem Auftraggeber und dem Unterauftragnehmer abzuschließenden EU-Standardvertrag3. Diese Empfehlung setzt Ziffer 10.4 Satz 3 des Musters um, der den Auftragnehmer verpflichtet, einem solchen auf Basis der EU-Standardvertragsklauseln geschlossenen Vertrag mit der Wirkung beizutreten, dass der Auftragnehmer primär dafür verantwortlich bleibt, dass der Unterauftragnehmer die Pflichten gemäß den Standardvertragsklauseln einhält.
f) Kontrollpflichten gegenüber dem Unterauftragnehmer (Ziffer 10.6) 129
Durch Unterbeauftragungen können Vertragsketten entstehen, in denen der Auftraggeber zunächst nur seinen unmittelbaren Auftragnehmer und dieser dann den Unterauftragnehmer kontrolliert4. Diese „abgeleiteten Kontrollpflichten“ sind in Ziffer 10.6 des Musters festgeschrieben. Das Muster sieht hierbei eine Mindestfrequenz der Kontrolle von einem Jahr vor. Damit der Auftraggeber sich seinerseits von der Angemessenheit der Kontrollen durch den Auftragnehmer überzeugen kann, werden zusätzlich Dokumentations- und Berichtspflichten verankert. Gem. Ziffer 10.3. des Musters ist der Auftragnehmer allerdings verpflichtet, dem Auftraggeber im Unterauftragsdatenverarbeitungsvertrag im Sinne eines echten Vertrags zugunsten Dritter gem. § 328 BGB eigene Kontrollbefugnisse einzuräumen, deren Ausübung sich der Auftraggeber in Ziffer 10.3 vollumfänglich vorbehält. In Ziffer 10.6 Satz 4 wird diesbezüglich klargestellt, dass das Recht des Auftraggebers zu solchen Eigenkontrollen beim Unterauftragnehmer unberührt bleibt.
1 Düsseldorfer Kreis, Handreichung zur rechtlichen Bewertung von Fallgruppen zur internationalen Auftragsdatenverarbeitung, Beschluss vom 20.4.2007, S. 4; abrufbar unter http://www.bfdi.bund de/SharedDocs/Publikationen/Entschliessungssammlung/Ergaen zendeDokumente/HandreichungApril2007.html?nn=409242; Moos, CR 2010, 281 (285). 2 Artikel-29-Datenschutzgruppe, WP 176 v. 12.7.2010, S. 4; hierzu Teil 5 III Rz. 27. 3 Düsseldorfer Kreis, Handreichung zur rechtlichen Bewertung von Fallgruppen zur internationalen Auftragsdatenverarbeitung, Beschluss vom 20.4.2007, S. 5; abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/Ergaen zendeDokumente/HandreichungApril2007.html?nn=409242. 4 Hoeren, DuD 2010, 688 (690).
194
|
Moos
Erläuterungen
Rz. 132 Teil 2 I
g) Freigabe der Datenverarbeitung durch den Unterauftragnehmer (Ziffer 10.7) Ziffer 10.7 gestaltet das Verfahren der Unterbeauftragung näher aus. Das Verfahren ist hier derart ausgestaltet, dass der Auftragnehmer dem Auftraggeber gem. Ziffer 10.2 zunächst den (fertig ausgehandelten) Entwurf des Unterauftragsdatenverarbeitungsvertrags vorlegt und auf der Basis dieses Entwurfs die grundsätzliche Zustimmung des Auftraggebers einholt. Anschließend sollen Auftragnehmer und Unterauftragnehmer den Vertrag dann unterzeichnen und dem Auftraggeber eine Kopie vorlegen. Um sicherzustellen, dass der Unterauftragnehmer nicht bereits Daten erhält, bevor der Unterauftragnehmer allen Pflichten nachgekommen ist, sieht das Muster noch eine Freigabe des Auftraggebers vor, die erst dann erteilt wird, wenn alle vertraglichen Anforderungen erfüllt sind. Das Muster nennt insoweit explizit die Verpflichtung der Mitarbeiter des Unterauftragnehmers auf das Datengeheimnis. Je nach Einzelfall können auch noch andere Nachweise ausdrücklich zum Gegenstand einer Freigabe gemacht werden; z.B. der Nachweis der Realisierung einer bestimmten technischen oder organisatorischen Maßnahme.
130
h) Datensicherheitsvorfälle (Ziffer 10.8) Nach Ziffer 8.1 trifft den Auftragnehmer eine umfassende Informationspflicht gegenüber dem Auftraggeber bei Datensicherheitsvorfällen. Ziffer 10.8 stellt klar, dass sich diese Verpflichtung des Auftragnehmers auch auf solche Datensicherheitsvorfälle erstreckt, die sich nicht unmittelbar bei ihm, sondern bei einem seiner Unterauftragnehmer ereignen. Der Verpflichtungsgehalt entspricht demjenigen nach Ziffer 8 des Musters.
131
11. Erläuterungen zu Ziffer 11 132
E 11. Rechte der Betroffenen 11.1 Die Rechte der durch die Erhebung und Verwendung von AuftraggeberDaten betroffenen Personen sind gegenüber dem Auftraggeber geltend zu machen. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Auskunft, Berichtigung, Löschung oder Sperrung der ihn betreffenden Auftraggeber-Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten und ohne entsprechende Einzelweisung des Auftraggebers nicht mit dem Betroffenen in Kontakt treten. Der Auftragnehmer darf Auskünfte an Betroffene nur nach vorheriger Weisung durch den Auftraggeber erteilen. 11.2 Der Auftragnehmer ist verpflichtet, den Auftraggeber bei der Erfüllung von Ansprüchen Betroffener auf Auskunft, Berichtigung, Sperrung oder Löschung von Auftraggeber-Daten auf erstes Anfordern im Rahmen des Zumutbaren zu unterstützen. Insbesondere wird der Auftragnehmer dem Auftraggeber unverzüglich, längstens aber innerhalb von fünf Werktagen Informationen über die gespeicherten Auftraggeber-Daten (auch soweit sie sich auf den Speicherungszweck beziehen), die EmpfänMoos
|
195
Teil 2 I
Rz. 133
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
ger von Auftraggeber-Daten, an die der Auftragnehmer sie auftragsgemäß weitergibt und den Zweck der Speicherung mitteilen, sofern dem Auftraggeber diese Informationen nicht selbst vorliegen. 11.3 Der Auftragnehmer ist verpflichtet, Auftraggeber-Daten auf Weisung des Auftraggebers unverzüglich, spätestens aber innerhalb einer Frist von fünf Werktagen, zu berichtigen, zu löschen oder zu sperren (§ 35 BDSG). Der Auftragnehmer wird dem Auftraggeber die weisungsgemäße Berichtigung, Sperrung und Löschung jeweils auf Verlangen schriftlich bestätigen.
a) Ratio 133
Ziffer 11 dient der Festlegung, wie im Verhältnis der Vertragsparteien zueinander gewährleistet wird, dass die Rechte der Betroffenen gem. § 6 BDSG auf Auskunft, Berichtigung, Sperrung oder Löschung der Daten erfüllt werden. Die Regelung ergänzt insoweit Ziffer 4.1 und 5.7 des Musters.
b) Zuständigkeit des Auftraggebers (Ziffer 11.1, Satz 1) 134
Gem. § 11 Abs. 2 Nr. 4 BDSG ist in dem Auftragsdatenverarbeitungsvertrag die Berichtigung, Sperrung und Löschung von Daten im Einzelnen festzulegen. In Ziffer 11.1 Satz 1 des Musters wird – anknüpfend an Ziffer 4.1 Satz 2 – auch für das Verhältnis der Vertragsparteien zueinander festgelegt, dass der Auftraggeber Adressat aller etwaigen Rechtsausübungen der Betroffenen ist.
c) Verweisungspflicht des Auftragnehmers (Ziffer 11.1, Satz 2) 135
§ 6 Abs. 2 BDSG enthält Verfahrensregelungen zur Geltendmachung von Rechten der Betroffenen im Falle verteilter Datenverarbeitungen. Sind die Daten des Betroffenen automatisiert in der Weise gespeichert, dass mehrere Stellen speicherungsberechtigt sind, und ist der Betroffene nicht in der Lage festzustellen, welche Stelle die Daten gespeichert hat, so gibt ihm § 6 Abs. 2 Satz 1 BDSG das Recht, sich mit seinem Begehren an jede dieser Stellen zu wenden. Nach § 6 Abs. 2 Satz 2 BDSG ist die angesprochene Stelle dann verpflichtet, das Vorbringen des Betroffenen an die für die Speicherung verantwortliche Stelle weiterzuleiten. Nach Ansicht der Literatur stellt die Auftragsdatenverarbeitung einen Anwendungsfall dieser Regelung dar1. In diesem Sinne wird es für erforderlich gehalten, dass man im Falle der Auftragsdatenverarbeitung eine entsprechende Weiterleitungs- und Hinweispflicht des Auftragnehmers unter dem Gesichtspunkt von Treu und Glauben jedenfalls dann bejahen müsse, wenn der Betroffene nicht erkennen kann, dass die von ihm vermutete speichernde Stelle nur Auftragnehmer ist2. Diesen Grundsatz greift das Muster in Ziffer 11.1 Satz 2 und 3 auf und verpflichtet den Auftragnehmer generell, etwa an ihn herangetragene 1 BeckOK DatenschutzR/Schmidt-Wudy, § 6 Rz. 27. 2 Gola/Schomerus, § 6 BDSG Rz. 6.
196
|
Moos
Erläuterungen
Rz. 138 Teil 2 I
Ersuchen eines Betroffenen um Auskunft, Berichtigung, Löschung oder Sperrung der ihn betreffenden Daten unverzüglich an den Auftraggeber weiterzuleiten und nur auf entsprechende Einzelweisung mit dem Betroffenen in Kontakt zu treten und ihm Auskünfte zu erteilen.
d) Unterstützung durch den Auftragnehmer (Ziffer 11.2) Hinter der Regelungsvorgabe in § 11 Abs. 2 Nr. 4 BDSG steht die Notwendigkeit, dass der Auftraggeber jederzeit die effektive Möglichkeit haben muss, seinen etwaigen gesetzlichen Verpflichtungen auf Berichtigung, Sperrung oder Löschung von Daten der Betroffenen nach §§ 6, 20, 35 BDSG nachzukommen1. Im Falle der Auftragsdatenverarbeitung kann es deshalb sein, dass der Auftraggeber zur Erfüllung dieser Verpflichtungen auf die Unterstützung des Auftragnehmers angewiesen ist, weil er für sich z.B. nicht über alle für eine Auskunft notwendigen Informationen verfügt oder eine Löschung in den Systemen des Auftragnehmers nicht selbst vornehmen kann. Ziffer 11.2 des Musters verpflichtet den Auftragnehmer zu entsprechenden Unterstützungshandlungen.
136
Für die Erteilung von Informationen über Art, Umfang und Zwecke der Datenverarbeitung ist in dem Muster eine Höchstfrist von fünf Werktagen vorgesehen. Der Wortlaut von § 34 BDSG gibt eine Frist zur Auskunftserteilung zwar nicht vor. Es ist jedoch anerkannt, dass sich der Auftraggeber mit einer Auskunftserteilung gegenüber dem Betroffenen nicht beliebig Zeit lassen kann. Überwiegend wird eine Regelfrist von vier Wochen angenommen2. Die dem Auftragnehmer zugestandene Reaktionszeit sollte deshalb wesentlich kürzer sein, um eine rechtzeitige Auskunftserteilung an den Betroffenen sicherzustellen.
e) Einzelweisungen des Auftraggebers (Ziffer 11.3) Nicht ganz klar ist, ob es ausreicht, die Berichtigung, Sperrung und Löschung von Daten durch den Auftragnehmer überhaupt zu regeln, oder ob zusätzlich das Verfahren festzulegen ist, mit dem die entsprechenden Ansprüche der Betroffenen umgesetzt werden3. Das Muster sieht in Ziffer 11.3 insoweit eine weitgehende Verpflichtung des Auftragnehmers zur Berichtigung, Sperrung und Löschung der Daten auf Weisung des Auftraggebers vor. Es gibt dem Auftragnehmer zwar nicht explizit vor, auf welchem Wege die Berichtigung, Sperrung oder Löschung zu erfolgen hat (etwa mithilfe welcher technischer oder manueller Verfahren); es lässt dem Auftragnehmer somit die Wahl der Mittel. Es wird aber festgeschrieben, dass der Auftragnehmer die Berichtigung, Sperrung und Löschung auf Einzelweisung vorzunehmen hat.
137
Es ist dabei sicherzustellen, dass der Auftraggeber entsprechenden Ansprüchen der Betroffenen rasch entsprechen kann4. Aus diesem Grund ist auch hier eine
138
1 2 3 4
BeckOK DatenschutzR/Spoerr, § 11 Rz. 104. BeckOK DatenschutzR/Schmidt-Wudy, § 34 Rz. 106. Für eine Festlegung des Verfahrens Hoeren, DuD 2010, 688 (689). Kongehl/Koch, Datenschutz-Management, Gruppe 2.26, S. 17.
Moos
|
197
Teil 2 I
Rz. 139
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
Höchstfrist von fünf Werktagen vorgesehen, die gewährleisten soll, dass der Auftragnehmer rechtzeitig tätig wird. § 35 BDSG normiert keine spezifische Frist, in der eine Berichtigung, Sperrung oder Löschung erfolgt sein muss, so dass entsprechende Ansprüche der Betroffenen nach § 271 BGB grundsätzlich sofort zu erfüllen wären1. Der verantwortlichen Stelle ist richtigerweise aber eine gewisse Zeit zur Prüfung der Ansprüche und zur Umsetzung des Verlangens zu gewähren2.
12. Erläuterungen zu Ziffer 12 139
E 12. Auskunft an Dritte Soweit der Auftragnehmer aufgrund gesetzlicher Bestimmungen Dritten Auskunft über Auftraggeber-Daten erteilen muss, ist der Auftragnehmer verpflichtet, den Auftraggeber rechtzeitig vor Auskunftserteilung über Empfänger, Zeitpunkt und Inhalt der zu erteilenden Auskunft und deren Rechtsgrundlage schriftlich zu informieren.
140
Es besteht die Möglichkeit, dass der Auftragnehmer gesetzlich zur Erteilung von Auskünften an einen Dritten verpflichtet ist. Das könnten z.B. Behörden sein, die im Rahmen von Verwaltungsverfahren die Erteilung bestimmter Auskünfte verlangen können. In jüngster Zeit sind vor allem Auskünfte bzw. sogar direkte Datenzugriffe durch (ausländische) Ermittlungsbehörden auch auf Datenbestände bei Auftragsdatenverarbeitern datenschutzrechtlich kritisch gewürdigt worden3. Als Mindestschutz sieht das Muster in Ziffer 12 eine Informationspflicht des Auftragnehmers vor, falls ein Dritter Auskunft über Daten des Auftraggebers begehrt. Je nach Art und Gegenstand des Auskunftsverlangens und der Identität der Auskunft ersuchenden Stelle wird der Auftraggeber dadurch in die Lage versetzt, dem Auftragnehmer etwaige Einzelweisungen bezüglich der Reaktion auf das Auskunftsersuchen zu erteilen. Bei Anfragen ausländischer Sicherheitsbehörden käme z.B. eine Berufung auf die Datenschutzvorschriften als „blocking statute“ in Betracht4.
13. Erläuterungen zu Ziffer 13 141
E 13. Rückgabe und Löschung überlassener Daten 13.1 Dem Auftragnehmer ist es untersagt, nach Beendigung dieses Vertrags Auftraggeber-Daten aktiv zu erheben und zu verwenden; nur eine weitere Speicherung der Auftraggeber-Daten bleibt zugelassen, bis der Auftragnehmer diese Auftraggeber-Daten bestimmungsgemäß an den Auftraggeber herausgegeben oder sie gelöscht oder vernichtet hat; in diesem Fall gelten die Bestimmungen dieses Vertrags auch nach Beendigung 1 Taeger/Gabel/Kamlah, § 35 BDSG Rz. 15. 2 Kamlah hält eine Frist von vier Wochen für noch angemessen: Taeger/Gabel/Kamlah, § 35 BDSG Rz. 15. 3 Vgl. Voigt/Klein, ZD 2013, 16 (17 f.). 4 Voigt/Klein, ZD 2013, 16 (20).
198
|
Moos
Erläuterungen
Rz. 142 Teil 2 I
des Vertrags bis zu dem Zeitpunkt weiter, in dem der Auftragnehmer über keinerlei Auftraggeber-Daten mehr verfügt. 13.2 Der Auftragnehmer hat sämtliche ihm vom Auftraggeber überlassenen sowie sämtliche im Zuge der Vertragsdurchführung hinzugewonnenen Auftraggeber-Daten und alle Verarbeitungs- und Nutzungsergebnisse hieraus vollständig und unwiederbringlich zu löschen bzw. zu vernichten, sobald ihre Kenntnis für die Erfüllung des Zwecks der jeweiligen Erhebung und Verwendung nicht mehr erforderlich ist, spätestens jedoch nach Beendigung der vertragsgegenständlichen Leistungserbringung. 13.3 Mindestens 18 Werktage vor jeder Löschung oder Vernichtung nach Ziffer 13.2 hat der Auftragnehmer den Auftraggeber unter detaillierter Angabe der betroffenen Auftraggeber-Daten und Ergebnisse schriftlich über die bevorstehende Löschung bzw. Vernichtung zu informieren. Der Auftraggeber kann innerhalb dieser Frist vom Auftragnehmer die Herausgabe der von der Löschung bzw. Vernichtung betroffenen Auftraggeber-Daten und Ergebnisse verlangen oder ihn anweisen, die Löschung/ Vernichtung nicht vorzunehmen. 13.4 Soweit Auftraggeber-Daten auf Datenträgern enthalten sind, sind diese Datenträger mindestens gemäß Sicherheitsstufe 3 der DIN 66399 „Büro und Datentechnik – Vernichten von Datenträgern“ zu vernichten; soweit Datenträger besondere Arten personenbezogener Daten enthalten, sind diese mindestens gemäß Sicherheitsstufe 4 der DIN 66399 „Büro und Datentechnik – Vernichten von Datenträgern“ zu vernichten. 13.5 Die Bestimmungen der Ziffern 13.2–13.4 gelten auch für Vervielfältigungen der Auftraggeber-Daten (insbesondere Archivierungs- und Sicherungsdateien) in allen Systemen des Auftragnehmers sowie für Test- und Ausschussdaten. 13.6 Über jede Löschung und Vernichtung von Auftraggeber-Daten hat der Auftragnehmer ein schriftliches Protokoll zu erstellen, das dem Auftraggeber auf Verlangen unverzüglich vorzulegen ist. 13.7 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Erhebung und Verwendung von Auftraggeber-Daten dienen, sind durch den Auftragnehmer für eine Dauer von zehn Jahren nach Vertragsende aufzubewahren und dem Auftraggeber auch nach Vertragsende auf Verlangen in Kopie herauszugeben.
a) Ratio Ziffer 13 regelt den Umgang mit den Auftraggeber-Daten nach Erfüllung der Vertragszwecke. Insbesondere macht die Vorschrift Vorgaben zur Löschung der Daten und setzt damit die Anforderungen gem. § 11 Abs. 2 Satz 2 Nr. 10 BDSG um.
Moos
|
199
142
Teil 2 I
Rz. 143
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
b) Datenumgang nach Vertragsbeendigung (Ziffer 13.1) 143
Oftmals kommt es in der Praxis vor, dass der Auftragsdatenverarbeitungsvertrag zwar beendet ist, die Daten aber noch nicht vollständig an den Auftraggeber herausgegeben worden sind. Ziffer 13.1 regelt diesen Fall und die dem Auftragnehmer insoweit verbleibenden Befugnisse ausdrücklich. Vor allem stellt die Vorschrift klar, dass die Regelungen des Auftragsdatenverarbeitungsvertrags so lange fortgelten, bis der Auftragnehmer tatsächlich über keinerlei Auftraggeber-Daten mehr verfügt und die Auftragsdatenverarbeitung damit de facto beendet ist.
c) Datenlöschung und Datenrückgabe (Ziffer 13.2–13.5) 144
§ 11 Abs. 2 Satz 2 Nr. 10 BDSG verlangt, dass in dem Auftragsdatenverarbeitungsvertrag die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags festgelegt werden. In diesem Sinne sollen in dem Auftragsdatenverarbeitungsvertrag Festlegungen enthalten sein, was wann zurückzugeben und was wie zu löschen bzw. zu vernichten (elektronische Datenträger, Papierunterlagen) ist1.
aa) Löschpflicht (Ziffer 13.2) 145
Diese Vorgabe wird in Ziffer 13.2 des Musters umgesetzt, wobei zugunsten des Auftraggebers eine möglichst frühzeitige Löschung verlangt wird; nämlich nicht erst bei Auftragsbeendigung, sondern bereits dann, wenn ihre Kenntnis für die Erfüllung des Zwecks nicht mehr erforderlich ist.
bb) Ankündigung der Löschung (Ziffer 13.3) 146
Der Auftraggeber sollte sich ausreichend davor schützen, dass der Auftragnehmer in vorauseilendem Gehorsam Daten löscht, ohne dass der Auftraggeber im Bedarfsfall die Daten auf seinen Systemen gesichert hat. Andernfalls kann es passieren, dass Daten, die der Auftraggeber weiterhin benötigt, unwiederbringlich verloren sind. Um solche vom Auftraggeber ungewollten Löschungen zu vermeiden, sieht das Muster in Ziffer 13.3 eine Verpflichtung des Auftragnehmers vor, Datenlöschungen mindestens 18 Werktage vorher schriftlich anzukündigen. Auf diese Weise erhält der Auftraggeber die Gelegenheit, durch Einzelweisungen Einfluss auf die Löschung zu nehmen und ggf. vorher die Herausgabe einer Kopie des Datenbestandes zu verlangen. Diese Vorgehensweise ist vor allem für singuläre Löschungen sinnvoll. Kommt es aufgrund des spezifischen Verarbeitungsszenarios jedoch vor, dass Auftraggeber-Daten von dem Auftragnehmer in kurzen Abständen regelmäßig gelöscht werden (etwa tageweise), wäre ein solches Verfahren freilich nicht mehr praktikabel.
1 Bayerisches Landesamt für Datenschutzaufsicht, Auftragsdatenverarbeitung nach § 11 BDSG – Gesetzestext mit Erläuterungen, Stand: Mai 2013, S. 7.
200
|
Moos
Erläuterungen
Rz. 149 Teil 2 I
cc) Vernichtung von Datenträgern (Ziffer 13.4) Die Löschung ist in § 3 Abs. 4 Nr. 5 BDSG definiert als das Unkenntlichmachen gespeicherter personenbezogener Daten. Das Unkenntlichmachen ist jede Handlung, die dazu führt, dass Daten nicht mehr zur Kenntnis genommen und Informationen nicht länger aus gespeicherten Daten gewonnen werden können1. Für die Vernichtung von Papierdokumenten und Datenträgern ist zu beachten, dass sie nicht durch den Papierkorb und die allgemeine Müllabfuhr beseitigt werden dürfen2, sondern nach DIN 66399 (Büro und Datentechnik – Vernichtung von Datenträgern) vernichtet werden müssen3. Die DIN 66399 hat die mittlerweile veraltete DIN 32757–1 ersetzt und unterscheidet insgesamt sechs Arten von Datenträgern, deren datenschutzgerechte Vernichtung sie regelt:
147
– P – Informationsdarstellung in Originalgröße (z.B. Papier, Film und Druckplatten), – F – Informationsdarstellung verkleinert (z.B. Mikrofilme, Folien), – O – Informationsdarstellung auf optischen Datenträgern (z.B. CD/DVD), – T – Informationsdarstellung auf magnetischem Datenträger (z.B. Disketten, magnetische Ausweiskarten, Magnetbänder), – H – Informationsdarstellung auf Festplatten mit magnetischem Datenträger und – E – Informationsdarstellung auf elektronischen Datenträgern (z.B. USB-Sticks, Chipkarten). Zu jeder dieser Datenträgerkategorien sieht die DIN 66399 jeweils sieben verschiedene Sicherheitsstufen für die Vernichtung vor. Ziffer 13.4 schreibt dem Auftragnehmer für „normale“ personenbezogene Daten eine Vernichtung nach Sicherheitsstufe 3 und für besondere Arten personenbezogener Daten eine Vernichtung nach Sicherheitsstufe 4 vor, was den Anforderungen der Datenschutzaufsichtsbehörden genügt4.
dd) Erstreckung auf alle Vervielfältigungen (Ziffer 13.5) Ziffer 13.5 stellt klar, dass sich die Datenlöschung nicht nur auf das Produktivsystem des Auftragnehmers bezieht, sondern auch für alle in sonstigen Systemen gespeicherten Daten (z.B. in Test- und Archivierungssystemen) und alle sonstigen Vervielfältigungen gilt.
148
d) Protokollierung der Löschung (Ziffer 13.6) Es wird vertreten, dass es den Anforderungen von § 11 Abs. 2 Satz 2 Nr. 10 BDSG nicht genüge, lediglich die Pflicht zur Datenlöschung zu vereinbaren; es 1 2 3 4
BeckOK DatenschutzR/Schild, § 3 Rz. 86. BeckOK DatenschutzR/Schild, § 3 Rz. 86. S. hierzu auch die Erläuterungen in Teil 2 IV Rz. 24 ff. Vgl. Teil 2 IV Rz. 26.
Moos
|
201
149
Teil 2 I
Rz. 150
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
solle außerdem erforderlich sein, dass der Auftragnehmer die Löschung bestätigt und ggf. auch eidesstattlich versichert1. In Ziffer 13.6 ist eine solche Verpflichtung des Auftragnehmers, Löschungen zu protokollieren und die Protokolle dem Auftraggeber auf Verlangen vorzulegen, vorgesehen.
e) Aufbewahrung von Nachweisen (Ziffer 13.7) 150
Die Löschpflicht nach Ziffer 13.1 soll sich nicht auf Dokumentationen beziehen, die dem Nachweis der auftrags- und ordnungsgemäßen Erhebung und Verwendung von Auftraggeber-Daten dienen. Der Auftraggeber hat ein Interesse daran, dass der Auftragnehmer die Vertrags- und Datenschutzkonformität seines Handelns auch nach Vertragsbeendigung noch belegen kann; etwa wenn im Nachhinein Anfragen von Betroffenen oder Untersuchungen von Aufsichtsbehörden erfolgen. Ziffer 13.7 verpflichtet den Auftragnehmer vor diesem Hintergrund, solche Dokumentationen auch noch für einen definierten Zeitraum nach Vertragsende aufzubewahren und sie dem Auftraggeber auf Verlangen in Kopie herauszugeben.
14. Erläuterungen zu Ziffer 14 151
E 14. Vertragsdauer und Kündigung 14.1 Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Die Regelungen zur ordentlichen Kündigung des Hauptvertrags gelten entsprechend. 14.2 Der Auftraggeber ist zu einer jederzeitigen außerordentlichen Kündigung dieses Vertrags sowie des Hauptvertrags aus wichtigem Grund berechtigt. Ein wichtiger Grund liegt für den Auftraggeber insbesondere vor, wenn 14.2.1 der Auftragnehmer gegen eine wesentliche Pflicht aus diesem Vertrag verstößt, 14.2.2 der Auftragnehmer die Auftraggeber-Daten für andere als nach Ziffer 2.2 zugelassene Zwecke verwendet, 14.2.3 eine Weisung des Auftraggebers nach Ziffer 3 dieses Vertrags nicht oder nur teilweise ausführt, 14.2.4 der Auftragnehmer die Ausübung der Kontrollrechte des Auftraggebers nach Ziffer 9 dieses Vertrags verweigert oder nicht nur unerheblich behindert oder 14.2.5 der Auftragnehmer Unterauftragnehmer entgegen Ziffer 10.1 ohne vorherige schriftliche Zustimmung des Auftragnehmers einschaltet. 14.3 Der Hauptvertrag darf im Falle einer Beendigung dieses Vertrags nur fortgeführt werden, wenn ausgeschlossen ist, dass der Auftragnehmer 1 Hoeren, DuD 2010, 688 (691).
202
|
Moos
Erläuterungen
Rz. 155 Teil 2 I
Auftraggeber-Daten verwendet oder darauf zugreift. Im Zweifel gilt eine Kündigung des Hauptvertrags auch als eine Kündigung dieses Vertrags und gilt eine Kündigung dieses Vertrags auch als Kündigung des Hauptvertrags.
a) Ratio In Ziffer 14 sind die Regelungen zur Dauer des Auftrags und zur Kündigung enthalten. Insbesondere schreiben sie zugunsten des Auftraggebers bestimmte Kündigungsgründe fest, bei deren Eintreten er sich von dem Auftragsdatenverarbeitungsvertrag – und ggf. dem Hauptvertrag – aus wichtigem Grund lösen darf.
152
b) Dauer des Auftrags (Ziffer 14.1) Bei Auftragsdatenverarbeitungen handelt es sich in der Regel um Dauerschuldverhältnisse1. Nach § 11 Abs. 2 Satz 2 Nr. 2 BDSG muss deshalb die Dauer der Auftragsdatenverarbeitung festgelegt werden. Das bedeutet nicht, dass der Auftrag per se nur befristet erteilt werden darf. Auch Verträge mit unbefristeter Laufzeit sind zulässig2. Erforderlich ist dann nur eine Beendigungsmöglichkeit durch ordentliche Kündigung3. Alternativ ist auch eine Festlaufzeit zulässig, während der eine ordentliche Kündigung ausgeschlossen ist. Das Muster verweist bzgl. der Vertragsdauer in Ziffer 14.1 auf den Hauptvertrag, damit ein Gleichlauf von Hauptvertrag und Auftragsdatenverarbeitung sicher gestellt ist. In dem Hauptvertrag müssen dann freilich auch entsprechende Laufzeitregelungen enthalten sein.
153
c) Kündigung des Auftragsdatenverarbeitungsvertrags (Ziffer 14.1–14.3) aa) Ordentliche Kündigung (Ziffer 14.1) In Ziffer 14.1 Satz 2 ist eine Regelung zur ordentlichen Kündigung des Auftragsdatenverarbeitungsvertrags enthalten, die sich freilich ebenfalls in einem Verweis auf die Kündigungsregelungen des Hauptvertrags erschöpft. Üblich sind beidseitige Rechte zur ordentlichen Kündigung, die eine Kündigungsfrist von zumeist mehreren Monaten vorsehen. Je nach Art der übertragenen Leistung kann dem Auftraggeber auch daran gelegen sein, dem Auftragnehmer ein ordentliches Kündigungsrecht nicht zuzugestehen. Hier ist im Einzelfall eine auftragsspezifische Festlegung sinnvoll.
154
bb) Außerordentliche Kündigung (Ziffer 14.2–14.3) Nach § 314 BGB besteht von Gesetzes wegen ein Recht zur außerordentlichen Kündigung eines Dauerschuldverhältnisses aus wichtigem Grund, welches in den allermeisten Fällen auch auf den Auftragsdatenverarbeitungsvertrag an1 Hoeren, DuD 2010, 688 (689). 2 Simitis/Petri, § 11 BDSG Rz. 66; Taeger/Gabel/Gabel, § 11 BDSG Rz. 42; Bayerisches Landesamt für Datenschutzaufsicht, Auftragsdatenverarbeitung, S. 4. 3 BeckOK DatenschutzR/Spoerr, § 11 Rz. 100.
Moos
|
203
155
Teil 2 I
Rz. 156
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
wendbar sein dürfte. Ein Ausschluss dieses Kündigungsrechts ist nicht möglich. Es ist deshalb empfehlenswert, in dem Auftragsdatenverarbeitungsvertrag festzulegen, welche Verstöße des Auftragnehmers einen wichtigen Grund zur außerordentlichen Kündigung darstellen1. Ziffer 14.2 des Musters bestätigt diese Rechtslage ausdrücklich im Hinblick auf das Kündigungsrecht des Auftraggebers und legt beispielhaft folgende Verhaltensweisen des Auftragnehmers als wichtige Gründe fest, die eine Kündigung des Auftraggebers gestatten: – einen Verstoß des Auftragnehmers gegen eine wesentliche Vertragspflicht, – die Verwendung der Auftraggeber-Daten für andere als nach Ziffer 2.2 zugelassene Zwecke, – die ganz oder teilweise Nichtausführung einer Weisung des Auftraggebers nach Ziffer 3 des Vertrags, – die Verweigerung oder Behinderung der vom Auftraggeber nach Ziffer 10 des Vertrags ausgeführten Kontrollen und – die Einschaltung von Unterauftragnehmern ohne vorherige schriftliche Zustimmung des Auftraggebers. Diese Beispiele sollen besonders gravierende Pflichtverletzungen des Auftragnehmers explizit erfassen. Denkbar ist es natürlich, andere oder weitere Vertragspflichten in diese Aufzählung aufzunehmen. Ein Auftraggeber, der erhebliche Imageschäden durch eine Datenpanne befürchten muss, wird z.B. bestimmte Verstöße gegen die Informations- oder Mitwirkungspflichten bei Datensicherheitsverletzungen als wichtigen Grund festgeschrieben wissen wollen.
cc) Gleichlauf mit Hauptvertrag (Ziffer 14.4) 156
Generell ist darauf zu achten, dass bezüglich der Kündigung ein Gleichlauf mit dem Hauptvertrag gegeben ist, weil der Hauptvertrag ohne die entsprechenden Datenverwendungen in der Regel nicht durchgeführt werden kann und deshalb bei einer isolierten Kündigung des Auftragsdatenverarbeitungsvertrags die Gefahr besteht, dass die Datenverwendungen – dann nicht hinreichend datenschutzrechtlich abgesichert – zur Durchführung des ungekündigten Hauptvertrags weiter laufen2. Diese Problematik wird durch die Regelung in Ziffer 14.4 vermieden. Danach darf der Hauptvertrag im Falle einer Beendigung des Auftragsdatenverarbeitungsvertrags nur fortgeführt werden, wenn ausgeschlossen ist, dass der Auftragnehmer Auftraggeber-Daten verwendet oder darauf zugreift. Das mag z.B. der Fall sein, wenn der Auftraggeber auf eine Blackbox-Verarbeitung umstellt, so dass die Daten für den Auftragnehmer nicht mehr personenbezogen und deshalb eine Auftragsdatenverarbeitungsvereinbarung entbehrlich ist. Um allerdings zu vermeiden, dass „aus Nachlässigkeit“ nur einer der beiden Verträge gekündigt wird und daraus eine datenschutzwidrige Verarbeitung entsteht, sieht Ziffer 14.4 Satz 2 vor, dass eine Kündigung eines der beiden Verträge im Zweifel auch als eine Kündigung des jeweils anderen gelten 1 Taeger/Bergt, Law as a Service (LaaS), S. 37 (43). 2 Plath/Plath, § 11 BDSG Rz. 99.
204
|
Moos
Erläuterungen
Rz. 159 Teil 2 I
soll. Auch in diesem Punkt ist regelmäßig eine Abstimmung der Formulierungen mit dem Hauptvertrag notwendig, weil dieser typischerweise eigenständige Regelungen zur Kündigung aus wichtigem Grund enthalten wird.
15. Erläuterungen zu Ziffer 15 157
E 15. Haftung und Vertragsstrafe 15.1 Für Schäden des Auftraggebers durch schuldhafte Verstöße des Auftragnehmers gegen diesen Vertrag sowie gegen die ihn treffenden gesetzlichen Datenschutzbestimmungen gelten die gesetzlichen Haftungsregelungen. Etwaige Haftungsbegrenzungen zwischen den Parteien (z.B. aus dem Hauptvertrag) finden diesbezüglich keine Anwendung. Soweit Dritte Ansprüche gegen den Auftraggeber wegen der Verletzung datenschutzrechtlicher Vorschriften geltend machen, die ihre Ursache in der vertragswidrigen Erhebung oder Verwendung von AuftraggeberDaten haben, stellt der Auftragnehmer den Auftraggeber von diesen Ansprüchen auf erstes Anfordern frei. 15.2 Der Auftragnehmer trägt die Beweislast dafür, dass etwaige Schäden nicht auf einem von ihm zu vertretenden Umstand beruhen, soweit die Schadensursache in der Erhebung oder Verwendung von AuftraggeberDaten nach diesem Vertrag besteht. Die Regelung des § 7 Satz 2 BDSG gilt entsprechend. 15.3 Im Falle eines schuldhaften Verstoßes gegen eine der Verpflichtungen aus Ziffer 2.1 bis 2.3, Ziffer 3.1, Ziffer 6, Ziffer 7.1, Ziffer 8.1, Ziffer 9.2, Ziffer 10.1 und Ziffer 13.2 dieses Vertrags wird pro Verstoß eine von dem Auftragnehmer an den Auftraggeber zu zahlende Vertragsstrafe in Höhe von […] Euro fällig.
a) Ratio Ziffer 15 enthält Regelungen zur Haftungsverteilung zwischen Auftraggeber und Auftragnehmer und begründet die Verpflichtung des Auftragnehmers zur Zahlung einer Vertragsstrafe bei bestimmten Vertragsverstößen.
158
b) Haftung des Auftragnehmers und Haftungsfreistellung (Ziffer 15.1) Typischerweise werden in dem Hauptvertrag zwischen Auftraggeber und Auftragnehmer übliche Haftungsklauseln vereinbart sein, die zumeist auch eine bestimmte Begrenzung der Haftung des Dienstleisters (z.B. abhängig vom Grad des Verschuldens oder auf einen bestimmten Höchstbetrag) vorsehen. Nach Ziffer 15.1 Satz 1 sollen solche Haftungsbegrenzungen nicht für Schäden des Auftraggebers durch schuldhafte Verstöße des Auftragnehmers gegen die Festlegungen des Auftragsdatenverarbeitungsvertrags sowie gegen direkt auf ihn anwendbare gesetzliche Datenschutzbestimmungen gelten. Als verantwortliche Stelle i.S.v. § 3 Abs. 7 BDSG steht der Auftraggeber nach außen für die Datenschutzkonformität des Datenumgangs – auch soweit der Moos
|
205
159
Teil 2 I
Rz. 160
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
durch den Auftragnehmer erfolgt – ein und haftet dem Betroffenen nach § 7 BDSG auf Schadensersatz. Der Auftraggeber sollte deshalb darauf dringen, im Innenverhältnis eine abweichende Risikoverteilung vorzusehen1. Dies erfolgt in Ziffer 15.1 Satz 2 des Musters. Für den Fall, dass der Auftraggeber von einem Dritten wegen eines Datenschutzverstoßes in Anspruch genommen wird, der seine Ursache in einem vertragswidrigen Umgang des Auftragnehmers mit den Auftraggeber-Daten hat, muss der Auftragnehmer den Auftraggeber nach dieser Regelung von allen solchen Ansprüchen freistellen. Durch die Formulierung „auf erstes Anfordern“ wird erreicht, dass Einreden und Einwendungen des Auftragnehmers gegen den Freistellungsanspruch ausgeschlossen sind.
c) Beweislast (Ziffer 15.2) 160
In der Literatur wird empfohlen, für Datenschutzverstöße im Zusammenhang mit der Auftragsdatenverarbeitung eine Beweislastumkehr zugunsten des Auftraggebers vorzusehen2. Eine solche Regelung findet sich in Ziffer 15.2 des Musters. Danach hat der Auftragnehmer zu beweisen, dass etwaige Schäden einschließlich Ansprüche Dritter aus dem Umgang mit den AuftraggeberDaten nicht von ihm zu vertreten sind. Die Klausel ordnet insoweit eine entsprechende Geltung von § 7 Satz 2 BDSG an, der eine entsprechende Beweislastumkehr hinsichtlich des Verschuldens bei Schadensersatzansprüchen der Betroffenen gegenüber der verantwortlichen Stelle festschreibt.
d) Vertragsstrafe (Ziffer 15.3) 161
Vertragsstrafen können ein Instrument sein, um die tatsächliche Befolgung der gesetzlichen und vertraglichen Vorgaben und der Weisungen des Auftraggebers durch den Auftragnehmer sicherzustellen. Das Risiko eines auftragswidrigen Umgangs mit personenbezogenen Daten, dem durch die Vereinbarung einer Vertragsstrafe entgegen gewirkt werden sollte, sehen die Aufsichtsbehörden u.a. bei Cloud-Anbietern, bei denen eine erhöhte Gefahr bestehe, dass diese z.B. Weisungen des Cloud-Anwenders missachten oder die Auftraggeber-Daten vertragswidrig für eigene Geschäftszwecke verarbeiten und nutzen könnten3. Die Vertragsstrafenregelung in Ziffer 15.3 ist zugunsten des Auftraggebers breiter angelegt und belegt nicht nur Verstöße gegen die Zweckbindung mit einer Vertragsstrafe, sondern auch weitere Verstöße gegen bestimmte, als besonders vertragswesentlich eingestufte Pflichten. Die Möglichkeit der Vereinbarung einer solchen Vertragsstrafenregelung ist maßgeblich von der Verhandlungsposition des Auftraggebers abhängig. Entsprechende Regelungen finden sich mittlerweile aber recht häufig in Auftragsdatenverarbeitungsverträgen.
1 Plath/Plath, § 11 BDSG Rz. 41. 2 Kongehl/Koch, Datenschutz-Management, Gruppe 2.26, S. 20. 3 Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0, Stand 26.9.2011, S. 8.
206
|
Moos
Erläuterungen
Rz. 166 Teil 2 I
16. Erläuterungen zu Ziffer 16 E 16. Schlussbestimmungen
162
16.1 Änderungen, Ergänzungen und die Aufhebung dieses Vertrags bedürfen der Schriftform. Gleiches gilt für eine Änderung oder Aufhebung des Schriftformerfordernisses. 16.2 Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und den Anforderungen des § 11 BDSG am besten gerecht wird. 16.3 Im Fall von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieses Vertrags vor.
a) Ratio Ziffer 16 enthält die üblichen Schlussbestimmungen.
163
b) Schriftformerfordernis (Ziffer 16.1) Ziffer 16.1 schreibt für alle Vertragsänderungen und -ergänzungen und auch eine Aufhebung des Vertrags Schriftform vor. Auch wenn eine solche Regelung ohnehin auch bei anderen Vertragsarten allgemein üblich ist, hat sie hier eine besondere Rechtfertigung, weil nach § 11 Abs. 2 Satz 2 BDSG für den Auftragsdatenverarbeitungsvertrag schon von Gesetzes wegen Schriftform i.S.d. § 126 BGB gefordert ist1.
164
c) Salvatorische Klausel (Ziffer 16.2) Ziffer 16.2 enthält eine salvatorische Klausel, wonach im Falle der Unwirksamkeit einer einzelnen Vertragsregelung der restliche Vertrag wirksam bleiben soll. Bei der ebenfalls verankerten Verpflichtung der Parteien, die unwirksame Regelung durch eine wirksame zu ersetzen, ist als besondere Gestaltungsanforderung in Satz 2 vorgegeben, dass diese Ersatzregelung nicht nur dem Zweck der unwirksamen Regelung möglichst nahe kommen, sondern auch den gesetzlichen Anforderungen des § 11 BDSG möglichst optimal gerecht werden soll.
165
d) Vorrangregelung (Ziffer 16.3) Werden die Regelungen zur Auftragsdatenverarbeitung – wie hier – in eine von dem Hauptvertrag separierte Vereinbarung aufgenommen, ist sicherzustellen, 1 Vgl. nur BeckOK DatenschutzR/Spoerr, § 11 Rz. 88.
Moos
|
207
166
Teil 2 I
Rz. 166
Auftragsdatenverarbeitungsvertrag – auftraggeberfreundlich
dass in dem Hauptvertrag keine widersprechenden Regelungen enthalten sind1. Ziffer 16.3 des Musters ordnet in diesem Sinne im Falle von Widersprüchen ausdrücklich den Vorrang des Auftragsdatenverarbeitungsvertrags an. Zusätzlich muss darauf geachtet werden, dass in dem Hauptvertrag selbst keine abweichende Regelung enthalten ist, die ihrerseits einen Vorrang des Hauptvertrags vorsieht.
1 BeckOK DatenschutzR/Spoerr, § 11 Rz. 88.
208
|
Moos
II. Allgemeiner Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich Literaturverzeichnis: Arbeitskreis Technik und Medien der Konferenz der Datenschutz-
beauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0, Stand 26.9.2011; Bamberger/Roth, Beck’scher Online-Kommentar BGB, Edition 28, Stand: 1.8.2013 (zit.: BeckOK BGB/Bearbeiter); Bayerisches Landesamt für Datenschutzaufsicht, Auftragsdatenverarbeitung nach § 11 BDSG – Gesetzestext mit Erläuterungen, Stand: Mai 2013; Bierekoven, Aktuelle Entwicklungen zur Auftragsdatenverarbeitung, ITRB 2012, 280; Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM), Mustervertragsanlage zur Auftragsdatenverarbeitung, Version 3.0, 2009; Däubler/Klebe/Wedde/Weichert, Bundesdatenschutzgesetz, 3. Aufl. 2009; Der Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe Auftragsdatenverarbeitung, Stand: 24.2.2011; Gaul/Köhler, Mitarbeiterdaten in der Computer Cloud: Datenschutzrechtliche Grenzen des Outsourcing, BB 2011, 2229; Geppert/Schütz, Beck’scher TKG-Kommentar, 4. Aufl. 2013; Gola/Schomerus, BDSG, 11. Aufl. 2012; Hoeren, Dateneigentum – Versuch einer Anwendung von § 303a StGB im Zivilrecht, MMR 2013, 486; Hoeren, Das neue BDSG und die Auftragsdatenverarbeitung, DuD 2010, 688; Kaufmann, Google Analytics: Datenschutzbehörden verlangen unhaltbare Verträge von deutschen Site-Betreibern, ZD-Aktuell 2012, 02945; Moos, Software-Lizenzaudits – Wirksamkeit und Umfang gesetzlicher und vertraglicher Pflichten zur Lizenzüberprüfung, CR 2006, 797; Moos, Die EU-Standardvertragsklauseln für Auftragsverarbeiter 2010, CR 2010, 281; Müglich, Datenschutzrechtliche Anforderungen an die Vertragsgestaltung beim eShop-Hosting – Anspruch, Wirklichkeit und Vollzugsdefizit, CR 2009, 479; Plath, BDSG, 2013; Redeker, Handbuch der IT-Verträge, 1. Aufl. 2007, Stand: Juni 2013; Schmitz, Telefonanlagenfunktionen „im Netz“ des TK-Providers, ZD 2011, 104; Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2011; Splittgerber/Rockstroh, Sicher durch die Cloud navigieren – Vertragsgestaltung beim Cloud Computing, BB 2011, 2179; Taeger, Law as a Service (LaaS) – Recht im Internet- und Cloud-Zeitalter, 2013; Taeger/Gabel, BDSG, 2010; Vander, Auftragsdatenverarbeitung 2.0? – Neuregelungen der Datenschutznovelle II im Kontext von § 11 BDSG, K&R 2010, 292; Weitnauer, Beck’sches Formularbuch IT-Recht, 3. Aufl. 2012; Wolff/Brink, Beck’scher Online-Kommentar Datenschutzrecht, Edition 5, Stand: 1.8.2013 (zit.: BeckOK DatenschutzR/Bearbeiter).
A. Einleitung I. Verwendung des Vertragsmusters Bei dem nachfolgend erläuterten Vertragsmuster handelt es sich um einen Auftragsdatenverarbeitungsvertrag i.S.v. § 11 BDSG. Es dient dazu, die gesetzlichen Anforderungen gem. § 11 Abs. 2 BDSG umzusetzen, wonach Auftragsdatenverarbeitungsverträge schriftlich abzufassen sind und in inhaltlicher Hinsicht Regelungen zu mindestens den in § 11 Abs. 2 Satz 2 BDSG im Einzelnen aufgelisteten Gegenständen enthalten müssen.
1
II. Auftragnehmerfreundlichkeit des Musters Das Vertragsmuster ist auftragnehmerfreundlich gestaltet, indem es (1) bei der Umsetzung der gesetzlichen Anforderungen aus § 11 Abs. 2 Satz 2 BDSG Moos
|
209
2
Teil 2 II Rz. 3
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
durchgehend versucht, nur die gesetzlich verlangten Mindestregelungen vorzusehen, und (2) zusätzliche, aus Auftragnehmersicht sinnvolle Regelungen aufnimmt, die von § 11 Abs. 2 BDSG nicht verlangt sind. 3
Gerade bei einer auftragnehmerfreundlichen Ausgestaltung des Auftragsdatenverarbeitungsvertrags ist besondere Vorsicht geboten. Weil nach § 43 Abs. 1 Nr. 2b BDSG eine Ordnungswidrigkeit begeht, wer entgegen § 11 Abs. 2 Satz 2 BDSG einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt, läuft der Auftraggeber Gefahr, einen Bußgeldtatbestand zu verwirklichen, wenn in dem Vertrag nur ein Minimalschutz vorgesehen ist. Vor allem weil der detaillierte 10-Punkte-Katalog in § 11 Abs. 2 Satz 2 BDSG nicht abschließend ist, besteht aus Sicht des Auftraggebers ein Risiko, dass eine Datenschutzaufsichtsbehörde zusätzliche oder andere Regelungen mit einem höheren Schutzniveau für notwendig hält, als sie in dem tatsächlich geschlossenen Vertrag enthalten sind und sie den Vertrag deshalb als „nicht vollständig“ oder den Auftrag als „nicht richtig“ erteilt ansieht. Beide Parteien sollten deshalb trotz aller Auftragnehmerfreundlichkeit der Vertragsregelungen darauf bedacht sein, dass der Vertrag nicht zu sehr „auf Kante genäht“ wird.
III. Ergänzungs-/Änderungsbedürftigkeit 4
Das nachfolgende Muster soll dabei einen allgemeinen Rahmen für Auftragsdatenverarbeitungen schaffen. Die Verwendung eines solchen „Musters“ im Sinne vorformulierter Standardvertragsregelungen ist für Auftragsdatenverarbeitungsverträge grundsätzlich datenschutzrechtlich zulässig. Auch wenn § 11 Abs. 2 BDSG eine Festlegung der Regelungsgegenstände „im Einzelnen“ verlangt, ist es nicht notwendig, dass der gesamte Auftragsdatenverarbeitungsvertrag ein „Individualvertrag“ ist1. Die auftragsspezifischen Festlegungen sollen in den vorgesehenen Anlagen zum Vertrag erfolgen. Für den Fall, dass besondere Anforderungen bestehen, die sich vor allem aus spezialgesetzlichen Vorschriften oder auch aus besonderen Verarbeitungssituationen ergeben können, wäre aus Auftraggebersicht sinnvollerweise ein Vertrag mit einem höheren Schutzniveau2 oder ein Muster mit verarbeitungsspezifischen Sonderregelungen3 der Vorzug zu geben.
IV. Stellung des Musters durch den Auftragsdatenverarbeiter 5
Es ist datenschutzrechtlich nicht zu beanstanden, wenn der Auftragsdatenverarbeitung ein von dem Auftragnehmer vorgelegtes Vertragsmuster zugrunde gelegt wird. In der Literatur wird zwar teilweise vertreten, dass die von § 11 BDSG verlangte Weisungsgebundenheit des Auftragnehmers nur erreicht wer1 So aber Kaufmann, ZD-Aktuell 2012, 02945. 2 Hierzu dient das Muster eines auftraggeberfreundlichen Auftragsdatenverarbeitungsvertrags in Teil 2 I. 3 Vgl. die kommentierten Muster einer Datenschutzvereinbarung Outsourcingvertrag in Teil 2 III, eines Vertrags zur Datenträger- und Aktenvernichtung in Teil 2 IV sowie eines Vertrags über die Durchführung von Webanalysen in Teil 3 IV.
210
|
Moos
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
Rz. 5 Teil 2 II
den könne, wenn in dem Auftragsdatenverarbeitungsvertrag durch den Auftraggeber selbst alle datenschutzrechtlichen Punkte festgelegt werden und ihm deshalb kein Mustervertrag „oktroyiert“ werden dürfe1. Das ist in dieser Pauschalität aber unzutreffend. Es sei auch nach anderen Stimmen in der Literatur ein Missverständnis, wenn man verlangen würde, dass die Detailausgestaltung vom Auftraggeber kommen müsse2. Richtig ist, dass die Festlegungen in dem Vertrag allein aufgrund ihrer zivilrechtlichen Verbindlichkeit eine hinreichende Weisungsgebundenheit erzeugen, und zwar unabhängig davon, von wem die Formulierung stammt. Solange Festlegungen zu allen von § 11 Abs. 2 BDSG verlangten Bereichen enthalten sind, ist die Autorenschaft der Regelungen unerheblich. Der Zwang zu einer auftraggeberseitigen Autorenschaft wird den Schutzzielen der Auftragsverarbeitung in einer arbeitsteiligen Wirtschaft nicht gerecht und würde eine standardisierte Auftragsdatenverarbeitung letztlich auch unmöglich machen3. Diese Sichtweise entspricht auch derjenigen der Artikel-29-Datenschutzgruppe: Sie erkennt ausdrücklich an, dass vor allem solche Dienstleister, die auf eine bestimmte Datenverarbeitung spezialisiert sind, häufig standardmäßige Dienstleistungen und Verträge festlegen, die von den für die Verarbeitung verantwortlichen Stellen zu unterzeichnen sind und so faktisch ein bestimmtes Standardverfahren für die im Auftrag erfolgende Datenverarbeitung definieren. Sie stellt sich aber gleichzeitig auf den Standpunkt, dass die verantwortliche Stelle die Vertragsbedingungen aus freien Stücken annimmt und damit für sie die volle Verantwortung übernimmt, so dass der Umstand, dass der Vertrag von dem Auftragnehmer und nicht von dem Auftraggeber gestaltet worden ist, die Rechtmäßigkeit der Auftragsdatenverarbeitung unberührt lässt4. Insbesondere berühre die Ausarbeitung der Vertragsbedingungen durch den Auftragnehmer nicht die Tatsache, dass der Auftraggeber in seiner Eigenschaft als verantwortliche Stelle über die wesentlichen Aspekte der Verarbeitung entscheidet5. Im Ergebnis ist es deshalb als zulässig anzusehen, wenn der Auftragsdatenverarbeitungsvertrag von dem Auftragnehmer im Sinne vorformulierter Bedingungen gestellt wird. Um die sich aus der Einheitlichkeit der Datenverarbeitung ergebenden Kostenvorteile zu erhalten, ist es für Dienstleister sogar empfehlenswert, selbst ein Vertragsmuster zu erstellen und allen Kunden den Vertragsabschluss auf dieser Basis anzubieten6.
1 Kaufmann, ZD-Aktuell 2012, 02945. 2 BeckOK DatenschutzR/Spoerr, § 11 Rz. 106; Taeger/Bergt, Law as a Service (LaaS), S. 37 (45). 3 BeckOK DatenschutzR/Spoerr, § 11 Rz. 106; Müglich, CR 2009, 479 (482 f.). 4 Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ vom 16.2.2010, WP 169, S. 32. 5 Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ vom 16.2.2010, WP 169, S. 32. 6 Taeger/Bergt, Law as a Service (LaaS), S. 37 (45).
Moos
|
211
Teil 2 II Rz. 6
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
V. Sonstige gesetzliche Anforderungen an eine Auftragsdatenverarbeitung 6
Wegen der sonstigen gesetzlichen Anforderungen und Gestaltungshinweise kann auf die Erläuterungen zu dem Muster eines auftraggeberfreundlichen Auftragsdatenverarbeitungsvertrags verwiesen werden1.
B. Muster 7
E Auftragsdatenverarbeitungsvertrag (auftragnehmerfreundlich) Vertrag über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Auftrag gemäß § 11 Bundesdatenschutzgesetz zwischen […] – nachfolgend „Auftraggeber“ genannt – und […] – nachfolgend „Auftragnehmer“ genannt – 1. Vertragsgegenstand Im Rahmen der Leistungserbringung nach dem Vertrag vom … [Datum] (nachfolgend „Hauptvertrag“ genannt) ist es erforderlich, dass der Auftragnehmer mit personenbezogenen Daten umgeht, für die der Auftraggeber als verantwortliche Stelle im Sinne der datenschutzrechtlichen Vorschriften fungiert (nachfolgend „Auftraggeber-Daten“ genannt). Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit dem Umgang des Auftragnehmers mit Auftraggeber-Daten zur Durchführung des Hauptvertrags. 2. Art, Umfang, Zweck und Laufzeit der Auftragsdatenverarbeitung 2.1 Der Auftragnehmer erhebt, verarbeitet und nutzt die Auftraggeber-Daten im Auftrag und nach Weisung des Auftraggebers i.S.v. § 11 BDSG (Auftragsdatenverarbeitung). Der Auftraggeber bleibt im datenschutzrechtlichen Sinn verantwortliche Stelle („Herr der Daten“). 2.2 Die Erhebung, Verarbeitung und Nutzung der Auftraggeber-Daten im Rahmen der Auftragsdatenverarbeitung erfolgt entsprechend den in Anlage 1 zu diesem Vertrag enthaltenen Festlegungen zu Art, Umfang und Zweck der Datenverarbeitung. Sie bezieht sich auf die in Anlage 1 festgelegte Art der Auftraggeber-Daten und den dort bestimmten Kreis der Betroffenen. 1 S. Teil 2 I Rz. 4 ff.
212
|
Moos
Vertragstext
Rz. 7 Teil 2 II
2.3 Der Auftragnehmer darf die Auftraggeber-Daten im Rahmen des datenschutzrechtlich Zulässigen für eigene Zwecke auf eigene Verantwortung verarbeiten und nutzen, wenn eine gesetzliche Erlaubnisvorschrift oder eine Einwilligungserklärung des Betroffenen das gestattet. Auf solche Datenverarbeitungen findet dieser Vertrag keine Anwendung. In jedem Fall darf der Auftragnehmer die Auftraggeber-Daten anonymisieren und in anonymisierter Form für eigene Zwecke verarbeiten und nutzen. 2.4 Die Erhebung, Verarbeitung und Nutzung der Auftraggeber-Daten findet grundsätzlich im Gebiet der Bundesrepublik Deutschland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Unabhängig davon, dass eine Erhebung, Verarbeitung oder Nutzung von Auftraggeber-Daten außerhalb des EWR möglicherweise nicht der Privilegierung des § 11 BDSG unterfällt, ist es dem Auftragnehmer gestattet, Auftraggeber-Daten unter Einhaltung der Bestimmungen dieses Vertrags auch außerhalb des EWR zu verarbeiten, wenn er den Auftraggeber vorab über den Ort der Datenverarbeitung informiert und ihm die Einhaltung der Sicherheitsmaßnahmen gemäß Ziffer 6 dieses Vertrags in geeigneter Form nachweist. 2.5 Die Laufzeit und Kündigung dieses Vertrags richtet sich nach den Bestimmungen zur Laufzeit und Kündigung des Hauptvertrags. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieses Vertrags. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen. 3. Weisungsbefugnisse des Auftraggebers 3.1 Der Auftragnehmer verwendet die Auftraggeber-Daten ausschließlich in Übereinstimmung mit den Weisungen des Auftraggebers, wie sie abschließend in den Bestimmungen dieses Vertrags Ausdruck finden. Einzelweisungen, die von den Festlegungen dieses Vertrags abweichen oder zusätzliche Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung des Auftragnehmers und erfolgen nach Maßgabe des im Hauptvertrag festgelegten Änderungsverfahrens, in dem auch die Übernahme etwa dadurch bedingter Mehrkosten des Auftragnehmers durch den Auftraggeber zu regeln ist. 3.2 Ist der Auftragnehmer der Ansicht, dass eine zulässige Einzelweisung gegen geltendes Datenschutzrecht verstößt, wird er den Auftraggeber möglichst zeitnah darauf hinweisen. Außerdem ist der Auftragnehmer berechtigt, die Ausführung der Weisung bis zu einer Bestätigung der Weisung durch den Auftraggeber auszusetzen. 4. Pflichten des Auftraggebers 4.1 Der Auftraggeber ist für die Rechtmäßigkeit der Erhebung, Verarbeitung und Nutzung der Auftraggeber-Daten sowie für die Wahrung der Rechte der Betroffenen verantwortlich. Sollten Dritte gegen den Auftragnehmer aufgrund der Erhebung, Verarbeitung oder Nutzung von AuftraggeberMoos
|
213
Teil 2 II Rz. 7
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
Daten Ansprüche geltend machen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern freistellen. 4.2 Der Auftraggeber ist Eigentümer der Auftraggeber-Daten und Inhaber aller etwaigen Rechte, die die Auftraggeber-Daten betreffen. 4.3 Dem Auftraggeber obliegt es, dem Auftragnehmer die Auftraggeber-Daten rechtzeitig zur Leistungserbringung nach dem Hauptvertrag zur Verfügung zu stellen und er ist verantwortlich für die Qualität der AuftraggeberDaten. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt. 5. Pflichten des Auftragnehmers 5.1 Der Auftragnehmer stellt sicher und kontrolliert regelmäßig, dass die Datenverarbeitung und -nutzung im Rahmen der Leistungserbringung nach dem Hauptvertrag in seinem Verantwortungsbereich, der Unterauftragnehmer nach Ziffer 9 dieses Vertrags einschließt, in Übereinstimmung mit den Bestimmungen dieses Vertrags erfolgt. 5.2 Der Auftragnehmer darf ohne vorherige Zustimmung durch den Auftraggeber im Rahmen der Auftragsdatenverarbeitung keine Kopien oder Duplikate der Auftraggeber-Daten anfertigen. Hiervon ausgenommen sind jedoch Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungsgemäßen Erbringung der Leistungen gemäß dem Hauptvertrag (einschließlich der Datensicherung) erforderlich sind, sowie Kopien, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. 5.3 Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörde im Rahmen des Zumutbaren und Erforderlichen, soweit diese Kontrollen die Datenverarbeitung durch den Auftragnehmer betreffen. 5.4 Der Auftragnehmer hat dem Auftraggeber auf Anforderung eine Übersicht über die in § 4e Satz 1 BDSG genannten Angaben sowie über die zugriffsberechtigten Personen zur Verfügung zu stellen (§ 4g Abs. 2 Satz 1 BDSG). 5.5 Der Auftragnehmer hat die bei der Verarbeitung von Auftraggeber-Daten beschäftigten Personen gemäß § 5 BDSG schriftlich auf das Datengeheimnis zu verpflichten. 5.6 Der Auftragnehmer ist verpflichtet, einen fachkundigen und zuverlässigen betrieblichen Datenschutzbeauftragten nach § 4f BDSG zu bestellen, sofern und solange die gesetzlichen Voraussetzungen für eine Bestellpflicht gegeben sind. 5.7 Der Auftragnehmer unterliegt der behördlichen Aufsicht nach § 38 BDSG sowie den Bußgeld- und Strafvorschriften in § 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3 BDSG sowie in § 44 BDSG. 214
|
Moos
Vertragstext
Rz. 7 Teil 2 II
6. Technische und organisatorische Maßnahmen 6.1 Der Auftragnehmer hat vor Beginn der Verarbeitung der AuftraggeberDaten die in Anlage 2 dieses Vertrags aufgelisteten technischen und organisatorischen Maßnahmen zu implementieren und während des Vertrags aufrechtzuerhalten. 6.2 Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der technologischen Weiterentwicklung unterliegen, ist es dem Auftragnehmer gestattet, alternative und adäquate Maßnahmen umzusetzen, sofern dabei das Sicherheitsniveau der in Anlage 2 festgelegten Maßnahmen nicht unterschritten wird. Der Auftragnehmer wird solche Änderungen dokumentieren. Wesentliche Änderungen der Maßnahmen bedürfen der vorherigen schriftlichen Zustimmung des Auftraggebers und sind vom Auftragnehmer zu dokumentieren und dem Auftraggeber auf Anforderung zur Verfügung zu stellen. 7. Mitzuteilende Verstöße des Auftragnehmers 7.1 Der Auftragnehmer informiert den Auftraggeber zeitnah, wenn er feststellt, dass er oder ein Mitarbeiter bei der Verarbeitung von Auftraggeber-Daten gegen datenschutzrechtliche Vorschriften oder gegen Festlegungen aus diesem Vertrag verstoßen haben, sofern deshalb die Gefahr besteht, dass Auftraggeber-Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind. 7.2 Soweit den Auftraggeber aufgrund eines Vorkommnisses nach Ziffer 7.1 gesetzliche Informationspflichten wegen einer unrechtmäßigen Kenntniserlangung von Auftraggeber-Daten (insbesondere nach § 42a BDSG) treffen, hat der Auftragnehmer den Auftraggeber bei der Erfüllung der Informationspflichten auf dessen Ersuchen im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden, nachzuweisenden Aufwände und Kosten zu unterstützen. 8. Kontrollrechte des Auftraggebers 8.1 Der Auftraggeber ist berechtigt, im Rahmen der üblichen Geschäftszeiten (montags bis freitags von… bis… Uhr) auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers die Geschäftsräume des Auftragnehmers, in denen Auftraggeber-Daten verarbeitet werden, zu betreten, um sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 zu diesem Vertrag zu überzeugen. 8.2 Der Auftragnehmer gewährt dem Auftraggeber die zur Durchführung der Kontrollen nach Ziffer 8.1 erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte. 8.3 Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Moos
|
215
Teil 2 II Rz. 7
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten – es sei denn, dass diese die Basis des erstattungsfähigen oder durchlaufenden Aufwandes darstellen – zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind, zu erhalten. 8.4 Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren. Der Auftraggeber darf in der Regel eine Kontrolle pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen im Fall von besonderen Vorkommnissen durchzuführen. 8.5 Der Auftragnehmer erhält vom Auftraggeber eine pauschale Aufwandsentschädigung für seinen im Rahmen dieser Kontrollen anfallenden Aufwand in Höhe von […] Euro pro Kontrolle. 8.6 Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von dieser Ziffer 8 dieses Vertrags gegenüber dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber diesem die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Kontrolle beauftragen. 8.7 Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 anstatt einer Vor-Ort-Kontrolle auch durch die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit – z.B. nach BSI-Grundschutz – („Prüfungsberichts“) erbracht werden, wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglicht, sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 zu diesem Vertrag zu überzeugen. 9. Unterauftragsverhältnisse 9.1 Der Auftragnehmer darf Unterauftragsverhältnisse hinsichtlich der Verarbeitung oder Nutzung von Auftraggeber-Daten nur nach vorheriger schriftlicher Zustimmung des Auftraggebers begründen. Eine solche vorherige Zustimmung darf vom Auftraggeber nur aus wichtigem, dem Auf216
|
Moos
Vertragstext
Rz. 7 Teil 2 II
tragnehmer nachzuweisenden Grund verweigert werden. Im Fall der Einschaltung eines nach §§ 15 ff. AktG mit dem Auftragnehmer verbundenen Unternehmens als Unterauftragnehmer erteilt der Auftraggeber hiermit ausdrücklich seine Zustimmung. Der Auftragnehmer wird dem Auftraggeber auf Anforderung eine aktuelle Übersicht über die eingeschalteten Unterauftragnehmer übergeben. 9.2 Keiner Zustimmung bedarf die Einschaltung von Subunternehmern, bei denen der Subunternehmer lediglich eine Nebenleistung zur Unterstützung bei der Leistungserbringung nach dem Hauptvertrag in Anspruch nimmt, auch wenn dabei ein Zugriff auf die Auftraggeber-Daten nicht ausgeschlossen werden kann; dazu zählen insbesondere Transportleistungen von Post- oder Kurierdiensten sowie Geldtransportdienstleistungen, Telekommunikationsdienste, Bewachungsdienste und Reinigungsdienste, nicht aber Prüfungs- und Wartungsleistungen i.S.v. § 11 Abs. 5 BDSG. Der Auftragnehmer wird mit solchen Subunternehmern branchenübliche Geheimhaltungsvereinbarungen treffen. 9.3 Zur Prüfung einer nach Ziffer 9.1 erforderlichen Zustimmung hat der Auftragnehmer dem Auftraggeber eine Kopie der Vereinbarung zur Unterauftragsdatenverarbeitung zur Verfügung zu stellen. Der Unterauftragsdatenverarbeitungsvertrag muss ein adäquates Schutzniveau aufweisen, welches demjenigen dieses Vertrags vergleichbar ist. Dem Auftraggeber sind in dem Unterauftragsdatenverarbeitungsvertrag gegenüber dem Unterauftragnehmer eigene Kontrollrechte nach Ziffer 8 dieses Vertrags einzuräumen. 9.4 Die Regelungen in dieser Ziffer 9 gelten auch, wenn ein Unterauftragnehmer in einem Drittstaat eingeschaltet wird – ungeachtet des Umstands, dass Datenweitergaben an einen solchen Unterauftragnehmer nicht den Privilegierungen des § 11 BDSG unterliegen. Der Auftraggeber bevollmächtigt den Auftragnehmer hiermit, in Vertretung des Auftraggebers mit einem Unterauftragnehmer, der Auftraggeber-Daten außerhalb des EWR verarbeitet oder nutzt, einen Vertrag unter Einbeziehung der EUStandardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern vom 5.2.2010 zu schließen. Der Auftraggeber erklärt sich bereit, an der Erfüllung der Voraussetzungen nach § 4c BDSG im erforderlichen Maße mitzuwirken. 10. Rechte der Betroffenen 10.1
Die Rechte der durch die Datenverarbeitung betroffenen Personen sind gegenüber dem Auftraggeber geltend zu machen.
10.2
Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Auskunft, Berichtigung, Löschung oder Sperrung der ihn betreffenden Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen zeitnah an den Auftraggeber weiterleiten.
10.3
Für den Fall, dass eine betroffene Person ihre Rechte auf Berichtigung, Löschung oder Sperrung von Auftraggeber-Daten oder auf Auskunft über die gespeicherten Auftraggeber-Daten, den Zweck der SpeicheMoos
|
217
Teil 2 II Rz. 7
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
rung und die Personen und Orte, an die Auftraggeber-Daten regelmäßig übermittelt werden, geltend macht, hat der Auftragnehmer den Auftraggeber bei der Erfüllung dieser Ansprüche in angemessenem und für den Auftraggeber erforderlichen Umfang zu unterstützen, sofern der Auftraggeber die Ansprüche nicht ohne Mitwirkung des Auftragnehmers erfüllen kann. Der Auftragnehmer erhält vom Auftraggeber eine Entschädigung für seinen im Rahmen der Mitwirkung anfallenden Aufwand in Höhe von […] Euro. 10.4
Der Auftragnehmer wird es dem Auftraggeber ermöglichen, Auftraggeber-Daten zu berichtigen, zu löschen oder zu sperren oder auf Verlangen des Auftraggebers die Berichtigung, Sperrung oder Löschung selbst vornehmen, wenn und soweit das dem Auftraggeber selbst unmöglich ist.
11. Rückgabe und Löschung überlassener Daten und Datenträger 11.1
Der Auftragnehmer hat sämtliche Auftraggeber-Daten nach Beendigung der vertragsgegenständlichen Leistungserbringung (insbesondere bei Kündigung oder sonstiger Beendigung des Hauptvertrags) zu löschen und von dem Auftraggeber erhaltene Datenträger, die zu diesem Zeitpunkt noch Auftraggeber-Daten enthalten, an den Auftraggeber zurückzugeben.
11.2
Über eine Löschung bzw. Vernichtung von Auftraggeber-Daten hat der Auftragnehmer ein Protokoll zu erstellen, das dem Auftraggeber auf Anforderung vorzulegen ist.
11.3
Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung oder gesetzlichen Aufbewahrungsfristen dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.
12. Verhältnis zum Hauptvertrag Soweit in diesem Vertrag keine Sonderregelungen enthalten sind, gelten die Bestimmungen des Hauptvertrags. Im Fall von Widersprüchen zwischen diesem Vertrag und Regelungen aus sonstigen Vereinbarungen, insbesondere aus dem Hauptvertrag, gehen die Regelungen aus diesem Vertrag vor. … (Ort, Datum)
… (Ort, Datum)
… (Unterschrift Auftraggeber)
… (Unterschrift Auftragnehmer)
Anlagen: Anlage 1: Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kreis der Betroffenen Anlage 2: Technische und organisatorische Maßnahmen 218
|
Moos
Rz. 9 Teil 2 II
Erläuterungen
Anlage 1: Zweck, Art und Umfang der Datenerhebung, -verarbeitung und -nutzung, Art der Daten und Kreis der Betroffenen Zweck der Datenverarbeitung
• …
Art und Umfang der Datenerhebung, -verarbeitung und -nutzung
• …
Art der Daten
• …
Kreis der Betroffenen
• …
Anlage 2: Technische und organisatorische Maßnahmen …
C. Erläuterungen I. Vorbemerkungen 1. Anwendungsbereich des Vertragsmusters Bei dem Vertragsmuster handelt es sich um einen Auftragsdatenverarbeitungsvertrag1 i.S.v. § 11 BDSG. Es dient dazu, die gesetzlichen Anforderungen gem. § 11 Abs. 2 Satz 2 BDSG auftragnehmerfreundlich umzusetzen und darüber hinaus weitere, für den Auftragnehmer vorteilhafte Regelungen festzuschreiben.
8
2. Gesetzliche Anforderungen an Auftragsdatenverarbeitungsverträge Auftragsdatenverarbeitungsverträge müssen gem. § 11 Abs. 2 Satz 2 BDSG mindestens zu folgenden zehn Punkten Festlegungen „im Einzelnen“ enthalten: – den Gegenstand und die Dauer des Auftrags, – den Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und den Kreis der Betroffenen, – die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen, – die Berichtigung, Löschung und Sperrung von Daten, – die nach § 11 Abs. 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, – die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 1 S. zur Abgrenzung gegenüber einer sog. Funktionsübertragung die Erläuterungen in Teil 2 I Rz. 18 ff.
Moos
|
219
9
Teil 2 II Rz. 10
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
– die Kontrollrechte des Auftraggebers und die entsprechenden Duldungsund Mitwirkungspflichten des Auftragnehmers, – mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, – den Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält und – die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Es handelt sich hierbei um eine nicht abschließende Auflistung1, so dass – je nach Schutzbedarf der Daten – auch weitere Festlegungen notwendig sein können. Die genannten zehn Punkte sind aber mindestens im Vertrag vorzusehen, unabhängig davon, wie umfangreich und dauerhaft die Datenverarbeitungstätigkeit ist2. 10
Konkretisierungen bezüglich der Ausgestaltung der Regelungen enthält das Gesetz nicht. In welcher Detailtiefe die einzelnen Regelungsbereiche in den Auftragsdatenverarbeitungsvertrag aufzunehmen sind, ist deshalb offen3. Es ist deshalb grundsätzlich der Dispositionsbefugnis des Auftraggebers als der verantwortlichen Stelle überlassen, auf welche Art und Weise – und vor allem mit welchem Verpflichtungsgehalt – er die Vorgaben des § 11 Abs. 2 Satz 2 BDSG umsetzt4. Dem Gebot der Disposition durch den Auftraggeber steht die Verwendung eines vom Auftragnehmer vorgelegten Mustervertrags freilich nicht entgegen (siehe Rz. 5).
II. Erläuterung der einzelnen Klauseln 1. Erläuterungen zu Ziffer 1 11
E 1. Vertragsgegenstand Im Rahmen der Leistungserbringung nach dem Vertrag vom… [Datum] (nachfolgend „Hauptvertrag“ genannt) ist es erforderlich, dass der Auftragnehmer mit personenbezogenen Daten umgeht, für die der Auftraggeber als verantwortliche Stelle im Sinne der datenschutzrechtlichen Vorschriften fungiert (nachfolgend „Auftraggeber-Daten“ genannt). Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit dem Umgang des Auftragnehmers mit Auftraggeber-Daten zur Durchführung des Hauptvertrags.
1 2 3 4
Taeger/Gabel/Gabel, § 11 BDSG Rz. 41. Krit. dazu Plath/Plath, § 11 BDSG Rz. 4. Vander, K&R 2010, 292 (294). BeckOK DatenschutzR/Spoerr, § 11 Rz. 94.
220
|
Moos
Erläuterungen
Rz. 14 Teil 2 II
a) Ratio In Ziffer 1 wird der Vertragsgegenstand definiert. Die Regelung setzt damit zugleich die Vorgabe aus § 11 Abs. 2 Satz 2 Nr. 1 BDSG um, wonach in dem Vertrag u.a. der „Gegenstand des Auftrags“ im Einzelnen festzulegen ist. Erforderlich ist danach eine hinreichend präzise Beschreibung des Vertragsgegenstandes1.
12
b) Definition des Auftragsgegenstandes Das Vertragsmuster bedient sich – wie auch das Muster eines auftraggeberfreundlichen Auftragsdatenverarbeitungsvertrags in Teil 2 I – im Hinblick auf die Festlegung des Auftragsgegenstandes eines Verweises auf den üblicherweise parallel zur Auftragsdatenverarbeitung abgeschlossenen Hauptvertrag2.
13
Die Ausgestaltung als separate Vereinbarung, die dann – wie hier – auf einen Hauptvertrag verweist, ist angesichts des Umfangs der Regelungen zur Auftragsdatenverarbeitung in der Praxis weit verbreitet. Aus Auftragnehmersicht ist es verhandlungstaktisch sinnvoll zu versuchen, die Sonderreglungen in dem Auftragsdatenverarbeitungsvertrag auf ein Minimum zu beschränken, weil die Auftragsdatenverarbeitungsverträge zumeist – wohl auch wegen der gesetzlichen Vorgaben in § 11 Abs. 2 BDSG – eher auftraggeberfreundlich, der Hauptvertrag aber oft ausgewogener gestaltet ist (siehe hierzu auch die Erläuterungen zu Ziffer 12.1, Rz. 122).
2. Erläuterungen zu Ziffer 2 E 2. Art, Umfang, Zweck und Laufzeit der Auftragsdatenverarbeitung
14
2.1 Der Auftragnehmer erhebt, verarbeitet und nutzt die Auftraggeber-Daten im Auftrag und nach Weisung des Auftraggebers i.S.v. § 11 BDSG (Auftragsdatenverarbeitung). Der Auftraggeber bleibt im datenschutzrechtlichen Sinn verantwortliche Stelle („Herr der Daten“). 2.2 Die Erhebung, Verarbeitung und Nutzung der Auftraggeber-Daten im Rahmen der Auftragsdatenverarbeitung erfolgt entsprechend den in Anlage 1 zu diesem Vertrag enthaltenen Festlegungen zu Art, Umfang und Zweck der Datenverarbeitung. Sie bezieht sich auf die in Anlage 1 festgelegte Art der Auftraggeber-Daten und den dort bestimmten Kreis der Betroffenen. 2.3 Der Auftragnehmer darf die Auftraggeber-Daten im Rahmen des datenschutzrechtlich Zulässigen für eigene Zwecke auf eigene Verantwortung verarbeiten und nutzen, wenn eine gesetzliche Erlaubnisvorschrift oder eine Einwilligungserklärung des Betroffenen das gestattet. Auf solche Datenverarbeitungen findet dieser Vertrag keine Anwendung. In jedem Fall darf der Auftragnehmer die Auftraggeber-Daten anonymisieren und in anonymisierter Form für eigene Zwecke verarbeiten und nutzen. 1 BeckOK DatenschutzR/Spoerr, § 11 Rz. 99. 2 S. hierzu die Erläuterungen in Teil 2 I Rz. 29.
Moos
|
221
Teil 2 II Rz. 15
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
2.4 Die Erhebung, Verarbeitung und Nutzung der Auftraggeber-Daten findet grundsätzlich im Gebiet der Bundesrepublik Deutschland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Unabhängig davon, dass eine Erhebung, Verarbeitung oder Nutzung von Auftraggeber-Daten außerhalb des EWR möglicherweise nicht der Privilegierung des § 11 BDSG unterfällt, ist es dem Auftragnehmer gestattet, Auftraggeber-Daten unter Einhaltung der Bestimmungen dieses Vertrags auch außerhalb des EWR zu verarbeiten, wenn er den Auftraggeber vorab über den Ort der Datenverarbeitung informiert und ihm die Einhaltung der Sicherheitsmaßnahmen gemäß Ziffer 6 dieses Vertrags in geeigneter Form nachweist. 2.5 Die Laufzeit und Kündigung dieses Vertrags richtet sich nach den Bestimmungen zur Laufzeit und Kündigung des Hauptvertrags. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieses Vertrags. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.
a) Ratio 15
In Ziffer 2 wird festgelegt, dass eine Auftragsdatenverarbeitung i.S.v. § 11 BDSG begründet wird. Ferner werden nähere Vorgaben zu dem zugelassenen Datenumgang durch den Auftragnehmer gemacht.
b) Begründung der Auftragsdatenverarbeitung (Ziffer 2.1) 16
Aus der Typisierung der Vertragsbeziehung als Auftragsdatenverarbeitung folgt die Privilegierung, dass der Auftragnehmer die Daten zur Auftragserfüllung erhalten darf, ohne dass diese Datenweitergabe dem grundsätzlichen Datenverarbeitungsverbot mit Erlaubnisvorbehalt unterfiele. Im Gegenzug muss der Auftraggeber insbesondere die Pflichten aus § 11 Abs. 2 BDSG beachten. Der Auftragnehmer wiederum darf die Auftraggeber-Daten im Rahmen der Auftragsdatenverarbeitung nur entsprechend den Weisungen des Auftraggebers verarbeiten, wie es in § 11 Abs. 3 Satz 1 BDSG bestimmt ist.
c) Festlegung von Art, Umfang und Zweck der Datenverarbeitung, Datenarten und Kreis der Betroffenen (Ziffer 2.2) 17
Nach § 11 Abs. 2 Satz 2 Nr. 2 BDSG muss der dem Auftragnehmer gestattete Umgang mit den Auftraggeber-Daten präzise beschrieben werden. Umfang, Art und Zweck der Datenerhebung und -verwendung sind ebenso in den Vertrag aufzunehmen wie die Art der personenbezogenen Daten und der Kreis der Betroffenen. Diese Angaben müssen so konkret angegeben werden, dass Umfang und Gegenstand des zugelassenen Datenumgangs durch den Auftragnehmer im Einzelnen nachvollzogen werden kann1 und der Auftraggeber seiner Rolle
1 BeckOK DatenschutzR/Spoerr, § 11 Rz. 100.
222
|
Moos
Erläuterungen
Rz. 19 Teil 2 II
als verantwortliche Stelle gerecht wird1. Gewisse Kategorisierungen und Abstrahierungen sind freilich zulässig2. Die auftragsspezifische Festlegung dient auch dazu, die dem jeweiligen Auftrag unterfallende Datenverarbeitung von anderen Auftragsdatenverarbeitungen, die möglicherweise zwischen den Vertragsparteien bestehen, abzugrenzen. Das Muster sieht eine Umsetzung dergestalt vor, dass die konkreten Einzelangaben hierzu in der Tabelle gemäß Anlage 1 zum Muster eingetragen werden3.
d) Anderweitige Verwendung der Daten durch den Auftragnehmer (Ziffer 2.3) In Ziffer 2.3 des Musters findet sich eine ausdrückliche Regelung, dass der Auftragnehmer die Auftraggeber-Daten im Rahmen des datenschutzrechtlich Zulässigen auch für eigene Zwecke auf eigene Verantwortung verwenden darf, wenn dies von einer gesetzlichen Erlaubnisvorschrift oder einer Einwilligungserklärung des Betroffenen gedeckt ist. Diese Regelung greift eine in der Literatur vertretene Ansicht auf, wonach es einer Auftragsdatenverarbeitung grundsätzlich nicht entgegen stehe, dass der Dienstleister Daten z.B. unter Berufung auf gesetzliche Erlaubnistatbestände neben der Auftragsdurchführung parallel auch zu anderen (eigenen) Zwecken verwendet4. Das Muster stellt hier aber klar, dass eine solche eigenverantwortliche Datenverwendung durch den Auftragnehmer außerhalb des Auftragsdatenverarbeitungsverhältnisses erfolgt und dieser Datenumgang deshalb nicht den Bestimmungen des Vertragsmusters unterliegt.
18
Ferner gestattet Ziffer 2.3 Satz 3 des Musters dem Auftragnehmer eine Anonymisierung der Auftraggeber-Daten und deren Verwendung für eigene Zwecke. Die Verwendung anonymisierter Daten ist datenschutzrechtlich unkritisch, weil sie nicht den Datenschutzvorschriften unterfällt5. Datenschutzrechtlich wäre der Auftragnehmer deshalb ohnehin berechtigt, anonyme AuftraggeberDaten anderweitig zu verwenden; da dies vertragsrechtlich aber anders zu bewerten sein dürfte, macht eine explizite Aufnahme dieser Befugnis in den Vertrag Sinn.
19
Für den Fall, dass die Daten – wie hier – ursprünglich personenbezogen sind, mag man zwar eine Berechtigung des Auftragnehmers zur Anonymisierung solcher Daten für eigene Zwecke ablehnen, weil es sich bei einer Anonymisierung um eine (erlaubnispflichtige) Datenveränderung handeln könnte. Richtigerweise ist nach Stellungnahmen in der Literatur aber auch der Vorgang der 1 Der Hessische Datenschutzbeauftragte, Mustervereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach § 11 BDSG, Stand 28.9.2010, S. 2; vgl. auch Empfehlungen der Ausschüsse, BR-Drucks. 4/1/09 vom 3.2.2009, 9. 2 Taeger/Gabel/Gabel, § 11 BDSG Rz. 43. 3 Zu den Anforderungen an eine Spezifizierung der Datenarten s. die Erläuterungen in Teil 2 I Rz. 33 ff. 4 Für diese Möglichkeit Plath/Plath, § 11 BDSG Rz. 25; zu dem Beispiel der Datenverwendung zum Zweck der Bereitstellung einer netzseitigen Telefonanlagenfunktion Schmitz, ZD 2011, 104 (108). 5 BeckOK DatensschutzR/Schild, § 3 Rz. 22; Gola/Schomerus, § 3 BDSG Rz. 43.
Moos
|
223
Teil 2 II Rz. 20
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
Anonymisierung selbst dem Verbotsregime des BDSG entzogen1. Um insoweit Unsicherheiten zu Lasten des Auftragnehmers zu vermeiden, wird in Ziffer 2.3 Satz 3 ausdrücklich festgelegt, dass der Auftragnehmer die Auftraggeber-Daten auch anonymisieren darf.
e) Ort der Datenverarbeitung (Ziffer 2.4) aa) Auftragsdatenverarbeitung innerhalb des EWR 20
Die Privilegierungswirkung einer Auftragsdatenverarbeitung gilt nach dem Wortlaut des Gesetzes (§ 3 Abs. 8 Satz 3 BDSG), wenn der Auftragsdatenverarbeiter die Daten innerhalb des EWR verarbeitet. Nur Empfänger, die Daten außerhalb des EWR verarbeiten, sind danach als „Dritte“ anzusehen2. Das Muster schöpft den räumlichen Geltungsbereich des Auftragsdatenverarbeitungsprivilegs in Ziffer 2.4 Satz 1 voll aus und gestattet eine Erhebung, Verarbeitung und Nutzung der Auftraggeber-Daten generell innerhalb des EWR. Der Auftragnehmer hat mithin ein Maximum an Flexibilität, an welchem Ort er seine Datenverarbeitungsanlagen positionieren und die Datenverarbeitungen vornehmen will.
bb) Datenverwendung außerhalb des EWR 21
Diese Flexibilität wird in Satz 2 noch erhöht, indem es dem Auftragnehmer darin auch grundsätzlich gestattet wird, Daten außerhalb des EWR zu verarbeiten. Problematisch ist hierbei, dass der Dienstleister begrifflich bei einer Verarbeitung außerhalb des EWR als „Dritter“ im Sinne des BDSG anzusehen und die Datenweitergabe an ihn als „Übermittlung“ einzustufen ist, weil § 3 Abs. 8 Satz 3 BDSG von dem Begriff des Dritten nur solche Stellen ausnimmt, die „im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.“ Es kommt also für die Privilegierung des Auftragsdatenverarbeiters gerade nicht auf den Sitz oder die Nationalität des Empfängers an3, sondern auf den Ort der Datenverarbeitung. Sobald die Daten den Bereich des EWR verlassen, ist der Auftragnehmer Dritter mit der Folge, dass die Übermittlungsschranken eingehalten werden müssen4. Dadurch, dass der Auftraggeber dem Auftragnehmer in Ziffer 2.4 Satz 2 des Musters also eine Verarbeitung auch außerhalb des EWR gestattet, steht er dafür ein, dass die Voraussetzungen für eine Übermittlung der Daten vorliegen. Analog zu der Situation einer Weitergabe an Auftragsdatenverarbeiter, die in Drittländern außerhalb des EWR ihren Sitz haben5, wäre auch eine solche Datenübermittlung aber regelmäßig – etwa im Rahmen der Interessenabwägung nach § 28 BDSG – zulässig, wenn das Ver-
1 2 3 4 5
Gola/Schomerus, § 3 BDSG Rz. 43. Zu Einzelheiten hierzu vgl. die Erläuterungen zum Muster in Teil 2 I Rz. 37. Simitis/Dammann, § 3 BDSG Rz. 246. Simitis/Dammann, § 3 BDSG Rz. 246. S. dazu die Erläuterungen in Teil 2 I Rz. 35.
224
|
Moos
Erläuterungen
Rz. 25 Teil 2 II
tragsverhältnis mit dem Dienstleister analog § 11 BDSG ausgestaltet ist1, was hier der Fall ist. Die Anforderungen der sog. 2. Stufe2, d.h. die Voraussetzungen der §§ 4b, 4c BDSG gelten hier nicht, solange der Auftragnehmer, der Daten außerhalb des EWR verarbeitet, seinen Sitz innerhalb des EWR hat. Weil es teilweise – vor allem im Zusammenhang mit der Inanspruchnahme von Cloud Services – von den Aufsichtsbehörden und Teilen der Literatur für erforderlich gehalten wird, dass durch vertragliche Vereinbarungen zwischen dem Auftraggeber und dem Auftragnehmer der Ort der technischen Verarbeitung personenbezogener Daten vereinbart werden3, zur Ermöglichung einer effektiven Kontrolle des Aufraggebers ihm aber jedenfalls bekannt sein müsse, ist in Ziffer 2.4 des Musters vorgesehen, dass der Auftragnehmer den Auftraggeber bei einer Verarbeitung außerhalb des EWR vorab über den Ort der Datenverarbeitung informiert. Zusätzlich soll der Auftragnehmer auch die Einhaltung der Sicherheitsmaßnahmen gem. Ziffer 6 dieses Vertrags in geeigneter Form nachweisen.
22
f) Dauer und Kündigung des Auftrags (Ziffer 2.5) In Ziffer 2.5 sind die Regelungen zur Dauer des Auftrags und zur Kündigung enthalten.
23
aa) Dauer des Auftrags Bei Auftragsdatenverarbeitungen handelt es sich in der Regel um Dauerschuldverhältnisse4. Nach § 11 Abs. 2 Satz 2 Nr. 2 BDSG muss deshalb die Dauer der Auftragsdatenverarbeitung festgelegt werden. Das bedeutet nicht, dass der Auftrag per se nur befristet erteilt werden darf. Auch Verträge mit unbefristeter Laufzeit sind zulässig5. Erforderlich ist dann nur eine Beendigungsmöglichkeit durch ordentliche Kündigung6. Alternativ ist auch eine Festlaufzeit zulässig, während der eine ordentliche Kündigung ausgeschlossen ist. Das Muster verweist bzgl. der Vertragsdauer in Ziffer 2.5 auf den Hauptvertrag, damit ein Gleichlauf von Hauptvertrag und Auftragsdatenverarbeitung sicher gestellt ist. In dem Hauptvertrag müssen dann freilich auch entsprechende Laufzeitregelungen enthalten sein.
24
bb) Kündigung des Auftrags Im Hinblick auf die Kündigung des Auftrags erschöpft sich die Regelung in Ziffer 2.5 ebenfalls in einem Verweis auf den Hauptvertrag. Üblicherweise sind 1 Gola/Schomerus, § 11 BDSG Rz. 16; Simitis/Dammann, § 3 BDSG Rz. 246; Bayerisches Landesamt für Datenschutzaufsicht, Tätigkeitsbericht 2009/10 v. 14.3.2011, S. 73. 2 Hierzu ausführlich Teil 2 I Rz. 11. 3 Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0, Stand 26.9.2011, S. 10; Splittgerber/Rockstroh, BB 2011, 2179 (2181). 4 Hoeren, DuD 2010, 688 (689). 5 Simitis/Petri, § 11 BDSG Rz. 66; Taeger/Gabel/Gabel, § 11 BDSG Rz. 42; Bayerisches Landesamt für Datenschutzaufsicht, Auftragsdatenverarbeitung, S. 4. 6 BeckOK DatenschutzR/Spoerr, § 11 Rz. 100.
Moos
|
225
25
Teil 2 II Rz. 26
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
darin beidseitige Rechte zur ordentlichen und außerordentlichen Kündigung verankert. Ungeachtet der vertraglichen Kündigungsrechte besteht bei Dauerschuldverhältnissen, um die es sich bei Auftragsdatenverarbeitungen im Regelfall handelt, gem. § 314 BGB von Gesetzes wegen ein Recht zur außerordentlichen Kündigung aus wichtigem Grund. Ein Ausschluss dieses Kündigungsrechts ist nicht möglich. Der komplette Verweis bezüglich Laufzeit und Kündigung auf den Hauptvertrag ist sinnvoll, weil der Hauptvertrag ohne die entsprechenden Datenverwendungen in der Regel nicht durchgeführt werden kann und deshalb bei einer isolierten Kündigung des Auftragsdatenverarbeitungsvertrags die Gefahr besteht, dass die Datenverwendungen – dann nicht hinreichend datenschutzrechtlich abgesichert – zur Durchführung des ungekündigten Hauptvertrags weiter laufen1. Diese Problematik wird durch die Regelung in Ziffer 2.5 Satz 2 und 3 vermieden. Danach wird eine isolierte Kündigung des Auftragsdatenverarbeitungsvertrags ausgeschlossen. Ferner bewirkt eine Kündigung des Hauptvertrags zugleich auch eine Kündigung des Auftragsdatenverarbeitungsvertrags.
3. Erläuterungen zu Ziffer 3 26
E 3. Weisungsbefugnisse des Auftraggebers 3.1 Der Auftragnehmer verwendet die Auftraggeber-Daten ausschließlich in Übereinstimmung mit den Weisungen des Auftraggebers, wie sie abschließend in den Bestimmungen dieses Vertrags Ausdruck finden. Einzelweisungen, die von den Festlegungen dieses Vertrags abweichen oder zusätzliche Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung des Auftragnehmers und erfolgen nach Maßgabe des im Hauptvertrag festgelegten Änderungsverfahrens, in dem auch die Übernahme etwa dadurch bedingter Mehrkosten des Auftragnehmers durch den Auftraggeber zu regeln ist. 3.2 Ist der Auftragnehmer der Ansicht, dass eine zulässige Einzelweisung gegen geltendes Datenschutzrecht verstößt, wird er den Auftraggeber möglichst zeitnah darauf hinweisen. Außerdem ist der Auftragnehmer berechtigt, die Ausführung der Weisung bis zu einer Bestätigung der Weisung durch den Auftraggeber auszusetzen.
a) Ratio 27
In Ziffer 3 des Musters werden der Umfang und die Art der Ausübung des Weisungsrechts des Auftraggebers festgelegt. Die Festschreibung der Weisungsrechte des Auftraggebers in Ziffer 3 des Musters geht auf die Regelung in § 11 Abs. 2 Satz 2 Nr. 9 BDSG zurück, wonach der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, im Einzelnen festzulegen ist.
1 Plath/Plath, § 11 BDSG Rz. 99.
226
|
Moos
Erläuterungen
Rz. 30 Teil 2 II
b) Weisungsrecht des Auftraggebers (Ziffer 3.1) In seiner Gesamtheit kann das Weisungsrecht des Auftraggebers nicht abbedungen werden, ohne dass das Vertragsverhältnis seinen Charakter als Auftragsdatenverarbeitung verliert. Fehlt es an der Weisungsgebundenheit, weil der Auftragnehmer selbst über den Umgang mit den Daten bestimmen darf, wird der Bereich der Auftragsdatenverarbeitung verlassen und es liegt ggf. eine Funktionsübertragung vor, die eine Übermittlung der Daten i.S.v. § 3 Abs. 4 Nr. 3 BDSG impliziert1.
28
aa) Beschränkung auf vertragliche Weisungen Das Muster definiert die Weisungsbefugnis des Auftraggebers in Ziffer 3.1 Satz 2 denkbar eng und beschränkt die Weisungen de facto auf den Inhalt dieses Vertrags. In der Literatur wird zwar teilweise verlangt, dass sich der Auftraggeber explizit ein Einzelweisungsrecht vorzubehalten habe2. Eine derartige Verpflichtung lässt sich aber dem Wortlaut des Gesetzes nicht entnehmen. Da § 11 Abs. 2 Satz 2 BDSG keine Vorgaben dazu macht, ob und welche Rechte zu Einzelweisungen sich der Auftraggeber vertraglich ausbedingen muss, kann eine solche Regelung wie in Ziffer 3.1 des Musters vorgesehen, den gesetzlichen Anforderungen genügen. Auch der Sinn und Zweck des § 11 Abs. 2 BDSG verlangt nicht zwingend die Möglichkeit zu Einzelweisungen. Die Kataloganforderungen des § 11 Abs. 2 Satz 2 BDSG und ihre Umsetzung stehen ja gerade unter den Maßgaben der Eigenverantwortung, Problemadäquanz und Verhältnismäßigkeit, so dass ganz beträchtliche Umsetzungsspielräume bestehen3.
29
Problematisch kann die Befugnis zur Erteilung von Einzelweisungen vor allem bei der Inanspruchnahme weitgehend standardisierter Leistungen sein, wie es z.B. für das Cloud Computing kennzeichnend ist. Bei solchen Dienstangeboten, wenn sie denn überhaupt den Abschluss eines Auftragsdatenverarbeitungsvertrags ermöglichen, ist es üblich, dass der Umfang der Weisungen auf die Festlegungen in dem Vertrag beschränkt ist. Gerade bei der Inanspruchnahme solcher Leistungen erscheint es deshalb sachgerecht, die Weisungen abschließend in dem Auftragsdatenverarbeitungsvertrag zu beschreiben4.
bb) Ergänzende Einzelweisungen mit Zustimmung des Auftragnehmers Das Muster schließt Einzelweisungen allerdings nicht vollständig aus, lässt sie aber nur unter sehr engen Voraussetzungen zu, so dass sie kaum noch „echten“ Weisungscharakter im Sinne einseitiger Vorgaben haben. Ziffer 3.1 Satz 2 sieht vor, dass Einzelweisungen, die von den Festlegungen dieses Vertrags abweichen oder zusätzliche Anforderungen aufstellen, einer vorherigen Zustimmung des Auftragnehmers bedürfen und verweist zur Einholung dieser Zustimmung 1 2 3 4
S. hierzu das Muster in Teil 6 I Rz. 6. Simitis/Petri, § 11 BDSG Rz. 81; offen Gola/Schomerus, § 11 BDSG Rz. 18h. BeckOK DatenschutzR/Spoerr, § 11 BDSG Rz. 105. Vgl. Plath/Plath, § 11 BDSG Rz. 56; krit. zur Möglichkeit einer rechtskonformen Umsetzung des Weisungsrechts gegenüber Cloud-Anbietern Gaul/Koehler, BB 2011, 2229 (2232).
Moos
|
227
30
Teil 2 II Rz. 31
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
auf eine im Hauptvertrag enthaltene Regelung zu Vertrags- bzw. Leistungsänderungen. Typischerweise sehen solche Regelungen vor, dass es einer zweiseitigen Vereinbarung bedarf, um Leistungsänderungen oder Zusatzleistungen wirksam zu vereinbaren, und legen das Verfahren fest, in dem solche Vereinbarungen getroffen werden. Insoweit wäre auch die teilweise gestellte Anforderung erfüllt, dass aus Gründen der Rechtssicherheit für Einzelweisungen ein Formerfordernis festgelegt werden soll1. 31
Jede Änderung oder Erweiterung der Vertragspflichten kann beim Auftragnehmer Kosten und Aufwände verursachen. Das gilt auch für Änderungen und Erweiterungen, die hier mit datenschutzrechtlichem Bezug in Gestalt einer Einzelweisung erfolgen. Er hat deshalb ein Interesse daran, dass auch die Kostentragungspflicht geregelt wird2. Nach Ziffer 3.1 Satz 3 des Musters soll dementsprechend in dem Änderungsverfahren auch die Übernahme etwaiger Mehrkosten des Auftragnehmers durch den Auftraggeber geregelt werden, wie es ebenfalls in solchen Change Request Regelungen üblich ist.
32
Dem beidseitigen Änderungsverfahren wären dementsprechend auch Wünsche des Auftraggebers unterworfen, den Umfang des Datenumgangs wie er in Anlage 1 zu dem Vertrag festgeschrieben ist, zu ändern, z.B. weil die Arten der vom Auftragnehmer verarbeiteten Daten oder der Kreis der Betroffenen geändert oder erweitert werden soll. Dasselbe gilt für Ergänzungen oder Änderungen bzgl. der technischen und organisatorischen Maßnahmen gem. Ziffer 6 i.V.m. Anlage 2 zum Vertrag: Stellt sich heraus, dass die festgelegten Maßnahmen nicht ausreichend sind, verlangen die Aufsichtsbehörden explizit, dass ergänzende Maßnahmen zu vereinbaren sind, deren Umsetzung vom Auftraggeber wiederum überwacht werden muss3. Dieser Anforderung wird die Regelung in Ziffer 3.1 des Musters gerecht. Sollte sich erweisen, dass die definierten technischen und organisatorischen Maßnahmen nicht ausreichend sind, wäre gem. Ziffer 3.1 Satz 3 wiederum das Änderungsverfahren zu durchlaufen.
c) Remonstration des Auftragnehmers (Ziffer 3.2) 33
Nach § 11 Abs. 3 Satz 2 BDSG ist der Auftragnehmer zur Remonstration gegenüber dem Auftraggeber verpflichtet, wenn er der Ansicht ist, dass eine Weisung des Auftraggebers gegen das geltende Datenschutzrecht verstößt. Ziffer 3.2 des Musters wiederholt diese Regelung noch einmal für die nach Ziffer 3.1 Satz 2 in eingeschränktem Maße mögliche Einzelweisung und regelt die Auswirkungen einer solchen Remonstration auf die weitere Vertragserfüllung seitens des Auftragnehmers. Nach dem Muster soll der Auftragnehmer berechtigt sein, die – aus seiner Sicht datenschutzwidrige – Verarbeitung bis zu einer Bestätigung der Weisung durch den Auftraggeber auszusetzen. Die Regelung in Ziffer 3.2 sieht nicht vor, dass der Auftragnehmer jede Weisung des Auftraggebers auf Rechtmäßigkeit zu überprüfen hätte. Das verlangt 1 BeckOK DatenschutzR/Spoerr, § 11 Rz. 109. 2 So auch BITKOM, Mustervertragsanlage zur Auftragsdatenverarbeitung, S. 15. 3 Der Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe Auftragsdatenverarbeitung, S. 16.
228
|
Moos
Erläuterungen
Rz. 37 Teil 2 II
das Gesetz auch nicht. Angesichts des Umstandes, dass der Auftraggeber die verantwortliche Stelle i.S.v. § 3 Abs. 7 BDSG ist, steht er für die Rechtmäßigkeit ein1.
4. Erläuterungen zu Ziffer 4 34
E 4. Pflichten des Auftraggebers 4.1 Der Auftraggeber ist für die Rechtmäßigkeit der Erhebung, Verarbeitung und Nutzung der Auftraggeber-Daten sowie für die Wahrung der Rechte der Betroffenen verantwortlich. Sollten Dritte gegen den Auftragnehmer aufgrund der Erhebung, Verarbeitung oder Nutzung von AuftraggeberDaten Ansprüche geltend machen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern freistellen. 4.2 Der Auftraggeber ist Eigentümer der Auftraggeber-Daten und Inhaber aller etwaigen Rechte, die die Auftraggeber-Daten betreffen. 4.3 Dem Auftraggeber obliegt es, dem Auftragnehmer die Auftraggeber-Daten rechtzeitig zur Leistungserbringung nach dem Hauptvertrag zur Verfügung zu stellen und er ist verantwortlich für die Qualität der AuftraggeberDaten. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.
a) Ratio Ziffer 4 des Musters legt die Pflichten und Obliegenheiten des Auftraggebers fest.
35
b) Verantwortlichkeit des Auftraggebers (Ziffer 4.1) Es entspricht der gesetzlichen Lage, dass der Auftraggeber als verantwortliche Stelle i.S.v. § 3 Abs. 7 BDSG nach außen, also gegenüber Dritten und den Betroffenen für die Rechtmäßigkeit der auftragsgemäßen Erhebung und Verwendung der Auftraggeber-Daten einzustehen hat und in dieser Funktion auch für die Wahrung der Rechte der Betroffenen verantwortlich ist. Ziffer 4.1 hat deshalb insoweit nur deklaratorische Wirkung. Sie gibt nur die gesetzliche Rechtslage wieder, wie sie in § 11 Abs. 1 Satz 1 BDSG festgeschrieben ist.
36
Zugunsten des Auftragnehmers findet sich in Satz 3 noch eine Freistellungsverpflichtung des Auftraggebers für den Fall, dass Dritte gegen den Auftragnehmer aufgrund der Erhebung, Verarbeitung oder Nutzung von Auftraggeber-Daten irgendwelche Ansprüche geltend machen sollten. Das käme z.B. in Betracht, wenn eine rechtskonforme Auftragsdatenverarbeitung nicht begründet worden ist, und die Datenverwendung deshalb möglicherweise nach außen hin nicht dem Auftraggeber als verantwortlicher Stelle zugerechnet wird, so dass
37
1 Weitnauer/Missling, Kap. H.3, S. 387.
Moos
|
229
Teil 2 II Rz. 38
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
der Datenumgang durch den Auftragnehmer einer eigenständigen Befugnisnorm bedürfte. Durch die Formulierung „auf erstes Anfordern“ wird im Übrigen erreicht, dass generell Einreden und Einwendungen des Auftraggebers gegen den Freistellungsanspruch ausgeschlossen sind.
c) Rechte an den Daten (Ziffer 4.2) 38
Vor allem im Falle der Verarbeitung besonders sensibler personenbezogener Daten verlangen manche Datenschutzaufsichtsbehörden, dass die Eigentumsverhältnisse an den im Rahmen der Auftragsdatenverarbeitung zu erhebenden, verarbeitenden oder zu nutzenden personenbezogenen Daten vertraglich geregelt wird1. Das ist generell sinnvoll, zumal die zivilrechtliche Lage im Hinblick auf das Eigentum und die Verfügungsbefugnis an Daten bisher nicht hinreichend geklärt ist2. Das Muster legt deshalb in Ziffer 4.2 fest, dass jedenfalls im Verhältnis der Vertragsparteien zueinander der Auftraggeber Eigentümer der Auftraggeber-Daten sein soll.
d) Obliegenheiten des Auftraggebers (Ziffer 4.3) 39
In Ziffer 4.3 werden einige, für den Auftragnehmer zur Durchführung des Auftrags relevante Mitwirkungen des Auftraggebers als Obliegenheiten festgeschrieben. Zunächst handelt es sich dabei um die rechtzeitige Beistellung der Auftraggeber-Daten zur Leistungserbringung nach dem Hauptvertrag. Je nach Vertragstypus kommen evtl. Ansprüche des Auftragnehmers auf Entschädigung nach § 642 Abs. 2 BGB und ein Kündigungsrecht nach § 643 BGB in Betracht, wenn der Auftraggeber seine Obliegenheit zur rechtzeitigen Beistellung des Datenbestandes verletzt. Zugunsten des Auftragnehmers wird als Folge aus dieser Verantwortlichkeitszuweisung noch bestimmt, dass der Auftraggeber als Eigentümer auch für die Qualität der Daten3 einzustehen hat. Das kann wiederum im Hinblick auf die Erbringung der Leistungen nach dem Hauptvertrag im Falle etwaiger Leistungsmängel relevant werden. Sollte der Leistungsmangel seine Ursache in der unzureichenden Datenqualität haben, würde den Auftragnehmer grundsätzlich kein Verschulden treffen.
40
Schließlich wird dem Auftraggeber in Ziffer 4.3 Satz 2 aufgegeben, den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt. Diese Regelung könnte vor allem dann relevant werden, wenn es tatsächlich zu Unregelmäßigkeiten beim Auftragnehmer kommen sollte. Verletzt der Auftraggeber seine Obliegenheit aus Ziffer 4.3 Satz 2, wäre ihm dies als Mitverschulden nach § 254 BGB anzurechnen. 1 Der Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe Auftragsdatenverarbeitung, S. 15. 2 Instruktiv hierzu Hoeren, MMR 2013, 486 ff. 3 Vgl. zur Datenqualität und diesbezüglicher Folgeansprüche ausführlich Teil 3 II Rz. 26 ff.
230
|
Moos
Erläuterungen
Rz. 43 Teil 2 II
5. Erläuterungen zu Ziffer 5 41
E 5. Pflichten des Auftragnehmers 5.1 Der Auftragnehmer stellt sicher und kontrolliert regelmäßig, dass die Datenverarbeitung und -nutzung im Rahmen der Leistungserbringung nach dem Hauptvertrag in seinem Verantwortungsbereich, der Unterauftragnehmer nach Ziffer 9 dieses Vertrags einschließt, in Übereinstimmung mit den Bestimmungen dieses Vertrags erfolgt. 5.2 Der Auftragnehmer darf ohne vorherige Zustimmung durch den Auftraggeber im Rahmen der Auftragsdatenverarbeitung keine Kopien oder Duplikate der Auftraggeber-Daten anfertigen. Hiervon ausgenommen sind jedoch Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungsgemäßen Erbringung der Leistungen gemäß dem Hauptvertrag (einschließlich der Datensicherung) erforderlich sind, sowie Kopien, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. 5.3 Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörde im Rahmen des Zumutbaren und Erforderlichen, soweit diese Kontrollen die Datenverarbeitung durch den Auftragnehmer betreffen. 5.4 Der Auftragnehmer hat dem Auftraggeber auf Anforderung eine Übersicht über die in § 4e Satz 1 BDSG genannten Angaben sowie über die zugriffsberechtigten Personen zur Verfügung zu stellen (§ 4g Abs. 2 Satz 1 BDSG). 5.5 Der Auftragnehmer hat die bei der Verarbeitung von Auftraggeber-Daten beschäftigten Personen gemäß § 5 BDSG schriftlich auf das Datengeheimnis zu verpflichten. 5.6 Der Auftragnehmer ist verpflichtet, einen fachkundigen und zuverlässigen betrieblichen Datenschutzbeauftragten nach § 4f BDSG zu bestellen, sofern und solange die gesetzlichen Voraussetzungen für eine Bestellpflicht gegeben sind. 5.7 Der Auftragnehmer unterliegt der behördlichen Aufsicht nach § 38 BDSG sowie den Bußgeld- und Strafvorschriften in § 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3 BDSG sowie in § 44 BDSG.
a) Ratio In Ziffer 5 des Musters wird eine Reihe von allgemeinen Verpflichtungen des Auftragnehmers festgeschrieben.
42
b) Eigenkontrolle der Auftragskonformität der Datenverarbeitung (Ziffer 5.1) Gem. § 11 Abs. 2 Satz 2 Nr. 5 BDSG sind in dem Auftragsdatenverarbeitungsvertrag auch die nach § 11 Abs. 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen festzulegen. In Moos
|
231
43
Teil 2 II Rz. 44
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
dem Auftragsdatenverarbeitungsvertrag müssen somit konkrete Pflichten des Auftragnehmers zur Eigenkontrolle seiner Tätigkeit angeführt werden1. In Ziffer 5.1 sind deshalb die Kontrollpflichten des Auftragnehmers spezifiziert. Das Gesetz macht keine konkreten inhaltlichen Vorgaben dazu, wie diese Kontrollen im Vertrag auszugestalten sind. Ausgangspunkt der Regelung zur Eigenkontrolle in Ziffer 5.1 ist die in § 11 BDSG gesetzlich verankerte Verantwortlichkeitsverteilung zwischen Auftraggeber und Auftragnehmer, nach der – jedenfalls für das Außenverhältnis gegenüber Betroffenen und Aufsichtsbehörden – der Auftraggeber für die Datenschutzkonformität des Datenumgangs auch durch den Auftragsdatenverarbeiter einzustehen hat, weil ihm dessen Tätigkeit zugerechnet wird. Ziffer 5.1 belässt es bei dieser Verantwortlichkeitsverteilung auch im Hinblick auf die Eigenkontrolle des Auftragnehmers und begrenzt die Kontrolltätigkeit auf die Einhaltung der Vorgaben des Auftragsdatenverarbeitungsvertrags (einschließlich der hierin zum Ausdruck kommenden Weisungen, vgl. Ziffer 3.1). 44
Zur Art der Kontrollen macht das Muster keine verbindlichen Vorgaben und überlässt es deshalb der Bestimmungshoheit des Auftragnehmers, auf welche Weise er die Befolgung der Vorgaben überprüft2. Bezüglich der Häufigkeit belässt es die Regelung bei dem auch gesetzlich in § 11 Abs. 2 Satz 4 BDSG verwendeten Begriff der „regelmäßigen“ Kontrolle.
45
Die Regelung weist dem Auftragnehmer auch die Kontrolle der etwa von ihm eingesetzten Unterauftragnehmer zu. Durch Unterbeauftragungen können Vertragsketten entstehen, in denen der Auftraggeber zunächst nur seinen unmittelbaren Auftragnehmer und dieser dann den Unterauftragnehmer kontrolliert3. Diese „abgeleiteten Kontrollpflichten“ sind in Ziffer 5.1 des Musters festgeschrieben. Eigenkontrollen des Auftraggebers bei Unterauftragnehmern sind freilich nicht ausgeschlossen: Gem. Ziffer 9.3 Satz 3 des Musters ist der Auftragnehmer verpflichtet, dem Auftraggeber in dem Unterauftragsdatenverarbeitungsvertrag gegenüber dem Unterauftragnehmer eigene Kontrollrechte nach Ziffer 8 dieses Vertrags einzuräumen.
c) Kopien (Ziffer 5.2) 46
Das Kopieren von Daten stellt eine Nutzung i.S.v. § 3 Abs. 5 BDSG und damit einen für den Auftraggeber grundsätzlich erlaubnispflichtigen Datenumgang dar4. Um sicherzustellen, dass seitens des Auftragnehmers keine exzessiven, dem Auftraggeber zuzurechnenden Vervielfältigungen der Daten erfolgen, für die keine Notwendigkeit besteht, beschränkt Ziffer 5.2 das Anfertigen von Kopien oder Duplikaten der Auftraggeber-Daten grundsätzlich auf das zur Durchführung des Hauptvertrags notwendige Maß. Um dem Auftragnehmer 1 Der Hessische Datenschutzbeauftragte, Mustervereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach § 11 BDSG, Stand 28.9.2010, S. 3. 2 Ähnlich auch BITKOM, Mustervertragsanlage zur Auftragsdatenverarbeitung, S. 7. 3 Hoeren, DuD 2010, 688 (690). 4 Simitis/Dammann, § 3 BDSG Rz. 195.
232
|
Moos
Erläuterungen
Rz. 49 Teil 2 II
aber Sicherheit bezüglich der Anfertigung von Kopien zu Nebenzwecken zu geben, bestimmt Ziffer 5.2, dass der Auftragnehmer Kopien der Daten daneben auch zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung einschließlich der Datensicherung und zur Einhaltung gesetzlicher Aufbewahrungspflichten anfertigen darf.
d) Unterstützung bei behördlichen Kontrollen (Ziffer 5.3) Als verantwortliche Stelle steht grundsätzlich der Auftraggeber nach außen hin für die Datenschutzkonformität auch der durch den Auftragnehmer vorgenommenen Datenverarbeitungen ein, die dem Auftraggeber zugerechnet werden. Etwaige Kontrollen der Aufsichtsbehörden richten sich deshalb grundsätzlich gegen den Auftraggeber. Auch ohne explizite vertragliche Verankerung wird den Auftragnehmer in solchen Fällen regelmäßig eine vertragliche Nebenpflicht zu einer Unterstützung bei solchen behördlichen Kontrollen treffen. Ziffer 5.3 begrenzt diese Nebenpflicht gegenständlich auf die Datenverarbeitungen beim Auftragnehmer und stellt sie unter den Vorbehalt der Erforderlichkeit und Zumutbarkeit für den Auftragnehmer.
47
e) Angaben für das Verfahrensverzeichnis (Ziffer 5.4) Die verantwortliche Stelle ist nach § 4g Abs. 2 Satz 1 i.V.m. § 4e Satz 1 BDSG verpflichtet, eine interne Verarbeitungsübersicht zu erstellen1 und sie ihrem Datenschutzbeauftragten zur Wahrnehmung seiner Tätigkeit auszuhändigen. Diese Übersicht muss alle Verarbeitungen einbeziehen2, auch solche, die die verantwortliche Stelle an Auftragsdatenverarbeiter i.S.v. § 11 BDSG verlagert hat. Um dieser gesetzlichen Verpflichtung nachkommen zu können, statuiert Ziffer 5.4 des Musters eine Verpflichtung des Auftragnehmers, dem Auftraggeber auf Anforderung eine Übersicht über die Angaben nach § 4e Satz 1 BDSG in Bezug auf die von ihm vorgenommenen Datenverarbeitungen sowie der bei ihm zugriffsberechtigten Personen zur Verfügung zu stellen.
48
f) Verpflichtung auf das Datengeheimnis (Ziffer 5.5) Zu den nach § 11 Abs. 4 BDSG direkt für den Auftragnehmer geltenden gesetzlichen Vorschriften zählt auch die Verpflichtung bezüglich des Datengeheimnisses nach § 5 BDSG. Der Auftragnehmer ist nach § 5 Satz 2 BDSG unmittelbar gesetzlich verpflichtet, alle mit der Erhebung oder Verwendung personenbezogener Daten beschäftigten Personen, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Im Falle der Auftragsdatenverarbeitung sind die Mitarbeiter also durch den Auftragsdatenverarbeiter, nicht aber durch den Auftraggeber zu verpflichten3. Gem. § 11 Abs. 2 Satz 2 Nr. 5 i.V.m. § 11 Abs. 4 BDSG ist deshalb in dem Auftragsdatenverarbeitungsvertrag festzulegen, dass der Auftragnehmer die erforderliche Verpflichtung auf das Daten1 BeckOK DatenschutzR/Moos, § 4g Rz. 30. 2 Simitis/Simitis, § 4g BDSG Rz. 67. 3 BeckOK DatenschutzR/Schmidt, § 5 Rz. 9.
Moos
|
233
49
Teil 2 II Rz. 50
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
geheimnis auch vorzunehmen hat. Diese Anforderung setzt Ziffer 5.5 des Musters um.
g) Bestellung eines Datenschutzbeauftragten (Ziffer 5.6) 50
Die von § 11 Abs. 2 Satz 2 Nr. 5 BDSG verlangte Festlegung der Pflichten des Auftragnehmers nach §§ 4f, 4g BDSG finden sich in Ziffer 5.6 des Musters, wobei der Verpflichtungsgehalt der Regelung nur dem gesetzlich Verlangten1 entspricht. Nach § 11 Abs. 4 BDSG muss ein Auftragsdatenverarbeiter einen betrieblichen Datenschutzbeauftragten nach § 4g BDSG nur bestellen, wenn und soweit die Voraussetzungen des § 4f BDSG erfüllt sind. Diese Verpflichtung wird in Ziffer 5.6 wiedergegeben, wonach der Auftragnehmer einen fachkundigen und zuverlässigen betrieblichen Datenschutzbeauftragten nach § 4f BDSG zu bestellen hat, sofern und solange die gesetzlichen Voraussetzungen für eine Bestellpflicht gegeben sind.
h) Weitere gesetzliche Pflichten des Auftragnehmers (Ziffer 5.7) 51
In Ziffer 5.7 sind schließlich in Umsetzung der Verpflichtung nach § 11 Abs. 2 Satz 2 Nr. 5 BDSG Verweise auf die weiteren, den Auftragnehmer schon von Gesetzes wegen treffende Verpflichtungen im Hinblick auf die Aufsicht nach § 38 BDSG sowie die für ihn relevanten Bußgeld- und Strafvorschriften in § 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3 BDSG sowie in § 44 BDSG enthalten. Auch insoweit mag man bezweifeln, dass eine Festschreibung im Auftragsdatenverarbeitungsvertrag notwendig ist, sie schadet aber jedenfalls auch nicht.
6. Erläuterungen zu Ziffer 6 52
E 6. Technische und organisatorische Maßnahmen 6.1 Der Auftragnehmer hat vor Beginn der Verarbeitung der AuftraggeberDaten die in Anlage 2 dieses Vertrags aufgelisteten technischen und organisatorischen Maßnahmen zu implementieren und während des Vertrags aufrechtzuerhalten. 6.2 Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der technologischen Weiterentwicklung unterliegen, ist es dem Auftragnehmer gestattet, alternative und adäquate Maßnahmen umzusetzen, sofern dabei das Sicherheitsniveau der in Anlage 2 festgelegten Maßnahmen nicht unterschritten wird. Der Auftragnehmer wird solche Änderungen dokumentieren. Wesentliche Änderungen der Maßnahmen bedürfen der vorherigen schriftlichen Zustimmung des Auftraggebers und sind vom Auftragnehmer zu dokumentieren und dem Auftraggeber auf Anforderung zur Verfügung zu stellen. 1 Zur Frage, ob diese Regelungen überhaupt einer expliziten Aufnahme in den Auftragsdatenverarbeitungsvertrag bedürfen und zur Nichtanwendbarkeit von § 11 Abs. 4 BDSG auf Auftragnehmer außerhalb des EWR s. Teil 2 I Rz. 71 f.
234
|
Moos
Erläuterungen
Rz. 55 Teil 2 II
a) Ratio Den Auftragnehmer trifft nach § 11 Abs. 4 i.V.m. § 9 BDSG eine eigene gesetzliche Verpflichtung, die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung des BDSG und insbesondere die der Anlage zu § 9 BDSG genannten Anforderungen zu erfüllen. Ungeachtet der eigenen gesetzlichen Verpflichtung des Auftragnehmers, verlangen § 11 Abs. 2 Nr. 3 BDSG und § 11 Abs. 2 Satz 2 Nr. 5 i.V.m. § 11 Abs. 4 BDSG eine Festlegung der zu ergreifenden technischen und organisatorischen Maßnahmen auch in dem Auftragsdatenverarbeitungsvertrag. Hierzu dient Ziffer 6 des Musters, in der neben der reinen Festlegung dieser Maßnahmen auch die Befugnis des Auftragnehmers zu deren Änderung geregelt wird.
53
b) Spezifizierung der technischen und organisatorischen Maßnahmen (Ziffer 6.1) Gem. § 11 Abs. 2 Nr. 3 BDSG hat der Auftragsdatenverarbeitungsvertrag auch die nach § 9 BDSG von dem Auftragnehmer zu treffenden, technischen und organisatorischen Maßnahmen zu bestimmen. Entsprechend diesem § 9 BDSG müssen es sich um solche technischen und organisatorischen Maßnahmen handeln, die erforderlich sind, um die Einhaltung der Datenschutzvorschriften und insbesondere die Anforderungen gemäß der Anlage zu § 9 BDSG zu gewährleisten. Üblicherweise werden deshalb – entsprechend den einzelnen in der Anlage zu § 9 BDSG genannten Schutzzielen – in dem Auftragsdatenverarbeitungsvertrag Vorgaben gemacht zur Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle und zur Verfügbarkeitskontrolle sowie zum Trennungsgebot.
54
Den Anforderungen des § 11 Abs. 2 Satz 2 Nr. 3 BDSG genügt es nicht, die Inhalte von § 9 BDSG oder die in der Anlage aufgelisteten Schutzziele schlicht zu wiederholen1. Die gesetzlichen Vorgaben zu § 9 BDSG sind dergestalt auszufüllen, dass zu jedem Schutzziel (und je nach Bedarf ggf. zu weiteren relevanten Schutzzielen) ganz konkrete, von dem Auftragnehmer umzusetzende Maßnahmen festgeschrieben werden. Das Muster sieht in Ziffer 6.1 vor, dass diese Einzelmaßnahmen in einer Anlage 2 zum Auftragsdatenverarbeitungsvertrag aufgelistet werden.
55
Weitergehende Maßnahmen schuldet der Auftragnehmer nach dem Vertrag nicht. Der Auftragnehmer kann deshalb sicher sein, seinen Vertragspflichten nachgekommen zu sein, wenn er die in Anlage 2 benannten Maßnahmen umgesetzt hat. Die Beurteilung der Frage, ob diese Maßnahmen ausreichend2 sind und ob ggf. weitere zu ergreifen sind, um den gesetzlichen Anforderungen zu genügen, liegt im Verhältnis der Parteien zueinander deshalb in der Sphäre des Auftraggebers. Andere oder zusätzliche Maßnahmen kann er nur über das für die Erteilung von Einzelweisungen vorgesehene Änderungsverfahren (vgl. Ziffer 3.1) verlangen. 1 BeckOK DatenschutzR/Spoerr, § 11 Rz. 103; Vander, K&R 2010, 292 (294). 2 Zur Festlegung der Maßnahmen s. Teil 2 I Rz. 84 f.
Moos
|
235
Teil 2 II Rz. 56 56
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
Im Hinblick auf den gesetzlich geforderten Standard für Datensicherheitsmaßnahmen, die von dem Auftragsdatenverarbeiter einzuhalten sind, kommt dem Auftragnehmer zugute, dass insoweit innerhalb des EWR hinsichtlich der Sicherheit der Verarbeitung gemäß Art. 17 Richtlinie 95/46/EG das einzelstaatliche Recht desjenigen Mitgliedstaates anwendbar ist, in dem der Auftragsdatenverarbeiter selbst seinen Sitz hat1.
c) Änderung und Fortschreibung der Maßnahmen (Ziffer 6.2) 57
Zulässig und entsprechend der Zielsetzung eines dauerhaft hohen Sicherheitsniveaus wünschenswert ist eine vertragliche Dynamisierung der Festlegungen für technische und organisatorische Maßnahmen2. Hierzu dient die Regelung in Ziffer 7.2 des Musters, die dem Auftragnehmer die Möglichkeit eröffnet, andere als die in der Anlage 2 festgeschriebenen Maßnahmen umzusetzen3. Die Berechtigung des Auftragnehmers, zur Realisierung anderer, adäquater technischer und organisatorischer Sicherheitsmaßnahmen soll dem Umstand Rechnung tragen, dass es in der Praxis häufig gerade der Auftragnehmer ist, der über entsprechende Expertise verfügt. Etablierte und professionelle IT-Dienstleister betreiben ein eigenes Innovationsmanagement, das sich auch auf die Fortentwicklung solcher Sicherheitsmaßnahmen und deren Anpassung an den technischen Fortschritt erstreckt. Der Auftraggeber seinerseits verfügt oftmals weder über die Ressourcen noch über das Know-How, Auswirkungen der technologischen Weiterentwicklung auf die in Anlage 2 einmal definierten Maßnahmen zu beurteilen. Es erscheint deshalb grundsätzlich sachgerecht, dem Auftragnehmer zuzubilligen, alternative Maßnahmen umzusetzen. Zur Wahrung der Auftraggeberinteressen sieht das Muster in Ziffer 6.2 vor, dass das Sicherheitsniveau der in Anlage 2 festgelegten Maßnahmen nicht unterschritten werden darf und der Auftragnehmer die Änderungen dokumentieren muss. Außerdem ist festgelegt, dass für wesentliche Änderungen der vereinbarten Maßnahmen eine vorherige schriftliche Zustimmung des Auftraggebers erforderlich ist, so dass der Auftragnehmer die Sicherheit hat, dass seine in Anlage 2 zum Ausdruck kommenden Weisungen bezüglich der Sicherheit der Verarbeitung im Kern verbindlich sind.
58
Die Regelung schließt es freilich nicht aus, dass vom Auftraggeber für notwendig erachtete Änderungen oder Ergänzungen der Maßnahmen nach Anlage 2 erfolgen. Dies wäre auch problematisch, weil nach Meinung der Aufsichtsbehörden die Möglichkeit bestehen muss, ergänzende Maßnahmen zu vereinbaren, wenn sich herausstellen sollte, dass die definierten Sicherheitsmaßnahmen nicht ausreichend sind4. Hierfür ist entsprechend der Regelung in Ziffer 3.1 des Musters wiederum das Änderungsverfahren nach dem Hauptvertrag zu durchlaufen. 1 Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ vom 16.2.2010, WP 169, S. 7. 2 BeckOK DatenschutzR/Spoerr, § 11 Rz. 103. 3 Ähnlich auch Redeker/Bierekoven, Handbuch der IT-Verträge, Ziff. 7.2 Rz. 64. 4 Der Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe Auftragsdatenverarbeitung, S. 16.
236
|
Moos
Erläuterungen
Rz. 61 Teil 2 II
7. Erläuterungen zu Ziffer 7 E 7. Mitzuteilende Verstöße des Auftragnehmers
59
7.1 Der Auftragnehmer informiert den Auftraggeber zeitnah, wenn er feststellt, dass er oder ein Mitarbeiter bei der Verarbeitung von Auftraggeber-Daten gegen datenschutzrechtliche Vorschriften oder gegen Festlegungen aus diesem Vertrag verstoßen haben, sofern deshalb die Gefahr besteht, dass Auftraggeber-Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind. 7.2 Soweit den Auftraggeber aufgrund eines Vorkommnisses nach Ziffer 7.1 gesetzliche Informationspflichten wegen einer unrechtmäßigen Kenntniserlangung von Auftraggeber-Daten (insbesondere nach § 42a BDSG) treffen, hat der Auftragnehmer den Auftraggeber bei der Erfüllung der Informationspflichten auf dessen Ersuchen im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden, nachzuweisenden Aufwände und Kosten zu unterstützen.
a) Ratio § 11 Abs. 2 Satz 2 Nr. 8 BDSG verlangt Festlegungen zu Mitteilungspflichten des Auftragnehmers bei Verstößen (durch ihn oder seine Mitarbeiter) gegen datenschutzrechtliche Bestimmungen oder Festlegungen in dem Auftragsdatenverarbeitungsvertrag. Ziffer 7 enthält diese Festlegungen und gestaltet die Mitwirkungspflicht des Auftragnehmers zur Erfüllung gesetzlicher Informationspflichten des Auftraggebers näher aus.
60
b) Informationspflichten des Auftragnehmers (Ziffer 7.1) § 11 Abs. 2 Satz 2 Nr. 8 BDSG korrespondiert mit den in § 42a BDSG, § 15a TMG und § 109a TKG normierten Informationspflichten der verantwortlichen Stellen gegenüber Betroffenen und Aufsichtsbehörden im Fall von Datenpannen. Da diese Informationspflichten von Gesetzes wegen nicht den Auftragsdatenverarbeiter1 selbst, sondern nur den Auftraggeber treffen, soll die Festlegung entsprechender vertraglicher Mitteilungspflichten des Auftragnehmers es dem Auftraggeber ermöglichen, seiner gesetzlichen Informationspflicht nach diesen Vorschriften nachzukommen. Nach Ziffer 7.1 hat der Auftragnehmer den Auftraggeber zeitnah zu informieren, wenn er feststellt, dass er oder ein Mitarbeiter bei der Verarbeitung von Auftraggeber-Daten gegen datenschutzrechtliche Vorschriften oder gegen Festlegungen aus diesem Vertrag verstoßen haben. Das Muster legt die Informationspflicht des Auftragnehmers folglich eng an und beschränkt diese vor allem auf die explizit in § 11 Abs. 2 Satz 2 Nr. 8 BDSG genannten Situationen eines Verstoßes gegen gesetzliche Datenschutzvorschriften und die Bestimmungen des Auftragsdatenverarbeitungsvertrags. 1 Hierzu Teil 2 I Rz. 97.
Moos
|
237
61
Teil 2 II Rz. 62
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
62
In inhaltlicher Hinsicht wird die Informationspflicht dabei vor dem Hintergrund der ratio des § 11 Abs. 2 Satz 2 Nr. 8 BDSG weiter beschränkt auf Fälle, in denen wegen eines solchen Verstoßes die Gefahr einer unrechtmäßigen Kenntniserlangung der Auftraggeber-Daten durch Dritte besteht. Die Begriffe der „unrechtmäßigen Übermittlung/unrechtmäßigen Kenntniserlangung“ entsprechen dem Wortlaut des § 42a Satz 1 BDSG, so dass die Vertragsregelung zumindest insoweit die eine informationspflichtige Datenpanne qualifizierenden gesetzlichen Anforderungen mit aufnimmt. Hierdurch soll vermieden werden, dass der Auftragnehmer dem Auftraggeber jeden erdenklichen Verstoß gegen gesetzliche Vorschriften oder die Festlegungen im Vertrag mitteilen muss; also auch solche, bei denen eine Kenntniserlangung durch Dritte und damit eine Informationspflicht des Auftraggebers nach § 42a BDSG von vornherein nicht in Betracht kommt. Da § 11 Abs. 2 Satz 2 Nr. 8 BDSG gerade fordert, festzulegen, welche Verstöße mitzuteilen sind, dürfte diese Qualifizierung zulässig sein.
63
Je nach Art der Daten, mit denen der Auftragnehmer umgeht, mag der Auftraggeber eine Ausweitung der Mitteilungspflicht verlangen. Das gilt vor allem, wenn es sich bei dem Auftraggeber um ein Unternehmen handelt, welches öffentlich zugängliche Telekommunikationsdienste erbringt. Solche TK-Dienstleister unterliegen nach § 109a Abs. 1 TKG einer weitergehenden gesetzlichen Informationspflicht bei Datenpannen, die schon dann greift, wenn eine „Verletzung des Schutzes personenbezogener Daten“ vorliegt. Diese ist in § 3 Nr. 30a TKG definiert als eine „Verletzung der Datensicherheit, die zum Verlust, zur unrechtmäßigen Löschung, Veränderung, Speicherung, Weitergabe oder sonstigen unrechtmäßigen Verwendung personenbezogener Daten führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung öffentlich zugänglicher Telekommunikationsdienste verarbeitet werden sowie der unrechtmäßige Zugang zu diesen“. Im Unterschied zu der Regelung in § 42a BDSG setzt § 109a TKG deshalb gerade nicht die Kenntnisnahme der Daten durch einen Dritten voraus1, so dass auf diese Qualifizierung dann auch im Wortlaut des Auftragsdatenverarbeitungsvertrags verzichtet werden sollte.
64
Teilweise wird es für notwendig gehalten, auch die Reaktionsgeschwindigkeit des Auftragnehmers im Vertrag zu regeln2. Hierzu sieht das Muster nur die allgemeine Bestimmung vor, dass die Information „zeitnah“ zu erfolgen hat3.
c) Unterstützungspflicht des Auftragnehmers (Ziffer 7.2) 65
Im Falle einer Auftragsdatenverarbeitung kann der Auftraggeber die Aufklärung einer Datenpanne i.S.d. § 42a BDSG bzw. der bereichsspezifischen Parallelvorschriften nicht alleine leisten, sofern sie ihre Ursache beim Auftragnehmer hat. Er ist deshalb auf eine entsprechende Unterstützung des Auftragnehmers angewiesen. Auch ohne explizite vertragliche Verankerung wird den Auftragnehmer in solchen Fällen regelmäßig unter dem Schutz- und Fürsorgeaspekt 1 Eckhardt, Beck’scher TKG-Kommentar, § 109a TKG Rz. 21. 2 Hoeren, DuD 2010, 688 (691). 3 Zu weitergehenden Anforderungen nach der Verordnung (EU) Nr. 611/2013 der EUKommission vom 24.6.2013 vgl. Teil 2 I Rz. 100.
238
|
Moos
Erläuterungen
Rz. 66 Teil 2 II
eine vertragliche Nebenpflicht zu einer dementsprechenden Unterstützung treffen. Diese kann sich z.B. darauf beziehen, angemessene Maßnahmen zur Sicherung der Daten zu definieren oder Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen für die Betroffenen zu erarbeiten1. Vor diesem Hintergrund bietet es sich auch aus Auftragnehmersicht an, die entsprechende Unterstützungspflicht und vor allem auch die Kostentragung explizit zu regeln. Das erfolgt in Ziffer 7.2 des Musters. Die Regelung begrenzt die von dem Auftragnehmer zu leistende Unterstützung – in Anlehnung an die Mitteilungspflicht nach Ziffer 7.1 – auf die Situationen, in denen den Auftraggeber tatsächlich eine gesetzliche Informationspflicht wegen unrechtmäßiger Kenntniserlangung von Auftraggeber-Daten trifft. Inhaltlich betrifft die Unterstützungspflicht nur die Erfüllung der Informationspflichten. Vom Umfang her ist sie auf das Maß des Zumutbaren und Erforderlichen begrenzt. Zugunsten des Auftragnehmers ist außerdem noch eine Verpflichtung des Auftraggebers zur Übernahme der beim Auftragnehmer hierfür entstehenden Aufwände und Kosten vorgesehen, die der Auftragnehmer seinerseits nachzuweisen hat. Die Regelung könnte noch weiter spezifiziert werden, indem z.B. Stunden- oder Tagessätze für die Erbringung entsprechender Unterstützungsleistungen festgelegt werden.
8. Erläuterungen zu Ziffer 8 66
E 8. Kontrollrechte des Auftraggebers 8.1 Der Auftraggeber ist berechtigt, im Rahmen der üblichen Geschäftszeiten (montags bis freitags von … bis … Uhr) auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers die Geschäftsräume des Auftragnehmers, in denen Auftraggeber-Daten verarbeitet werden, zu betreten, um sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 zu diesem Vertrag zu überzeugen. 8.2 Der Auftragnehmer gewährt dem Auftraggeber die zur Durchführung der Kontrollen nach Ziffer 8.1 erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte. 8.3 Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten – es sei denn, dass diese die Basis des erstattungsfähigen oder durchlaufenden Aufwandes darstellen – zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen 1 Vgl. hierzu im Detail die Erläuterungen zum Muster eines auftraggeberfreundlichen Auftragsdatenverarbeitungsvertrags Teil 2 I Rz. 101.
Moos
|
239
Teil 2 II Rz. 67
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind, zu erhalten. 8.4 Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren. Der Auftraggeber darf in der Regel eine Kontrolle pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen im Fall von besonderen Vorkommnissen durchzuführen. 8.5 Der Auftragnehmer erhält vom Auftraggeber eine pauschale Aufwandsentschädigung für seinen im Rahmen dieser Kontrollen anfallenden Aufwand in Höhe von […] Euro pro Kontrolle. 8.6 Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von dieser Ziffer 8 dieses Vertrags gegenüber dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber diesem die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Kontrolle beauftragen. 8.7 Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 anstatt einer Vor-Ort-Kontrolle auch durch die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit – z.B. nach BSI-Grundschutz – („Prüfungsberichts“) erbracht werden, wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglicht, sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 zu diesem Vertrag zu überzeugen.
a) Ratio 67
Ziffer 8 des Musters setzt die Gestaltungsanforderung gem. § 11 Abs. 2 Satz 2 Nr. 7 BDSG um, wonach in dem Vertrag die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers festzulegen sind. Zusätzlich enthält Ziffer 8 einige diesbezügliche Schutzvorschriften zugunsten des Auftragnehmers.
b) Kontrollrecht des Auftraggebers (Ziffer 8.1) 68
Auf gesetzliche Kontrollbefugnisse kann der Auftraggeber gegenüber dem Auftragnehmer grundsätzlich nicht zurückgreifen1. Ziffer 8.1 gewährt dem Auf1 BeckOK DatenschutzR/Spoerr, § 11 Rz. 108.
240
|
Moos
Erläuterungen
Rz. 71 Teil 2 II
traggeber deshalb in Umsetzung von § 11 Abs. 2 Satz 2 Nr. 7 BDSG das Recht zu einer Vor-Ort-Kontrolle.
aa) Gegenstand der Kontrolle Der Gegenstand der Kontrollen, zu denen der Auftraggeber nach Ziffer 8.1 berechtigt sein soll, ist eng gefasst und bezieht sich nur auf die Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 zum Mustervertrag. Mehr wird vom Gesetz nicht verlangt. Das wird deutlich aus dem Wortlaut der Regelung in § 11 Abs. 2 Satz 4 BDSG, mit der § 11 Abs. 2 Satz 2 Nr. 7 BDSG in Zusammenhang steht1. Danach hat sich der Auftraggeber auch während der Auftragsdurchführung regelmäßig von der Einhaltung der technischen und organisatorischen Maßnahmen bei dem Auftragnehmer zu überzeugen. Diese Überzeugungsbildung kann durch die in Ziffer 8.1 zugelassene Kontrolle erfolgen.
69
bb) Art der Kontrolle Das Gesetz schreibt nicht ausdrücklich vor, auf welche Art und Weise die von dem Auftraggeber vorzunehmenden Kontrollen erfolgen müssen. Eigentlich hat der Gesetzgeber im Falle des § 11 BDSG ausdrücklich davon abgesehen, dem Auftraggeber verpflichtende Vor-Ort-Kontrollen vorzugeben2. Je nach Auftragsgegenstand, Fallgestaltung und konkretem Anlass kann eine Kontrolle bei dem Auftragnehmer vor Ort für den Auftraggeber dennoch geboten sein3. Das bedeutet aber auch, dass in gewissen Konstellationen – und nur wenn angemessene Alternativen zur Verfügung stehen – ein Recht zur Vor-Ort-Kontrolle ggf. auch komplett ausgeschlossen werden kann. Praxisrelevant ist das wiederum bei Dienstleistungen im Bereich des Cloud Computing. Da eine Vor-Ort-Kontrolle beim Cloud Service Provider in vielen Fällen ohnehin unrealistisch wäre, mag es hier abhängig von Gegenstand, Umfang und Sensibilität der Auftragsdatenverarbeitung möglich sein, eine Vor-Ort-Kontrolle im Gegenzug zu umfassenden anderweitigen Kontrollmechanismen auszuschließen.
70
cc) Beschränkung der Kontrolltätigkeit Vor-Ort-Kontrollen stellen grundsätzlich intensive Eingriffe in den Geschäftsbetrieb des Auftragnehmers dar. In Ziffer 8.1 sind deshalb Schutzvorschriften zugunsten des Auftragnehmers enthalten, die einen Ausgleich des Prüfungsinteresses des Auftraggebers mit der unternehmerischen Freiheit des Auftragnehmers erreichen sollen. Eine restriktive Ausgestaltung der Kontrollrechte ist grundsätzlich nicht zu beanstanden, so lange dem die (besondere) Schutzbedürftigkeit der Daten nicht entgegensteht4. 1 Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 48. 2 BT-Drucks. 16/13657, 18. 3 Solche Betretungsrechte hält Kaufmann, ZD-Aktuell 2012, 02945, im Falle der Verwendung von Google Analytics durch deutsche Webseitenbetreiber für geboten. 4 Taeger/Bergt, Law as a Service (LaaS), S. 37 (42).
Moos
|
241
71
Teil 2 II Rz. 72
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
(1) Geschäftsräume des Auftragnehmers 72
Zunächst ist in Ziffer 8.1 des Musters festgelegt, dass Kontrollen nur in solchen Geschäftsräumen des Auftragnehmers stattfinden dürfen, in denen Auftraggeber-Daten verarbeitet werden. Dadurch soll sichergestellt werden, dass die Kontrollen nicht über das notwendige Maß hinausgehen und der Auftraggeber etwa Rechenzentren kontrolliert, in denen sich gar keine AuftraggeberDaten befinden oder andere Büro- oder Geschäftsräume. Da sich die Kontrollen hier nur auf die Maßnahmen gemäß der Anlage 2 zu Ziffer 6 beziehen, dürfte diese Einschränkung unproblematisch sein.
(2) Während der üblichen Geschäftszeiten 73
Die Kontrolle soll nur während der üblichen Geschäftszeiten erfolgen dürfen. Es ist vorgesehen, dass hierzu nähere Festlegungen in der Klausel erfolgen; also die „übliche Geschäftszeit“ nach Tagen und Uhrzeiten genau bestimmt wird.
(3) Auf eigene Kosten 74
Ziffer 8.1 bestimmt auch, dass die Kontrollen auf eigene Kosten des Auftraggebers zu erfolgen haben. Die Erstattung von Aufwänden, die dem Auftragnehmer selbst entstehen, ist in Ziffer 8.5 geregelt.
(4) Ohne Störung des Betriebsablaufs 75
Ferner hat die Kontrolle ohne Störung des Betriebsablaufs beim Auftragnehmer zu erfolgen. Durch diese Vorgabe soll sichergestellt werden, dass trotz der Kontrollen der übliche Geschäftsbetrieb des Auftragnehmers ungehindert weiterlaufen kann und nicht beeinträchtigt wird. Konkret bedeutet das, dass z.B. Systeme, mit denen Auftraggeber-Daten aber auch Daten anderer Auftraggeber verarbeitet werden, nicht aus Anlass der Kontrolle abgeschaltet oder in einem anderen Betriebsmodus betrieben werden dürfen, dass Personal des Auftragnehmers nicht von seinen regulär zu erledigenden Aufgaben abgezogen werden darf, etc. Je nach Art der Datenverarbeitung kann es für den Auftragnehmer vorteilhaft sein, diese Regelung noch zu spezifizieren.
(5) Unter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen 76
Von besonderer Bedeutung ist für den Auftragnehmer regelmäßig, dass die Kontrollen des Auftraggebers unter Wahrung der Betriebs- und Geschäftsgeheimnisse des Auftragnehmers erfolgen. Ganz grundsätzlich wird der Auftragnehmer insoweit schon durch das AGB-Recht geschützt, wonach Allgemeine Geschäftsbedingungen (um die es sich bei den vom Auftraggeber gestellten Auftragsdatenverarbeitungsverträgen oft handeln wird), die zu weitgehende Kontrollrechte vorsehen, gegen § 307 Abs. 2 Nr. 1 BGB verstoßen können1. Der Vertrag muss deshalb angemessene Schutzmaßnahmen für die Geheimhaltungs- und 1 Hoeren, DuD 2010, 687 (690).
242
|
Moos
Erläuterungen
Rz. 78 Teil 2 II
sonstigen berechtigten Interessen des Auftragnehmers vorsehen1. Diesem Ansinnen folgt der Wortlaut von Ziffer 8.1, der vom Auftraggeber explizit die strikte Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers verlangt. Der Begriff ist nicht gesetzlich definiert, umfasst aber nach hergebrachter Definition alle nur einem begrenzten Personenkreis bekannten und nicht offenkundigen Tatsachen, die nach dem Willen des Unternehmens in den Grenzen seines berechtigten wirtschaftlichen Interesses geheim gehalten werden sollen2. Kommt es dem Auftragnehmer auf die Vertraulichkeit bestimmter Informationen an, könnte das Muster um eine beispielhafte Aufzählung der relevanten Betriebs- und Geschäftsgeheimnisse ergänzt werden. Ergänzende Regelungen zur Wahrung der berechtigten Geheimhaltungsinteressen des Auftragnehmers sind in Ziffer 8.3 enthalten.
c) Zugangs-, Auskunfts- und Einsichtsrechte (Ziffer 8.2) § 11 Abs. 2 Satz 2 Nr. 7 BDSG verlangt auch die Festlegung der Duldungs- und Mitwirkungspflichten des Auftragnehmers im Hinblick auf die Kontrollen des Auftraggebers. Zugangs- und Einsichtsrechte des Auftraggebers sind notwendig, um Vor-Ort-Kontrollen überhaupt durchführen zu können. In diesem Sinne gewährt Ziffer 8.2 dem Auftraggeber die im Zusammenhang mit solchen VorOrt-Kontrollen von ihm objektiv benötigten Zugangs-, Auskunfts- und Einsichtsrechte. Auf eine nähere Spezifizierung wird verzichtet; sie dürfte von § 11 Abs. 2 Satz 2 Nr. 7 BDSG auch nicht gefordert sein.
77
d) Ausnahmen von der Offenlegungspflicht (Ziffer 8.3) Ziffer 8.3 beschränkt die dem Auftraggeber gem. Ziffer 8.2 eingeräumten Auskunfts- und Einsichtsrechte und dient als Konkretisierung der Regelung in Ziffer 8.1, wonach ohnehin die Betriebs- und Geschäftsgeheimnisse des Auftragnehmers zu wahren sind. Hiernach werden explizit folgende Informationen von der Verpflichtung zur Offenlegung gegenüber dem Auftraggeber ausgenommen: – Sensible Geschäftsinformationen des Auftragnehmers, – Informationen, durch deren Offenbarung der Auftragnehmer gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde, – Informationen über andere Kunden des Auftragnehmers, – Informationen hinsichtlich Kosten, – Qualitätsprüfungs- und Vertrags-Managementberichte sowie – sämtliche anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind. Die Ausnahme dieser Informationen steht dabei allerdings unter dem Vorbehalt der angemessenen Berücksichtigung der gesetzlichen Verpflichtungen des Auf1 BeckOK DatenschutzR/Spoerr, § 11 Rz. 108. 2 Vgl. z.B. BAG v. 16.3.1982 – 3 AZR 83/79, AP Nr. 1 zu § 611 BGB Betriebsgeheimnis.
Moos
|
243
78
Teil 2 II Rz. 79
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
traggebers zur Durchführung von Auftragskontrollen nach § 11 BDSG. Hierdurch wird gewährleistet, dass die Kontrollrechte nicht über Gebühr beschränkt werden und die Klausel deshalb den Anforderungen des § 11 Abs. 2 Satz 4 BDSG noch gerecht wird.
e) Ankündigung und Häufigkeit der Kontrolle (Ziffer 8.4) 79
Ziffer 8.4 regelt die Ankündigung und die Häufigkeit der Kontrollen.
aa) Ankündigung der Kontrollen 80
Ziffer 8.4 Satz 1 sieht vor, dass der Auftraggeber dem Auftragnehmer die Kontrolle selbst im Regelfall mindestens zwei Wochen vorher anzukündigen und ihn dabei über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände informieren muss. Die Zeitspanne von zwei Wochen soll dem Auftragnehmer die Möglichkeit geben, sich auf die Kontrolle vorzubereiten und die erforderlichen Dispositionen zu treffen; z.B. um dafür zu sorgen, dass kompetente Mitarbeiter vor Ort sind, die die Kontrolle begleiten und dem Auftraggeber Rede und Antwort stehen können. Für den Fall, dass sensible Bereiche wie z.B. ein Rechenzentrum inspiziert werden sollen, will der Auftragnehmer ggf. auch eine Personenüberprüfung durchführen. Auch hierfür sind Vorbereitungen zu treffen. Indem das Muster die zweiwöchige Ankündigungsfrist als Regelfall festschreibt, gestattet es im Umkehrschluss allerdings auch kurzfristigere Ankündigungen. Das ist jedoch nur in Ausnahmefällen zulässig, welche in Ziffer 8.4 nicht näher definiert sind. Denkbar wären etwa anlassbezogene Kontrollen, weil sich bei dem Auftragnehmer eine Datenpanne ereignet hat und deshalb die zwei Wochen nicht abgewartet werden können.
bb) Häufigkeit der Kontrollen 81
In Ziffer 8.4 ist auch eine Regelfrequenz für die Durchführung der Auftraggeber-Kontrollen von einem Jahr festgeschrieben. Das Gesetz macht keine konkreten Vorgaben dazu, wie oft der Auftraggeber entsprechende Kontrollen durchführen muss1. § 11 Abs. 2 Satz 4 BDSG verlangt während der Vertragslaufzeit „regelmäßige“ Kontrollen. Diese Formulierung will der Gesetzgeber dahingehend verstanden wissen, dass insbesondere bei längerfristigen Auftragsdatenverarbeitungen eine einmalige Kontrolle nicht ausreiche und auch eine starre Frist, z.B. eine jährliche Kontrolle, der in der Praxis vorkommenden Bandbreite an Auftragsdatenverarbeitungen nicht gerecht werde2. Die Aufsichtsbehörden fordern teilweise gleichwohl, dass Kontrollen mindestens einmal jährlich durchgeführt werden3. An dieser Mindestregelung orientiert sich das Muster. 1 Weitnauer/Missling, Kap H.3, S. 388. 2 BT-Drucks. 16/13657, 18. 3 Der Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe Auftragsdatenverarbeitung, S. 16.
244
|
Moos
Erläuterungen
Rz. 85 Teil 2 II
Ferner sind ggf. anlassbezogene Kontrollen vorzunehmen, etwa im Nachgang zu Datenpannen bei dem Auftragnehmer. Dem steht die Regelung in Ziffer 8.4 nicht entgegen, da der Jahreszyklus nur die „Regelkontrollen“ umfasst. Anlassbezogene, unterjährige Kontrollen bleiben deshalb zugelassen.
82
f) Kostentragung (Ziffer 8.5) Der mit der Ermöglichung und Begleitung der Auftraggeber-Kontrollen verbundene Aufwand ist für den Auftragnehmer kaum verlässlich kalkulierbar. Neben der Prüfungstiefe hängt dies maßgeblich auch von der Häufigkeit der Prüfungen ab. Beides liegt weitgehend in der Entscheidungshoheit des Auftraggebers. Erklärt sich der Auftraggeber nicht zur Übernahme der mit seinen Prüfungen verbundenen Kosten des Auftragnehmers und zur Abgeltung seiner Aufwendungen bereit, wird der Auftragnehmer daher typischerweise einen Sicherheitsaufschlag auf die Vergütung nach dem Hauptvertrag vornehmen. Das kann letztlich finanziell auch für den Auftraggeber nachteilig sein. Es ist deshalb im beiderseitigen Interesse, die Kostentragung zu regeln.
83
Das Muster sieht zugunsten des Auftragnehmers eine pauschale Aufwandsentschädigung für seinen im Rahmen der Auftraggeber-Kontrollen anfallenden Aufwand vor, der pro Kontrolle als pauschaler Betrag angesetzt werden soll. Alternativ ist auch die Vereinbarung eines Personenstunden- oder -tagessatzes möglich.
g) Anforderungen an die Kontrolle durchführende Dritte (Ziffer 8.6) Ziffer 8.6 enthält Sonderregelungen für die Durchführung von Kontrollen durch vom Auftraggeber beauftragte Dritte.
84
Zuständig für die Prüfungen beim Auftragnehmer über die Einhaltung der gebotenen Sicherheitsmaßnahmen ist grundsätzlich die Unternehmensleitung des Auftraggebers1. Der Auftraggeber muss die Kontrollen aber nicht selbst durchführen. Teilweise werden ihm dazu auch das notwendige technische KnowHow2 oder die Personalkapazitäten fehlen. Ziffer 8.6 gestattet es dem Auftraggeber deshalb, die Kontrollen durch einen Bevollmächtigten, wie z.B. einen externen Sachverständigen, einen Auditor, etc. vorzunehmen. Durch die Einschaltung eines Dritten werden aber in besonderem Maße die Geheimhaltungsinteressen des Auftragnehmers berührt. So ist z.B. im Rahmen von § 809 BGB anerkannt, dass der Besichtigungsanspruch nicht gewährt werden kann, wenn Betriebsgeheimnisse des Betroffenen verletzt werden könnten3. Dasselbe muss deshalb erst recht bei den hier von § 11 BDSG ermöglichten anlassunabhängigen Kontrollen gelten, denn eine Gefahr der Verletzung 1 Bayerisches Landesamt für Datenschutzaufsicht, Tätigkeitsbericht 2009/10, S. 36. 2 Vgl. Der Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe Auftragsdatenverarbeitung, S. 17. 3 BGH v. 2.5.2002 – I ZR 45/01, CR 2002, 791 (794); BeckOK BGB/Gehrlein, § 809 Rz. 5.
Moos
|
245
85
Teil 2 II Rz. 86
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
von Betriebs- und Geschäftsgeheimnissen besteht bei der Durchführung solcher Kontrollen in besonderem Maße: Je nachdem, wie umfangreich die Überprüfung vor Ort ist, besteht jedenfalls grundsätzlich die Möglichkeit, dass bei einer Kontrolle der Datenverarbeitungsanlagen auch solche Dateien und Inhalte wahrgenommen werden, an deren Geheimhaltung der Auftragnehmer ein besonderes Interesse besitzt. Im Einzelfall erscheint es darüber hinaus nicht ausgeschlossen, die Beschaffenheit bestimmter Datenverarbeitungssysteme selbst als geheimhaltungsbedürftig anzusehen1. Die Regelungen in Ziffer 8.6 sollen dem Rechnung tragen, indem dem Auftraggeber aufgegeben wird, den von ihm mit der Kontrolle beauftragten Dritten schriftlich zur Geheimhaltung und zur Einhaltung der Kontrollschranken gemäß dieser Ziffer 8 zu verpflichten und dem Auftragnehmer diese Verpflichtungsvereinbarung auf Verlangen vorzulegen2. Grundsätzlich auch für den Auftragnehmer vorteilhaft ist es, wenn einer von Gesetzes wegen zur Verschwiegenheit verpflichteten Person oder Institution, wie z.B. einem unabhängigen Wirtschaftsprüfer, die entsprechenden Kontrollen überantwortet werden. Zur weiteren Absicherung der Geheimhaltung wird es dem Auftraggeber untersagt, die Kontrolle von einem Konkurrenten des Auftragnehmers durchführen zu lassen.
h) Alternative Kontrollmöglichkeiten (Ziffer 8.7) 86
Eine Vor-Ort-Kontrolle beim Auftragnehmer hat der Gesetzgeber ausdrücklich nicht verbindlich vorgeben wollen3. Den Verzicht auf die Festschreibung einer generellen Vor-Ort-Kontrollpflicht begründet der Gesetzgeber damit, dass dem Auftraggeber die Flexibilität zugestanden werden soll, anstelle einer Vor-OrtKontrolle z.B. ein Testat eines Sachverständigen oder auch nur eine schriftliche Auskunft des Auftragnehmers einzuholen, wenn dies im Einzelfall ausreichend ist4. Vor diesem Hintergrund sieht Ziffer 8.7 alternative Kontrollmöglichkeiten vor.
aa) Arten der Kontrolle 87
Ziffer 8.7 lässt zum Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 deshalb alternativ zu einer Vor-Ort-Kontrolle explizit auch die Vorlage von Testaten, Berichten oder Berichtsauszügen unabhängiger Instanzen oder Nachweise über einschlägige Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits zu. Nach Ansicht der Literatur kann der Auftraggeber seiner gesetzlichen Kontrollpflicht dadurch genügen, dass er sich vom Auftragnehmer werthaltige und aussagekräftige Datenschutzzertifizierungen oder -audits vorlegen lässt5. Es ist nicht vorgeschrieben, dass 1 Moos, CR 2006, 797 (801). 2 Vgl. zu entsprechenden Geheimhaltungsregelungen bei Lizenzauditklauseln auch Moos, CR 2006, 797 (801). 3 BT-Drucks. 16/13657, 18. 4 BT-Drucks. 16/13657, 18. 5 Simitis/Petri, § 11 BDSG Rz. 59.
246
|
Moos
Erläuterungen
Rz. 89 Teil 2 II
der Auftraggeber seinerseits solche Prüfungen in Auftrag geben muss, so dass solche Eigenzertifizierungen des Auftragnehmers grundsätzlich ausreichend sind1. Als geeignet für den Nachweis gelten nach Ziffer 8.7 insbesondere entsprechende Prüfberichte von der Revision oder der IT-Sicherheitsabteilung des Auftragnehmers sowie von externen Stellen wie Wirtschaftsprüfern, Datenschutzoder Qualitätsauditoren. Auch Prüfberichte des betrieblichen Datenschutzbeauftragten können genügen. Seine Testate erscheinen sogar in besonderem Maße geeignet, weil er als unabhängiges Selbstkontrollorgan der Daten verarbeitenden Stelle2 verfasst ist, der in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei ist, so dass Einwirkungen der Geschäftsleitung des Auftragnehmers auf die Anwendung der Kenntnisse des Datenschutzbeauftragten ausscheiden müssen. Dem Datenschutzbeauftragten dürfen also durch den Auftragnehmer nicht bestimmte Meinungen oder Ergebnisse bezüglich seiner Prüfungs- und Kontrolltätigkeit vorgegeben werden3; so etwa auch nicht Inhalt oder Ergebnis seiner Prüfberichte.
88
bb) Wahlrecht des Auftragnehmers Nach Ziffer 8.7 soll das Wahlrecht, ob anstelle der Vor-Ort-Kontrolle der Nachweis per Testat erfolgt, beim Auftragnehmer liegen. Das ist sicherlich nicht in allen Fällen möglich, weil es grundsätzlich im pflichtgemäßen Ermessen des Auftraggebers steht, die Kontrolle in geeigneter Weise durchzuführen. Die Zuweisung des Wahlrechts an den Auftragnehmer muss aber jedenfalls bei solchen Auftragsdatenverarbeitungen möglich sein, bei denen per se nicht zwingend eine Vor-Ort-Kontrolle erfolgen müsste. Teilweise wird sogar vertreten, dass grundsätzlich eine vollständige Ersetzung der Eigenkontrolle des Auftraggebers durch vom Auftragnehmer vorgelegte Drittzertifikate möglich ist4. Zur Absicherung der Rechtskonformität steht das Auftragnehmerwahlrecht gem. Ziffer 8.7 außerdem unter der Bedingung, dass der dem Auftraggeber statt dessen vorzulegende Prüfbericht es ihm in angemessener Weise ermöglichen muss, sich von der Einhaltung der vertraglich festgelegten technischen und organisatorischen Maßnahmen zu überzeugen. Ein Bericht, der diesen Anforderungen nicht genügt, kann eine Vor-Ort-Kontrolle nicht ersetzen. Der Auftraggeber kann mithin unzureichende Berichte ablehnen, so dass im Ergebnis die pflichtgemäße Kontrolltätigkeit des Auftraggebers gewährleistet ist5.
1 Taeger/Bergt, Law as a Service (LaaS), S. 37 (46); Bayerisches Landesamt für Datenschutzaufsicht, Auftragsdatenverarbeitung, S. 8. 2 Vgl. BeckOK DatenschutzR/Moos, § 4f BDSG Rz. 1. 3 BeckOK DatenschutzR/Moos, § 4f BDSG Rz. 67. 4 Taeger/Bergt, Law as a Service (LaaS), S. 37 (47). 5 Dafür auch Bierekoven, ITRB 2012, 280 (282).
Moos
|
247
89
Teil 2 II Rz. 90
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
9. Erläuterungen zu Ziffer 9 90
E 9. Unterauftragsverhältnisse 9.1 Der Auftragnehmer darf Unterauftragsverhältnisse hinsichtlich der Verarbeitung oder Nutzung von Auftraggeber-Daten nur nach vorheriger schriftlicher Zustimmung des Auftraggebers begründen. Eine solche vorherige Zustimmung darf vom Auftraggeber nur aus wichtigem, dem Auftragnehmer nachzuweisenden Grund verweigert werden. Im Fall der Einschaltung eines nach §§ 15 ff. AktG mit dem Auftragnehmer verbundenen Unternehmens als Unterauftragnehmer erteilt der Auftraggeber hiermit ausdrücklich seine Zustimmung. Der Auftragnehmer wird dem Auftraggeber auf Anforderung eine aktuelle Übersicht über die eingeschalteten Unterauftragnehmer übergeben. 9.2 Keiner Zustimmung bedarf die Einschaltung von Subunternehmern, bei denen der Subunternehmer lediglich eine Nebenleistung zur Unterstützung bei der Leistungserbringung nach dem Hauptvertrag in Anspruch nimmt, auch wenn dabei ein Zugriff auf die Auftraggeber-Daten nicht ausgeschlossen werden kann; dazu zählen insbesondere Transportleistungen von Post- oder Kurierdiensten sowie Geldtransportdienstleistungen, Telekommunikationsdienste, Bewachungsdienste und Reinigungsdienste, nicht aber Prüfungs- und Wartungsleistungen i.S.v. § 11 Abs. 5 BDSG. Der Auftragnehmer wird mit solchen Subunternehmern branchenübliche Geheimhaltungsvereinbarungen treffen. 9.3 Zur Prüfung einer nach Ziffer 9.1 erforderlichen Zustimmung hat der Auftragnehmer dem Auftraggeber eine Kopie der Vereinbarung zur Unterauftragsdatenverarbeitung zur Verfügung zu stellen. Der Unterauftragsdatenverarbeitungsvertrag muss ein adäquates Schutzniveau aufweisen, welches demjenigen dieses Vertrags vergleichbar ist. Dem Auftraggeber sind in dem Unterauftragsdatenverarbeitungsvertrag gegenüber dem Unterauftragnehmer eigene Kontrollrechte nach Ziffer 8 dieses Vertrags einzuräumen. 9.4 Die Regelungen in dieser Ziffer 9 gelten auch, wenn ein Unterauftragnehmer in einem Drittstaat eingeschaltet wird – ungeachtet des Umstands, dass Datenweitergaben an einen solchen Unterauftragnehmer nicht den Privilegierungen des § 11 BDSG unterliegen. Der Auftraggeber bevollmächtigt den Auftragnehmer hiermit, in Vertretung des Auftraggebers mit einem Unterauftragnehmer, der Auftraggeber-Daten außerhalb des EWR verarbeitet oder nutzt, einen Vertrag unter Einbeziehung der EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern vom 5.2.2010 zu schließen. Der Auftraggeber erklärt sich bereit, an der Erfüllung der Voraussetzungen nach § 4c BDSG im erforderlichen Maße mitzuwirken.
a) Ratio 91
In Ziffer 9 werden die Voraussetzungen für die Begründung von Unterauftragsdatenverarbeitungsverhältnissen normiert und Vorgaben für das Verfahren der 248
|
Moos
Erläuterungen
Rz. 94 Teil 2 II
Einschaltung von Unterauftragnehmern sowie der Durchführung der Unterauftragsverhältnisse gemacht.
b) Zulassung von Unterauftragsverhältnissen (Ziffer 9.1) Gem. § 11 Abs. 2 Satz 2 Nr. 6 BDSG ist die Berechtigung zur Begründung von Unterauftragsverhältnissen im Auftragsdatenverarbeitungsvertrag festzulegen. Dies erfolgt in Ziffer 9.1 des Musters.
92
Für die Auftragsdatenverarbeitung gilt gesetzlich der Grundsatz der höchstpersönlichen Leistungserbringung1. Das Gesetz schließt die Begründung von Unterauftragsverhältnissen freilich auch nicht aus, verlangt insoweit aber, dass die Einschaltung eines Unterauftragnehmers explizit vertraglich zugelassen sein muss2; sonst ist dem Auftragnehmer die Untervergabe der im Auftrag übernommenen Datenverarbeitungstätigkeiten verwehrt. Die Regelung in Ziffer 9.1 weicht von dieser gesetzlichen Regelung nicht ab, sondern bekräftigt, dass der Auftragnehmer Unterauftragsverhältnisse grundsätzlich nur nach vorheriger schriftlicher Zustimmung des Auftraggebers begründen darf.
aa) Verweigerung der Zustimmung Ziffer 9.1 Satz 2 beschränkt allerdings die Befugnis des Auftraggebers zur Verweigerung einer solchen Zustimmung. Danach ist der Auftraggeber nur aus wichtigem, dem Auftragnehmer nachzuweisenden Grund zur Verweigerung der Zustimmung berechtigt. In Anlehnung an §§ 314, 723 BGB liegt ein solcher wichtiger Grund nur vor, wenn dem Auftraggeber unter Berücksichtigung aller Umstände und unter Abwägung der beiderseitigen Interessen die Einschaltung des Unterauftragnehmers unzumutbar ist. Der wichtige Grund kann in der Person des Unterauftragnehmers liegen oder auf objektive, nicht verhaltensbezogene Umstände zurückzuführen sein. Ein wichtiger Grund kann für den Auftraggeber vor allem dann vorliegen, wenn die Besorgnis einer wesentlichen Rechtsbeeinträchtigung durch Einschaltung des Unterauftragnehmers besteht. Beispiele hierfür sind, dass der Unterauftragsdatenverarbeitungsvertrag keine ausreichenden Regelungen enthält, dass keine ausreichende Überzeugung von der Realisierung der notwendigen technischen und organisatorischen Maßnahmen erfolgt ist und dass konkrete Anzeichen dafür vorhanden sind, dass der Unterauftragnehmer sich an die Vorgaben des Unterauftragsdatenverarbeitungsvertrags nicht halten wird. Auch drohende Imageschäden können einen wichtigen Grund darstellen, die sich z.B. daraus ergeben können, dass sich bei dem Unterauftragnehmer in der Vergangenheit erhebliche Datenpannen ereignet haben.
93
bb) Pauschalzustimmung für verbundene Unternehmen Größere IT-Dienstleister agieren oftmals in einem Unternehmensverbund, in dem die nach dem Hauptvertrag zu erbringende Leistung nicht vollständig von einer Gesellschaft erbracht wird, sondern bei denen bestimmte Leistungen an 1 BeckOK DatenschutzR/Spoerr, § 11 Rz. 106. 2 Hoeren, DuD 2010, 688 (690).
Moos
|
249
94
Teil 2 II Rz. 95
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
andere Gruppengesellschaften weiterverlagert werden. Das geschieht unter dem Schlagwort des „Offshoring“ oder „Nearshoring“ oft bei solchen Leistungen, die in anderen Ländern oder Regionen kostengünstiger erbracht werden können. Im IT-Umfeld typische Beispiele sind der Betrieb des User Help Desk oder eines Network Operation Centers. Der Auftragnehmer hat deshalb ein großes Interesse daran, die Leistungserbringung innerhalb seiner Unternehmensgruppe – und damit auch die Erbringung von Datenverarbeitungsleistungen – frei allokieren zu können. Dieses Interesse greift Ziffer 9.1 Satz 3 des Musters auf, indem für die Einschaltung eines nach §§ 15 ff. AktG mit dem Auftragnehmer verbundenen Unternehmens als Unterauftragnehmer eine Pauschalzustimmung des Auftraggebers bereits mit Vertragsschluss eingeholt wird. In der Praxis ist hiermit eine Beeinträchtigung des Datenschutzniveaus zumeist nicht verbunden, weil die Dienstleister typischerweise über unternehmensweite Datenschutz- und Datensicherheitsregeln und unternehmensweit einheitliche Standards verfügen. In der Literatur wird eine solche Pauschalzustimmung deshalb auch grundsätzlich als zulässig angesehen1. Damit für den Auftraggeber die Verarbeitungssituation im Unternehmensverbund des Auftragnehmers transparent bleibt, wird der Auftragnehmer in Ziffer 9.1 Satz 4 verpflichtet, dem Auftraggeber auf Anforderung eine aktuelle Übersicht über die eingeschalteten Unterauftragnehmer zu übergeben. Das dürfte den gesetzlichen Anforderungen genügen: Nach Auffassung der Artikel-29-Datenschutzgruppe ist es nicht erforderlich, dass der Auftraggeber selbst alle Details der Auftragsdurchführung festlegt und billigt; sondern es wird im Hinblick auf die beteiligten Akteure eine Information des Auftraggebers für ausreichend gehalten2.
c) Zustimmungsfreiheit für Nebenleistungen (Ziffer 9.2) 95
In der Praxis besteht oft Unklarheit darüber, bei welchen Dienstverhältnissen, die der Auftragnehmer eingeht, es sich um eine Unterbeauftragung im Sinne der datenschutzrechtlichen Vorschriften und dem vom Auftragnehmer geschlossenen Auftragsdatenverarbeitungsvertrag handelt. Klar ist, dass zustimmungspflichtige Unterbeauftragungen dann vorliegen, wenn der Auftragnehmer Erfüllungsgehilfen einsetzt, die Teile der dem Auftraggeber gegenüber zu erbringenden Leistungen übernehmen und dabei Zugriff auf Auftraggeber-Daten erhalten. Zweifel können aber teilweise dort bestehen, wo der Vertragspartner des Auftragnehmers reine Nebenleistungen erbringt3. Ziffer 9.2 trifft hierzu eine ausdrückliche Regelung; und zwar in einer für den Auftragnehmer vorteilhaften Weise, wonach es für die Einschaltung solcher Subunternehmer, die lediglich eine Nebenleistung zur Unterstützung bei der Leistungserbringung nach dem Hauptvertrag erbringen, keiner Zustimmung des Auftraggebers bedarf, auch wenn dabei ein Zugriff auf die Auftraggeber-Da1 Bierekoven, ITRB 2012, S. 280 (281). 2 Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ vom 16.2.2010, WP 169, S. 34. 3 S. hierzu der Erläuterungen in Teil 2 I Rz. 22.
250
|
Moos
Erläuterungen
Rz. 100 Teil 2 II
ten nicht ausgeschlossen werden kann. Beispielhaft soll das gelten für Transportleistungen von Post- oder Kurierdiensten sowie Geldtransportdienstleistungen, Telekommunikationsdienste, Bewachungsdienste und Reinigungsdienste. Ein weiteres Beispiel einer reinen Nebenleistung bildet die Wartung und Prüfung von Hard- und Software, die der Auftragnehmer zur Leistungserbringung einsetzt. Da § 11 Abs. 5 BDSG für diese Fallgruppe aber ausdrücklich die entsprechende Anwendung der Regelungen zur Auftragsdatenverarbeitung anordnet, ist sie auch hier als zustimmungspflichtige Unterbeauftragung einzuordnen1.
96
Damit die Auftraggeber-Daten aber nicht völlig schutzlos dem Zugriff dieser Subunternehmer ausgesetzt werden, verlangt Ziffer 9.2 Satz 2 von dem Auftragnehmer den Abschluss einer branchenüblichen Geheimhaltungsvereinbarung mit dem jeweiligen Dienstleister.
97
d) Erteilung der Zustimmung (Ziffer 9.3) In Ziffer 9.3 sind die Voraussetzungen und das Verfahren zur Erteilung weiterer Zustimmungen des Auftraggebers zum Einsatz von Unterauftragnehmern geregelt.
98
aa) Voraussetzungen für die Erteilung der Zustimmung § 11 Abs. 2 Satz 2 Nr. 6 BDSG verlangt per se neben dem Ob der Berechtigung zur Unterbeauftragung keine weitergehenden Regelungen. In der Praxis ist es aber üblich, dass in dem Auftragsdatenverarbeitungsvertrag weitere Anforderungen an die Einschaltung von Unterauftragnehmern definiert werden, wie es hier auch in Ziffer 9.3 erfolgt.
99
(1) Schutzniveau des Unterauftragsdatenverarbeitungsvertrags Selbstverständlich ist, dass die Unterbeauftragung ihrerseits den Vorgaben des § 11 BDSG genügen muss. Bei einer Unterbeauftragung sind zusätzlich die Vorgaben der übergeordneten Auftragsdatenverarbeitung zu berücksichtigen2. Das bedeutet jedoch nicht, dass die Regelungen dieses Vertrags in jedem Fall 1:1 in den Vertrag mit dem Unterauftragnehmer übernommen werden müssen. Etwas anderes gilt z.B., wenn die Datenverarbeitung nicht vollständig an den Unterauftragnehmer weitergereicht wird, sondern nur bestimmte Leistungsanteile; in diesem Fall wäre auch eine sachbereichsspezifische Anpassung zulässig3. Das Muster lässt es vor diesem Hintergrund ausreichen, wenn der Unterauftragsdatenverarbeitungsvertrag ein insgesamt adäquates Schutzniveau aufweist, welches demjenigen des Musters vergleichbar ist. Hierdurch erhält der Auftragnehmer eine gewisse Flexibilität bei der Vertragsgestaltung. Die schutzwürdigen Interessen des Auftraggebers werden dadurch nicht beeinträchtigt, weil er den Vertrag ja vor Erteilung seiner Zustimmung vorgelegt be1 So auch Taeger/Bergt, Law as a Service (LaaS), S. 37 (43). 2 BeckOK DatenschutzR/Spoerr, § 11 Rz. 107. 3 BeckOK DatenschutzR/Spoerr, § 11 Rz. 107.
Moos
|
251
100
Teil 2 II Rz. 101
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
kommt und deshalb selbst überprüfen kann, ob die Vertragsregelungen ausreichend sind.
(2) Eigene Kontrollrechte des Auftraggebers 101
Bei einer „gestuften Auftragsdatenverarbeitung“, d.h. bei einer Einschaltung von Unterauftragnehmern wird es zusätzlich für erforderlich gehalten, dass der Auftraggeber eigene Kontrollrechte bei dem Unterauftragnehmer erhält1. Das gelte nach Ansicht der Aufsichtsbehörden auch unabhängig vom geografischen Ort der unterbeauftragten Datenverarbeitung2. Das Muster setzt dies in Ziffer 9.3 um und verpflichtet den Auftragnehmer, dem Auftraggeber im Unterauftragsdatenverarbeitungsvertrag unmittelbare Kontrollrechte im Sinne eines Vertrags zugunsten eines Dritten zu sichern. Die Kontrollrechte sollen dabei analog Ziffer 8 des Musters ausgestaltet sein. Die Verankerung eines eigenen Kontrollrechts des Auftraggebers bedeutet freilich nicht, dass der Auftraggeber die Kontrollen tatsächlich auch selbst durchführen muss – das kann in der Praxis auch von dem Haupt-Auftragsverarbeiter gemacht werden; Eigenkontrollen des Auftraggebers dürften nur nicht vertraglich ausgeschlossen, sondern müssten im Gegenteil explizit vertraglich verankert sein3.
e) Unterauftragnehmer außerhalb des EWR (Ziffer 9.4) 102
Ein Unterauftragsverhältnis, welches an der Privilegierung des § 11 BDSG teilnimmt, liegt von Gesetzes wegen nicht vor, wenn ein Unterauftragnehmer außerhalb des EWR eingeschaltet wird, weil es sich bei Datenweitergaben an einen Empfänger in einem Drittland nach § 3 Abs. 4 Satz 2 Nr. 3 i.V.m. § 3 Abs. 8 BDSG zwingend um eine Datenübermittlung handelt (siehe Rz. 21). Die Einschaltung eines Unterauftragnehmers außerhalb des EWR kann aber gleichwohl – dann als Datenübermittlung – zulässig4 sein. Ziffer 9.1 Satz 1 des Musters eröffnet hierfür die Möglichkeit, indem auch solche Datenübermittlungen als Unterbeauftragungen eingestuft und dem Zustimmungserfordernis unterworfen werden.
103
Soll ein Subdienstleister außerhalb des EWR eingeschaltet werden, muss auch die Datenschutzkonformität auf der 2. Stufe sichergestellt sein (siehe hierzu Rz. 21), d.h. die Voraussetzungen der §§ 4b bzw. 4c BDSG müssen erfüllt sein. In einer solchen Konstellation ist aber der Auftraggeber als Datenexporteur i.S.d. §§ 4b, 4c BDSG und der Unterauftragnehmer als Datenimporteur einzustufen, so dass diese beiden Unternehmen Vertragsparteien des EU-Standardvertrags sein müssen5 1 Bayerisches Landesamt für Datenschutzaufsicht, Tätigkeitsbericht 2011/12, S. 59; BeckOK DatenschutzR/Spoerr, § 11 Rz. 107. 2 Bayerisches Landesamt für Datenschutzaufsicht, Tätigkeitsbericht 2011/12, S. 59. 3 Bayerisches Landesamt für Datenschutzaufsicht, Tätigkeitsbericht 2011/12, S. 59. 4 S. Teil 5 III Rz. 19. 5 Düsseldorfer Kreis, Handreichung zur rechtlichen Bewertung von Fallgruppen zur internationalen Auftragsdatenverarbeitung, Beschluss vom 20.4.2007, S. 4; im Internet abrufbar unter: http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungs sammlung/ErgaenzendeDokumente/HandreichungApril2007.html?nn=409242; Moos, CR 2010, 281 (285).
252
|
Moos
Erläuterungen
Rz. 105 Teil 2 II
und folglich nur der Auftraggeber selbst berechtigt ist, Verträge i.S.v. § 4c Abs. 2 Satz 1 BDSG mit Unterauftragnehmern in Drittstaaten abzuschließen. Von den Datenschutzaufsichtsbehörden ist jedoch anerkannt1, dass der Auftraggeber den Auftragnehmer zum Abschluss eines solchen Vertrags namens des Auftraggebers bevollmächtigen kann. Eine solche Vorgehensweise kann vor allem dann sinnvoll sein, wenn eine Vielzahl von Unterauftragnehmern eingeschaltet werden soll. Das Muster enthält in Ziffer 9.4 Satz 2 eine entsprechende Bevollmächtigung des Auftragnehmers, kraft der er in Vertretung des Auftraggebers mit einem Unterauftragnehmer, der Auftraggeber-Daten außerhalb des EWR verarbeiten oder nutzen soll, einen Vertrag unter Einbeziehung der EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern vom 5.2.2010 schließen darf. Zu dem von den Aufsichtsbehörden in einer solchen Konstellation empfohlenen Beitritt des Auftragnehmers zu dem direkt zwischen dem Auftraggeber und dem Unterauftragnehmer abzuschließenden EU-Standardvertrag2 trifft das Muster keine Regelung3. Ergänzend sieht das Muster in Ziffer 9.4 Satz 3 eine allgemeine Mitwirkungspflicht des Auftraggebers an der Erfüllung der Voraussetzungen nach § 4c BDSG vor. Zu denken ist hier vor allem an die Unterstützung bei der notwendigen Spezifizierung der Angaben in den EU-Standardvertragsklauseln. Für den Fall, dass nicht die EU-Standardvertragsklauseln, sondern ein Individualvertrag verwendet werden soll, wäre eine Mitwirkung des Auftraggebers spätestens für die Einholung der nach § 4c Abs. 2 Satz 1 BDSG erforderlichen Datenexportgenehmigung notwendig4.
104
10. Erläuterungen zu Ziffer 10 E 10. Rechte der Betroffenen
105
10.1
Die Rechte der durch die Datenverarbeitung betroffenen Personen sind gegenüber dem Auftraggeber geltend zu machen.
10.2
Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Auskunft, Berichtigung, Löschung oder Sperrung der ihn betreffenden Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen zeitnah an den Auftraggeber weiterleiten.
10.3
Für den Fall, dass eine betroffene Person ihre Rechte auf Berichtigung, Löschung oder Sperrung von Auftraggeber-Daten oder auf Auskunft über die gespeicherten Auftraggeber-Daten, den Zweck der Speiche-
1 Artikel-29-Datenschutzgruppe, WP 176 v. 12.7.2010, S. 4; hierzu Teil 5 III Rz. 27. 2 Düsseldorfer Kreis, Handreichung zur rechtlichen Bewertung von Fallgruppen zur internationalen Auftragsdatenverarbeitung, Beschluss vom 20.4.2007, S. 5; im Internet abrufbar unter: http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungs sammlung/ErgaenzendeDokumente/HandreichungApril2007.html?nn=409242. 3 Vgl. hierzu die Regelung in dem Muster eines auftraggeberfreundlichen Auftragsdatenverarbeitungsvertrags in Teil 2 I Rz. 128. 4 Bayerisches Landesamt für Datenschutzaufsicht, Tätigkeitsbericht 2011/12, S. 58.
Moos
|
253
Teil 2 II Rz. 106
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
rung und die Personen und Orte, an die Auftraggeber-Daten regelmäßig übermittelt werden, geltend macht, hat der Auftragnehmer den Auftraggeber bei der Erfüllung dieser Ansprüche in angemessenem und für den Auftraggeber erforderlichen Umfang zu unterstützen, sofern der Auftraggeber die Ansprüche nicht ohne Mitwirkung des Auftragnehmers erfüllen kann. Der Auftragnehmer erhält vom Auftraggeber eine Entschädigung für seinen im Rahmen der Mitwirkung anfallenden Aufwand in Höhe von […] Euro. 10.4
Der Auftragnehmer wird es dem Auftraggeber ermöglichen, Auftraggeber-Daten zu berichtigen, zu löschen oder zu sperren oder auf Verlangen des Auftraggebers die Berichtigung, Sperrung oder Löschung selbst vornehmen, wenn und soweit das dem Auftraggeber selbst unmöglich ist.
a) Ratio 106
Ziffer 10 dient der Festlegung, wie im Verhältnis der Vertragsparteien zueinander gewährleistet wird, dass die Rechte der Betroffenen gem. § 6 BDSG auf Auskunft, Berichtigung, Sperrung oder Löschung der Daten erfüllt werden. Sie dient der Umsetzung von § 11 Abs. 2 Nr. 4 BDSG, wonach in dem Auftragsdatenverarbeitungsvertrag die Berichtigung, Sperrung und Löschung von Daten im Einzelnen festzulegen ist. Die Regelung ergänzt Ziffer 4.1 des Musters.
b) Zuständigkeit des Auftraggebers (Ziffer 10.1) 107
In Ziffer 10.1 des Musters wird – anknüpfend an Ziffer 4.1 – auch für das Verhältnis der Vertragsparteien zueinander festgelegt, dass der Auftraggeber Adressat aller etwaigen Rechtsausübungen der Betroffenen ist.
c) Verweisungspflicht des Auftragnehmers (Ziffer 10.2) 108
§ 6 Abs. 2 BDSG enthält Verfahrensregelungen zur Geltendmachung von Rechten der Betroffenen im Falle verteilter Datenverarbeitungen. Sind die Daten des Betroffenen automatisiert in der Weise gespeichert, dass mehrere Stellen speicherungsberechtigt sind, und ist der Betroffene nicht in der Lage festzustellen, welche Stelle die Daten gespeichert hat, so gibt ihm § 6 Abs. 2 Satz 1 BDSG das Recht, sich mit seinem Begehren an jede dieser Stellen zu wenden. Nach § 6 Abs. 2 Satz 2 BDSG ist die angesprochene Stelle dann verpflichtet, das Vorbringen des Betroffenen an die für die Speicherung verantwortliche Stelle weiterzuleiten. Nach Ansicht der Literatur stellt die Auftragsdatenverarbeitung einen Anwendungsfall dieser Regelung dar1. In diesem Sinne wird es für erforderlich gehalten, dass man im Falle der Auftragsdatenverarbeitung eine entsprechende Weiterleitungs- und Hinweispflicht des Auftragnehmers unter dem Gesichtspunkt von Treu und Glauben jedenfalls dann bejahen müsse, wenn der Betroffene 1 BeckOK DatenschutzR/Schmidt-Wudy, § 6 Rz. 27.
254
|
Moos
Erläuterungen
Rz. 110 Teil 2 II
nicht erkennen kann, dass die von ihm vermutete speichernde Stelle nur Auftragnehmer ist1. Diesen Grundsatz greift das Muster in Ziffer 10.2 auf und verpflichtet den Auftragnehmer generell, etwa an ihn herangetragene Ersuchen eines Betroffenen um Auskunft, Berichtigung, Löschung oder Sperrung der ihn betreffenden Daten zeitnah an den Auftraggeber weiterzuleiten.
d) Unterstützung durch den Auftragnehmer (Ziffer 10.3) Hinter der Regelungsvorgabe in § 11 Abs. 2 Nr. 4 BDSG steht die Notwendigkeit, dass der Auftraggeber jederzeit die effektive Möglichkeit haben muss, seinen gesetzlichen Verpflichtungen auf Berichtigung, Sperrung oder Löschung von Daten der Betroffenen nach §§ 6, 20, 35 BDSG nachzukommen2. Im Falle der Auftragsdatenverarbeitung kann es deshalb sein, dass der Auftraggeber zur Erfüllung dieser Verpflichtungen auf die Unterstützung des Auftragnehmers angewiesen ist, weil er für sich z.B. nicht über alle für eine Auskunft notwendigen Informationen verfügt oder eine Löschung in dem System des Auftragnehmers nicht selbst vornehmen kann. Ziffer 10.3 des Musters schreibt deshalb die von dem Auftragnehmer zu erbringenden Unterstützungshandlungen fest. Um im Sinne des Auftragnehmers die Unterstützungsleistungen möglichst auf das absolut notwendige Maß zu begrenzen, soll den Auftragnehmer nach Ziffer 10.3 Satz 1 nur dann eine Unterstützungspflicht treffen, wenn der Auftraggeber die Ansprüche der Betroffenen nicht ohne Mitwirkung des Auftragnehmers erfüllen kann.
109
Da der Umfang solcher Unterstützungsleistungen für den Auftragnehmer gleichwohl im Vorfeld schwierig zu kalkulieren sein kann, sieht das Muster in Ziffer 10.3 Satz 2 eine Aufwandsentschädigung zugunsten des Auftragnehmers vor. Diese könnte hier sinnvoller Weise als Stundensatz festgelegt werden.
e) Durchführung der Berichtigung, Sperrung und Löschung (Ziffer 10.4) Nicht ganz klar ist, ob es ausreicht, die Berichtigung, Sperrung und Löschung von Daten durch den Auftragnehmer überhaupt zu regeln, oder ob zusätzlich das Verfahren festzulegen ist, wie die entsprechenden Ansprüche der Betroffenen umgesetzt werden3. Das Muster sieht in Ziffer 10.4 insoweit als Grundsatz vor, dass der Auftragnehmer den Auftraggeber technisch in die Lage versetzen soll, Berichtigungen, Sperrungen und Löschungen der Daten selbst vorzunehmen. Das ist freilich abhängig von der Art der Datenverarbeitung und der Gestaltung der Systeme und ist nicht immer für alle Daten praktikabel (z.B. für Sicherungskopien). Eine eigene Verpflichtung zur Berichtigung, Sperrung und Löschung der Auftraggeber-Daten soll den Auftragnehmer nach Ziffer 10.4 wiederum nur auf Verlangen des Auftraggebers treffen, wenn diesem selbst die Berichtigung, Sperrung oder Löschung unmöglich ist. 1 Gola/Schomerus, § 6 BDSG Rz. 6. 2 BeckOK DatenschutzR/Spoerr, § 11 Rz. 104. 3 Für eine Festlegung des Verfahrens Hoeren, DuD 2010, 688 (689).
Moos
|
255
110
Teil 2 II Rz. 111
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
11. Erläuterungen zu Ziffer 11 111
E 11. Rückgabe und Löschung überlassener Daten und Datenträger 11.1
Der Auftragnehmer hat sämtliche Auftraggeber-Daten nach Beendigung der vertragsgegenständlichen Leistungserbringung (insbesondere bei Kündigung oder sonstiger Beendigung des Hauptvertrags) zu löschen und von dem Auftraggeber erhaltene Datenträger, die zu diesem Zeitpunkt noch Auftraggeber-Daten enthalten, an den Auftraggeber zurückzugeben.
11.2
Über eine Löschung bzw. Vernichtung von Auftraggeber-Daten hat der Auftragnehmer ein Protokoll zu erstellen, das dem Auftraggeber auf Anforderung vorzulegen ist.
11.3
Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung oder gesetzlichen Aufbewahrungsfristen dienen, dürfen durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahrt werden.
a) Ratio 112
Ziffer 11 regelt den Umgang mit den Auftraggeber-Daten nach Erfüllung der Vertragszwecke. Insbesondere macht die Vorschrift Vorgaben zur Löschung der Daten und Rückgabe von Datenträgern und setzt damit die Anforderungen gem. § 11 Abs. 2 Satz 2 Nr. 10 BDSG um.
b) Datenlöschung und Datenträgerrückgabe (Ziffer 11.1) 113
§ 11 Abs. 2 Satz 2 Nr. 10 BDSG verlangt, dass in dem Auftragsdatenverarbeitungsvertrag die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags festgelegt werden. In diesem Sinne sollen in dem Auftragsdatenverarbeitungsvertrag Festlegungen enthalten sein, was wann zurückzugeben und was wie zu löschen bzw. zu vernichten (elektronische Datenträger, Papierunterlagen) ist1.
aa) Datenlöschung 114
Diese Vorgabe wird in Ziffer 11.1 des Musters umgesetzt. Es wird hierbei bestimmt, dass die Daten nach Beendigung der vertragsgegenständlichen Leistungserbringung (insbesondere bei Kündigung oder sonstiger Beendigung des Hauptvertrags) zu löschen sind2. Regelungen zu Datenlöschungen während des laufenden Vertrags sind von § 11 Abs. 2 Satz 2 Nr. 10 BDSG nicht gefordert. Da es sich hierbei jedoch nur um eine Mindestregelung handelt, kann im Einzelfall auch eine vertragliche Vorgabe für Datenlöschungen während des lau1 Bayerisches Landesamt für Datenschutzaufsicht, Auftragsdatenverarbeitung nach § 11 BDSG – Gesetzestext mit Erläuterungen, Stand: Mai 2013, S. 7. 2 Zu den datenschutzrechtlichen Anforderungen an eine Löschung vgl. die Erläuterungen zum Muster eines auftraggeberfreundlichen Auftragsdatenverarbeitungsvertrags in Teil 2 I Rz. 147.
256
|
Moos
Erläuterungen
Rz. 117 Teil 2 II
fenden Vertrags notwendig sein; vor allem wenn und soweit die weitere Verwendung der Auftraggeber-Daten für die jeweiligen Zwecke nicht mehr erforderlich ist. Der Auftraggeber wird in solchen Fällen auf eine Ergänzung des Musters drängen. Für den Fall, dass der Auftraggeber eine Verpflichtung zur Löschung von Daten noch während der Vertragslaufzeit verlangen sollte, ist aus Auftragnehmersicht darauf zu achten, dass die Löschung der Daten zur Folge haben könnte, dass der Auftragnehmer seine Pflichten aus dem Hauptvertrag nicht mehr erfüllen kann. Bei der Bereitstellung der vom Auftragnehmer zur Vertragserfüllung benötigten Daten handelt es sich im Regelfall aber um eine erforderliche Mitwirkung des Auftraggebers. Das Gesetz ordnet solche Mitwirkungshandlungen grundsätzlich als sog. Obliegenheiten ein (vgl. § 642 BGB), deren Verletzung eine Entschädigungsverpflichtung und ein Kündigungsrecht des Auftragnehmers nach sich ziehen kann. Aus Auftragnehmersicht könnten diese Mitwirkungen des Auftraggebers vertraglich dann in den Rang echter Vertragspflichten gehoben werden, deren Einhaltung von dem Auftragnehmer eigenständig eingeklagt werden könnte. Wenn das so in dem Hauptvertrag vorgesehen ist, wären außerdem weitergehende Sonderregelungen zu den zivilrechtlichen Auswirkungen eines Löschungsverlangens durch den Auftraggeber angeraten. Zugunsten des Auftragnehmers könnte folgende ergänzende Regelung sinnvoll sein:
115
E Führt eine vom Auftraggeber verlangte Löschung der Auftraggeber-Daten dazu, dass der Auftragnehmer seine Leistungspflichten nach dem Hauptvertrag nicht mehr ordnungsgemäß erbringen kann, wird er von der Verpflichtung zur Leistung frei.
bb) Rückgabe von Datenträgern Situationen, in denen die Daten dem Auftragnehmer auf einem Datenträger übergeben werden, kommen in der Praxis immer seltener vor. Überwiegend werden die Daten auf elektronischem Weg übertragen. Die Rückgabe von Datenträgern ist deshalb oft nicht relevant. Angesichts des Umstandes, dass § 11 Abs. 2 Satz 2 Nr. 10 BDSG hierzu aber eine ausdrückliche Regelung verlangt, findet sich auch hierzu eine Festlegung in Ziffer 11.1. Danach sind jedoch nur solche von dem Auftraggeber erhaltene Datenträger an diesen zurückzugeben, die zum Zeitpunkt der Vertragsbeendigung noch Auftraggeber-Daten enthalten.
116
Ein Ausschluss von Zurückbehaltungsrechten des Auftragnehmers ist nicht generell erforderlich1 und findet sich in dem Muster deshalb nicht.
c) Protokollierung der Löschung (Ziffer 11.2) Es wird vertreten, dass es den Anforderungen von § 11 Abs. 2 Satz 2 Nr. 10 BDSG nicht genüge, lediglich die Pflicht zur Datenlöschung zu vereinbaren; es solle außerdem erforderlich sein, dass der Auftragnehmer die Löschung bestä1 A.A. Taeger/Bergt, Law as a Service (LaaS), S. 37 (42).
Moos
|
257
117
Teil 2 II Rz. 118
Auftragsdatenverarbeitungsvertrag – auftragnehmerfreundlich
tigt und ggf. auch eidesstattlich versichert1. Das erscheint in dieser Pauschalität allerdings zu weitgehend. In Ziffer 11.2 ist eine Verpflichtung des Auftragnehmers vorgesehen, die Löschung zu protokollieren und die Protokolle dem Auftraggeber auf Verlangen vorzulegen. Einer eidesstattlichen Versicherung bedarf es nicht. Der Auftraggeber kann sich im Rahmen seiner Kontrollbefugnisse selbst ausreichend davon überzeugen, dass die Löschung ordnungsgemäß erfolgt ist.
d) Aufbewahrung von Nachweisen (Ziffer 11.3) 118
Um zu verhindern, dass der Auftragnehmer in Beweisnot gerät, soll sich die Löschpflicht nach Ziffer 11.1 nicht auf Dokumentationen beziehen, die dem Auftragnehmer zum Nachweis der auftrags- und ordnungsgemäßen Erhebung und Verwendung von Auftraggeber-Daten dienen. Der Auftragnehmer hat ein berechtigtes Interesse daran, dem Auftraggeber die Vertrags- und Datenschutzkonformität seines Handelns auch nach Vertragsbeendigung noch belegen zu können; etwa wenn im Nachhinein Anfragen von Betroffenen oder Untersuchungen von Aufsichtsbehörden erfolgen. Ziffer 11.3 berechtigt den Auftragnehmer vor diesem Hintergrund, solche Dokumentationen auch noch nach Vertragsende aufzubewahren.
12. Erläuterungen zu Ziffer 12 119
E 12. Verhältnis zum Hauptvertrag Soweit in diesem Vertrag keine Sonderregelungen enthalten sind, gelten die Bestimmungen des Hauptvertrags. Im Fall von Widersprüchen zwischen diesem Vertrag und Regelungen aus sonstigen Vereinbarungen, insbesondere aus dem Hauptvertrag, gehen die Regelungen aus diesem Vertrag vor.
a) Ratio 120
Ziffer 12 enthält eine Regelung zum Verhältnis des Auftragsdatenverarbeitungsvertrags zum Hauptvertrag.
b) Verhältnis zum Hauptvertrag 121
Werden die Regelungen zur Auftragsdatenverarbeitung – wie hier – in eine von dem Hauptvertrag getrennte Vereinbarung aufgenommen, ist besonderes Augenmerk auf ein passgenaues Zusammenspiel der beiden Verträge zu legen. Das Zusammenspiel des Hauptvertrags und des Auftragsdatenverarbeitungsvertrags ist in Ziffer 12 in zweierlei Weise geregelt.
aa) Ergänzende Geltung des Hauptvertrags 122
Gem. Ziffer 12 Satz 1 des Musters sollen die Regelungen des Hauptvertrags auch für den Auftragsdatenverarbeitungsvertrag gelten, sofern hierin keine Spe1 Hoeren, DuD 2010, 688 (691).
258
|
Moos
Erläuterungen
Rz. 123 Teil 2 II
zialregelungen getroffen worden sind. Schon im Hinblick auf die Laufzeit und Kündigung wird ja in Ziffer 2.5 des Musters auf den Hauptvertrag verwiesen. Üblicherweise werden in dem Hauptvertrag auch Regelungen zur Haftung1 und zu sonstigen Nebenpflichten enthalten sein, die auch für den Auftrag i.S.v. § 11 BDSG gelten sollten. Dasselbe gilt für typische Schlussbestimmungen2 wie ein Schriftformerfordernis, eine salvatorische Klausel, Regelungen zu Erfüllungsort und Gerichtsstand, etc.
bb) Vorrang des Auftragsdatenverarbeitungsvertrags Außerdem ist sicherzustellen, dass in dem Hauptvertrag keine widersprechenden Regelungen enthalten sind3, damit nicht etwa durch vorrangige Regelungen des Hauptvertrags das von § 11 Abs. 2 BDSG verlangte Verpflichtungsniveau (ungewollt) unterschritten wird. Ziffer 12 Satz 2 des Musters ordnet in diesem Sinne im Falle von Widersprüchen ausdrücklich den Vorrang des Auftragsdatenverarbeitungsvertrags an. Zusätzlich muss darauf geachtet werden, dass in dem Hauptvertrag selbst keine abweichende Regelung enthalten ist, die ihrerseits einen Vorrang des Hauptvertrags vorsieht.
1 S. hierzu auch die Erläuterungen zum Muster eines auftraggeberfreundlichen Auftragsdatenverarbeitungsvertrags in Teil 2 I Rz. 157 ff. 2 S. hierzu die Erläuterungen zum Muster eines auftraggeberfreundlichen Auftragsdatenverarbeitungsvertrags in Teil 2 I Rz. 162 ff. 3 BeckOK DatenschutzR/Spoerr, § 11 Rz. 88.
Moos
|
259
123
III. Datenschutzvereinbarung Outsourcingvertrag Literaturverzeichnis: Bürkle, Compliance in Versicherungsunternehmen, 1. Aufl. 2009;
Gabel/Steinhauer, Neue aufsichtsrechtliche Anforderungen für das Outsourcing durch Versicherungsunternehmen, VersR 2010, 177; Gola/Schomerus, BDSG, 11. Aufl. 2012; Hoenike/Hülsdunk, Outsourcing im Versicherungs- und Gesundheitswesen ohne Einwilligung?, MMR 2004, 788; Jandt/Rossnagel/Wilke, Outsourcing der Verarbeitung von Patientendaten – Fragen des Daten- und Geheimnisschutzes, NZS 2011, 641; Kort, Strafbarkeitsrisiken des Datenschutzbeauftragten nach § 203 StGB beim IT-Outsourcing, insbesondere in datenschutzrechtlich „sichere“ Drittstaaten, NStZ 2011, 193; Plath, BDSG, 1. Aufl. 2013; Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2011.
A. Einleitung 1
Datenschutz spielt im Rahmen von Outsourcingprojekten oftmals eine bedeutende Rolle. Wird die Erfüllung einzelner Aufgaben oder die Abwicklung von Geschäftsprozessen auf Dritte verlagert, müssen diese auch Zugriff auf die hierfür erforderlichen Daten erhalten. Bei der Gestattung dieses Zugriffs sind insbesondere die Vorgaben des BDSG und anderer datenschutzrechtlicher Bestimmungen zu beachten, wenn und soweit personenbezogene Daten betroffen sind. Das Vertragsmuster geht dabei von einer Auftragsdatenverarbeitungskonstellation aus1.
B. Muster 2
E Datenschutzklausel Outsourcingvertrag [einzufügen in Outsourcingvertrag] 1. Datenschutz 1.1 Die Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten für den Auftraggeber zur Erfüllung der in diesem Outsourcingvertrag übernommenen Leistungspflichten durch den Auftragnehmer erfolgt ausschließlich im Auftrag des Auftraggebers (§ 11 BDSG). 1.2 Die Einzelheiten der Auftragsdatenverarbeitung sind in der Anlage Datenschutz festgelegt. Diese geht in ihrem Anwendungsbereich den Regelungen dieses Outsourcingvertrags (einschließlich anderer Anlagen) vor. Die Vergütung des Auftragnehmers und der Ersatz etwaiger Aufwendungen ergibt sich jedoch abschließend aus Ziffer [Ziffer] (Vergütung) sowie der Anlage Vergütung. 1.3 Die Parteien sind sich der besonderen Bedeutung des Datenschutzes und der Datensicherheit bewusst.
1 Für Funktionsübertragungen s. die Musterklausel in Teil 6 I.
260
|
Nowak/Zieger
Rz. 3 Teil 2 III
Vertragstext
Sie werden die rechtliche und tatsächliche Angemessenheit und Wirksamkeit der in der Anlage Datenschutz enthaltenen Datenschutz- und Datensicherheitsmaßnahmen fortlaufend überprüfen. Die Parteien werden mindestens einmal jährlich jeweils im [Monat] zusammenkommen und sich zu den Ergebnissen ihrer fortlaufenden Prüfung auszutauschen, um etwaigen Anpassungsbedarf aufdecken. Soweit zur Gewährleistung der rechtlichen und tatsächlichen Angemessenheit und Wirksamkeit der in der Anlage Datenschutz enthaltenen Datenschutz- und Datensicherheitsmaßnahmen Anpassungen erforderlich werden, sind diese vom Auftragnehmer unaufgefordert als Change Requests gemäß Ziffer [Ziffer] des Outsourcingvertrags anzubieten. Im Übrigen gilt Ziffer [Ziffer] (Change Management). E Anlage – Datenschutz zum Outsourcingvertrag vom […]
3
zwischen […] (Nachfolgend „Auftraggeber“ genannt) und […] (Nachfolgend „Auftragnehmer“ genannt) – beide Vertragsparteien nachfolgend auch einzeln Partei und gemeinsam Parteien genannt – Präambel Zwischen den Parteien wurde ein Outsourcingvertrag geschlossen. Zur Erfüllung der vertraglich übernommenen Leistungspflichten wird der Auftragnehmer im Auftrag des Auftraggebers personenbezogene Daten erheben, verarbeiten und/oder nutzen. Zu diesem Zweck vereinbaren die Parteien was folgt: 1. Gegenstand und Dauer des Auftrags, Umfang der Datenverwendung 1.1 Der Auftragnehmer wird im Rahmen der Erfüllung der im Outsourcingvertrag übernommenen Leistungspflichten im Auftrag des Auftraggebers personenbezogene Daten (Auftrags-Daten) erheben, verarbeiten und/oder nutzen (§ 11 BDSG). 1.2 Der Umfang, die Art und der Zweck der Erhebung, Verarbeitung und/oder Nutzung sowie die Art der Daten und der Kreis der Betroffenen ergeben sich abschließend aus der Anlage Leistungsumfang/SLAs zum Outsourcingvertrag. 1.3 Die Erhebung, Verarbeitung und/oder Nutzung der Auftrags-Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland oder in einem Nowak/Zieger
|
261
Teil 2 III
Rz. 3
Datenschutzklausel Outsourcingvertrag
anderen Mitgliedstaat der Europäischen Union bzw. in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. 1.4 Der Bestand dieses Vertrags ist an die Laufzeit des zwischen den Parteien vereinbarten Outsourcingvertrags gekoppelt. 2. Weisungen des Auftraggebers 2.1 Der Auftraggeber ist hinsichtlich der Erhebung, Verarbeitung und/oder Nutzung der Auftrags-Daten gegenüber dem Auftragnehmer umfassend weisungsbefugt. 2.2 Der Auftraggeber weist den Auftragnehmer hiermit zu der für die Erfüllung der im Outsourcingvertrag übernommenen Leistungspflichten erforderlichen und in der Anlage Leistungsumfang/SLAs näher spezifizierten Verwendung der Auftrags-Daten an. Für die über den in der Anlage Leistungsumfang/SLAs festgelegten Leistungsumfang hinausgehenden Weisungen des Auftraggebers gilt im Übrigen Ziffer [Ziffer] (Change Management) des Outsourcingvertrags. 2.3 Darüber hinaus bleibt der Auftraggeber in Ausnahmefällen (z.B. bei Eilbedürftigkeit) zu Einzelfallweisungen berechtigt. Diese sind schriftlich oder in Textform, notfalls auch mündlich zu erteilen. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen. Zur Erteilung bzw. Entgegennahme solcher Weisungen sind ausschließlich die nachfolgend benannten Berechtigten und ihre jeweiligen Stellvertreter berechtigt: [Weisungsberechtigter/Empfangsberechtigter/Stellvertreter] Änderungen der Weisungs- bzw. Empfangberechtigten und ihrer Stellvertreter teilen sich die Parteien jeweils unverzüglich schriftlich mit. Bis zum Zugang dieser Mitteilung gelten ausschließlich die bisherigen Kontaktpersonen als weisungs- bzw. empfangsberechtigt. 2.4 Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen diesen Vertrag, den Outsourcingvertrag oder einschlägige datenschutzrechtliche Bestimmungen verstößt, teilt er dem Auftraggeber dies unverzüglich schriftlich mit. In diesem Fall wird er die Ausführung der Weisung bis zur Bestätigung durch den Auftraggeber aussetzen. 3. Pflichten des Auftraggebers 3.1 Der Auftraggeber bleibt verantwortliche Stelle im datenschutzrechtlichen Sinn. Er ist für die Rechtmäßigkeit der auftragsgemäßen Erhebung, Verarbeitung und/oder Nutzung der Auftrags-Daten verantwortlich. 3.2 Der Auftraggeber hat dem Auftragnehmer die Auftrags-Daten rechtzeitig zur Erfüllung der im Outsourcingvertrag übernommenen Leistungspflichten in der im Einzelnen in Anlage Leistungsumfang/SLAs zum Outsourcingvertrag festgelegten Art und Weise zugänglich zu machen. 262
|
Nowak/Zieger
Vertragstext
Rz. 3 Teil 2 III
3.3 Etwaige Fehler oder Unregelmäßigkeiten im Rahmen der Erhebung, Verarbeitung und/oder Nutzung der Auftrags-Daten durch den Auftragnehmer teilt der Auftraggeber jeweils unverzüglich schriftlich mit. 4. Pflichten des Auftragnehmers 4.1 Der Auftragnehmer wird die Auftrags-Daten ausschließlich entsprechend den Weisungen des Auftraggebers, diesem Vertrag, dem Outsourcingvertrag sowie den einschlägigen datenschutzrechtlichen Bestimmungen erheben, verarbeiten und nutzen. Jedwede andere Verwendung bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers. 4.2 Der Auftragnehmer wird die ihm überlassenen Daten ohne vorherige schriftliche Zustimmung des Auftraggebers nicht vervielfältigen. Ausgenommen sind die für die Erfüllung der übernommenen Leistungspflichten erforderlichen Vervielfältigungen. 4.3 Der Auftragnehmer ist verpflichtet, den Auftraggeber über Verletzungen der einschlägigen datenschutzrechtlichen Vorschriften oder der Bestimmungen dieses Vertrags unverzüglich schriftlich zu unterrichten. Soweit den Auftraggeber aufgrund einer solchen Verletzung Pflichten gemäß § 42a BDSG treffen, hat der Auftragnehmer den Auftraggeber hierbei im Rahmen des Erforderlichen zu unterstützen. 5. Allgemeine Organisationspflichten, technische und organisatorische Maßnahmen 5.1 Der Auftragnehmer wird die Einhaltung der Vorgaben dieses Vertrags regelmäßig kontrollieren. 5.2 Der Auftragnehmer wird im Rahmen der vereinbarten Auftragsdatenverarbeitung ausschließlich Personal einsetzen, das gemäß § 5 BDSG auf das Datengeheimnis verpflichtet wurde. Die Verpflichtung auf das Datengeheimnis wird der Auftragnehmer schriftlich dokumentieren und dem Auftraggeber auf Verlangen nachweisen. 5.3 Angesichts der Art bzw. des Umfangs der Datenverarbeitung durch den Auftragnehmer hat dieser einen Datenschutzbeauftragten zu bestellen. Dieser Verpflichtung hat er spätestens innerhalb eines Monats nach Aufnahme der Tätigkeit zu entsprechen und dies dem Auftraggeber auf Verlangen nachzuweisen. Der Auftragnehmer erhält für die Bestellung des Datenschutzbeauftragten während der Laufzeit dieses Vertrags eine Aufwendungsersatzpauschale gemäß der Anlage Vergütung zum Outsourcingvertrag. 5.4 Der Auftragnehmer stellt sicher, dass die zur Gewährleistung der Einhaltung der einschlägigen datenschutzrechtlichen Bestimmungen erforderlichen technischen und organisatorischen Maßnahmen (§ 9 BDSG) getroffen und aufrechterhalten werden. Die Parteien sind sich darüber einig, dass der Auftragnehmer die in der Anlage Leistungsumfang/SLAs zum Outsourcingvertrag dargestellten Nowak/Zieger
|
263
Teil 2 III
Rz. 3
Datenschutzklausel Outsourcingvertrag
technischen und organisatorischen Maßnahmen als Mindeststandard einzuhalten hat. Die technischen und organisatorischen Maßnahmen sind fortlaufend der fortschreitenden technischen Entwicklung anzupassen. Änderungen der Maßnahmen, die den in der Anlage Leistungsumfang/ SLAs zum Outsourcingvertrag festgelegten Mindeststandard unterschreiten, bedürfen der vorherigen Zustimmung des Auftraggebers. Insoweit gilt [Ziffer] (Change Management) des Outsourcingvertrags. 6. Berichtigung, Löschung und Sperrung von Daten Der Auftragnehmer ist verpflichtet, die Auftrags-Daten auf Weisung des Auftraggebers entsprechend Ziffer 2 dieses Vertrags zu berichtigen, zu löschen oder zu sperren (§ 35 BDSG). 7. Rechte der Betroffenen 7.1 Die Rechte der durch die Datenverarbeitung betroffenen Personen sind gegenüber dem Auftraggeber geltend zu machen. Anfragen Betroffener wird der Auftragnehmer unverzüglich an den Auftraggeber weiterleiten. 7.2 Der Auftragnehmer wird den Auftraggeber bei der Erfüllung von Rechten Betroffener im erforderlichen Umfang unterstützen, soweit diese Rechte die Datenverarbeitung durch den Auftragnehmer betreffen. 8. Berechtigung zur Begründung von Unterauftragsverhältnissen Für die Begründung von Unterauftragsverhältnissen hinsichtlich der Erhebung, Verarbeitung oder Nutzung der Auftrags-Daten gilt Ziffer [Ziffer] (Subunternehmer) des Outsourcingvertrags. 9. Kontrollrechte des Auftraggebers, Duldungs- und Mitwirkungspflichten des Auftragnehmers, Zusammenarbeit mit Aufsichtsbehörden 9.1 Der Auftraggeber ist berechtigt, die Einhaltung der Vorgaben dieses Vertrags durch den Auftragnehmer zu prüfen. Der Auftragnehmer wird den Auftraggeber bei den Prüfungen unterstützen. 9.2 Der Auftragnehmer wird den Auftraggeber bei Kontrollen durch die Datenschutzaufsichtsbehörde im Rahmen des Erforderlichen unterstützen, soweit diese Kontrollen die Datenverarbeitung durch den Auftragnehmer betreffen. 9.3 Für Prüfungen des Auftraggebers und Kontrollen der Datenschutzaufsichtsbehörde im Einzelnen gilt Ziffer [Ziffer] (Prüfungen und Kontrollen) des Outsourcingvertrags.
264
|
Nowak/Zieger
Rz. 4 Teil 2 III
Erläuterungen
10. Herausgabe- und Löschungspflichten bei Beendigung des Auftrags 10.1 Mit Beendigung dieses Vertrags hat der Auftragnehmer auf Verlangen des Auftraggebers sämtliche in seinem Besitz befindlichen Auftrags-Daten zur Migration der im Outsourcingvertrag übernommenen Leistungen auf den Auftraggeber oder einen von diesem bestimmten neuen Auftragnehmer herauszugeben. Es gilt Ziffer [Ziffer] (Beendigungsunterstützung) des Outsourcingvertrags. 10.2 Anschließend hat der Auftragnehmer – soweit dem keine gesetzlichen oder im Outsourcingvertrag getroffenen Bestimmungen entgegenstehen – sämtliche in seinem Besitz befindlichen Auftrags-Daten zu löschen bzw. zu vernichten. Dies gilt insbesondere auch für Vervielfältigungen, Test- und Ausschlussdaten. Die Löschung bzw. Vernichtung ist vom Auftragnehmer schriftlich zu dokumentieren und dem Auftraggeber nachzuweisen. Dem Auftragnehmer überlassene Datenträger sind dem Auftraggeber zurückzugeben. 11. Schlussbestimmungen 11.1 Änderungen, Ergänzungen oder eine Aufhebung dieses Vertrags bedürfen – soweit hierin nichts anderes bestimmt ist – zu ihrer Rechtswirksamkeit der Schriftform. Dies gilt auch für eine Aufhebung des Schriftformerfordernisses. 11.2 Sollten einzelne Bestimmungen dieses Vertrags ganz oder teilweise unwirksam sein oder werden, wird hierdurch die Wirksamkeit des Vertrags im Übrigen nicht berührt. Die Parteien werden die unwirksame Bestimmung durch eine dieser nach Sinn und Zweck möglichst nahe kommende wirksame Bestimmung ersetzen. Die vorstehende Regelung gilt im Falle unbeabsichtigter Vertragslücken entsprechend. 11.3 Alleiniger Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag ist [Ort], soweit kein ausschließlicher Gerichtsstand begründet ist. …
…
Ort, Datum
Ort, Datum
…
…
Auftraggeber
Auftragnehmer
C. Erläuterungen I. Vorbemerkung Die Datenschutzklausel für den Outsourcingvertrag trifft zusammen mit der Anlage Datenschutz Vorgaben für die Verwendung personenbezogener Daten zur Erfüllung der von dem Auftragnehmer übernommenen Leistungspflichten. Nowak/Zieger
|
265
4
Teil 2 III
Rz. 5
Datenschutzklausel Outsourcingvertrag
Oftmals bestehen vielfältige Berührungspunkte bzw. Wechselwirkungen einer solchen Regelung mit zahlreichen anderen Regelungen im Outsourcingvertrag. Dies betrifft insbesondere Vereinbarungen über den Leistungsumfang, Regelungen zur Leistungsgüte (Service Level Agreements/SLAs), Vergütungs- und Aufwendungsersatzregelungen, Subunternehmerklauseln, Audit-Regelungen und Verschwiegenheitsvereinbarungen. Dies ist im konkreten Einzelfall zu bedenken und die betreffenden Bestimmungen sind aufeinander abzustimmen (siehe hierzu auch noch die Erläuterungen zu den einzelnen Musterklauseln). 5
Die Regelungen in der Datenschutzklausel und der Anlage Datenschutz gehen davon aus, dass der Auftragnehmer im Zuge der Erfüllung seiner Leistungspflichten nach dem Outsourcingvertrag personenbezogene Daten des Auftraggebers verwendet. Die genannten Regelungen setzen ferner voraus, dass diese Datenverwendung durch den Auftragnehmer ausschließlich im Rahmen einer Auftragsdatenverarbeitung (§ 11 BDSG) erfolgt1. Im Rahmen einer Auftragsdatenverarbeitung ist ausschließlich der Auftraggeber verantwortliche Stelle (§ 3 Abs. 7 BDSG) im datenschutzrechtlichen Sinn (§ 11 Abs. 1 Satz 1 und 2 BDSG). D.h. er entscheidet als „Herr über die Daten“ über deren Verwendung und trägt insoweit im Außenverhältnis auch die Verantwortung. Der Auftragnehmer wird dagegen lediglich „als verlängerter Arm“ des Auftraggebers entsprechend dessen Weisungen tätig (§ 11 Abs. 3 Satz 1 BDSG). Die Entscheidung für oder gegen eine solche Auftragsdatenverarbeitung hängt im konkreten Einzelfall von einer Vielzahl von Faktoren ab: – Ist die Auftragsdatenverarbeitung tatsächlich überhaupt darstellbar bzw. zweckmäßig? – Bestehen zu einer Auftragsdatenverarbeitung datenschutzrechtlich Alternativen? – Erfordern sonstige rechtliche Vorgaben eine Auftragsdatenverarbeitung?
6
Eine Auftragsdatenverarbeitung kommt nicht für jedes Outsourcingvorhaben in Betracht. Erforderlich ist in jedem Fall die Weisungsabhängigkeit des Auftragnehmers. Dem Auftragnehmer dürfen bzgl. der Datenverwendung keine eigenen Entscheidungsbefugnisse zukommen. Unproblematisch lässt sich dies meist darstellen, wenn gerade die Verwendung der Daten an sich den Leistungsgegenstand bildet. Schwieriger kann dies aber sein, wenn der Auftragnehmer auch die Aufgabe, der die Datenverwendung dient, übernimmt2. Zwar ist auch dann eine Auftragsdatenverarbeitung nicht per se ausgeschlossen3. Erfolgt auch die Erfüllung dieser Aufgabe weisungsgebunden, schließt dies die Auftragsdatenverarbeitung nicht aus. Dies könnte z.B. durch Vorgabe eines detaillierten Entscheidungsbaums sichergestellt werden4. Übt der Auftragnehmer 1 S. hierzu die Muster „allgemeiner“ Auftragsdatenverarbeitungsverträge in Teil 2 I und 2 II. 2 In diesem Fall wohl grundlegend gegen eine Auftragsdatenverarbeitung Simitis/Petri, § 11 BDSG Rz. 22. 3 Gola/Schomerus, § 11 BDSG Rz. 7. 4 Gola/Schomerus, § 11 BDSG Rz. 9.
266
|
Nowak/Zieger
Erläuterungen
Rz. 7 Teil 2 III
die zugrunde liegende Aufgabe dagegen im Wesentlichen eigenverantwortlich aus, läge grundsätzlich eine die Auftragsdatenverarbeitung ausschließende Funktionsübertragung1 vor. Vor diesem Hintergrund dürfte eine Auftragsdatenverarbeitung im Rahmen eines Business Process Outsourcing (BPO)2 eher Fragen aufwerfen als bei einem Information Technology Outsourcing (ITO). Letztlich ist aber anhand des konkreten Einzelfalls zu beurteilen, ob eine Auftragsdatenverarbeitung aufgrund der vom Auftragnehmer zu erbringenden Leistungen darstellbar ist3. Im Rahmen einer Auftragsdatenverarbeitung wird der Auftragnehmer (im EUbzw. EWR-Inland) datenschutzrechtlich als Teil des Auftraggebers gesehen (§ 3 Abs. 8 Satz 3 BDSG). Der Zugriff auf Daten durch den Auftragnehmer ist daher keine Übermittlung (§ 3 Abs. 4 Satz 2 Nr. 3, Abs. 8 BDSG). Er bedarf daher keiner gesonderten Rechtfertigung. Anders wäre dies außerhalb einer solchen Auftragsdatenverarbeitung4. In diesem Fall bedürfte die Übermittlung personenbezogener Daten an den Auftraggeber entweder der Einwilligung des Betroffenen oder einer gesonderten gesetzlichen Grundlage (§ 4 Abs. 1 BDSG). Eine Einwilligung kommt aus Praktikabilitätsgründen oft nicht in Betracht. Insbesondere gilt dies dann, wenn sie erst noch eingeholt werden müsste. Soll etwa die Verwaltung eines bestimmten Vertragsportfolios auf einen Dienstleister verlagert werden, können Einwilligungen der betroffenen Bestandskunden nachträglich in der Regel rein praktisch nicht bzw. nur schwer eingeholt werden. Als Rechtsgrundlage für eine Übermittlung außerhalb eines Auftragsdatenverarbeitungsvertrags kommen bei nicht öffentlichen Stellen, d.h. privaten Unternehmen, insbesondere § 28 Abs. 1 Satz 1 Nr. 1 und 2 bzw. Abs. 2 Nr. 1 BDSG in Betracht. Hiernach könnte die Übermittlung der Daten an den Auftragnehmer zulässig sein, wenn dies zur Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen (§ 28 Abs. 1 Satz 1 Nr. 1 BDSG) oder zur Wahrung berechtigter Interessen des Auftraggebers (§ 28 Abs. 1 Satz 1 Nr. 2, ggf. i.V.m. Abs. 2 Nr. 1 BDSG) erforderlich ist. In diesem Zusammenhang sind insbesondere auch die Interessen des Auftraggebers an der Übermittlung mit den schutzwürdigen Interessen des Betroffenen abzuwägen. Auch wenn eine Datenübermittlung an den Auftragnehmer grundsätzlich denkbar wäre, dürfen diesem daher in vielen Fällen keine im Vergleich zu einer Auftragsdatenverarbeitung wesentlich geringeren Restriktionen auferlegt werden. Andernfalls werden oftmals die schutzwürdigen Interessen des Betroffenen der Übermittlung entgegenstehen. Positiv auf die Interessenabwägung kann sich die vertragliche Verpflichtung des Diensteanbieters in Anlehnung an die Vorgaben des § 11 BDSG auswirken5. Ein Rückgriff auf die genannten Rechtsgrundlagen scheidet zudem aus, wenn es um die Übermittlung besonderer Arten personenbezogener Daten (vgl. § 3 Abs. 9 BDSG, z.B. Gesundheitsdaten) geht. Insoweit stellen sich an die Übermittlung 1 2 3 4 5
S. hierzu das Muster einer Datenschutzklausel für Funktionsübertragungen in Teil 6 I. Simitis/Petri, § 11 BDSG Rz. 23. Zur Abgrenzung s. auch Teil 2 I Rz. 18 ff. Gola/Schomerus, § 11 BDSG Rz. 16, § 4b BDSG Rz. 5. S. hierzu das entsprechende Muster in Teil 6 I.
Nowak/Zieger
|
267
7
Teil 2 III
Rz. 8
Datenschutzklausel Outsourcingvertrag
besonders strenge Anforderungen (§ 28 Abs. 6 BDSG)1, die einer Weitergabe von Daten an den Auftragnehmer außerhalb eines Auftragsdatenverarbeitungsvertrags in vielen Fällen entgegenstehen. Lässt sich eine Übermittlung von Daten außerhalb einer Auftragsdatenverarbeitung datenschutzrechtlich nicht rechtfertigen, wäre die Auftragsdatenverarbeitung letztlich alternativlos. 8
Die Vereinbarung einer Auftragsdatenverarbeitung kann überdies aufgrund gesetzlicher Vorgaben außerhalb des Datenschutzrechts erforderlich sein. So erfordern z.B. die aufsichtsrechtlichen Vorgaben für Versicherungsunternehmen und Banken bei der Auslagerung von Geschäftsprozessen eine besonders enge Einbindung des Auftragnehmers (vgl. § 64a Abs. 4 VAG, Ziffer 8 MaRisk VA2 und § 25a Abs. 2 KWG, AT9 MaRisk BA3). Insbesondere muss sich der Auftraggeber die erforderlichen Weisungsrechte vorbehalten. Dies dürfte zwar nicht zwingend auch eine Auftragsdatenverarbeitung im datenschutzrechtlichen Sinn voraussetzen. Allerdings sollten die genannten regulatorischen Vorgaben keine geringeren Anforderungen stellen als die bei einer Auftragsdatenverarbeitung erforderliche Weisungsbindung und sonstigen Vorgaben4. Vor diesem Hintergrund kann es insbesondere in den genannten Fällen zweckmäßig sein, die Regelungen zur Auftragsdatenverarbeitung über personenbezogene Daten hinaus auch auf alle dem Auftragnehmer überlassenen Daten zu erstrecken. Ein Outsourcingvorhaben, das den Schutzbereich des § 203 StGB5 berührt (z.B. bei die Auslagerung der Policen-Verwaltung einer privaten Kranken-, Unfall- oder Lebensversicherung, sofern der Auftragnehmer dabei Zugriff auf personenbezogene Versichertendaten erhält), ist ohne Einwilligung des Versicherten schon strafrechtlich allenfalls bei einer ganz engen Einbindung des Auftragnehmers zulässig. Auch bei derartigen Vorhaben dürfte eine Auftragsdatenverarbeitung bzw. eine dieser entsprechende enge Anbindung des Auftragnehmers an den Auftraggeber zwingend sein6.
9
Die Vereinbarung einer Auftragsdatenverarbeitung bedarf eines schriftlichen Vertrags mit gewissen Mindestinhalten (§ 11 Abs. 2 Satz 2 BDSG)7. Wird die Schriftform nicht eingehalten, ist der Vertrag wegen des Formmangels nichtig (§ 125 BGB)8. Zudem kann die Nichteinhaltung der formellen Vorgaben für die Auftragserteilung jedenfalls als Ordnungswidrigkeit mit einer Geldbuße von bis zu 50 000 Euro geahndet werden (§ 43 Abs. 1 Nr. 2b, Abs. 3 Satz 1 BDSG)9. 1 Simitis/Simitis, § 28 BDSG Rz. 298; Gola/Schomerus, § 28 BDSG Rz. 75. 2 http://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_0903_als_pdf_ va.html. 3 http://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/rs_1210_ma risk_ba.html. 4 Plath/Plath, § 11 BDSG Rz. 66 a.E. 5 § 203 StGB bleibt neben den Bestimmungen des BDSG anwendbar (§ 1 Abs. 3 Satz 2 BDSG); vgl. auch Simitis/Petri, § 11 BDSG Rz. 44. 6 Im Einzelnen umstritten, vgl. hierzu etwa Simitis/Petri, § 11 BDSG Rz. 44 ff.; Plath/ Plath, § 11 BDSG Rz. 72 ff.; Bürkle/Draf, § 11 Rz. 38; Jandt/Roßnagel/Wilke, NZS 2011, 641; Kort, NStZ 2011, 193; Gabel/Steinhauer, VersR 2010, 177; Hoenike/Hülsdunk, MMR 2004, 788. 7 S. hierzu Teil 2 I Rz. 23 ff. 8 Simitis/Petri, § 11 BDSG Rz. 64. 9 Simitis/Petri, § 11 BDSG Rz. 64.
268
|
Nowak/Zieger
Erläuterungen
Rz. 12 Teil 2 III
II. Erläuterungen zur Datenschutzklausel für den Outsourcingvertrag 10
E 1. Datenschutz 1.1 Die Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten für den Auftraggeber im Rahmen der Erfüllung der in diesem Outsourcingvertrag übernommenen Leistungspflichten durch den Auftragnehmer erfolgt ausschließlich im Auftrag des Auftraggebers (§ 11 BDSG). 1.2 Die Einzelheiten der Auftragsdatenverarbeitung sind in der Anlage Datenschutz festgelegt. Diese geht in ihrem Anwendungsbereich den Regelungen dieses Outsourcingvertrags (einschließlich anderer Anlagen) vor. Die Vergütung des Auftragnehmers und der Ersatz etwaiger Aufwendungen ergibt sich jedoch abschließend aus Ziffer [Ziffer] (Vergütung) sowie der Anlage Vergütung. 1.3 Die Parteien sind sich der besonderen Bedeutung des Datenschutzes und der Datensicherheit bewusst. Sie werden die rechtliche und tatsächliche Angemessenheit und Wirksamkeit der in der Anlage Datenschutz enthaltenen Datenschutz- und Datensicherheitsmaßnahmen fortlaufend überprüfen. Die Parteien werden mindestens einmal jährlich jeweils im [Monat] zusammenkommen und sich zu den Ergebnissen ihrer fortlaufenden Prüfung auszutauschen, um etwaigen Anpassungsbedarf aufzudecken. Soweit zur Gewährleistung der rechtlichen und tatsächlichen Angemessenheit und Wirksamkeit der in der Anlage Datenschutz enthaltenen Datenschutz- und Datensicherheitsmaßnahmen Anpassungen erforderlich werden, sind diese vom Auftragnehmer unaufgefordert als Change Requests gemäß Ziffer [Ziffer] des Outsourcingvertrags anzubieten. Im Übrigen gilt Ziffer [Ziffer] (Change Management).
a) Erläuterungen zu Ziffer 1.1 Ziffer 1.1 stellt zunächst fest, dass die Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten im Rahmen der Erfüllung der Leistungspflichten nach dem Outsourcingvertrag ausschließlich in Form der Auftragsdatenverarbeitung erfolgt. Hinsichtlich der näheren Einzelheiten der Auftragsdatenverarbeitung verweist die Klausel dann aus Gründen der Übersichtlichkeit auf eine Anlage Datenschutz.
11
b) Erläuterungen zu Ziffer 1.2 Nach Ziffer 1.2 geht die Anlage Datenschutz im Rahmen ihres Anwendungsbereichs den anderen Bestimmungen des Outsourcingsvertrags (einschließlich anderer Anlagen) vor. Dieses Rangverhältnis ist grundsätzlich zwingend. Im Einzelfall können aber aufgrund gesetzlicher Vorgaben auch andere Regelungen vorrangig zu beachten sein. Insbesondere kann dies aus aufsichtsrechtlichen (z.B. bankaufsichtsrechtlichen) Anforderungen folgen. Dies ist jeweils Nowak/Zieger
|
269
12
Teil 2 III
Rz. 13
Datenschutzklausel Outsourcingvertrag
anhand der konkreten Umstände des Einzelfalls zu prüfen und die Klausel insoweit ggf. anzupassen. Im Falle vorrangig einzuhaltender aufsichtsrechtlicher Vorgaben wäre am Ende von Ziffer 1.2 etwa der folgende Zusatz denkbar: E Soweit die Anlage Aufsichtsrechtliche Anforderungen dem Auftragnehmer im Vergleich zu der Anlage Datenschutz strengere Verpflichtungen auferlegt, geht sie dieser vor. 13
Ziffer 1.2 nimmt an, dass Vergütungs- und Aufwendungsersatzregelungen im Outsourcingvertrag gesondert abschließend geregelt sind. Die Klausel nimmt die entsprechenden Regelungen daher von dem Vorrang der Anlage Datenschutz aus. Die betreffenden Regelungen wären aber auf die Datenschutzregelungen abzustimmen. Insbesondere ist zu vereinbaren, ob und welche gesonderte Vergütung der Auftragnehmer erhält, wenn Weisungen des Auftraggebers zur Datenverarbeitung über den im Outsourcingvertrag vereinbarten Leistungsumfang hinausgehen, der Auftragnehmer den Auftraggeber bei eigenen Audits oder Kontrollen der Datenschutzaufsichtsbehörde unterstützt oder der Auftragnehmer aufgrund des Umfangs der von ihm übernommenen Datenverarbeitungen einen Datenschutzbeauftragten bestellen muss etc.1.
c) Erläuterungen zu Ziffer 1.3 14
Wegen der besonderen Bedeutung von Datenschutz und Datensicherheit verpflichtet Ziffer 1.3 die Parteien dazu, die rechtliche und tatsächliche Angemessenheit und Wirksamkeit der Datenschutz- und Datensicherheitsmaßnahmen fortlaufend zu prüfen. Die daraus resultierenden Erkenntnisse sind nach der Regelung mindestens einmal jährlich zu besprechen, um einen etwaigen Anpassungsbedarf bei den Datenschutzregelungen zu identifizieren.
15
Ziffer 1.3 geht davon aus, dass der Outsourcingvertrag selbst ein Verfahren zur Anpassung des Vertrags, insbesondere des vertraglichen Leistungsumfangs einschließlich der damit verbundenen Vergütungsbestimmungen, regelt (Change Management). Insoweit nimmt die Regelung den Auftragnehmer in die Verantwortung und verpflichtet ihn, unaufgefordert entsprechend dem vereinbarten Verfahren die erforderlichen bzw. zweckmäßigen Anpassungen (als sog. Change Requests) anzubieten. Eine denkbare einfache Change Mangement-Regelung wäre: E 1. Change Management 1.1. Vertragsanpassungen, erforderliche Vertragsanpassungen Vertragsanpassung ist jede Änderung des Outsourcingvertrags einschließlich etwaiger Änderungs- und Ergänzungsvereinbarungen, insbesondere des vereinbarten Leistungsumfangs und der damit verbundenen Vergütungsregelungen. Erforderliche Vertragsanpassung ist jede Vertragsanpassung, die erforderlich ist aufgrund von: – anwendbaren gesetzlichen Bestimmungen; 1 S. hierzu Teil 2 II Rz. 83.
270
|
Nowak/Zieger
Erläuterungen
Rz. 16 Teil 2 III
– Weisungen des Auftraggebers hinsichtlich der Erhebung, Verarbeitung und/oder Nutzung der Auftrags-Daten gem. Ziffer 2.2 der Anlage Datenschutz, die über den in der Anlage Leistungsumfang/SLAs festgelegten Leistungsumfang hinausgehen; oder – […]. 1.2. Change Requests Jede Partei ist berechtigt, der jeweils anderen Partei Vertragsanpassungen vorzuschlagen; der Auftragnehmer ist verpflichtet, Vertragsanpassungen vorzuschlagen, soweit dies der Outsourcingvertrag bestimmt. Die Vorschläge (Change Requests) erfolgen schriftlich mit den in Anlage Change Request im Einzelnen festgelegten Mindestinhalten. 1.3. Vorgehen im Falle von Change Requests Der Empfänger eines formgerechten Change Requests hat dieses binnen [zehn Werktagen] nach Zugang entweder schriftlich (i) anzunehmen oder (ii) abzulehnen bzw. (iii) in der Form eines Change Requests Änderungen vorzuschlagen und die Angelegenheit dem Steering Committee zur weiteren Verhandlung vorzulegen. Kommt eine Einigung über das Change Request zustande, wird der Outsourcingvertrag zu den vereinbarten, geänderten Bedingungen fortgesetzt. Kommt keine Einigung zustande, gelten die bisherigen Bedingungen fort. 1.4. Zusätzliche Bestimmungen für erforderliche Vertragsanpassungen Der Auftragnehmer kann für erforderliche Vertragsanpassungen keine Anpassung seiner vertragsgemäßen Vergütung verlangen. Change Requests des Auftraggebers zu erforderlichen Vertragsanpassungen bzw. Änderungsvorschläge des Auftraggebers bzgl. Change Requests des Auftragnehmers zu erforderlichen Vertragsanpassungen sind vom Auftragnehmer unverzüglich nach Zugang schriftlich anzunehmen. Der Auftragnehmer ist insbesondere nicht zur Verweigerung der Annahme und/oder Umsetzung des Change Requests berechtigt, wenn nach seiner Auffassung der Fall einer erforderlichen Vertragsanpassung nicht vorliegt. Er ist in diesem Fall jedoch berechtigt, die Angelegenheit zur weiteren Klärung dem Steering Committee vorzulegen.
III. Erläuterungen zur Anlage Datenschutz 1. Erläuterungen zu Ziffer 1 E 1. Gegenstand und Dauer des Auftrags, Umfang der Datenverwendung
16
1.1 Der Auftragnehmer wird im Rahmen der Erfüllung der im Outsourcingvertrag übernommenen Leistungspflichten im Auftrag des Auftraggebers Nowak/Zieger
|
271
Teil 2 III
Rz. 17
Datenschutzklausel Outsourcingvertrag
personenbezogene Daten (Auftrags-Daten) erheben, verarbeiten und/oder nutzen (§ 11 BDSG). 1.2 Der Umfang, die Art und der Zweck der Erhebung, Verarbeitung und/ oder Nutzung sowie die Art der Daten und der Kreis der Betroffenen ergeben sich abschließend aus der Anlage Leistungsumfang/SLAs zum Outsourcingvertrag. 1.3 Die Erhebung, Verarbeitung und/oder Nutzung der Auftrags-Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland oder in einem anderen Mitgliedstaat der Europäischen Union bzw. in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. 1.4 Der Bestand dieses Vertrags ist an die Laufzeit des zwischen den Parteien vereinbarten Outsourcingvertrags gekoppelt.
a) Erläuterungen zu Ziffer 1.1 17
Ziffer 1.1 trifft eine im Rahmen eines Auftragsdatenverarbeitungsvertrags erforderliche Regelung (§ 11 Abs. 2 Satz 2 Nr. 1 BDSG) zum Gegenstand des Auftrags. Die Klausel verweist insoweit auf den zugrunde liegenden Outsourcingvertrag1. Sollte die Auftragsdatenverarbeitung ausschließlich im Rahmen einer bestimmten Leistungsvereinbarung auf Grundlage des Outsourcingvertrags erfolgen, wäre ggf. auf diese zu verweisen. Ist die Datenverarbeitung nicht nur Nebenpflicht im Rahmen des Outsourcingvertrags, sondern selbst die vom Auftragnehmer zu erbringende Hauptleistung, könnten die Regelungen der Anlage Datenschutz ggf. auch unmittelbar in die betreffende Leistungsvereinbarung integriert werden.
b) Erläuterungen zu Ziffer 1.2 18
Eine ebenfalls erforderliche Regelung (§ 11 Abs. 2 Satz 2 Nr. 2 BDSG) zum Umfang der beabsichtigten Datenverwendung ist in Ziffer 1.2 enthalten. Der Umfang, die Art und der Zweck der Erhebung, Verarbeitung und/oder Nutzung sowie die Art der Daten und der Kreis der Betroffenen sind näher zu spezifizieren. Zu erfassen sind nur Angaben zur Datenverwendung im Rahmen der Auftragsdatenverarbeitung. Lediglich in diesem Zusammenhang mit anfallende Daten (z.B. bzgl. der mit der Auftragserfüllung beschäftigten Mitarbeiter) sind im Anhang nicht aufzunehmen2. Die Regelung geht davon aus, dass entsprechende Angaben bereits an anderer Stelle im Outsourcingvertrag (Anlage Leistungsumfang/SLAs) enthalten sind und verweist hierauf3. Soweit dies nicht der Fall ist, wäre eine gesonderte Anlage zu erstellen und diese in Bezug zu nehmen4.
1 Zur Zulässigkeit eines solchen Verweises Gola/Schomerus, § 11 BDSG Rz. 18; Plath/ Plath, § 11 BDSG Rz. 99 f.; Simitis/Petri, § 11 BDSG Rz. 66. 2 Gola/Schomerus, § 11 BDSG Rz. 18a. 3 Zur Zulässigkeit eines solchen Verweises Gola/Schomerus, § 11 BDSG Rz. 18; Plath/ Plath, § 11 BDSG Rz. 99 f.; Simitis/Petri, § 11 BDSG Rz. 66. 4 S. hierzu das Beispiel bei Teil 2 I Rz. 16.
272
|
Nowak/Zieger
Erläuterungen
Rz. 21 Teil 2 III
c) Erläuterungen zu Ziffer 1.3 Ziffer 1.3 geht davon aus, dass die Auftragsdatenverarbeitung ausschließlich innerhalb der EU bzw. dem EWR erfolgt. Eine Datenverarbeitung durch Auftragnehmer außerhalb der EU bzw. des EWR ist keine privilegierte Auftragsdatenverarbeitung i.S.v. § 11 BDSG. Eine solche hätte zur Folge, dass der Auftragnehmer nicht als Teil des Auftraggebers angesehen wird und die Übermittlung personenbezogener Daten an den Auftragnehmer einer Rechtfertigung bedürfte (vgl. hierzu schon die Vorbemerkung)1. Zudem müsste der Export personenbezogener Daten in das Zielland besonders gerechtfertigt werden (§§ 4b und 4c BDSG), etwa durch die Vereinbarung der EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern2. Dies wäre je nach konkretem Einzelfall zu bewerten und im Auftragsdatenverarbeitungsvertrag zusätzlich zu adressieren.
19
d) Erläuterungen zu Ziffer 1.4 Eine im Auftragsdatenverarbeitungsvertrag ebenso erforderliche Regelung (§ 11 Abs. 2 Satz 2 Nr. 1 BDSG) zur Dauer des Auftrags trifft Ziffer 1.4, die die Laufzeit des Auftragsdatenvereinbarungsvertrags unmittelbar an die Laufzeit des Outsourcingvertrags koppelt3. Ggf. ist es auch zweckmäßig, die Laufzeit an eine bestimmte Leistungsvereinbarung zu knüpfen, etwa wenn die Auftragsdatenverarbeitung ausschließlich im Rahmen einer bestimmten Leistungsvereinbarung erfolgt.
20
2. Erläuterungen zu Ziffer 2 E 2. Weisungen des Auftraggebers
21
2.1 Der Auftraggeber ist hinsichtlich der Erhebung, Verarbeitung und/oder Nutzung der Auftrags-Daten gegenüber dem Auftragnehmer umfassend weisungsbefugt. 2.2 Der Auftraggeber weist den Auftragnehmer hiermit zu der für die Erfüllung der im Outsourcingvertrag übernommenen Leistungspflichten erforderlichen und in der Anlage Leistungsumfang/SLAs näher spezifizierten Verwendung der Auftrags-Daten an. Für die über den in der Anlage Leistungsumfang/SLAs festgelegten Leistungsumfang hinausgehenden Weisungen des Auftraggebers gilt im Übrigen Ziffer [Ziffer] (Change Management) des Outsourcingvertrags. 2.3 Darüber hinaus bleibt der Auftraggeber in Ausnahmefällen (z.B. bei Eilbedürftigkeit) zu Einzelfallweisungen berechtigt. Diese sind schriftlich oder in Textform, notfalls auch mündlich zu erteilen. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen. 1 Vgl. hierzu auch Gola/Schomerus, § 11 BDSG Rz. 16, § 4b BDSG Rz. 5. 2 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:DE: PDF; hierzu Teil 5 III. 3 Zur Zulässigkeit einer solchen Koppelung Gola/Schomerus, § 11 BDSG Rz. 18; Plath/ Plath, § 11 BDSG Rz. 99 f.
Nowak/Zieger
|
273
Teil 2 III
Rz. 22
Datenschutzklausel Outsourcingvertrag
Zur Erteilung bzw. Entgegennahme solcher Weisungen sind ausschließlich die nachfolgend benannten Berechtigten und ihre jeweiligen Stellvertreter berechtigt: [Weisungsberechtigter/Empfangsberechtigter/Stellvertreter] Änderungen der Weisungs- bzw. Empfangberechtigten und ihrer Stellvertreter teilen sich die Parteien jeweils unverzüglich schriftlich mit. Bis zum Zugang dieser Mitteilung gelten ausschließlich die bisherigen Kontaktpersonen als weisungs- bzw. empfangsberechtigt. 2.4 Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen diesen Vertrag, den Outsourcingvertrag oder einschlägige datenschutzrechtliche Bestimmungen verstößt, teilt er dem Auftraggeber dies unverzüglich schriftlich mit. In diesem Fall wird er die Ausführung der Weisung bis zur Bestätigung durch den Auftraggeber aussetzen.
a) Erläuterungen zu Ziffer 2.1 22
Ziffer 2 trifft eine im Rahmen eines Auftragsdatenverarbeitungsvertrags erforderliche Regelung (§ 11 Abs. 2 Satz 2 Nr. 9 BDSG) zu den Weisungsrechten des Auftraggebers1. Ziffer 2.1 behält dem Auftraggeber bzgl. der Auftragsdatenverarbeitung ein umfassendes Weisungsrecht vor.
b) Erläuterungen zu Ziffer 2.2 und 2.3 23
Ziffer 2.2 stellt zunächst klar, dass der Auftragnehmer zu den Datenverarbeitungen angewiesen wird, die für die Erfüllung der im Outsourcingvertrag übernommenen Leistungspflichten erforderlich sind. Insoweit geht die Regelung davon aus, dass die betreffenden Prozesse in der Anlage Leistungsumfang/SLAs des Outsourcingvertrags auch hinreichend spezifiziert sind. Ist dies nicht der Fall, wären also zusätzliche Weisungen des Auftraggebers erforderlich, müsste Ziffer 2.2 entsprechend angepasst werden.
24
Bzgl. der über den in der Anlage Leistungsumfang/SLAs des Outsourcingvertrags festgelegten Leistungsumfang hinausgehenden Weisungen des Auftraggebers verweist die Regelung auf das allgemeine Change Management Verfahren im Outsourcingvertrag. Insoweit wäre im Outsourcingvertrag neben dem Verfahren zur Vertragsanpassung insbesondere auch zu regeln, ob und inwieweit sich gleichzeitig die Vergütung des Auftragnehmers ändern soll (vgl. insoweit auch der Vorschlag einer Change Management-Regelung unter Rz. 15).
25
Nach Ziffer 2.3 bleibt der Auftraggeber in Ausnahmefällen (z.B. bei Eilbedürftigkeit) zu Einzelfallweisungen berechtigt. Solche Weisungen sind aus Gründen der Rechtssicherheit grundsätzlich schriftlich oder in Textform zu erteilen2. Lediglich notfalls sind auch mündliche Weisungen erlaubt, die anschließend unverzüglich schriftlich oder in Textform zu bestätigen sind. Ziffer 2.3 legt zudem die insoweit weisungs- bzw. empfangsberechtigten Personen abschließend fest. 1 Gola/Schomerus, § 11 BDSG Rz. 18h; Plath/Plath, § 11 BDSG Rz. 110. 2 Gola/Schomerus, § 11 BDSG Rz. 18h.
274
|
Nowak/Zieger
Erläuterungen
Rz. 30 Teil 2 III
c) Erläuterungen zu Ziffer 2.4 Ziffer 2.4 wiederholt die gesetzliche Pflicht des Auftragnehmers (§ 11 Abs. 3 Satz 2 BDSG), auf nach seiner Ansicht datenschutzrechtswidrige Weisungen hinzuweisen1. Die Klausel räumt dem Auftragnehmer zudem das Recht ein, die Ausführung bis zu einer Bestätigung des Auftraggebers auszusetzen. Die Einräumung eines solchen Rechts ist nach dem Gesetz nicht zwingend erforderlich2.
26
3. Erläuterungen zu Ziffer 3 E 3. Pflichten des Auftraggebers
27
3.1 Der Auftraggeber bleibt verantwortliche Stelle im datenschutzrechtlichen Sinn. Er ist für die Rechtmäßigkeit der auftragsgemäßen Erhebung, Verarbeitung und/oder Nutzung der Auftrags-Daten verantwortlich. 3.2 Der Auftraggeber hat dem Auftragnehmer die Auftrags-Daten rechtzeitig zur Erfüllung der im Outsourcingvertrag übernommenen Leistungspflichten in der im Einzelnen in Anlage Leistungsumfang/SLAs zum Outsourcingvertrag festgelegten Art und Weise zugänglich zu machen. 3.3 Etwaige Fehler oder Unregelmäßigkeiten im Rahmen der Erhebung, Verarbeitung und/oder Nutzung der Auftrags-Daten durch den Auftragnehmer teilt der Auftraggeber jeweils unverzüglich schriftlich mit.
a) Erläuterungen zu Ziffer 3.1 Im Rahmen der Auftragsdatenverarbeitung bleibt der Auftraggeber verpflichtet, die einschlägigen gesetzlichen Bestimmungen zum Datenschutz zu wahren (§ 11 Abs. 1 Satz 1 BDSG). Dies stellt Ziffer 3.1 klar.
28
b) Erläuterungen zu Ziffer 3.2 Nach Ziffer 3.2 hat der Auftraggeber die zur Erfüllung der im Outsourcingvertrag übernommenen Leistungspflichten erforderlichen Daten rechtzeitig zur Verfügung zu stellen. Die Regelung nimmt an, dass Details hierzu (z.B. bestimmte Schnittstellen für den Datenaustausch) in der Anlage Leistungsumfang/SLAs zum Outsourcingvertrag enthalten sind. Andernfalls wären die Einzelheiten in einer gesonderten Anlage aufzunehmen und hierauf zu verweisen.
29
c) Erläuterungen zu Ziffer 3.3 Ziffer 3.3 verpflichtet den Auftraggeber, erkannte Fehler oder Unregelmäßigkeiten bei der Auftragsdatenverarbeitung unverzüglich dem Auftragnehmer mitzuteilen. Diese Regelung ist im Wesentlichen klarstellender Natur. Der Auftraggeber bleibt für die Datenverarbeitung verantwortlich (§ 11 Abs. 1 Satz 1 BDSG). Schon aus diesem Grund hat er dem Auftragnehmer Unregel1 Vgl. hierzu Plath/Plath, § 11 BDSG Rz. 116 f. 2 Gola/Schomerus, § 11 BDSG Rz. 25.
Nowak/Zieger
|
275
30
Teil 2 III
Rz. 31
Datenschutzklausel Outsourcingvertrag
mäßigkeiten unverzüglich nach Entdeckung mitzuteilen und auf deren Einstellung hinzuwirken.
4. Erläuterungen zu Ziffer 4 31
E 4. Pflichten des Auftragnehmers 4.1 Der Auftragnehmer wird die Auftrags-Daten ausschließlich entsprechend den Weisungen des Auftraggebers, diesem Vertrag, dem Outsourcingvertrag sowie den einschlägigen datenschutzrechtlichen Bestimmungen erheben, verarbeiten und nutzen. Jedwede andere Verwendung bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers. 4.2 Der Auftragnehmer wird die ihm überlassenen Daten ohne vorherige schriftliche Zustimmung des Auftraggebers nicht vervielfältigen. Ausgenommen sind die für die Erfüllung der übernommenen Leistungspflichten erforderlichen Vervielfältigungen. 4.3 Der Auftragnehmer ist verpflichtet, den Auftraggeber über Verletzungen der einschlägigen datenschutzrechtlichen Vorschriften oder der Bestimmungen dieses Vertrags unverzüglich schriftlich zu unterrichten. Soweit den Auftraggeber aufgrund einer solchen Verletzung Pflichten gemäß § 42a BDSG treffen, hat der Auftragnehmer den Auftraggeber hierbei im Rahmen des Erforderlichen zu unterstützen.
a) Erläuterungen zu Ziffer 4.1 und 4.2 32
Ziffer 4.1 enthält die deklaratorische (§ 11 Abs. 3 Satz 1 BDSG) Regelung, dass der Auftragnehmer die Datenverarbeitung ausschließlich nach den Weisungen des Auftraggebers auszuführen hat1. Auch Ziffer 4.2 hat im Wesentlichen klarstellende Bedeutung. Die dort enthaltenen Einschränkungen ergeben sich grundsätzlich schon aus der Natur des Auftragsdatenverarbeitungsverhältnisses.
b) Erläuterungen zu Ziffer 4.3 33
Im Falle von „Datenlecks“ kann der Auftraggeber verpflichtet sein, die Betroffenen und Behörden zu unterrichten (§ 42a BDSG), wenn schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Dies kann z.B. der Fall sein, wenn Dritte unberechtigten Zugriff auf Kreditkartendaten von Kunden erhalten. Seine Unterrichtungspflichten kann der Auftraggeber aber nur erfüllen, wenn er von der Datenschutzverletzung überhaupt Kenntnis erlangt. Ziffer 4.3 verpflichtet den Auftragnehmer daher, den Auftraggeber unverzüglich über etwaige Datenschutzverletzungen zu unterrichten. Regelungen zu solchen Mitteilungspflichten gehören zum Mindestinhalt von Auftragsdatenverarbeitungsverträgen (§ 11 Abs. 2 Satz 2 Nr. 8 BDSG)2. Da die Erfüllung möglicher Unterrichtungspflichten gegenüber Betroffenen und Behörden durch den Auftraggeber unter Umständen die Mit1 Gola/Schomerus, § 11 BDSG Rz. 24. 2 Gola/Schomerus, § 11 BDSG Rz. 18g; Plath/Plath, § 11 BDSG Rz. 109 f.
276
|
Nowak/Zieger
Erläuterungen
Rz. 35 Teil 2 III
wirkung des Auftragnehmers erfordert, verpflichtet die Klausel den Auftragnehmer insoweit zudem zur Unterstützung.
5. Erläuterungen zu Ziffer 5 E 5. Allgemeine Organisationspflichten, technische und organisatorische Maßnahmen
34
5.1 Der Auftragnehmer wird die Einhaltung der Vorgaben dieses Vertrags regelmäßig kontrollieren. 5.2 Der Auftragnehmer wird im Rahmen der vereinbarten Auftragsdatenverarbeitung ausschließlich Personal einsetzen, das gemäß § 5 BDSG auf das Datengeheimnis verpflichtet wurde. Die Verpflichtung auf das Datengeheimnis wird der Auftragnehmer schriftlich dokumentieren und dem Auftraggeber auf Verlangen nachweisen. 5.3 Angesichts der Art bzw. des Umfangs der Datenverarbeitung durch den Auftragnehmer hat dieser einen Datenschutzbeauftragten zu bestellen. Dieser Verpflichtung hat er spätestens innerhalb eines Monats nach Aufnahme der Tätigkeit zu entsprechen und dies dem Auftraggeber auf Verlangen nachzuweisen. Der Auftragnehmer erhält für die Bestellung des Datenschutzbeauftragten während der Laufzeit dieses Vertrags eine Aufwendungsersatzpauschale gemäß der Anlage Vergütung zum Outsourcingvertrag. 5.4 Der Auftragnehmer stellt sicher, dass die zur Gewährleistung der Einhaltung der einschlägigen datenschutzrechtlichen Bestimmungen erforderlichen technischen und organisatorischen Maßnahmen (§ 9 BDSG) getroffen und aufrechterhalten werden. Die Parteien sind sich darüber einig, dass der Auftragnehmer die in der Anlage Leistungsumfang/SLAs zum Outsourcingvertrag dargestellten technischen und organisatorischen Maßnahmen als Mindeststandard einzuhalten hat. Die technischen und organisatorischen Maßnahmen sind fortlaufend der fortschreitenden technischen Entwicklung anzupassen. Änderungen der Maßnahmen, die den in der Anlage Leistungsumfang/ SLAs zum Outsourcingvertrag festgelegten Mindeststandard unterschreiten, bedürfen der vorherigen Zustimmung des Auftraggebers. Insoweit gilt [Ziffer] (Change Management) des Outsourcingvertrags.
a) Erläuterungen zu Ziffer 5.1 und 5.2 Ziffer 5.1 trifft eine in Auftragsdatenverarbeitungsverträgen erforderliche Festlegung (§ 11 Abs. 2 Satz 2 Nr. 5 BDSG) der vom Auftragnehmer vorzunehmenden Kontrollen1. Nach Ziffer 5.2 darf der Auftragnehmer nur auf das Datengeheimnis verpflichtete Mitarbeiter bei der Datenverarbeitung einsetzen. Auch eine Regelung hierzu gehört zum Mindestinhalt eines Auftragsdatenverarbei1 Gola/Schomerus, § 11 BDSG Rz. 18d.
Nowak/Zieger
|
277
35
Teil 2 III
Rz. 36
Datenschutzklausel Outsourcingvertrag
tungsvertrags (§ 11 Abs. 2 Satz 2 Nr. 5 BDSG)1. Die Verpflichtung der Mitarbeiter auf das Datengeheimnis ist für den Auftragnehmer obligatorisch (§ 11 Abs. 4 und § 5 BDSG)2.
b) Erläuterungen zu Ziffer 5.3 36
Der Auftragsdatenverarbeitungsvertrag muss eine Regelung zu der Verpflichtung des Auftragsnehmers zur Bestellung eines Datenschutzbeauftragten treffen (§ 11 Abs. 2 Satz 2 Nr. 5 BDSG)3. Auch im Rahmen der Auftragsdatenverarbeitung kann der Auftragnehmer verpflichtet sein, einen Datenschutzbeauftragten zu bestellen (§ 11 Abs. 4 Nr. 2 und § 4f BDSG)4. Dies ist insbesondere dann der Fall, wenn Auftragnehmer mindestens zehn Personen mit der automatisierten oder mindestens 20 Personen mit der nicht automatisierten Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt. Unabhängig von der Zahl der mit der Verarbeitung personenbezogener Daten beschäftigten Personen kann eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten auch im Falle von besonders gefahrträchtigen Datenverarbeitungen bestehen, etwa für Auskunfteien, Adresshandelsunternehmen und Markt- und Meinungsforschungsinstitute5.
37
Ziffer 5.3 geht von einer Verpflichtung des Auftragnehmers zur Bestellung eines Datenschutzbeauftragten aus. Ferner nimmt die Regelung an, dass der Auftragnehmer für die Bestellung des Datenschutzbeauftragten eine Aufwendungsersatzpauschale erhält, die in der insoweit in Bezug genommenen Anlage Vergütung zum Outsourcingvertrag geregelt ist. Ohne gesonderte Aufwendungsersatzregelung kann ein Ersatz wohl nicht verlangt werden. Die Aufwendungen dürften bereits in der Vergütung für die betreffende Leistung mit eingepreist worden sein. Zudem lassen sich die entstehenden Aufwendungen oftmals im Nachhinein nur schwer beziffern. Auch wenn gerade die Auftragsdatenverarbeitung zur einer Pflicht zur Bestellung eines Datenschutzbeauftragten geführt hätte, wäre der Datenschutzbeauftragte grundsätzlich für alle Datenverarbeitungen des Auftraggebers zuständig. Daher müssten für eine Bezifferung des Aufwands im Rahmen der Auftragsdatenverarbeitung die für den Datenschutzbeauftragten anfallenden Aufwendungen dessen verschiedenen Tätigkeiten zugeordnet werden.
c) Erläuterungen zu Ziffer 5.4 38
Der Auftragnehmer ist verpflichtet, im Rahmen seiner Tätigkeit die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um die Datensicherheit zu gewährleisten und dem Auftraggeber die Wahrung seiner gesetzlichen Verpflichtungen zu ermöglichen (§ 11 Abs. 4 und § 9 BDSG)6. Zu den vom Auftragnehmer ggf. vorzunehmenden erforderlichen technischen organisatorischen Maßnahmen zählen bspw. die Errichtung von Zutritts- und 1 2 3 4 5 6
Gola/Schomerus, § 11 BDSG Rz. 18d. Plath/Plath, § 11 BDSG Rz. 118; Gola/Schomerus, § 11 BDSG Rz. 27. Gola/Schomerus, § 11 BDSG Rz. 18d. Gola/Schomerus, § 11 BDSG Rz. 27. Gola/Schomerus, § 4f BDSG Rz. 10. Gola/Schomerus, § 11 BDSG Rz. 27; Plath/Plath, § 11 BDSG Rz. 118.
278
|
Nowak/Zieger
Erläuterungen
Rz. 43 Teil 2 III
Zugriffsschranken für unbefugte Dritte und dergleichen. Auch in diesem Punkt ist eine Regelung im Auftragsdatenverarbeitungsvertrag zu treffen (§ 11 Abs. 2 Satz 2 Nr. 5 BDSG)1. In Ziffer 5.4 wird klargestellt, dass der Auftragnehmer die in § 9 BDSG bzw. in der Anlage zu § 9 BDSG enthaltenen technischen und organisatorischen Maßnahmen einzuhalten hat2. Dies betrifft insbesondere die effektive Zutritts-, Zugriffs-, Zugangs-, Weitergabe-, Eingabe- und Verfügbarkeitskontrolle. Als Mindeststandard hat der Auftragnehmer die in der Anlage Leistungsumfang/SLAs zum Outsourcingvertrag näher festgelegten Maßnahmen zu treffen. Sind die Mindestmaßnahmen dort nicht enthalten, wäre insoweit eine gesonderte Anlage zu erstellen und auf diese zu verweisen.
39
Letztlich ist der Auftragnehmer aber unabhängig von den getroffenen Vereinbarungen mit dem Auftraggeber dafür verantwortlich, alle im Einzelfall erforderlichen Maßnahmen zu ergreifen (§ 11 Abs. 4 und § 9 BDSG)3. Welche Maßnahmen erforderlich sind, bestimmt sich einerseits nach der Art der Daten, andererseits nach der bestehenden Gefährdung (bspw. für einen Zugriff durch Unbefugte)4. So sind etwa die Anforderungen bei sensiblen Daten i.S.d. § 3 Abs. 9 BDSG (rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben) in der Regel höher als bei anderen Angaben.
40
6. Erläuterungen zu Ziffer 6 E 6. Berichtigung, Löschung und Sperrung von Daten
41
Der Auftragnehmer ist verpflichtet, die Auftrags-Daten auf Weisung des Auftraggebers entsprechend Ziffer 2 dieses Vertrags zu berichtigen, zu löschen oder zu sperren (§ 35 BDSG). Ziffer 6 trifft eine in Auftragsdatenverarbeitungsverträgen erforderliche (§ 11 Abs. 2 Satz 2 Nr. 4 BDSG) Regelung zur Berichtigung, Löschung und Sperrung von Daten5. In der gegenwärtigen Form ist die Regelung lediglich klarstellender Natur. Auch ohne die Regelung müsste der Auftragnehmer die Daten auf Weisung des Auftraggebers berichtigen, löschen oder sperren (§ 11 Abs. 3 Satz 1 BDSG).
42
7. Erläuterungen zu Ziffer 7 E 7. Rechte der Betroffenen
43
7.1 Die Rechte der durch die Datenverarbeitung betroffenen Personen sind gegenüber dem Auftraggeber geltend zu machen. Anfragen Betroffener wird der Auftragnehmer unverzüglich an den Auftraggeber weiterleiten. 1 2 3 4 5
Gola/Schomerus, § 11 BDSG Rz. 18b. Vgl. im Einzelnen etwa Gola/Schomerus, § 9 BDSG. Gola/Schomerus, § 11 BDSG Rz. 27; Plath/Plath, § 11 BDSG Rz. 118. Gola/Schomerus, § 9 BDSG Rz. 7 ff. Gola/Schomerus, § 11 BDSG Rz.18c; Plath/Plath, § 11 BDSG Rz. 103.
Nowak/Zieger
|
279
Teil 2 III
Rz. 44
Datenschutzklausel Outsourcingvertrag
7.2 Der Auftragnehmer wird den Auftraggeber bei der Erfüllung von Rechten Betroffener im erforderlichen Umfang unterstützen, soweit diese Rechte die Datenverarbeitung durch den Auftragnehmer betreffen. 44
Ziffer 7 ist im Ausgangspunkt klarstellender Natur. Betroffenenrechte sind grundsätzlich gegenüber dem Auftraggeber geltend zu machen (§ 11 Abs. 1 Satz 2 BDSG). Dieser bleibt für die Datenverarbeitung verantwortlich (§ 11 Abs. 1 Satz 1 BDSG). Darüber hinaus bestimmt Ziffer 7 gewisse, für die Erfüllung der betreffenden Pflichten durch den Auftraggeber erforderliche Mitwirkungspflichten des Auftragnehmers.
8. Erläuterungen zu Ziffer 8 45
E 8. Berechtigung zur Begründung von Unterauftragsverhältnissen Für die Begründung von Unterauftragsverhältnissen hinsichtlich der Erhebung, Verarbeitung oder Nutzung der Auftrags-Daten gilt Ziffer [Ziffer] (Subunternehmer) des Outsourcingvertrags.
46
Etwaige Berechtigungen zur Begründung von Unterauftragsverhältnissen sind im Auftragsdatenverarbeitungsvertrag zu regeln (§ 11 Abs. 2 Satz 2 Nr. 6 BDSG)1. Ohne Regelung ist der Auftragnehmer grundsätzlich nicht zur Einschaltung von Unterauftragnehmern berechtigt, sofern dies mit einer Weitergabe personenbezogener Daten einhergeht. Die Regelung geht davon aus, dass der Outsourcingvertrag eine allgemeine Subunternehmer-Klausel enthält und verweist auf diese.
9. Erläuterungen zu Ziffer 9 47
E 9. Kontrollrechte des Auftraggebers, Duldungs- und Mitwirkungspflichten des Auftragnehmers, Zusammenarbeit mit Aufsichtsbehörden 9.1 Der Auftraggeber ist berechtigt, die Einhaltung der Vorgaben dieses Vertrags durch den Auftragnehmer zu prüfen. Der Auftragnehmer wird den Auftraggeber bei den Prüfungen unterstützen. 9.2 Der Auftragnehmer wird den Auftraggeber bei Kontrollen durch die Datenschutzaufsichtsbehörde im Rahmen des Erforderlichen unterstützen, soweit diese Kontrollen die Datenverarbeitung durch den Auftragnehmer betreffen. 9.3 Für Prüfungen des Auftraggebers und Kontrollen der Datenschutzaufsichtsbehörde im Einzelnen gilt Ziffer [Ziffer] (Prüfungen und Kontrollen) des Outsourcingvertrags.
48
Ziffer 9.1 verpflichtet den Auftragnehmer zur Mitwirkung an Kontrollen der Datenschutzaufsichtsbehörden und soll dem Auftraggeber die Erfüllung seiner Verpflichtungen gegenüber den Aufsichtsbehörden (§ 38 BDSG) ermöglichen. Der Auftraggeber trägt für die Rechtmäßigkeit der Datenverarbeitung die Gesamtverantwortung (§ 11 Abs. 1 Satz 1 BDSG). Daher muss er die Einhaltung der maßgeblichen Vorgaben durch den Auftragnehmer überwachen. Er muss 1 Gola/Schomerus, § 11 BDSG Rz. 18e; Plath/Plath, § 11 BDSG Rz. 105.
280
|
Nowak/Zieger
Erläuterungen
Rz. 49 Teil 2 III
sich insbesondere vor Beginn der Datenverarbeitung und regelmäßig danach von der Einhaltung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugen und dies dokumentieren (§ 11 Abs. 2 Satz 4 und 5 BDSG). Ziffer 9.2 trifft eine in einem Auftragsdatenverarbeitungsvertrag erforderliche Regelung (§ 11 Abs. 2 Satz 2 Nr. 7 BDSG)1 zu den Kontrollrechten des Auftraggebers und den entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers. Ziffer 9.3 verweist bzgl. Prüfungen des Auftraggebers und Kontrollen der Datenschutzaufsichtsbehörde im Einzelnen auf eine allgemeine Audit-Klausel im Outsourcingvertrag. Enthält der Outsourcingvertrag keine derartige Regelung, wären die Ziffern 9.1 und 9.2 zweckmäßigerweise ausführlicher zu fassen. Eine denkbare Regelung für Prüfungen des Auftraggebers wäre bspw.: E Der Auftraggeber ist berechtigt, die Einhaltung der Vorgaben dieses Vertrags durch den Auftraggeber zu prüfen. Hierzu gewährt der Auftragnehmer – im Rahmen des Erforderlichen und soweit der Geschäftsablauf nicht beeinträchtigt sowie Betriebs- und Geschäftsgeheimnisse nicht gefährdet werden und gesetzliche Regelungen nicht entgegenstehen – dem Auftraggeber während seinen üblichen Geschäftszeiten (derzeit [Montag bis Freitag 8:00 bis 17:00 Uhr (mit Ausnahme gesetzlicher Feiertage)]) Zutritt zu seinen Geschäftsräumen sowie die erforderlichen Einsichts- und Auskunftsrechte. Kontrollen des Auftraggebers sind rechtzeitig in Schriftform anzukündigen. Dabei sind alle für die Kontrolle maßgeblichen Umstände mitzuteilen. Dem Auftragnehmer ist insbesondere zu ermöglichen, sich derart auf die Kontrolle vorzubereiten, dass sich der für die Kontrolle erforderliche Aufwand auf ein Minimum reduziert. In der Regel erfolgt die Ankündigung spätestens zwei Wochen vor Beginn der Kontrolle. Der Auftraggeber soll in der Regel nicht mehr als eine Kontrolle pro Kalenderjahr durchführen. Der Auftraggeber trägt seine eigenen Aufwendungen im Zusammenhang mit seinen Prüfungen. Der Auftragnehmer erhält für die Prüfungen einen Aufwendungsersatz gem. der Anlage Vergütung zum Outsourcingvertrag.
10. Erläuterungen zu Ziffer 10 49
E 10. Herausgabe- und Löschungspflichten bei Beendigung des Auftrags 10.1 Mit Beendigung dieses Vertrags hat der Auftragnehmer auf Verlangen des Auftraggebers sämtliche in seinem Besitz befindlichen Auftrags-Daten zur Migration der im Outsourcingvertrag übernommenen Leistungen auf den Auftraggeber oder einen von diesem bestimmten neuen Auftragnehmer herauszugeben. Es gilt Ziffer [Ziffer] (Beendigungsunterstützung) des Outsourcingvertrags. 10.2 Anschließend hat der Auftragnehmer – soweit dem keine gesetzlichen oder im Outsourcingvertrag getroffenen Bestimmungen entgegenstehen – sämtliche in seinem Besitz befindlichen Auftrags-Daten zu löschen bzw. zu vernichten. Dies gilt insbesondere auch für Vervielfältigungen, 1 Gola/Schomerus, § 11 BDSG Rz. 18f; Plath/Plath, § 11 BDSG Rz. 108.
Nowak/Zieger
|
281
Teil 2 III
Rz. 50
Datenschutzklausel Outsourcingvertrag
Test- und Ausschlussdaten. Die Löschung bzw. Vernichtung ist vom Auftragnehmer schriftlich zu dokumentieren und dem Auftraggeber nachzuweisen. Dem Auftragnehmer überlassene Datenträger sind dem Auftraggeber zurückzugeben. 50
Ziffer 10.1 verpflichtet den Auftragnehmer zunächst, die ihm überlassenen Daten bei Beendigung des Vertrags zur Überleitung der im Outsourcingvertrag übernommenen Leistungen auf den Auftraggeber oder einen neuen Auftragnehmer herauszugeben. Der Outsourcingvertrag enthält insoweit typischerweise eigene Bestimmungen, auf die Ziffer 10.1 verweist. Trifft der Outsourcingvertrag diesbezüglich keine Regelungen, wäre Ziffer 10 in diesem Punkt ausführlicher zu fassen. Insbesondere wäre zu regeln, wann der Auftraggeber die Daten wie (Datenträger, Format, etc.) herauszugeben hat.
51
Eine Regelung zur Herausgabe von Datenträgern und Daten bzw. zur Löschung von Daten ist zwingend im Auftragsdatenverarbeitungsvertrag aufzunehmen (§ 11 Abs. 2 Satz 2 Nr. 10 BDSG)1. Eine entsprechende Lösch- bzw. Herausgabepflicht begründet Ziffer 10.2, soweit keine gesetzlichen oder im Outsourcingvertrag getroffenen Bestimmungen entgegenstehen. Letzteres soll zum einen dem Auftragnehmer die Einhaltung eigener gesetzlicher Aufbewahrungspflichten ermöglichen. Zum anderen soll es verhindern, dass Widersprüche zu etwaig aus dem Outsourcingvertrag folgenden Aufbewahrungspflichten zugunsten des Auftraggebers über das Vertragsende hinaus entstehen.
11. Erläuterungen zu Ziffer 11 52
E 11. Schlussbestimmungen 11.1 Änderungen, Ergänzungen oder eine Aufhebung dieses Vertrags bedürfen – soweit hierin nichts anderes bestimmt ist – zu ihrer Rechtswirksamkeit der Schriftform. Dies gilt auch für eine Aufhebung des Schriftformerfordernisses. 11.2 Sollten einzelne Bestimmungen dieses Vertrags ganz oder teilweise unwirksam sein oder werden, wird hierdurch die Wirksamkeit des Vertrags im Übrigen nicht berührt. Die Parteien werden die unwirksame Bestimmung durch eine dieser nach Sinn und Zweck möglichst nahe kommende wirksame Bestimmung ersetzen. Die vorstehende Regelung gilt im Falle unbeabsichtigter Vertragslücken entsprechend. 11.3 Alleiniger Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag ist [Ort], soweit kein ausschließlicher Gerichtsstand begründet ist.
53
Ziffer 11 trifft übliche Schlussbestimmungen. Diese wären mit den entsprechenden Regelungen im Outsourcingvertrag abzugleichen bzw. wäre ggf. auf diese zu verweisen.
1 Gola/Schomerus, § 11 BDSG Rz. 10; Plath/Plath, § 11 BDSG Rz. 111.
282
|
Nowak/Zieger
IV. Vertrag zur Datenträger- und Aktenvernichtung Literaturverzeichnis: Bergmann/Möhrle/Herb, Datenschutzrecht, Loseblattwerk, Stand
45. Ergänzungslieferung 2012; Däubler/Klebe/Wedde/Weichert, Bundesdatenschutzgesetz, 3. Aufl. 2010; Fox, Sicheres Löschen von Daten auf Festplatten, DuD 2009, 110; Gola/Schomerus, BDSG, 11. Aufl. 2012; Hoeren, Das neue BDSG und die Auftragsdatenverarbeitung, DuD 2010, 688; Kilian/Heussen, Computerrecht, Loseblattwerk, Stand 31. Ergänzungslieferung 2012; Leupold/Glossner, Münchner Anwaltshandbuch IT-Recht, 2. Aufl. 2011; Plath, BDSG, 2013; Schaffland/Wiltfang, Bundesdatenschutzgesetz, Loseblattwerk, Stand Ergänzungslieferung 4/12 Oktober 2012; Schild u.a., Praxis der Kommunalverwaltung: Kommentar zum Hessischen Datenschutzgesetz, Loseblattwerk, Stand 14. Ergänzungslieferung 2012; Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2011; Spindler/Schuster, Recht der elektronischen Medien, 2. Aufl. 2011; Taeger/Gabel, Kommentar zum BDSG, 2010; Wolff/Brink, Beck’scher Online-Kommentar Datenschutzrecht, Stand 1.11.2012 (zit.: BeckOK DatenschutzR/Bearbeiter.
A. Einleitung I. Entsorgung von Datenträgern durch spezialisierte Dienstleister Viele Unternehmen verfügen weder über das nötige Know-how noch über die technischen Einrichtungen, um eine datenschutzkonforme Vernichtung von Datenträgern selbst vorzunehmen. Die Vernichtung von Datenträgern durch spezialisierte Dienstleister ist in der Praxis daher von großer Bedeutung. Hinzu kommt, dass die unsachgemäße Entsorgung von Datenträgern eine der häufigsten Ursachen für den Verlust von Unternehmensdaten ist1.
1
Der Vertrag zur Datenträger- und Aktenvernichtung schafft die rechtlichen Rahmenbedingungen für die datenschutzkonforme Vernichtung von Datenträgern auf denen personenbezogene Daten erfasst worden sind oder zumindest erfasst worden sein könnten. Ein Datenträger ist jedes Medium, das zur Aufzeichnung und Aufbewahrung von Informationen geeignet ist. Hierzu zählen insbesondere magnetische Festplatten, Solid-State-Drives, Speicherkarten, CD/ DVD, Magnetbänder, Microfilme, Disketten aber auch sämtliche in Papierform erfassten Informationen (z.B. Geschäftspapiere oder Akten).
2
II. Dogmatische Einordnung Nach der herrschenden Meinung handelt es sich bei der Datenträger- und Aktenvernichtung um einen Unterfall der Auftragsdatenverarbeitung i.S.d. § 11 BDSG2. 1 Fox, DuD 2009, 110. 2 Bergmann/Möhrle/Herb, § 11 BDSG Rz. 48f; Däubler/Klebe/Wedde/Weichert, § 11 BDSG Rz. 8; Gola/Schomerus, § 11 BDSG Rz. 7; Simitis/Petri, § 11 BDSG Rz. 31; Taeger/Gabel/Gabel, § 11 BDSG Rz. 18; Leupold/Glossner, Teil 4 Rz. 262; Schaffland/ Wiltfang, Bundesdatenschutzgesetz, § 11 Anh. 2, S. 1; Münchner Anwaltshandbuch ITRecht, XIII Rz. 262; Spindler/Schuster, Recht der elektronischen Medien, § 11 BDSG Rz. 8; i.Erg. ebenfalls Hoeren, DuD 2010, 688 (689); a.A. BeckOK DatenschutzR/Spoerr, § 11 Rz. 35; offenbar auch Schild u.a., Praxis der Kommunalverwaltung, HDSG 3.2.2.1.
von Sonnleithner
|
283
3
Teil 2 IV
Rz. 4
Vertrag zur Datenträger- und Aktenvernichtung
Wesentliches Merkmal einer Auftragsdatenverarbeitung ist, dass die verantwortliche Stelle ein anderes Unternehmen mit der weisungsgebundenen Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten beauftragt1. Eine Auftragsdatenverarbeitung liegt bereits dann vor, wenn nur eine Phase der Datenverarbeitung auf ein anderes Unternehmen ausgelagert wird2. 4
Begrifflich stellt die Löschung, also das Unkenntlichmachen gespeicherter personenbezogener Daten3, einen Unterfall der Verarbeitung dar (vgl. § 3 Abs. 4 Satz 2 Nr. 5 BDSG). Die Löschung personenbezogener Daten kann daher ohne Weiteres zum Gegenstand einer Auftragsdatenverarbeitung gemacht werden. Wenngleich das mit der Vernichtung beauftragte Unternehmen bei der mechanischen oder thermischen Zerstörung von Datenträgern nicht auf die eigentlichen Dateninhalte (d.h. die auf den Datenträgern erfassten Informationen) zugreift, stellt die physische Zerstörung eines Datenträgers eine Löschung i.S.v. § 3 Abs. 4 Satz 2 Nr. 5 BDSG dar4. Auch die Löschung einer Festplatte bzw. der darauf gespeicherten personenbezogenen Daten mittels einer speziellen Software ist als Verarbeitung personenbezogener Daten i.S.d. BDSG zu qualifizieren.
B. Muster 5
E Vereinbarung über die datenschutzkonforme Vernichtung von Datenträgern zwischen … (nachfolgend „Auftraggeber“) und … (nachfolgend „Auftragnehmer“) Präambel Die Parteien haben am … einen Vertrag über die Entgegennahme und Vernichtung physischer Datenträger (nachfolgend „Hauptvertrag“) geschlossen. Diese Vereinbarung zur Auftragsdatenverarbeitung nach § 11 BDSG (nachfolgend „Vereinbarung“) konkretisiert die datenschutzrechtlichen Pflichten des Auftragnehmers im Zusammenhang mit der Erfüllung des Hauptvertrags.
1 2 3 4
S. hierzu auch die allgemeinen Muster in Teil 2 I und 2 II. Spindler/Schuster, Recht der elektronischen Medien, § 11 BDSG Rz. 8. Gola/Schomerus, § 3 BDSG Rz. 40. Gola/Schomerus, § 3 BDSG Rz. 40; Kilian/Heussen, Computerrecht, Teil 13 VII. Rz. 117; Plath/Plath/Schreiber, § 3 BDSG Rz. 52; Simitis/Dammann, § 3 BDSG Rz. 178; Taeger/ Gabel/Buchner, § 3 BDSG Rz. 40; Bergmann/Möhrle/Herb, § 3 BDSG Rz. 115.
284
|
von Sonnleithner
Vertragstext
Rz. 5 Teil 2 IV
1. Allgemeines 1.1 Gegenstand und Dauer des Auftrages bestimmen sich nach Maßgabe des Hauptvertrags. Der Auftragnehmer verpflichtet sich, die Datenträger entsprechend der Regelungen dieser Vereinbarung sowie der Weisungen des Auftraggebers gem. Ziffer 7 datenschutzkonform zu vernichten. 1.2 Die vertragsgegenständlichen Datenträger, die Arten personenbezogener Daten sowie der Kreis der betroffenen Personen sind in Anlage 1 beschrieben. 2. Abholung der Datenträger 2.1 Der Auftragnehmer wird die zu vernichtenden Datenträger nach vorheriger Terminvereinbarung beim Auftraggeber abholen. Die mit der Abholung beauftragten Mitarbeiter des Auftragnehmers haben sich bei der Abholung entsprechend auszuweisen und den ordnungsgemäßen Empfang der Datenträger in einem Übergabeprotokoll schriftlich zu bestätigen. Das Übergabeprotokoll ist von beiden Parteien zu unterschreiben. Im Protokoll werden insbesondere die Art, Menge und Verpackung der entgegengenommenen Datenträger vermerkt. 2.2 Der Auftragnehmer wird die Datenträger in verschlossenen und gegen unerlaubten Zugriff besonders gesicherten Transportbehältern und Fahrzeugen zum Vernichtungsort transportieren. 3. Vernichtung der Datenträger 3.1 Der Auftragnehmer verpflichtet sich, die entgegengenommenen Datenträger datenschutzkonform zu vernichten. Die Details über die Art und Weise der Vernichtung der Datenträger sind in Anlage 1 festgelegt. Die Rückstände der Datenvernichtung dürfen eine Rekonstruktion der ursprünglich auf den Datenträgern gespeicherten Informationen nicht mehr erlauben. 3.2 Der Auftragnehmer wird die ordnungsgemäße Vernichtung der Datenträger unmittelbar nach erfolgter Vernichtung schriftlich gegenüber dem Auftraggeber bestätigen. 3.3 Die Vernichtung der Datenträger hat am Tage der Abholung zu erfolgen. In begründeten Ausnahmefällen dürfen die Datenträger auch am Folgetag vernichtet werden, wenn und soweit eine sichere Lagerung der Datenträger sichergestellt ist. 3.4 Der Auftraggeber ist berechtigt, vom Auftragnehmer jederzeit Auskunft über den aktuellen Bearbeitungsstand des Vernichtungsverfahrens zu verlangen. 4. Technisch-organisatorische Maßnahmen Der Auftragnehmer wird geeignete technische und organisatorische Sicherheitsmaßnahmen i.S.v. § 9 BDSG ergreifen, um die Datenträger umfassend vor von Sonnleithner
|
285
Teil 2 IV
Rz. 5
Vertrag zur Datenträger- und Aktenvernichtung
Verlust, Veränderung und unbefugtem Zugriff zu schützen. Konkret trifft der Auftragnehmer mindestens die in Anlage 2 aufgezählten technischen und organisatorischen Sicherheitsmaßnahmen. 5. Pflichten des Auftragnehmers 5.1 Soweit gesetzlich vorgeschrieben, wird der Auftragnehmer einen betrieblichen Datenschutzbeauftragten gem. §§ 4f, 4g BDSG bestellen und dem Auftraggeber Namen und Kontaktdaten des betrieblichen Datenschutzbeauftragten unverzüglich mitteilen. Ein Wechsel des betrieblichen Datenschutzbeauftragten ist dem Auftraggeber mitzuteilen. 5.2 Im Falle einer Pflichtverletzung des Auftragnehmers kann der Auftraggeber die Herausgabe von Datenträgern an den Auftragnehmer bis zur endgültigen Beseitigung der Pflichtverletzung aussetzen. 5.3 Der Auftragnehmer versichert, dass die Vernichtung der Datenträger in der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erfolgt. Die Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers. Falls ein Unterauftragnehmer beauftragt werden soll, gelten diese Anforderungen zusätzlich zu den Bestimmungen in Ziffer 12. 6. Verpflichtung auf das Datengeheimnis 6.1 Der Auftragnehmer ist zur Wahrung des Datengeheimnisses nach § 5 BDSG verpflichtet. Der Auftragnehmer wird bei der Entgegennahme, dem Transport und der Vernichtung der Datenträger nur eigene Mitarbeiter einsetzen und sämtliche unter dieser Vereinbarung eingesetzten Mitarbeiter schriftlich auf das Datengeheimnis nach § 5 BDSG verpflichten. 6.2 Der Auftragnehmer untersagt sämtlichen Mitabeitern, die auftragsgemäß Zugang zu Datenträgern des Auftraggebers haben, die Einsichtnahme in die auf den Datenträgern gespeicherten Informationen und überwacht die Einhaltung dieses Verbots durch geeignete Maßnahmen. 7. Weisungsbefugnisse des Auftraggebers 7.1 Der Auftraggeber ist berechtigt, dem Auftragnehmer Weisungen im Hinblick auf den konkreten Umgang mit den Datenträgern und die Art und Weise der Vernichtung derselben zu erteilen. 7.2 Weisungen können schriftlich oder per E-Mail erteilt werden. In dringenden Fällen kann der Auftraggeber Weisungen auch mündlich erteilen, wobei mündliche Weisungen unverzüglich schriftlich oder per E-Mail zu bestätigen sind. 7.3 Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Ansicht ist, dass eine vom Auftraggeber erteilte Weisung ge286
|
von Sonnleithner
Vertragstext
Rz. 5 Teil 2 IV
gen datenschutzrechtliche Vorschriften verstößt. In diesem Falle ist der Auftragnehmer berechtigt, die Durchführung dieser Weisung auszusetzen, bis diese durch den Auftraggeber schriftlich bestätigt wird. 8. Berichtigung, Löschung und Sperrung 8.1 Gegenstand dieser Vereinbarung ist die datenschutzkonforme Vernichtung von Datenträgern. Dem Auftragnehmer ist jede Einsichtnahme in die auf den Datenträgern erfassten Informationen ausdrücklich untersagt. 8.2 Der Auftragnehmer wird die auf den Datenträgern erfassten Informationen nur aufgrund einer vorherigen Weisung des Auftraggebers berichtigen, löschen oder sperren. 8.3 Soweit sich Betroffene unmittelbar an den Auftragnehmer wenden, wird der Auftragnehmer diese Anfragen unverzüglich an den Auftraggeber weiterleiten. Der Auftragnehmer ist nicht befugt, Betroffenen Auskunft zu erteilen. 9. Rückgabe von Datenträgern 9.1 Im Falle der Beendigung dieser Vereinbarung – gleich aus welchem Rechtsgrund – wird der Auftragnehmer sämtliche unter dieser Vereinbarung entgegengenommenen Datenträger, die zum Zeitpunkt der Beendigung dieser Vereinbarung noch nicht oder nicht vollständig vernichtet worden sind, unverzüglich an den Auftraggeber aushändigen. 9.2 Auf Anforderung wird der Auftragnehmer die vollständige Herausgabe sämtlicher Datenträger schriftlich gegenüber den Auftraggeber bestätigen. 10. Kontrollrechte des Auftraggebers 10.1 Der Auftraggeber hat das Recht, selbst oder durch einen von ihm beauftragten Dritten in den Geschäfts- und Betriebsräumen des Auftragnehmers zu kontrollieren, ob der Transport und die Vernichtung der Datenträger unter Einhaltung dieser Vereinbarung erfolgt. Dies umfasst auch eine Kontrolle der technischen und organisatorischen Sicherheitsmaßnahmen des Auftragnehmers. 10.2 Der Auftraggeber hat Kontrollen i.S.v. Ziffer 10.1 mit einer Frist von 5 Arbeitstagen schriftlich gegenüber dem Auftragnehmer anzukündigen. 10.3 Der Auftragnehmer wird dem Auftraggeber auf Anforderung alle Auskünfte erteilen und Nachweise erbringen, die zur Durchführung einer Auftragskontrolle erforderlich sind. 11. Mitteilungspflichten bei Verstößen 11.1 Der Auftragnehmer wird den Auftraggeber unverzüglich schriftlich informieren, wenn er oder bei ihm beschäftigte Personen gegen datenschutzrechtliche Vorschriften verstoßen haben. von Sonnleithner
|
287
Teil 2 IV
Rz. 5
Vertrag zur Datenträger- und Aktenvernichtung
11.2 Gleiches gilt bei Verstößen gegen die in dieser Vereinbarung festgelegten Regelungen, insbesondere bei schwerwiegenden Störungen des Betriebsablaufs oder dem Verlust von Datenträgern oder unrechtmäßiger Kenntniserlangung der darauf gespeicherten Daten. Soweit den Auftraggeber Pflichten nach § 42a BDSG treffen, hat der Auftragnehmer ihn bei der Erfüllung dieser Pflichten bestmöglich zu unterstützen. 12. Einsatz von Unterauftragnehmern 12.1 Die Beauftragung von Unterauftragnehmern bedarf der vorherigen Zustimmung des Auftraggebers und darf ausschließlich auf Grundlage einer schriftlichen Vereinbarung mit den Unterauftragnehmern (nachfolgend „Unterauftrag“) erfolgen. 12.2 Der Auftragnehmer ist verpflichtet, den Unterauftrag so auszugestalten, dass (i) dem Unterauftragnehmer die gleichen Pflichten auferlegt werden, die auch der Auftragnehmer unter dieser Vereinbarung zu erfüllen hat und, (ii) die dem Auftraggeber unter Ziffer 10 eingeräumten Kontrollrechte auch gegenüber Unterauftragnehmern vollumfänglich durchgesetzt werden können. 12.3 Auf Anfrage wird der Auftragnehmer Kopien der mit den Unterauftragnehmern geschlossenen Unteraufträge an den Auftraggeber aushändigen und alle notwendigen Auskünfte erteilen. 13. Eigentumsvorbehalt an den Datenträgern 13.1 Sämtliche Datenträger verbleiben bis zur vollständigen Vernichtung im Rahmen dieser Vereinbarung im Eigentum des Auftraggebers. 13.2 Der Auftragnehmer wird die Datenträger gesondert von Datenträgern anderer Unternehmen aufbewahren. Soweit erforderlich wird der Auftragnehmer die Datenträger bzw. deren Transportbehälter in geeigneter Weise kennzeichnen, so dass sie dem Auftraggeber bis zur vollständigen Vernichtung jederzeit eindeutig zugeordnet werden können. 14. Laufzeit und Kündigung 14.1 Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrags. Während der Laufzeit des Hauptvertrags ist diese Vereinbarung nicht ordentlich kündbar. 14.2 Das Recht zur außerordentlichen Kündigung dieser Vereinbarung aus wichtigem Grund wird hierdurch nicht berührt. 15. Schlussbestimmungen 15.1 Diese Vereinbarung unterliegt dem Recht der Bundesrepublik Deutschland. 15.2 Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für einen Verzicht auf das Schriftformerfordernis. 288
|
von Sonnleithner
Rz. 9 Teil 2 IV
Erläuterungen
15.3 Sollten eine oder mehrere der vorstehenden Bestimmungen ganz oder teilweise unwirksam sein oder werden, so bleibt die Wirksamkeit der Bestimmung dieser Vereinbarung im Übrigen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Bestimmung eine wirksame Regelung zu vereinbaren, die nach Form, Inhalt und Maß dem am nächsten kommt, was nach dem Sinn und wirtschaftlichen Erfolg der unwirksamen Bestimmung von den Parteien beabsichtigt war. Entsprechendes gilt für etwaige Lücken in dieser Vereinbarung. 15.4 Gerichtsstand für sämtliche Streitigkeiten im Zusammenhang mit dieser Vereinbarung ist der Sitz des Auftraggebers.
C. Erläuterungen I. Vorbemerkung In der Praxis werden die kommerziellen Rahmenbedingungen für die Datenträger- und Aktenvernichtung (Leistungsumfang, Entgelt, Laufzeit und Haftung) zumeist in einer separaten Leistungsvereinbarung zwischen den Parteien geregelt. Dieser bewährten Systematik folgend, beschränkt sich das Vertragsmuster auf die vertragliche Umsetzung der datenschutzrechtlichen Anforderungen des § 11 BDSG, während die Regelung der kommerziellen Konditionen der Leistungsvereinbarung vorbehalten bleibt.
6
Das Vertragsmuster geht davon aus, dass der Auftragnehmer im Rahmen eines Dauerschuldverhältnisses mit der Vernichtung von Geschäftspapieren und Akten des Auftraggebers beauftragt wird. Bei der Erstellung des Vertragsmusters wurde besonders Wert darauf gelegt, die spezifischen Besonderheiten der Datenträger- und Aktenvernichtung herauszustellen. Auf Abweichungen zur „normalen“ Auftragsdatenverarbeitung1 wird in den Erläuterungen der jeweiligen Vertragsklauseln hingewiesen. Das Vertragsmuster berücksichtigt ferner die Praxis der Aufsichtsbehörden, die eine Reihe von Mustern für die Beauftragung externer Dienstleister mit der Vernichtung von Datenträgern erstellt haben.
7
Verstöße gegen die Vorgaben des § 11 Abs. 2 Satz 2 BDSG können nach § 43 Abs. 1 Nr. 2b BDSG mit einer Geldbuße von bis zu 50 000 Euro geahndet werden.
8
II. Erläuterung der einzelnen Klauseln 1. Erläuterung der Präambel E Präambel
9
Die Parteien haben am … einen Vertrag über die Entgegennahme und Vernichtung physischer Datenträger (nachfolgend „Hauptvertrag“) geschlossen. 1 S. hierzu die Muster in Teil 2 I und 2 II.
von Sonnleithner
|
289
Teil 2 IV
Rz. 10
Vertrag zur Datenträger- und Aktenvernichtung
Diese Vereinbarung zur Auftragsdatenverarbeitung nach § 11 BDSG (nachfolgend „Vereinbarung“) konkretisiert die datenschutzrechtlichen Pflichten des Auftragnehmers im Zusammenhang mit der Erfüllung des Hauptvertrags. 10
Die Präambel dient der Einführung in den Vertrag und der Erläuterungen des Vertragszwecks, nämlich der Festlegung der datenschutzrechtlichen Rahmenbedingungen für die Vernichtung von Datenträgern des Auftraggebers durch den Auftragnehmer.
11
Gleichzeitig verweist die Präambel ausdrücklich auf die zwischen den Parteien geschlossene Leistungsvereinbarung und führt eine vertragliche Definition für die Leistungsvereinbarung ein. Dies ermöglicht unkomplizierte Verweise auf die Leistungsvereinbarung im Rahmen des Vertragstextes.
2. Erläuterungen zu Ziffer 1 12
E 1. Allgemeines 1.1 Gegenstand und Dauer des Auftrages bestimmen sich nach Maßgabe des Hauptvertrags. Der Auftragnehmer verpflichtet sich, die Datenträger entsprechend der Regelungen dieser Vereinbarung sowie der Weisungen des Auftraggebers gem. Ziffer 7 datenschutzkonform zu vernichten. 1.2 Die vertragsgegenständlichen Datenträger, die Arten personenbezogener Daten sowie der Kreis der betroffenen Personen sind in Anlage 1 beschrieben.
a) Erläuterungen zu Ziffer 1.1 13
Nach § 11 Abs. 2 Satz 2 Nr. 1 und Nr. 2 BDSG ist die verantwortliche Stelle verpflichtet, den Gegenstand und die Dauer des Auftrags sowie Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung und Nutzung schriftlich festzulegen. Da Gegenstand und Dauer des Auftrags regelmäßig bereits in der zugrundeliegenden Leistungsvereinbarung festgelegt sind, empfiehlt sich in der Praxis ein Verweis auf die Regelungen der Leistungsvereinbarung1. Im Hinblick auf die Regelungen zu Umfang, Art und Zweck der Datenverarbeitung dürfte es ausreichen, sich auf die Festlegung der wesentlichen Grundzüge zu beschränken2. Dementsprechend können die Festlegungen zu Umfang, Art und Zweck in der gebotenen Kürze erfolgen.
14
Zugleich dient Ziffer 1.1 auch der Abgrenzung zur Funktionsübertragung3, indem klargestellt wird, dass der Auftragnehmer streng weisungsgebunden tätig wird und ihm kein eigener Entscheidungsspielraum bei der Durchführung des Auftrags zukommt. 1 Gola/Schomerus, § 11 BDSG Rz. 18a; Plath/Plath, § 11 BDSG Rz. 99. 2 Gola/Schomerus, § 11 BDSG Rz. 18a; Plath/Plath, § 11 BDSG Rz. 101; i.Erg. wohl ebenso Bergmann/Möhrle/Herb, § 11 BDSG Rz. 38. 3 Eingehend zur Abgrenzung zwischen Funktionsübertragung und Auftragsdatenverarbeitung Simitis/Petri, § 11 BDSG Rz. 22 ff.
290
|
von Sonnleithner
Erläuterungen
Rz. 18 Teil 2 IV
b) Erläuterungen zu Ziffer 1.2 Ziffer 1.2 dient der von § 11 Abs. 2 Satz 2 Nr. 2 BDSG geforderten Festlegung der Art der Daten und dem Kreis der Betroffenen. Der Übersichtlichkeit halber wird vorgeschlagen, die vertragsgegenständlichen Datenträger, die Arten personenbezogener Daten sowie den Kreis der betroffenen Personen in einer gesonderten Anlage zu beschreiben. Je nach vertraglicher Ausgestaltung könnte an dieser Stelle auch ohne Weiteres auf die Regelungen der Leistungsvereinbarung verwiesen werden.
15
3. Erläuterungen zu Ziffer 2 E 2. Abholung der Datenträger
16
2.1 Der Auftragnehmer wird die zu vernichtenden Datenträger nach vorheriger Terminvereinbarung beim Auftraggeber abholen. Die mit der Abholung beauftragten Mitarbeiter des Auftragnehmers haben sich bei der Abholung entsprechend auszuweisen und den ordnungsgemäßen Empfang der Datenträger in einem Übergabeprotokoll schriftlich zu bestätigen. Das Übergabeprotokoll ist von beiden Parteien zu unterschreiben. Im Protokoll werden insbesondere die Art, Menge und Verpackung der entgegengenommenen Datenträger vermerkt. 2.2 Der Auftragnehmer wird die Datenträger in verschlossenen und gegen unerlaubten Zugriff besonders gesicherten Transportbehältern und Fahrzeugen zum Vernichtungsort transportieren.
a) Erläuterungen zu Ziffer 2.1 Der in der Praxis am häufigsten anzutreffende Anwendungsfall der Datenträger- und Aktenvernichtung dürfte die Vernichtung von Geschäftspapieren und Akten sein. In diesen Fällen übernimmt das mit der Vernichtung beauftragte Unternehmen in aller Regel auch die Abholung der Datenträger beim Auftraggeber. Diese Konstellation liegt auch dem vorliegenden Vertragsmuster zugrunde. Ziffer 2.1 sieht dementsprechend vor, dass die Datenträger beim Auftraggeber abgeholt werden. Aus Sicherheitsgründen sieht das Vertragsmuster vor, dass sich die Mitarbeiter des Auftragnehmers bei Abholung auszuweisen haben und den ordnungsgemäßen Empfang der Datenträger schriftlich bestätigen müssen1. Hier empfiehlt sich der Rückgriff auf ein standardisiertes Übergabeprotokoll, welches bei Übergabe der Datenträger von beiden Parteien unterschrieben wird.
17
Die Vernichtung von Datenträgern (insbesondere die Vernichtung von Akten) erfolgt in der Praxis in mehreren Schritten. Das unternehmensinterne Sicherheitskonzept der verantwortlichen Stelle muss daher bereits den sicheren Umgang mit Datenträgern im Vorfeld der Übergabe an das mit der Vernichtung beauftragte Unternehmen regeln. Dies umfasst die Zwischenlagerung von Ge-
18
1 IT-Grundschutzkataloge, 12. Ergänzungslieferung, M 2.436, https://www.bsi.bund.de/ ContentBSI/grundschutz/kataloge/kataloge.html.
von Sonnleithner
|
291
Teil 2 IV
Rz. 19
Vertrag zur Datenträger- und Aktenvernichtung
schäftspapieren in Papierkörben, die regelmäßige Entleerung derselben sowie ggf. die zentrale Lagerung bis zur Übernahme durch das mit der Vernichtung beauftragte Unternehmen1.
b) Erläuterungen zu Ziffer 2.2 19
Mit Entgegennahme der Datenträger muss der Auftragnehmer die Sicherheit der Datenträger bis zu deren ordnungsgemäßer Vernichtung gewährleisten. Der Auftragnehmer wird verpflichtet, die Datenträger in besonders gesicherten Transportbehältern und Fahrzeugen zum eigentlichen Vernichtungsort zu transportieren. In der Praxis stellt der Auftragnehmer dem Auftraggeber häufig besonders gesicherte Sicherheitscontainer für die Aufnahme vertraulicher Geschäftspapiere zur Verfügung. In der Regel werden zu diesem Zwecke verschlossene oder verplombte Transportbehälter eingesetzt, die vom Auftraggeber bzw. dessen Mitarbeitern befüllt werden. Diese werden bei Bedarf oder in vorher festgelegten Intervallen durch den Auftragnehmer abgeholt. Die Festlegung der Einzelheiten zur leihweisen Überlassung der Transportbehälter, deren Abholung sowie die Vergütung des Auftragnehmers bleibt der Leistungsvereinbarung vorbehalten.
20
Im Falle des Einsatzes mobiler Shredderfahrzeuge entfällt der Transport der Datenträger. Vorteil der mobilen Aktenvernichtung ist, dass die Vernichtung direkt auf dem Firmengelände erfolgt und der Auftraggeber die ordnungsgemäße Aktenvernichtung damit selbst überwachen kann.
4. Erläuterungen zu Ziffer 3 21
E 3. Vernichtung der Datenträger 3.1 Der Auftragnehmer verpflichtet sich, die entgegengenommenen Datenträger datenschutzkonform zu vernichten. Die Details über die Art und Weise der Vernichtung der Datenträger sind in Anlage 1 festgelegt. Die Rückstände der Datenvernichtung dürfen eine Rekonstruktion der ursprünglich auf den Datenträgern gespeicherten Informationen nicht mehr erlauben. 3.2 Der Auftragnehmer wird die ordnungsgemäße Vernichtung der Datenträger unmittelbar nach erfolgter Vernichtung schriftlich gegenüber dem Auftraggeber bestätigen. 3.3 Die Vernichtung der Datenträger hat am Tage der Abholung zu erfolgen. In begründeten Ausnahmefällen dürfen die Datenträger auch am Folgetag vernichtet werden, wenn und soweit eine sichere Lagerung der Datenträger sichergestellt ist. 3.4 Der Auftraggeber ist berechtigt, vom Auftragnehmer jederzeit Auskunft über den aktuellen Bearbeitungsstand des Vernichtungsverfahrens zu verlangen. 1 IT-Grundschutzkataloge, 12. Ergänzungslieferung, M 7.15, https://www.bsi.bund.de/ ContentBSI/grundschutz/kataloge/kataloge.html.
292
|
von Sonnleithner
Erläuterungen
Rz. 26 Teil 2 IV
a) Allgemeines Die Vernichtung von Datenträgern erfolgt regelmäßig durch physikalische Maßnahmen (mechanische oder thermische Zerstörung des Datenträgers, magnetische Durchflutung des Datenträgers).
22
Personenbezogene Daten auf elektronischen Datenträgern (z.B. auf Festplatten) können auch durch eine Löschung unkenntlich gemacht werden1. In aller Regel wird man für eine datenschutzkonforme Löschung auf spezielle Softwarelösungen zurückgreifen müssen, die eine vollständige Entfernung sämtlicher Informationen ermöglicht. Das einfache „Löschen“ durch Verschieben in den virtuellen Papierkorb und Entleerung desselben ist keine Löschung i.S.v. § 3 Abs. 4 Satz 2 Nr. 5 BDSG, da hierdurch letztlich nur der Zugriff erschwert wird und die Wiederherstellung der Daten mit relativ geringem Aufwand möglich bleibt2. Praktischer Vorteil einer Löschung ist, dass die Datenträger nicht zerstört werden und damit wiederverwertet werden können.
23
Richtlinien für die datenschutzkonforme Vernichtung von Datenträgern nach dem Stand der Technik ergeben sich aus der DIN 66399 (Büro und Datentechnik – Vernichtung von Datenträgern). Diese ersetzt die mittlerweile veraltete DIN 32757-1 vom Januar 1995. Die DIN 66399 unterscheidet insgesamt sechs Gruppen von Datenträgern:
24
– P – Informationsdarstellung in Originalgröße (z.B. Papier, Film und Druckplatten) – F – Informationsdarstellung verkleinert (z.B. Mikrofilme, Folien) – O – Informationsdarstellung auf optischen Datenträgern (z.B. CD/DVD) – T – Informationsdarstellung auf magnetischem Datenträger (z.B. Disketten, magnetische Ausweiskarten, Magnetbänder) – H – Informationsdarstellung auf Festplatten mit magnetischem Datenträger – E – Informationsdarstellung auf elektronischen Datenträgern (z.B. USBSticks, Chipkarten) Zu jeder der vorgenannten Gruppen von Datenträgern sieht die DIN 66399 jeweils sieben verschiedene Sicherheitsstufen für die Vernichtung vor.
25
b) Erläuterungen zu Ziffer 3.1 Es empfiehlt sich, die Art und Weise der Vernichtung der Datenträger in einer gesonderten Anlage festzulegen. Die Wahl der richtigen Sicherheitsstufe für die Vernichtung von Datenträgern obliegt der verantwortlichen Stelle. Stellungnahmen der Aufsichtsbehörden zur Wahl der richtigen Sicherheitsstufe unter der DIN 66399 lagen – soweit ersichtlich – zum Zeitpunkt der Drucklegung noch nicht vor. Die DIN 66399 selbst gibt dem Anwender jedoch Hin1 IT-Grundschutzkataloge, 12. Ergänzungslieferung, M 7.15, https://www.bsi.bund.de/ ContentBSI/grundschutz/kataloge/kataloge.html. 2 Kilian/Heussen, Computerrecht, Teil 13 VII. Rz. 117.
von Sonnleithner
|
293
26
Teil 2 IV
Rz. 27
Vertrag zur Datenträger- und Aktenvernichtung
weise an die Hand, um die richtige Sicherheitsstufe für die Vernichtung seiner Datenträger selbst zu ermitteln. Im Hinblick auf die veraltete DIN 32757-1 sahen der Landesbeauftragte für den Datenschutz Niedersachsen1 und der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit2 die Sicherheitsstufe 3 als Mindestanforderung für die datenschutzkonforme Vernichtung von Geschäftspapieren oder Akten mit personenbezogenen Daten an. Sicherheitsstufe 3 (DIN 32757-1) entspricht im Wesentlichen der Sicherheitsstufe P-3 (DIN 66399). Letztere stellt im Vergleich zur Sicherheitsstufe 3 sogar noch höhere Anforderungen an die Materialteilchenfläche. Für die Vernichtung von papiernen Datenträgen mit personenbezogenen Daten dürfte die Sicherheitsstufe P-3 daher ausreichen. In Zweifelsfällen sollten verantwortliche Stellen lieber eine höhere Sicherheitsstufe wählen, zumal sich dies nur unwesentlich auf die Kosten auswirken dürfte. Papierne Datenträger mit besonderen Arten personenbezogener Daten i.S.v. § 3 Abs. 9 BDSG müssen jedoch in jedem Falle mit einer höheren Sicherheitsstufe (mindestens P-4) vernichtet werden.
c) Erläuterungen zu Ziffer 3.2 und 3.3 27
Ziffer 3.2 sieht vor, dass der Auftragnehmer die ordnungsgemäße Vernichtung schriftlich gegenüber dem Auftraggeber zu bestätigen hat. Hierdurch erhält der Auftraggeber einen Nachweis über die ordnungsgemäße Erfüllung der Pflichten des Auftragnehmers.
28
Der Auftragnehmer wird ferner verpflichtet, die Datenträger am Tage der Abholung zu vernichten. Nur in Ausnahmefällen darf die Vernichtung am Folgetag stattfinden. In diesem Falle muss der Auftragnehmer die sichere Lagerung der Datenträger gewährleisten. Die für die Lagerung zu beachtenden technischen und organisatorischen Sicherheitsmaßnahmen wären in der hiefür vorgesehenen Anlage zu beschreiben.
5. Erläuterungen zu Ziffer 4 29
E 4. Technisch-organisatorische Maßnahmen Der Auftragnehmer wird geeignete technische und organisatorische Sicherheitsmaßnahmen i.S.v. § 9 BDSG ergreifen, um die Datenträger umfassend vor Verlust, Veränderung und unbefugtem Zugriff zu schützen. Konkret trifft der Auftragnehmer mindestens die in Anlage 2 aufgezählten technischen und organisatorischen Sicherheitsmaßnahmen.
30
Nach § 11 Nr. 3 BDSG sind die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen konkret festzulegen. Bei der Vernichtung von Datenträgern durch externe Dienstleister ist die gesamte Handhabung und Sicherung der Unterlagen zwischen der Übergabe und der ordnungsgemäßen Ver1 Der Landesbeauftragte für den Datenschutz Niedersachsen, Vernichtung von Datenträgern mit personenbezogenen Daten, abrufbar unter http://www.lfd.niedersachsen.de/ download/60671/Vernichtung_von_Datentraegern_LfD_Niedersachsen_.pdf. 2 https://www.thueringen.de/datenschutz/themen/technischer_datenschutz/entsorgung/.
294
|
von Sonnleithner
Erläuterungen
Rz. 33 Teil 2 IV
nichtung derselben im Rahmen der Sicherheitsmaßnahmen festzulegen1. Ein pauschaler Verweis auf die Regelungen des § 9 BDSG wäre – auch bei der Vernichtung von Datenträgern und Akten – nicht ausreichend2. Welche technischen und organisatorischen Maßnahmen im Einzelnen umzusetzen sind, bestimmt sich nach der Erforderlichkeit3. Die IT-Grundschutzkataloge des Bundesamtes für die Sicherheit in der Informationstechnik4 enthalten zahlreiche praxisrelevante Beispiele geeigneter Datensicherheitsmaßnahmen. Die vom Auftragnehmer zu treffenden Sicherheitsmaßnahmen sind zu einem Großteil bereits im Vertragsmuster festgelegt (insbesondere Ziffer 2 und 3). Darüber hinaus empfiehlt es sich, weitergehende technische und organisatorische Maßnahmen in einer gesonderten Anlage zu beschreiben. In der Anlage sollten entsprechend der Vorgaben der Anlage zu § 9 BDSG insbesondere die technischen Maßnahmen zur Absicherung der Betriebs- und Geschäftsräume des Auftraggebers, der Sicherheitsbehälter und der zum Transport eingesetzten Fahrzeuge festgelegt werden.
31
6. Erläuterungen zu Ziffer 5 E 5. Pflichten des Auftragnehmers
32
5.1 Soweit gesetzlich vorgeschrieben, wird der Auftragnehmer einen betrieblichen Datenschutzbeauftragten gem. §§ 4f, 4g BDSG bestellen und dem Auftraggeber Namen und Kontaktdaten des betrieblichen Datenschutzbeauftragten unverzüglich mitteilen. Ein Wechsel des betrieblichen Datenschutzbeauftragten ist dem Auftraggeber mitzuteilen. 5.2 Im Falle einer Pflichtverletzung des Auftragnehmers kann der Auftraggeber die Herausgabe von Datenträgern an den Auftragnehmer bis zur endgültigen Beseitigung der Pflichtverletzung aussetzen. 5.3 Der Auftragnehmer versichert, dass die Vernichtung der Datenträger in der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erfolgt. Die Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers. Falls ein Unterauftragnehmer beauftragt werden soll, gelten diese Anforderungen zusätzlich zu den Bestimmungen in Ziffer 12.
a) Erläuterungen zu Ziffer 5.1 Nach § 11 Abs. 2 Satz 2 Nr. 5 BDSG müssen die gem. Abs. 4 bestehenden Pflichten des Auftragnehmers schriftlich festgelegt werden. Hierzu gehört 1 IT-Grundschutzkataloge, 12. Ergänzungslieferung, M 7.15, https://www.bsi.bund.de/ ContentBSI/grundschutz/kataloge/kataloge.html. 2 Allgemein zu pauschalen Verweisungen auf § 9 BDSG Gola/Schomerus, § 11 BDSG Rz. 18b; Simitis/Petri, § 11 BDSG Rz. 73; Plath/Plath, § 11 BDSG Rz. 102 3 Simitis/Ernestus, § 9 BDSG Rz. 20. 4 IT-Grundschutzkataloge, 12. Ergänzungslieferung, https://www.bsi.bund.de/Content BSI/grundschutz/kataloge/kataloge.html.
von Sonnleithner
|
295
33
Teil 2 IV
Rz. 34
Vertrag zur Datenträger- und Aktenvernichtung
auch die Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten, soweit die gesetzlichen Voraussetzungen für die Bestellung beim Auftragnehmer vorliegen. 34
Das Vertragsmuster sieht ferner vor, dass der Auftragnehmer verpflichtet ist, die Kontaktdaten des Datenschutzbeauftragten und jede personelle Änderung im Hinblick auf den Datenschutzbeauftragten mitzuteilen. Eine derartige Regelung ist nicht zwingend erforderlich, stellt jedoch sicher, dass dem Auftraggeber stets ein kompetenter Ansprechpartner für Datenschutzfragen zur Verfügung steht.
b) Erläuterungen zu Ziffer 5.2 35
Ziffer 5.2 stellt klar, dass der Auftraggeber die Herausgabe von Datenträgern an den Auftragnehmer bei Vorliegen einer Pflichtverletzung bis zur endgültigen Beseitigung der Pflichtverletzung aussetzen kann.
c) Erläuterungen zu Ziffer 5.3 36
Während die Auftragsdatenverarbeitung innerhalb des Europäischen Wirtschaftsraums aufgrund der Regelung des § 3 Abs. 8 Satz 3 BDSG1 rechtlich privilegiert ist, gilt diese Privilegierung ausweislich des klaren Wortlautes nicht für den im Drittland ansässigen Auftragsdatenverarbeiter. Der Auftragsdatenverarbeiter im Drittland ist daher stets als „Dritter“ zu qualifizieren, so dass jede Weitergabe personenbezogener Daten an den Auftragsdatenverarbeiter eine rechtfertigungsbedürftige Übermittlung i.S.v. § 3 Abs. 4 Nr. 3 BDSG darstellt. Darüber hinaus stellen die §§ 4b und 4c BDSG besondere Anforderungen an die grenzüberschreitende Übermittlung personenbezogener Daten an Stellen außerhalb des Europäischen Wirtschaftsraums.
37
Das Vertragsmuster geht davon aus, dass es sich beim Auftragnehmer um eine Stelle handelt, die ihren Sitz innerhalb des Europäischen Wirtschaftsraums hat, so dass besondere Regelungen für die Sicherstellung eines angemessenen Datenschutzniveaus nicht erforderlich sind. Ziffer 5.3 untersagt dem Auftragnehmer jede (potentiell die Privilegierung gefährdende) Verlagerung der vertragsgegenständlichen Leistungen in ein Drittland, soweit der Auftraggeber nicht ausdrücklich zugestimmt hat. Die Beauftragung von Unterauftragnehmern in Drittländern wird von der Zustimmung des Auftraggebers abhängig gemacht. Dies gibt dem Auftraggeber die Möglichkeit, die Einhaltung der gesetzlichen Anforderungen vor Weitergabe personenbezogener Daten in ein Drittland zu überprüfen.
1 Auftragnehmer innerhalb des Europäischen Wirtschaftsraums werden inländischen Auftragnehmern gleichgestellt und sind nach § 3 Abs. 8 Satz 3 BDSG nicht als „Dritter“ zu qualifizieren.
296
|
von Sonnleithner
Erläuterungen
Rz. 41 Teil 2 IV
7. Erläuterungen zu Ziffer 6 38
E 6. Verpflichtung auf das Datengeheimnis 6.1 Der Auftragnehmer ist zur Wahrung des Datengeheimnisses nach § 5 BDSG verpflichtet. Der Auftragnehmer wird bei der Entgegennahme, dem Transport und der Vernichtung der Datenträger nur eigene Mitarbeiter einsetzen und sämtliche unter dieser Vereinbarung eingesetzten Mitarbeiter schriftlich auf das Datengeheimnis nach § 5 BDSG verpflichten. 6.2 Der Auftragnehmer untersagt sämtlichen Mitabeitern, die auftragsgemäß Zugang zu Datenträgern des Auftraggebers haben, die Einsichtnahme in die auf den Datenträgern gespeicherten Informationen und überwacht die Einhaltung dieses Verbots durch geeignete Maßnahmen.
a) Erläuterungen zu Ziffer 6.1 Zu den nach § 11 Abs. 2 Satz 2 Nr. 5 i.V.m. Abs. 4 BDSG festzulegenden Pflichten des Auftragnehmers zählt auch die Pflicht zur Einhaltung des Datengeheimnisses nach § 5 BDSG. Der Auftragnehmer wird daher verpflichtet, sämtliche mit der Vernichtung von Datenträgern beauftragten Mitarbeiter auf das Datengeheimnis zu verpflichten.
39
b) Erläuterungen zu Ziffer 6.2 Darüber hinaus sieht Ziffer 6.2 vor, dass der Auftragnehmer seinen Mitarbeitern die Einsichtnahme in die auf den Datenträgern erfassten Informationen zu untersagen hat. Diese Verpflichtung stellt letztlich eine organisatorische Maßnahme i.S.v. § 9 BDSG dar und dient der Umsetzung der Anforderungen des § 11 Abs. 2 Satz 2 Nr. 3 BDSG.
40
8. Erläuterungen zu Ziffer 7 41
E 7. Weisungsbefugnisse des Auftraggebers 7.1 Der Auftraggeber ist berechtigt, dem Auftragnehmer Weisungen im Hinblick auf den konkreten Umgang mit den Datenträgern und die Art und Weise der Vernichtung derselben zu erteilen. 7.2 Weisungen können schriftlich oder per E-Mail erteilt werden. In dringenden Fällen kann der Auftraggeber Weisungen auch mündlich erteilen, wobei mündliche Weisungen unverzüglich schriftlich oder per E-Mail zu bestätigen sind. 7.3 Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Ansicht ist, dass eine vom Auftraggeber erteilte Weisung gegen datenschutzrechtliche Vorschriften verstößt. In diesem Falle ist der Auftragnehmer berechtigt, die Durchführung dieser Weisung auszusetzen, bis diese durch den Auftraggeber schriftlich bestätigt wird. von Sonnleithner
|
297
Teil 2 IV 42
Rz. 42
Vertrag zur Datenträger- und Aktenvernichtung
Der Auftragnehmer darf personenbezogene Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten und nutzen (vgl. § 11 Abs. 3 Satz 1 BDSG). Die konkreten Weisungsbefugnisse des Auftraggebers sind gem. § 11 Abs. 2 Satz 2 Nr. 9 BDSG schriftlich festzulegen. Weisungen sind alle Pflichten, die der Auftragnehmer vertraglich hinsichtlich Art und Gegenstand des Datenumgangs und der technischen und organisatorischen Maßnahmen übernimmt1. Wenngleich die Einräumung pauschaler Weisungsbefugnisse häufig anzutreffen ist, sollten die dem Auftraggeber eingeräumten Weisungsbefugnisse nach zutreffender Auffassung nur Weisungen innerhalb der Grenzen des Auftrags umfassen2. Ziffer 7.2 legt fest, dass die Weisungen des Auftraggebers schriftlich oder per E-Mail erteilt werden können.
9. Erläuterungen zu Ziffer 8 43
E 8. Berichtigung, Löschung und Sperrung 8.1 Gegenstand dieser Vereinbarung ist die datenschutzkonforme Vernichtung von Datenträgern. Dem Auftragnehmer ist jede Einsichtnahme in die auf den Datenträgern erfassten Informationen ausdrücklich untersagt. 8.2 Der Auftragnehmer wird die auf den Datenträgern erfassten Informationen nur aufgrund einer vorherigen Weisung des Auftraggebers berichtigen, löschen oder sperren. 8.3 Soweit sich Betroffene unmittelbar an den Auftragnehmer wenden, wird der Auftragnehmer diese Anfragen unverzüglich an den Auftraggeber weiterleiten. Der Auftragnehmer ist nicht befugt, Betroffenen Auskunft zu erteilen.
44
Ziffer 8 dient der Umsetzung der in § 11 Abs. 2 Satz 2 Nr. 4 BDSG normierten Pflicht zur Festlegung der Pflichten des Auftragnehmers zur Berichtigung, Löschung und Sperrung personenbezogener Daten. Nach der gesetzlichen Konzeption muss der Auftraggeber als verantwortliche Stelle in der Lage sein, die Rechte der Betroffenen (vgl. § 35 BDSG) auch gegenüber dem Auftragnehmer wirksam durchsetzen zu können. Im Rahmen der Datenträger- und Aktenvernichtung dürfte § 11 Abs. 2 Satz 2 Nr. 4 BDSG wenig praktische Relevanz aufweisen, da Vertragsgegenstand die vollständige Vernichtung der Datenträger mit sämtlichen darauf gespeicherten personenbezogenen Daten ist. Gleichwohl sollte eine entsprechende Verpflichtung in die Vereinbarung mit dem Auftragnehmer aufgenommen werden.
45
In Ziffer 8.3 wird festgelegt, dass der Auftragnehmer verpflichtet ist, etwaige Anfragen Betroffener direkt an den Auftraggeber weiterzuleiten. Wenngleich die Aufnahme einer derartigen Regelung streng genommen nicht erforderlich ist, ist sie dennoch empfehlenswert.
1 Simitis/Petri, § 11 BDSG Rz. 86. 2 Plath/Plath, § 11 BDSG Rz. 110.
298
|
von Sonnleithner
Erläuterungen
Rz. 49 Teil 2 IV
10. Erläuterungen zu Ziffer 9 E 9. Rückgabe von Datenträgern
46
9.1 Im Falle der Beendigung dieser Vereinbarung – gleich aus welchem Rechtsgrund – wird der Auftragnehmer sämtliche unter dieser Vereinbarung entgegengenommenen Datenträger, die zum Zeitpunkt der Beendigung dieser Vereinbarung noch nicht oder nicht vollständig vernichtet worden sind, unverzüglich an den Auftraggeber aushändigen. 9.2 Auf Anforderung wird der Auftragnehmer die vollständige Herausgabe sämtlicher Datenträger schriftlich gegenüber den Auftraggeber bestätigen. Nach § 11 Abs. 2 Satz 2 Nr. 10 BDSG sind die Pflichten des Auftragnehmers zur Rückgabe überlassener Datenträger und zur Löschung der bei ihm gespeicherten personenbezogenen Daten festzulegen. Auch diese Vorschrift dürfte in der Praxis wenig relevant sein, da die Vernichtung der Datenträger bereits Gegenstand der Vereinbarung ist. Gleichwohl ist auch bei der Datenträger- und Aktenvernichtung sicherzustellen, dass bei Beendigung des Vertrags keine Datenträger oder personenbezogene Daten beim Auftragnehmer zurückbleiben1.
47
Die Regelung in Ziffer 9 verpflichtet den Auftragnehmer, sämtliche zum Zeitpunkt der Beendigung des Vertrags noch nicht vernichteten Datenträger an den Auftraggeber auszuhändigen. Auf Anforderung des Auftraggebers ist die Erfüllung dieser Verpflichtung schriftlich zu bestätigen. Eine gesonderte Verpflichtung zur Löschung etwaig vorhandener personenbezogener Daten ist nach der hier vertretenen Auffassung nicht erforderlich, da die vertragsgegenständlichen personenbezogenen Daten ausschließlich auf den Datenträgern selbst gespeichert sind und keine Kopien durch den Auftragnehmer angefertigt werden dürfen.
48
11. Erläuterungen zu Ziffer 10 E 10. Kontrollrechte des Auftraggebers
49
10.1 Der Auftraggeber hat das Recht, selbst oder durch einen von ihm beauftragten Dritten in den Geschäfts- und Betriebsräumen des Auftragnehmers zu kontrollieren, ob der Transport und die Vernichtung der Datenträger unter Einhaltung dieser Vereinbarung erfolgt. Dies umfasst auch eine Kontrolle der technischen und organisatorischen Sicherheitsmaßnahmen des Auftragnehmers. 10.2 Der Auftraggeber hat Kontrollen i.S.v. Ziffer 10.1 mit einer Frist von 5 Arbeitstagen schriftlich gegenüber dem Auftragnehmer anzukündigen. 10.3 Der Auftragnehmer wird dem Auftraggeber auf Anforderung alle Auskünfte erteilen und Nachweise erbringen, die zur Durchführung einer Auftragskontrolle erforderlich sind.
1 Zu den allgemeinen Anforderungen vgl. Gola/Schomerus, § 11 BDSG Rz. 18i.
von Sonnleithner
|
299
Teil 2 IV 50
Rz. 50
Vertrag zur Datenträger- und Aktenvernichtung
Ziffer 10 regelt den Umfang der Kontrollrechte des Auftraggebers. Nach § 11 Abs. 2 Satz 2 Nr. 7 BDSG müssen die Kontrollrechte des Auftraggebers sowie die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers geregelt werden.
a) Erläuterungen zu Ziffer 10.1 51
Um eine effektive Kontrolle des Auftragnehmers zu gewährleisten, sieht Ziffer 10.1 im Interesse des Auftraggebers vor, dass dieser zur Durchführung von Kontrollen auch Geschäfts- und Betriebsräume des Auftragnehmers betreten darf1. Der Auftragnehmer hat das Recht Vorortkontrollen durchzuführen, um zu überprüfen, ob der Transport und die Vernichtung der Datenträger entsprechend der Vorgaben der Vereinbarung erfolgt. Durch die inhaltliche Begrenzung auf den Transport und die Vernichtung der Datenträger wird sichergestellt, dass sich die Zutrittsrechte nur auf die für die Auftragsbearbeitung relevanten Bereiche (insbesondere die Anlage zur Vernichtung der Datenträger) erstrecken. Ziffer 10.1 stellt ferner klar, dass sich das Kontrollrecht auch auf die technischen und organisatorischen Maßnahmen erstreckt.
b) Erläuterungen zu Ziffer 10.2 52
Der Auftraggeber ist verpflichtet, Vorortkontrollen mit einer Frist von fünf Arbeitstagen schriftlich gegenüber dem Auftragnehmer anzukündigen. Die Aufnahme einer Frist ist ein sachgerechter Kompromiss zwischen den Interessen des Auftraggebers und denjenigen des Auftragnehmers. Je nach Interessenlage kann hier auch eine kürzere oder längere Frist geboten sein.
c) Erläuterungen zu Ziffer 10.3 53
Entsprechend den Vorgaben in der datenschutzrechtlichen Literatur2, wird der Auftragnehmer ferner zur Auskunftserteilung und zur Vorlage relevanter Unterlagen verpflichtet.
12. Erläuterungen zu Ziffer 11 54
E 11. Mitteilungspflichten bei Verstößen 11.1 Der Auftragnehmer wird den Auftraggeber unverzüglich schriftlich informieren, wenn er oder bei ihm beschäftigte Personen gegen datenschutzrechtliche Vorschriften verstoßen haben. 11.2 Gleiches gilt bei Verstößen gegen die in dieser Vereinbarung festgelegten Regelungen, insbesondere bei schwerwiegenden Störungen des Be1 Vgl. Gola/Schomerus, § 11 BDSG Rz. 18f; Simitis/Petri, § 11 BDSG Rz. 78; Taeger/ Gabel/Gabel, § 11 BDSG Rz. 48; a.A. Plath/Plath, § 11 BDSG Rz. 108, der Zutrittsrechte des Auftraggebers nur bei konkretem Verdacht auf Vertragsverstöße als notwendig erachtet. 2 Vgl. Gola/Schomerus, § 11 BDSG Rz. 18f; Simitis/Petri, § 11 BDSG Rz. 78.
300
|
von Sonnleithner
Erläuterungen
Rz. 58 Teil 2 IV
triebsablaufs oder dem Verlust von Datenträgern oder unrechtmäßiger Kenntniserlangung der darauf gespeicherten Daten. Soweit den Auftraggeber Pflichten nach § 42a BDSG treffen, hat der Auftragnehmer ihn bei der Erfüllung dieser Pflichten bestmöglich zu unterstützen.
a) Erläuterungen zu Ziffer 11.1 § 11 Abs. 2 Satz 2 Nr. 8 BDSG verlangt Festlegungen unter welchen Voraussetzungen der Auftragnehmer Verstöße gegen datenschutzrechtliche Vorschriften oder gegen die Festlegungen des Auftrags mitzuteilen hat.
55
Unter Ziffer 11.1 ist der Auftragnehmer verpflichtet, dem Auftraggeber sämtliche Verstöße unverzüglich mitzuteilen. Aus Nachweiszecken ist vorgesehen, dass die Mitteilung schriftlich zu erfolgen hat. Wenngleich in der Literatur nach wie vor diskutiert wird, ob sich die Mitteilungspflicht nach § 11 Abs. 2 Satz 2 Nr. 8 auf sämtliche Verstöße zu beziehen hat, empfiehlt sich eine dahingehende Festlegung jedenfalls aus Sicht des Auftraggebers1.
56
b) Erläuterungen zu Ziffer 11.2 Soweit die vom Auftragnehmer zu vernichtenden Datenträger besonders sensible Daten enthalten, kann der Auftraggeber bei einem Verlust der Datenträger oder einer unrechtmäßigen Kenntniserlangung der darauf gespeicherten Daten zu einer Information nach § 42a BDSG verpflichtet sein. Zu den in § 42a Satz 1 Nr. 1–4 BDSG aufgezählten besonders sensiblen Daten gehören besondere Arten personenbezogener Daten i.S.v. § 3 Abs. 9 BDSG, Daten, die einem Berufsgeheimnis unterfallen, Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten beziehen und Daten zu Bank- und Kreditkartenkonten. Neben der Verpflichtung zur unverzüglichen Mitteilung sieht Ziffer 11.2 vor, dass der Auftragnehmer den Auftraggeber im Ernstfall bei der Erfüllung seiner Informationspflicht zu unterstützen hat.
57
13. Erläuterungen zu Ziffer 12 E 12. Einsatz von Unterauftragnehmern
58
12.1 Die Beauftragung von Unterauftragnehmern bedarf der vorherigen Zustimmung des Auftraggebers und darf ausschließlich auf Grundlage einer schriftlichen Vereinbarung mit den Unterauftragnehmern (nachfolgend „Unterauftrag“) erfolgen. 12.2 Der Auftragnehmer ist verpflichtet, den Unterauftrag so auszugestalten, dass (i) dem Unterauftragnehmer die gleichen Pflichten auferlegt werden, die auch der Auftragnehmer unter dieser Vereinbarung zu erfüllen hat und, (ii) die dem Auftraggeber unter Ziffer 10 eingeräumten Kontrollrechte auch gegenüber Unterauftragnehmern vollumfänglich durchgesetzt werden können. 1 Plath/Plath, § 11 BDSG Rz. 109.
von Sonnleithner
|
301
Teil 2 IV
Rz. 59
Vertrag zur Datenträger- und Aktenvernichtung
12.3 Auf Anfrage wird der Auftragnehmer Kopien der mit den Unterauftragnehmern geschlossenen Unteraufträge an den Auftraggeber aushändigen und alle notwendigen Auskünfte erteilen.
a) Erläuterungen zu Ziffer 12.1 59
Nach § 11 Abs. 2 Satz 2 Nr. 6 BDSG ist ferner die Berechtigung zur Begründung von Unterauftragsverhältnissen schriftlich festzulegen. Der Wortlaut verlangt lediglich eine Regelung der grundsätzlichen Berechtigung1, also des „ob“ und „wie“ der Erteilung von Unteraufträgen2. Wenngleich vereinzelt empfohlen wird, die Erteilung von Unteraufträgen von einer schriftlichen Zustimmung des Auftraggebers abhängig zu machen3, ist eine derartige Regelung nach zutreffender Ansicht nicht erforderlich4. Anstelle der Zustimmung des Auftraggebers wäre es demnach auch zulässig, die berechtigten Unterauftragnehmer genau zu bezeichnen. Da der Einsatz von Subunternehmern bei der Datenträger- und Aktenvernichtung in der Praxis unüblich sein dürfte, sieht Ziffer 12.1 vor, dass Subunternehmer nur mit Zustimmung des Auftraggebers eingesetzt werden dürfen. Zugunsten des Auftragnehmers kann an dieser Stelle jedoch auch eine günstigere Regelung (z.B. für die Beauftragung von Konzernunternehmen) getroffen werden.
b) Erläuterungen zu Ziffer 12.2 und 12.3 60
Trotz Beauftragung eines Unterauftragnehmers bleibt der Auftraggeber verantwortliche Stelle i.S.v. § 3 Abs. 7 BDSG. Der Auftragnehmer ist daher zu verpflichten, die sich aus dem ursprünglichen Vertrag ergebenden Pflichten vertraglich an den Unterauftragnehmer durchzureichen5. Eine entsprechende Regelung sieht Ziffer 12.2 ausdrücklich vor.
61
Nach Ansicht der Aufsichtsbehörden muss sich der Auftraggeber eine direkte Kontrollmöglichkeit gegenüber den Unterauftragnehmern vorbehalten6. Ziffer 12.2 setzt diese Anforderung um, indem der Auftragnehmer verpflichtet wird, entsprechende Regelungen in die Vereinbarung mit dem Unterauftragnehmer aufzunehmen. Darüber hinaus verpflichtet sich der Auftragnehmer, die Vereinbarungen mit den Unterauftragnehmern an den Auftraggeber herauszugeben.
14. Erläuterungen zu Ziffer 13 62
E 13. Eigentumsvorbehalt an den Datenträgern 13.1 Sämtliche Datenträger verbleiben bis zur vollständigen Vernichtung im Rahmen dieser Vereinbarung im Eigentum des Auftraggebers. 1 2 3 4 5 6
Gola/Schomerus, § 11 BDSG Rz. 18e; Plath/Plath, § 11 BDSG Rz. 105. Simitis/Petri, § 11 BDSG Rz. 76. Vgl. etwa Simitis/Petri, § 11 BDSG Rz. 76. Gola/Schomerus, § 11 BDSG Rz. 18e; Plath/Plath, § 11 BDSG Rz. 105. Gola/Schomerus, § 11 BDSG Rz. 18e. Vgl. 23. Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde, LT-Drucks. 18/2942, Ziff. 10.
302
|
von Sonnleithner
Erläuterungen
Rz. 68 Teil 2 IV
13.2 Der Auftragnehmer wird die Datenträger gesondert von Datenträgern anderer Unternehmen aufbewahren. Soweit erforderlich wird der Auftragnehmer die Datenträger bzw. deren Transportbehälter in geeigneter Weise kennzeichnen, so dass sie dem Auftraggeber bis zur vollständigen Vernichtung jederzeit eindeutig zugeordnet werden können.
a) Erläuterungen zu Ziffer 13.1 Der Auftraggeber bleibt bis zur datenschutzkonformen Löschung der personenbezogenen Daten verantwortliche Stelle i.S.d. BDSG. Dementsprechend muss der Auftraggeber sicherstellen, dass er die uneingeschränkte Verfügungsgewalt über die dem Auftragnehmer übergebenen Datenträger bis zu deren endgültiger Vernichtung besitzt.
63
Ziffer 13.1 sieht demgemäß vor, dass sich der Auftraggeber das Eigentum an den Datenträgern bis zu deren Vernichtung vorbehält.
64
b) Erläuterungen zu Ziffer 13.2 Zudem wird festgelegt, dass die Datenträger getrennt von Datenträgern anderer Unternehmen aufzubewahren sind, um eine Vermischung i.S.v. § 948 BGB auszuschließen.
65
15. Erläuterungen zu Ziffer 14 66
E 14. Laufzeit und Kündigung 14.1 Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrags. Während der Laufzeit des Hauptvertrags ist diese Vereinbarung nicht ordentlich kündbar. 14.2 Das Recht zur außerordentlichen Kündigung dieser Vereinbarung aus wichtigem Grund wird hierdurch nicht berührt. Aus Praktikabilitätsgründen verweist das Vertragsmuster auf die Laufzeit des Hauptvertrags. Die ordentliche Kündigung der Vereinbarung zur Datenträgervernichtung wird vertraglich ausgeschlossen.
67
16. Erläuterungen zu Ziffer 15 68
E 15. Schlussbestimmungen 15.1 Diese Vereinbarung unterliegt dem Recht der Bundesrepublik Deutschland. 15.2 Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für einen Verzicht auf das Schriftformerfordernis. 15.3 Sollten eine oder mehrere der vorstehenden Bestimmungen ganz oder teilweise unwirksam sein oder werden, so bleibt die Wirksamkeit der Bestimmung dieser Vereinbarung im Übrigen hiervon unberührt. Die Parvon Sonnleithner
|
303
Teil 2 IV
Rz. 69
Vertrag zur Datenträger- und Aktenvernichtung
teien verpflichten sich, anstelle der unwirksamen Bestimmung eine wirksame Regelung zu vereinbaren, die nach Form, Inhalt und Maß dem am nächsten kommt, was nach dem Sinn und wirtschaftlichen Erfolg der unwirksamen Bestimmung von den Parteien beabsichtigt war. Entsprechendes gilt für etwaige Lücken in dieser Vereinbarung. 15.4 Gerichtsstand für sämtliche Streitigkeiten in Zusammenhang mit dieser Vereinbarung ist der Sitz des Auftraggebers. 69
[nicht kommentiert]
304
|
von Sonnleithner
Teil 3 Datennutzungsverträge I. Auskunfteivertrag Literaturverzeichnis: Chrozciel, Datenschutzrechtliche Pflichten nach dem Geldwäschegesetz, ZD 2013, 170 ff.; Früh, Die Regelung des § 18 KWG, WM 2002, 1813; Plath, BDSG, 2013; Taeger/Gabel, Kommentar zum BDSG, 2010.
A. Einleitung Sucht man nach einem Auskunfteivertrag, so fällt auf, dass schon der Begriff „Auskunfteivertrag“ eine Begriffsvermischung darstellt. Der Begriff „Auskunftei“ beschreibt nämlich eine Branche. Der Begriff der Auskunftei wurde durch die BDSG-Novelle I im Jahre 2009/2010 weitestgehend bestimmt1. Vertragstypologisch ist damit noch nichts ausgesagt. Andererseits ist die vertragstypologische Einordnung auch nur von untergeordneter praktischer Bedeutung, da sich das Konfliktpotenzial zwischen Auskunftei und dem Datenempfänger letztlich auf die Folgen bei fehlerhafter Auskunftserteilung beschränkt2. Mit dem Begriff „Auskunfteivertrag“ wird gleichzeitig insinuiert, dass die gesamte Branche der Auskunfteien mehr oder weniger nur einen Vertrag nutzt. Die Branche der Auskunfteien ist zwar klein und besteht im Grunde nur aus wenigen wesentlichen Playern, doch können deren vertragliche Verpflichtungen höchst unterschiedlich sein. Das liegt zum einen an den unterschiedlichen Informationsinhalten, die durch Auskunfteien vermittelt werden können3, zum anderen aber an der Ernsthaftigkeit, wie die jeweilige Auskunftei die bestehenden gesetzlichen Bindungen, insbesondere des BDSG, in das Vertragswerk übersetzt. Die nachfolgende Darstellung beschreibt die Bestimmungen, die sich bei den seriösen und im Verband der Handelsauskunfteien organisierten Auskunfteien4 in ähnlicher Weise wiederfinden.
1
B. Muster E Auskunfteivertrag
2
zwischen der Auskunftei 1 2 3 4
S. hierzu Plath/Kamlah, § 28a BDSG Rz. 1, 7 f. S. unten Ziffer 9 „Haftung“. S. hierzu „Vertragsgegenstand“. Dies sind derzeit die SCHUFA Holding AG, die Vereine Creditreform e.V., Bürgel Wirtschaftsinformationen GmbH & Co. KG, Creditreform Boniversum GmbH, ICD – infoscore Consumer Data GmbH, IHD Service GmbH, SAF accumio finance services GmbH, infoscore, Dun & Bredstreet.
Kamlah
|
305
Teil 3 I
Rz. 2
Auskunfteivertrag
und dem Datenempfänger Die Präambel Die Auskunftei ist … . Grundlage hierfür ist ein Datenbestand mit … . Der Datenempfänger möchte auf Grundlage der nachfolgenden Regelungen von der Auskunftei … beziehen. Vor diesem Hintergrund vereinbaren die Parteien was folgt: 1. Vertragsgegenstand (evtl. ergänzend noch „Verfahren“) 1.1 Gegenstand dieses Vertrags ist. … . Der Datenempfänger benötigt diese zum Zwecke … . Hierfür wird die Auskunftei … . 1.2 Einzelheiten des Verfahrens ergeben sich aus Anlage 1 (Verfahrensbeschreibung) zu diesem Vertrag. 1.3 Die Anfragen erfolgen gemäß dem in Ziff. 8 gewählten Kommunikationsverfahren. 2. Grundlagen der Zusammenarbeit; Datenschutz 2.1 Datenbestand der Auskunftei Die Auskunftei speichert Daten über natürliche Personen, die von Datenempfängern gemeldet oder aus allgemein zugänglichen Quellen und amtlichen Bekanntmachungen entnommen bzw. von sonstigen Informationsdienstleistern bezogen wurden; ggf. werden auch Hinweise von Betroffenen zur eigenen Person gespeichert. Zu minderjährigen Personen speichert die Auskunftei nur eingeschränkt Informationen. Die Auskunftei speichert auch Daten zu Personen mit Wohnsitz im Ausland. Auskünfte zu diesen Personen erfolgen unter dem Vorbehalt, dass Informationen von ausländischen Kreditgebern in der Auskunftei-Auskunft nur ausnahmsweise enthalten sind. Die Auskunftei arbeitet mit anderen europäischen Kreditschutzorganisationen zusammen. Anfragen bei Kreditschutzorganisationen im Ausland sind gesondert in Auftrag zu geben. 2.2 Datenschutz Es obliegt dem Datenempfänger datenschutzrechtliche Unterrichtungsund Informationspflichten einzuhalten und sich von außerhalb des BDSG geregelten gesetzlichen oder vertraglichen Geheimhaltungspflichten befreien zu lassen. Mit Erteilung von Informationen an den Datenempfänger wird dieser verantwortliche Stelle i.S.d. BDSG. Soweit erteilte Auskünfte wie bei der Nutzung von „Auskunftei-Direkt“ dort im sog. Online-Archiv physisch bei 306
|
Kamlah
Vertragstext
Rz. 2 Teil 3 I
der Auskunftei verbleiben, wird diese als Auftragsdatenverarbeiter i.S.v. § 11 BDSG tätig. Der Datenempfänger verpflichtet sich, insbesondere im Hinblick auf die aufgrund dieser Verträge erlangten Informationen, die notwendigen technischen und organisatorischen Maßnahmen im Sinne der Anlage zu § 9 BDSG einzuhalten. Er verpflichtet sich, in geeigneter Weise Vorkehrungen zum Schutze und zur Sicherung der ihm anvertrauten und übermittelten Daten sowie der im Rahmen der (vor-)vertraglichen Beziehungen sonstigen übergebenen Dokumente gegen den unbefugten Zugriff der eigenen Mitarbeiter und Dritter zu treffen, und zwar in dem Maße, wie es auch zum Schutz der eigenen Daten üblich ist. So sind vor allem die ihm von der Auskunftei zugeteilten Kennziffern und vereinbarten Passwörter vertraulich zu behandeln und sicherzustellen, dass ein Missbrauch und damit ein unbefugtes Abrufen von Auskunftei-Daten ausgeschlossen ist. Sofern dem Datenempfänger mehrere Kennziffern zugeteilt wurden, hat er sicherzustellen, dass dem Anfragegrund entsprechend stets die richtige Kennziffer genutzt wird. Der Datenempfänger darf daher in keinem Fall seine Auskunftei-Kennziffer bzw. die Passwörter bekannt geben, auch nicht auf angebliche telefonische Rückfrage der Auskunftei. Der Datenempfänger hat seine Mitarbeiter oder sonstige Dritte, die notwendigerweise Zugang zu den der Geheimhaltung unterliegenden Daten haben, auf das Datengeheimnis zu verpflichten. Werden durch den Datenempfänger zur Durchführung dieses Vertrags Dritte eingeschaltet, hat der Datenempfänger auf Verlangen der Auskunftei die zwischen dem Datenempfänger und dem Dritten getroffenen vertraglichen Vereinbarungen vorzulegen. Die übrigen datenschutzrechtlichen Verpflichtungen bleiben hiervon unberührt. Der Datenempfänger wird hiermit davon unterrichtet, dass Zugriffsdaten gespeichert und zu Dokumentations- und Abrechnungszwecken sowie zur Datensicherheitskontrolle maschinell verarbeitet und genutzt werden. Soweit der Inhalt der Auskunftei-Auskunft mit den eigenen Angaben des Betroffenen nicht übereinstimmt, sollte der Auskunftsinhalt dem Betroffenen mitgeteilt werden (nicht jedoch als Ausdruck oder Screenshot, da diese Auskunftei-Zugangsdaten enthalten können). Führt die AuskunfteiAuskunft zur Ablehnung der Geschäftsverbindung, ist bei Verbraucherdarlehensverhältnissen sowie sonstigen Finanzierungshilfen der Auskunftsinhalt dem Betroffenen mitzuteilen. Wird die Richtigkeit des Auskunftsinhalts bestritten, wird der Datenempfänger die Auskunftei zur Klärung einschalten. Auskunftsansprüche des Betroffenen gegen den Datenempfänger bleiben hiervon unberührt. Soweit die Auskunftei im Rahmen von gegenüber dem Datenempfänger geltend gemachten Auskunftsansprüchen gem. § 34 Abs. 2 Satz 3 BDSG zur Zulieferung verpflichtet ist, dürfen die zugelieferten Informationsbestandteile nur für Zwecke der Auskunftserteilung gegenüber den Betroffenen verwendet werden. Kamlah
|
307
Teil 3 I
Rz. 2
Auskunfteivertrag
2.3 Vorliegen des berechtigten Interesses Die Auskunftei stellt ihren Datenempfängern Daten nur unter Beachtung datenschutzrechtlicher Bestimmungen zur Verfügung und wenn diese ein berechtigtes Interesse an der Datenübermittlung i.S.d. § 29 Abs. 2 BDSG glaubhaft darlegen. Anfragen zu … sind unzulässig. Die Auskunftei ist gesetzlich verpflichtet, das Vorliegen des berechtigten Interesses an der Übermittlung der Daten aufzuzeichnen und stichprobenweise durch Rückfrage bei ihren Datenempfängern zu prüfen. Zu diesem Zweck haben diese ebenfalls geeignete Aufzeichnungen über alle Anfragen zwölf Monate bereitzuhalten und der Auskunftei auf Verlangen zur Verfügung zu stellen. Der Datenempfänger hat die sich aus § 10 BDSG und die sich aus der Schuldnerverzeichnisabdruckverordnung – insbesondere aus deren §§ 16 ff. – ergebenden Pflichten zu realisieren. Insbesondere hat er den Abruf derart zu protokollieren, dass die Zugriffe sekundengenau und mitarbeiterbezogen nachvollzogen werden können. Dieses gilt auch bei abgelehnten Anträgen. Datenempfänger, die über einen Datenschutzbeauftragten oder eine Revisionsabteilung verfügen, können zunächst mit einer Bestätigung durch diese den Nachweis des berechtigten Interesses führen, nachdem sie das Vorliegen des berechtigten Interesses einzelfallbezogen festgestellt und überprüft haben. Auf gesonderte Anforderung der Auskunftei ist der Nachweis durch Vorlage geeigneter Unterlagen (z.B. durch Antragsunterlagen und entsprechende Protokolle) zu führen. 2.4 Identität/Nutzungsverbot Die Auskunftei wendet bei der Datenverarbeitung die allgemein übliche Sorgfalt an. Mit der Auskunftei-Auskunft werden jedoch weder Existenz noch Identität der angefragten Person bestätigt. Darum obliegt die Identitätsprüfung vor jeder Anfrage und bei Verwendung der Auskunft dem Empfänger. Dies gilt insbesondere bei der Beauskunftung von Daten, die den öffentlichen Verzeichnissen und amtlichen Bekanntmachungen entnommen wurden. Bei Abweichungen zwischen den gespeicherten bzw. beauskunfteten Daten und den Daten der Anfrage kann ein Hinweis durch die AUSKUNFTEI erfolgen. Wenn der Auskunftsempfänger die Identität nicht eindeutig feststellen kann, unterliegt die Auskunft einem absoluten Nutzungsverbot. Der Datenempfänger ist in diesen Fällen verpflichtet, der Auskunftei das Ergebnis seiner Identitätsprüfung mitzuteilen. 2.5 Die Auskünfte sind erteilt, wenn sie die Schnittstelle der Auskunftei verlassen haben oder dem Datenempfänger zum Abruf bereitgestellt wurden. 2.6 Löschfristen Die bei der Auskunftei gespeicherten Daten bleiben so lange gespeichert, solange sie noch nicht erledigt sind und werden grundsätzlich nach drei Kalenderjahren nach Erledigung gelöscht. Im Übrigen wird eine Löschung bzw. Berichtigung nur vorgenommen, wenn die ursprüngliche Meldung unzulässig war. 308
|
Kamlah
Vertragstext
Rz. 2 Teil 3 I
2.7 Processingunternehmen/Erfüllungsgehilfen Sofern der Datenempfänger sich zur technischen Abwicklung eines Dritten bedient, hat er gegenüber der Auskunftei eine den Datenbankzugang regelnde Vereinbarung zu beauftragen. In diesem Fall stellt er darüber hinaus unter Beachtung der Vorgaben des § 11 BDSG durch vertragliche Regelungen mit diesem Dritten die Einhaltung der technischen Vorgaben durch den Dritten sicher. 3. Pflichten des Datenempfängers 3.1 Die übermittelten Daten dürfen nur für den angefragten Zweck genutzt werden (vgl. Ziffer 1.1). Sie dürfen nicht an Dritte weitergegeben werden. Das Weitergabeverbot an Dritte beinhaltet auch das Verbot, erhaltene Auskünfte in aufbereiteter Form oder mittelbar, z.B. durch Vergabe oder Ausweis von Zertifikaten oder sonstigen Hinweisen, aus denen sich die erfolgte Bonitätsprüfung ergibt, Dritten zur Verfügung zu stellen. 3.2 Der Datenempfänger verpflichtet sich, die Leistungen der Auskunftei nur in Anspruch zu nehmen, wenn ein berechtigtes Interesse an der Verwendung des Ergebnisses im vorstehenden Sinne vorliegt. 3.3 Zur Darlegung und Dokumentation des berechtigten Interesses am Erhalt der Auskunftei-Auskunft nutzt der Datenempfänger das Merkmal … und dokumentiert somit das Vorliegen des berechtigten Interesses. Die Auskunftei speichert dieses Merkmal und dokumentiert die Anfrage des Datenempfängers, sofern die Anfrage einer konkreten Person zugeordnet werden kann. Die Auskunftei übermittelt Ergebnisse nur, wenn der Anfragende sich eindeutig als berechtigter Datenempfänger identifiziert. 3.4 Daten zur angefragten Person Die zu einer Person gespeicherten Daten kann die Auskunftei nur beauskunften, wenn die angefragte Person eindeutig identifiziert werden kann. Der Datenempfänger ist daher verpflichtet, mit den korrekten und vollständigen Personalien des Betroffenen (Name, Vorname, Geschlecht, private Anschrift und Voranschrift; ein zu langer Straßenname ist in normierter Schreibweise so abzukürzen, dass die Hausnummer mit angegeben werden kann) und möglichst unter Angabe des Geburtsdatums und des Geburtsortes anzufragen. oder alternativ, wie sie sich aus Anlage 1 (Verfahrensbeschreibung) zu diesem Vertrag ergeben, anzufragen. Ein zu langer Straßenname ist in normierter Schreibweise so abzukürzen, dass die Hausnummer mit angegeben werden kann. Fällt nach Auskünften die Identitätsprüfung negativ aus (vgl. hierzu Ziffer 2.4), so ist – ggf. nach Rückfrage beim Antragsteller – erneut mit insoweit korrigierten Daten anzufragen.
Kamlah
|
309
Teil 3 I
Rz. 2
Auskunfteivertrag
4. Scoring 4.1 Die Score-Information erscheint in folgenden Varianten: … 4.2 Der Auskunftei-Score wird immer nur als Momentaufnahme berechnet und hat daher nur eine Aussagekraft für den Augenblick der Beauskunftung. Durch Änderung der zugrunde liegenden Informationen kann er somit bereits am nächsten Tag überholt sein. 4.3 Nach den datenschutzrechtlichen Bestimmungen dürfen Entscheidungen zulasten des Betroffenen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden. Dies gilt nicht, wenn dem Betroffenen von vornherein die Möglichkeit eingeräumt wurde, seinen Standpunkt mit der Folge einer Überprüfung geltend zu machen. Die Vorschriften der §§ 6a, 34 Abs. 2 und Abs. 4 BDSG bleiben hiervon im Übrigen unberührt. 4.4 Der Datenempfänger wird auf Wunsch dem Betroffenen eine AuskunfteiBroschüre aushändigen. Die Auskunftei stellt ihren Datenempfängern entsprechende Broschüren zur Verfügung. 4.5 Sofern der Vertragspartner Scoreverfahren unter Nutzung von Anschriftendaten einsetzt, wird er hierüber den Betroffenen vorher unterrichten. Die Unterrichtung ist zu dokumentieren. 5. Intervall der Leistungserbringung 5.1 Der Datenempfänger beauftragt die Auskunftei 5.2 l für eine einmalige Leistungserbringung. 5.3 l für eine dauerhafte Leistungserbringung, wobei die Leistung in folgenden zeitlichen Abständen erbracht werden soll: 5.4 l monatlich
l vierteljährlich
l halbjährlich
l jährlich
5.5 l gemäß individueller Vereinbarung: … 6. Vergütung 6.1 Pro Treffer wird eine Vergütung fällig. Die Höhe der Vergütung pro Treffer/für die von der Auskunftei erbrachte Leistung richtet sich nach dem jeweils gültigen Preisverzeichnis, das als Anlage 2 diesem Vertrag beigefügt ist. Änderungen des Preisverzeichnisses werden dem Datenempfänger vor ihrem Inkrafttreten rechtzeitig schriftlich mitgeteilt. Ist der Datenempfänger mit der Änderung des Preisverzeichnisses nicht einverstanden, steht ihm das Recht zur ordentlichen Kündigung gem. Ziffer 6.3 zu. alternativ: Die Höhe der Vergütung beträgt … zzgl. der jeweils gesetzlich gültigen USt. Der Mindestumsatz beträgt … Euro pro Auftrag. 6.2 Die Auskunftei stellt dem Datenempfänger im Folgemonat eine Rechnung für Anfragen im vorhergehenden Monat. 310
|
Kamlah
Vertragstext
Rz. 2 Teil 3 I
6.3 Alle aus diesem Vertrag resultierenden Forderungen werden mit Rechnungsstellung sofort fällig. Diese werden dem Datenempfänger per Lastschrift abgebucht. 6.4 Soweit der Datenempfänger zur Vornahme der Leistungen aus diesem Vertrag einen Prozessor beauftragt, der im eigenen Namen und auf eigene Rechnung tätig wird, werden die daraus resultierenden Forderungen dem Prozessor als Leistungsempfänger in Rechnung gestellt. Hierzu sind separate Vereinbarungen zu treffen. 7. Laufzeit und Kündigung/Inkrafttreten 7.1 Dieser Vertrag tritt l mit Unterzeichnung l zum … in Kraft. 7.2 Der Vertrag kann sowohl vom Datenempfänger, als auch von der Auskunftei mit einer Frist von 2 (zwei) Monaten zum Monatsende gekündigt werden. 7.3 Die Auskunftei ist zur sofortigen Einstellung der Leistungserbringung und zur fristlosen Kündigung berechtigt: – bei schuldhaftem Verstoß des Datenempfängers gegen grundlegende Verpflichtungen aus diesem Vertrag, – bei schuldhaft falschen oder unvollständigen Angaben in Zusammenhang mit dem Abschluss dieses Vertrags oder … – bei Verstößen gegen die Bestimmungen von Ziffer 4. 8. Kommunikationsverfahren 8.1 Der Datenempfänger wird die Festlegungen der ihm – im Hinblick auf das jeweils gewählte elektronische Kommunikationsverfahren – zur Verfügung gestellten Dokumente oder Software sowie die Außerbetriebnahme in ihrer jeweils gültigen Fassung einhalten. Änderungen und neue Versionen dieser Dokumente oder Software werden dem Datenempfänger rechtzeitig, d.h. in der Regel drei Monate vor deren Wirksamwerden bzw. vor der Inbetriebnahme der geänderten Schnittstelle oder der Außerbetriebnahme, mitgeteilt. Stimmt der Datenempfänger den Änderungen nicht zu, so kann er diesen Vertrag gem. Ziffer 6.1 kündigen. In Anbetracht ständiger DV-Optimierung kann die Auskunftei keine Gewähr für die Vollständigkeit und Richtigkeit der vorgenannten Dokumente oder Software übernehmen. Werden die vereinbarten technischen Vorgaben nicht eingehalten, ist die Auskunftei berechtigt, den elektronischen Kommunikationszugang zum Auskunftei-Verfahren zu sperren. Hat der Datenempfänger den Verdacht, dass diese technischen Vorgaben nicht eingehalten werden Kamlah
|
311
Teil 3 I
Rz. 2
Auskunfteivertrag
– bspw. dass ein ihm zugewiesenes Zertifikat in unberechtigter Weise genutzt werden könnte –, wird er die Auskunftei unverzüglich informieren, damit der Zugang ggf. gesperrt werden kann. Der Datenempfänger ist verpflichtet, aktuelle Sicherheitseinrichtungen, Firewalls, Virenscanner u.ä. zum Schutz der von der Auskunftei übermittelten oder bereitgestellten Informationen einzusetzen. Der Datenempfänger wird vor jeder das Kommunikationsverfahren und/ oder die elektronische Verbindung zur Auskunftei betreffenden eigenen Aktivität (z.B. Veränderung von Einstellungen bei Schnittstellen) die konkreten und aktuellen Spezifikationen mit der Auskunftei abklären und vor deren (produktivem) Einsatz einen diesbezüglichen Test gemeinsam mit der Auskunftei durchführen, sofern sich die Parteien nicht auf ein anderes Vorgehen einigen. 8.2 Der Datenempfänger wählt folgendes Kommunikationsverfahren zum Bezug der Dienstleistungen der Auskunftei: l Auskunftei l … l … l … Ergänzend gelten die für das jeweils vereinbarte Kommunikationsverfahren bestehenden Sonderbedingungen gemäß Anlage 2. Die Berechtigung zur Nutzung eines Kommunikationsverfahrens endet automatisch mit dem Ende des entsprechenden Vertragsbestandteils oder des gesamten Vertrags. 9. Haftung 9.1 Haftung der Auskunftei für Informationen 9.1.1 Allgemeine Haftung Die Auskunftei haftet unbeschränkt für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die auf einer fahrlässigen Pflichtverletzung der Auskunftei oder einer vorsätzlichen oder fahrlässigen Pflichtverletzung eines gesetzlichen Vertreters oder Erfüllungsgehilfen der Auskunftei beruhen. Die Auskunftei haftet unbeschränkt im Fall von Vorsatz sowie im Fall der Haftung von der Auskunftei nach dem Produkthaftungsgesetz. 9.1.2 Haftungsprivilegierung Dem Datenempfänger ist bewusst, dass mit der Lieferung von Informationen durch die Auskunftei zum Zwecke der Risikobeurteilung von Geschäften die Realisierung dieser Risiken nicht versichert ist. Daher gelten die folgenden Haftungsbeschränkungen für die vertragliche und gesetzliche, insbesondere deliktische Haftung der Auskunftei; dies gilt auch zugunsten der Auskunftei-Mitarbeiter. 312
|
Kamlah
Rz. 2 Teil 3 I
Vertragstext
Die Auskunftei haftet nicht für die sachliche Richtigkeit und Vollständigkeit der ihr von ihren Datenempfängern übermittelten bzw. aus allgemein zugänglichen Quellen und amtlichen Bekanntmachungen entnommenen oder von sonstigen Informationsdienstleistern zur Verfügung gestellten und von ihr verwalteten Daten. Die Auskunftei haftet nicht für Kreditlimitempfehlungen. Die Auskunftei oder einer ihrer Erfüllungsgehilfen haftet für Fahrlässigkeit nur bei der Verletzung vertragswesentlicher Pflichten (Kardinalpflichten). Pro Kalenderjahr ist die Haftung der Auskunftei der Summe nach begrenzt auf 50 % des vom Datenempfänger unter diesem Vertrag im jeweiligen Kalenderjahr gezahlten Entgelts. Pro Einzelfall ist die Haftung der Auskunftei der Summe nach begrenzt auf 10 % des vom Datenempfänger unter diesem Vertrag im jeweiligen Kalenderjahr gezahlten Entgelts. Die Haftung ist jedoch in jedem Fall auf 50 000 Euro pro Jahr begrenzt. Bei der Erteilung von aus dem Ausland eingeholten Auskünften kann die Auskunftei eine Übersetzungshilfe zur Verfügung stellen, für die jedoch keine Haftung übernommen wird. 9.2 Haftung des Datenempfängers Ein Verstoß des Datenempfängers gegen Verpflichtungen aus diesem Vertrag, insbesondere – der missbräuchliche Abruf von Daten, – die missbräuchliche Verwendung der Auskunftei-Auskunft, begründet Schadenersatzansprüche der Auskunftei gegenüber dem Datenempfänger. Dies gilt auch für den Fall, dass die Auskunftei ihrerseits von Dritten in Anspruch genommen wird. Teilt der Datenempfänger den Wegfall des berechtigten Interesses, insbesondere die Beendigung einer Geschäftsbeziehung mit dem Betroffenen nicht mit und werden dann in Erfüllung des Monitoringverfahrens trotzdem Daten an den Datenempfänger übermittelt, so begründet dies eine unzulässige Datenübermittlung nach § 29 Abs. 2 BDSG. Insoweit haftet der Datenempfänger gegenüber der Auskunftei für den ihr daraus entstandenen Schaden. 10. Informationsweitergabe und Geheimhaltung 10.1 Die Parteien werden alle Presseinformationen und -erklärungen sowie sonstige öffentliche Stellungnahmen über Abschlüsse oder Durchführung dieses Vertrags ausschließlich im vorherigen gegenseitigen Einvernehmen abgeben, herausgeben oder Dritten zur Verfügung stellen, es sei denn, es handelt sich um Pflichtveröffentlichungen nach börsenrechtlichen Bestimmungen. Hiervon unabhängig ist das Recht, auf die durch diesen Vertrag geregelte Zusammenarbeit hinzuweisen. Kamlah
|
313
Teil 3 I
Rz. 2
Auskunfteivertrag
10.2 Beide Parteien verpflichten sich, während der gesamten Laufzeit dieses Vertrags sowie auch unbefristet nach Beendigung dieses Vertrags sämtliche vertraulichen Informationen, die im Zusammenhang mit der Durchführung dieses Vertrags bekannt werden sollten, strikt vertraulich zu behandeln und nicht gegenüber Dritten zu offenbaren oder anderweitig zu verwenden. 10.3 Als vertraulich sind insbesondere diejenigen Informationen zu verstehen, die den Inhalt dieses Vertrags, die Durchführung und Abwicklung dieses Vertrags und sämtliche mündlichen Abreden im Zusammenhang mit diesem Vertrag betreffen. Jede Partei ist verpflichtet, mit der anderen Partei Rücksprache zu halten, sofern irgendwelche Zweifel aufkommen sollten, ob eine Information im konkreten Einzelfall als vertraulich zu behandeln ist. 10.4 Diese Vertraulichkeitsverpflichtung gilt nicht für Informationen, die eine Partei nachweislich von Dritten rechtmäßig erhalten hat oder erhält, die bei Vertragsabschluss bereits allgemein bekannt waren oder nachträglich ohne Verstoß gegen die in diesem Vertrag enthaltenen Verpflichtungen allgemein bekannt wurden oder deren Veröffentlichung die andere Partei zugestimmt hat sowie für Informationen, die aufgrund gesetzlicher Pflicht oder behördlicher Anordnung an einen Dritten zu geben sind; in diesen Fällen ist die verpflichtete Partei gehalten, die jeweils andere Partei, soweit rechtlich zulässig, vorab bzw. unverzüglich über die Herausgabe zu unterrichten. 11. Ansprechpartner Die Parteien benennen einander folgende Ansprechpartner/Datenempfänger und deren Stellvertreter: Für den Datenempfänger:
…
…
Für die Auskunftei:
…
…
12. Sonstiges 12.1 Die sich aus diesem Vertrag ergebenden Rechte zugunsten des Datenempfängers auf Erhalt von Informationen sind nicht übertragbar. Eine Sitzverlegung ins Ausland, insbesondere in ein sog. Drittland (i.S.d. europäischen Datenschutzrechts) zeigt der Datenempfänger der Auskunftei unverzüglich an. Vorstehendes gilt auch für den Fall, dass die Daten physisch an einen Prozessor geliefert werden und dieser seinen Sitz ins Ausland oder in ein Drittland verlegt. Bei der Datenlieferung in ein Drittland sowie bei jedem Drittlandbezug ist der Datenempfänger verpflichtet, weiterhin den gesetzeskonformen Umgang mit Daten zu gewährleisten sowie umgehend Kontakt bzw. Vertragsverhandlungen aufzunehmen, um den gesetzeskonformen Drittlandverkehr entweder nachzuweisen oder zu vereinbaren. 314
|
Kamlah
Rz. 2 Teil 3 I
Vertragstext
12.2 Änderungen, Erweiterungen und Ergänzungen dieses Vertrags bedürfen der Schriftform. Abweichend hiervon genügen für Änderungen, Erweiterungen und Ergänzungen bezüglich des gewählten Vertragsgegenstandes gem. Ziffer 1.1 sowie des Kommunikationsverfahrens gem. Ziffer 8, die elektronische Form oder die Textform. Eine Änderung der vorstehenden Formklauseln bedarf ebenfalls der Schriftform. 12.3 Vertragssprache für diesen Vertrag ist deutsch. Etwaige, für den Datenempfänger erstellte anderssprachige Fassungen sind lediglich informatorische Übersetzungen, die nichts an den in deutscher Sprache definierten Leistungsverpflichtungen ändern. 12.4 Für alle Ansprüche aus und im Zusammenhang mit diesem Vertrag gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des einheitlichen UN-Kaufrechts (CISG). Ausschließlicher Gerichtsstand für alle Rechtsstreitigkeiten aus diesem Vertrag ist … . 12.5 Sollte eine Bestimmung dieses Vertrags ganz oder teilweise gegen gesetzliche Regelungen verstoßen oder aus sonstigen Gründen nichtig sein, wird dadurch die Gültigkeit des übrigen Vertrags nicht berührt. Die Parteien werden die nichtige bzw. unwirksame Bestimmung im gegenseitigen Einvernehmen durch eine andere ersetzen, die dem wirtschaftlich angestrebten Zweck am nächsten kommt. 12.6 Die Anlagen sind Bestandteil dieses Vertrags. Ort, den …
Ort, den …
… Name des Datenempfängers
… Auskunftei
… Stempel und Unterschrift
… Stempel und Unterschrift
Anlagen Anlage 1 Verfahrensbeschreibung Anlage 2 Sonderbedingungen
l l l
Anlage 3 Preisverzeichnis Anlage 4 l Einwilligungserklärung für …
Kamlah
|
315
Teil 3 I
Rz. 3
Auskunfteivertrag
C. Erläuterungen I. Vorbemerkung 3
Wie alle Verträge enthält auch der Auskunfteivertrag zunächst eine Leistungsbeschreibung, um den Vertragsgegenstand zu konkretisieren. Es folgen dann – und das unterscheidet den Auskunfteivertrag sicher von anderen Standardverträgen – dezidierte „Übersetzungen“ datenschutzrechtlicher Bestimmungen. Diese nehmen in Auskunfteiverträgen einen breiten Raum ein. Neben den sonst üblicherweise in Verträgen zu regelnden Bestimmungen wie Vertragsdauer, Laufzeit und salvatorische Klausel ist auf die Haftungsklausel besonders hinzuweisen, da diese die atypische Gefährdungslage eines Auskunfteivertrags abzubilden hat.
II. Erläuterung der einzelnen Klauseln 1. Erläuterungen zum Rubrum 4
E Auskunfteivertrag zwischen der Auskunftei und dem Datenempfänger
5
Bereits das Rubrum macht die Rollenverteilung im datenschutzrechtlichen Sinne deutlich: Die durch die Auskunftei erteilte Auskunft stellt eine Datenübermittlung an einen Datenempfänger dar. Nach welchen Regeln dies zu geschehen hat, bestimmt sich nach § 29 BDSG, in dem die Auskunfteien als Normadressat ausdrücklich genannt sind. § 29 BDSG ist mithin die Spezialnorm für die Zusammenarbeit mit Auskunfteien, die über sämtliche Phasen der Datenverarbeitung zugrunde zu legen ist. Die Zusammenarbeit mit einer Auskunftei ist damit nicht im Wege einer Auftragsdatenverarbeitung1 abbildbar, da der Auskunftei eben nicht Daten zur Verarbeitung (im Auftrag) mit dem Ziel der Gewinnung eines bestimmten Arbeitsergebnisses übergeben werden, sondern mit der durch die Auskunftei erteilten Auskunft gerade Informationen (Daten) gewonnen werden sollen, die der Datenempfänger vorher nicht hatte und aus eigener Datenverarbeitung (auch durch einen Dienstleister im Auftrag) auch nicht hätte gewinnen können.
2. Erläuterungen zur Präambel 6
E Die Präambel Die Auskunftei ist … . Grundlage hierfür ist ein Datenbestand mit … . 1 S. hierzu Teil 2 I und 2 II.
316
|
Kamlah
Erläuterungen
Rz. 10 Teil 3 I
Der Datenempfänger möchte auf Grundlage der nachfolgenden Regelungen von der Auskunftei … beziehen. Vor diesem Hintergrund vereinbaren die Parteien was folgt: An dieser Stelle folgen die in Präambeln üblichen Beschreibungen der Vertragsparteien sowie des Zwecks der Zusammenarbeit. Wesentlich aber ist, dass der Datenbestand der Auskunftei – zumindest gattungsbezogen – beschrieben wird. So kann ein Auskunfteidatenbestand nicht nur aus Kreditwürdigkeitsinformationen bestehen. Denkbar sind auch Betrugspräventionssysteme1 oder brancheninterne Warndateien2. Grund für die Datenbestandsbeschreibung ist, dass deren Inhalt und damit die durch die Auskunftei vermittelten Informationen mit dem Auskunftszweck korrespondieren müssen.
7
3. Erläuterungen zu Ziffer 1 E 1. Vertragsgegenstand (evtl. ergänzend noch „Verfahren“)
8
1.1 Gegenstand dieses Vertrags ist … . Der Datenempfänger benötigt diese zum Zwecke … . Hierfür wird die Auskunftei … . 1.2 Einzelheiten des Verfahrens ergeben sich aus Anlage 1 (Verfahrensbeschreibung) zu diesem Vertrag. 1.3 Die Anfragen erfolgen gemäß dem in Ziff. 8 gewählten Kommunikationsverfahren. Gegenstand eines Auskunfteivertrags ist die Erteilung bestimmter Informationen – in aller Regel in Form personenbezogener Daten. Welche Daten das inhaltlich sein können, wurde in der Präambel schon zumindest grob definiert. Der Inhalt des Auskunfteidatenbestandes und der sich daraus ableitende Inhalt der erteilten Auskunft – sprich der Umfang der mit der Auskunft übermittelten personenbezogenen Daten – muss wiederum mit dem Auskunftszweck korrespondieren. Datenbestand, Auskunftsinhalt und Zweckbestimmung bedingen also einander und leiten sich unmittelbar voneinander ab. Aus dem Zweck wiederum leitet sich das berechtigte Interesse am Erhalt der Auskunft i.S.d. § 29 Abs. 2 BDSG ab. Die erteilte Auskunft muss also i.S.d. Zwecks „berechtigt“ sein, womit der Datenbestand einer Auskunftei bereits die potenziellen Datenempfänger determiniert – zumindest dann, wenn der Auskunfteidatenbestand nicht hinreichend differenziert ist oder daraus keine hinreichend differenzierten Auskünfte erteilt werden können.
9
Da Auskunfteiverfahren oft im Rahmen von automatisierten Abrufverfahren durchgeführt werden, ist zusätzlich § 10 BDSG zu beachten. Hier bestimmt auch § 10 Abs. 2 BDSG, dass Anlass und Zweck des Abrufverfahrens zwischen den beteiligten Stellen (also Auskunftei und Datenempfänger) vertraglich festzulegen sind. In Verbindung mit dem Datenbestand hat damit die jeweilige
10
1 Vgl. Plath/Kamlah, § 28b BDSG Rz. 17. 2 S. auch Plath/Kamlah, § 28a BDSG Rz. 8.
Kamlah
|
317
Teil 3 I
Rz. 11
Auskunfteivertrag
Auskunftei bezogen auf ihren (Geschäfts-) Zweck eine relativ festgeschriebene Funktion. 11
Die Einzelheiten des konkreten Datenaustausches können stark variieren, so dass diese in aller Regel in Anlagen individuell beschrieben werden. Dies gilt zum einen für bestimmte Auskunftsinhalte, als auch für den technischen Weg, in dem sie übermittelt werden1.
12
Konkret kann die Auskunft aus einer Einzelauskunft bestehen, die auf entsprechende Anfrage übermittelt wird. Denkbar sind aber auch sog. Stapelverarbeitungen (auch „Batch-Verarbeitungen“ genannt), bei denen mehrere Anfragen gleichzeitig bearbeitet und schließlich beauskunftet werden. An den rechtlichen Anforderungen hinsichtlich der Anfrageberechtigung bzw. der erteilten Auskünfte ändert sich dabei aber nichts2. Schließlich können auch Auskünfte in sog. Monitoringverfahren erteilt werden, bei denen der Datenempfänger sein berechtigtes Interesse bei der Auskunftei hinterlegt und diese bei Eintritt eines bestimmten Anlasses (z.B. neu bekannt werdenden Informationen) Auskünfte erteilt.
4. Erläuterungen zu Ziffer 2 a) Erläuterungen zu Ziffer 2.1 13
E 2. Grundlagen der Zusammenarbeit; Datenschutz 2.1 Datenbestand der Auskunftei Die Auskunftei speichert Daten über natürliche Personen, die von Datenempfängern gemeldet oder aus allgemein zugänglichen Quellen und amtlichen Bekanntmachungen entnommen bzw. von sonstigen Informationsdienstleistern bezogen wurden; ggf. werden auch Hinweise von Betroffenen zur eigenen Person gespeichert. Zu minderjährigen Personen speichert die Auskunftei nur eingeschränkt Informationen. Die Auskunftei speichert auch Daten zu Personen mit Wohnsitz im Ausland. Auskünfte zu diesen Personen erfolgen unter dem Vorbehalt, dass Informationen von ausländischen Kreditgebern in der Auskunftei-Auskunft nur ausnahmsweise enthalten sind. Die Auskunftei arbeitet mit anderen europäischen Kreditschutzorganisationen zusammen. Anfragen bei Kreditschutzorganisationen im Ausland sind gesondert in Auftrag zu geben.
14
Neben der bereits erläuterten datenschutzrechtlich gebotenen Beschreibung des Auskunfteidatenbestandes ist es auch schuldrechtlich naheliegend, dem Datenempfänger den Datenbestand zu beschreiben und damit deutlich zu ma1 So können bspw. Rechner-zu-Rechnerverbindungen bestehen oder aber auch webbasierte Anbindungen den Datenaustausch realisieren. 2 Erleichtert wird bei der sog. Stapelverarbeitung lediglich die Führung des Nachweises hinsichtlich des Vorliegens des berechtigten Interesses.
318
|
Kamlah
Erläuterungen
Rz. 15 Teil 3 I
chen, woraus die Auskunft überhaupt besteht oder eben nicht besteht (Ziffer 2.1 des Vertrags). Gemeinsam ist insoweit vielen Auskunfteien, dass sie allgemein zugängliche Daten speichern und beauskunften. Daneben arbeiten einige Auskunfteien aber auch im Gegenseitigkeitsprinzip, d.h. der (vertraglichen) Berechtigung Auskünfte zu erhalten steht die Verpflichtung gegenüber, bestimmte Sachverhalte zu melden. Da diese Meldungen dann wieder über den Auskunfteidatenbestand auf entsprechende Anfrage zur Verfügung gestellt werden, haben diese Meldungen eine Fernwirkung für die Betroffenen. Der Gesetzgeber sah sich daher veranlasst, im Rahmen einer BDSG-Novelle 2010 zumindest bei forderungsbezogenen Daten die Übermittlungsvoraussetzungen zu schärfen, § 28a BDSG. Über § 29 Abs. 1 Satz 1 Nr. 3 BDSG ist klar, dass auch nur solche Daten Dritten übermittelt werden können, die zulässigerweise einmal in den Auskunfteidatenbestand eingemeldet wurden1. In den Verträgen der Auskunfteien, die sich Sachverhalte übermitteln lassen, sind in einer Sondervorschrift ggf. in Verbindung mit der bereits erwähnten Anlage 1 („Verfahrensbeschreibung“, siehe Rz. 8) dezidiert die einzelnen Übermittlungstatbestände aufgeführt. Diese können aus „offenen Salden nach Fälligstellung“, „titulierter Saldo“ oder ähnlichem bestehen. Seit Einführung des § 28a BDSG ist aber klar, dass sich jeder forderungsbezogene Übermittlungstatbestand an den Voraussetzungen des § 28a BDSG messen lassen muss. Für die übrigen Sachverhalte gilt weiterhin § 28 BDSG2. Schließlich ist es denkbar, dass sich ein Auskunfteidatenbestand auch aus Drittquellen speist, die in vielfältiger Weise am Markt verfügbar sind. Die weiter aufgeführten Einschränkungen hinsichtlich der Daten zu minderjährigen Personen oder im Ausland wohnenden Betroffenen werden in aller Regel als präventive Leistungsbeschreibung aufgenommen, um Klarheit hinsichtlich der potenziellen Auskunftsinhalte zu erreichen.
b) Erläuterungen zu Ziffer 2.2 E 2.2 Datenschutz Es obliegt dem Datenempfänger datenschutzrechtliche Unterrichtungsund Informationspflichten einzuhalten und sich von außerhalb des BDSG geregelten gesetzlichen oder vertraglichen Geheimhaltungspflichten befreien zu lassen. Mit Erteilung von Informationen an den Datenempfänger wird dieser verantwortliche Stelle i.S.d. BDSG. Soweit erteilte Auskünfte wie bei der Nutzung von „Auskunftei-Direkt“ dort im sog. Online-Archiv physisch bei der Auskunftei verbleiben, wird diese als Auftragsdatenverarbeiter i.S.v. § 11 BDSG tätig. Der Datenempfänger verpflichtet sich, insbesondere im Hinblick auf die aufgrund dieser Verträge erlangten Informationen, die notwendigen 1 Einzelheiten s. Plath/Plath, § 29 BDSG Rz. 63 f. 2 Einzelheiten s. Plath/Kamlah, § 28a BDSG Rz. 13 ff.
Kamlah
|
319
15
Teil 3 I
Rz. 16
Auskunfteivertrag
technischen und organisatorischen Maßnahmen im Sinne der Anlage zu § 9 BDSG einzuhalten. Er verpflichtet sich, in geeigneter Weise Vorkehrungen zum Schutze und zur Sicherung der ihm anvertrauten und übermittelten Daten sowie der im Rahmen der (vor-) vertraglichen Beziehungen sonstigen übergebenen Dokumente gegen den unbefugten Zugriff der eigenen Mitarbeiter und Dritter zu treffen, und zwar in dem Maße, wie es auch zum Schutz der eigenen Daten üblich ist. So sind vor allem die ihm von der Auskunftei zugeteilten Kennziffern und vereinbarten Passwörter vertraulich zu behandeln und sicherzustellen, dass ein Missbrauch und damit ein unbefugtes Abrufen von AuskunfteiDaten ausgeschlossen ist. Sofern dem Datenempfänger mehrere Kennziffern zugeteilt wurden, hat er sicherzustellen, dass dem Anfragegrund entsprechend stets die richtige Kennziffer genutzt wird. Der Datenempfänger darf daher in keinem Fall seine Auskunftei-Kennziffer bzw. die Passwörter bekannt geben, auch nicht auf angebliche telefonische Rückfrage der Auskunftei. Der Datenempfänger hat seine Mitarbeiter oder sonstige Dritte, die notwendigerweise Zugang zu den der Geheimhaltung unterliegenden Daten haben, auf das Datengeheimnis zu verpflichten. Werden durch den Datenempfänger zur Durchführung dieses Vertrags Dritte eingeschaltet, hat der Datenempfänger auf Verlangen der Auskunftei die zwischen dem Datenempfänger und dem Dritten getroffenen vertraglichen Vereinbarungen vorzulegen. Die übrigen datenschutzrechtlichen Verpflichtungen bleiben hiervon unberührt. Der Datenempfänger wird hiermit davon unterrichtet, dass Zugriffsdaten gespeichert und zu Dokumentations- und Abrechnungszwecken sowie zur Datensicherheitskontrolle maschinell verarbeitet und genutzt werden. Soweit der Inhalt der Auskunftei-Auskunft mit den eigenen Angaben des Betroffenen nicht übereinstimmt, sollte der Auskunftsinhalt dem Betroffenen mitgeteilt werden (nicht jedoch als Ausdruck oder Screenshot, da diese Auskunftei-Zugangsdaten enthalten können). Führt die Auskunftei-Auskunft zur Ablehnung der Geschäftsverbindung, ist bei Verbraucherdarlehensverhältnissen sowie sonstigen Finanzierungshilfen der Auskunftsinhalt dem Betroffenen mitzuteilen. Wird die Richtigkeit des Auskunftsinhalts bestritten, wird der Datenempfänger die Auskunftei zur Klärung einschalten. Auskunftsansprüche des Betroffenen gegen den Datenempfänger bleiben hiervon unberührt. Soweit die Auskunftei im Rahmen von gegenüber dem Datenempfänger geltend gemachten Auskunftsansprüchen gem. § 34 Abs. 2 Satz 3 BDSG zur Zulieferung verpflichtet ist, dürfen die zugelieferten Informationsbestandteile nur für Zwecke der Auskunftserteilung gegenüber den Betroffenen verwendet werden. 16
Ziffer 2.2 enthält Klarstellungen zu datenschutzrechtlichen Vorgaben. Ziffer 2.2 Abs. 1 trägt den Verantwortlichkeiten für die verschiedenen Phasen der 320
|
Kamlah
Erläuterungen
Rz. 18 Teil 3 I
Datenverarbeitung Rechnung. Die Tätigkeit von Auskunfteien ist grundsätzlich in § 29 BDSG geregelt. Damit erscheint eine Zusammenarbeit mit Auskunfteien auf rein gesetzlicher Basis möglich. Die Zusammenarbeit mit Auskunfteien bedingt aber zwingend einen wechselseitigen Datenaustausch. So muss der Anfragende der Auskunftei mitteilen, zu welcher Person die Auskunft begehrt wird. Gleichzeitig ist anzugeben, warum das berechtigte Interesse an der Auskunft besteht, § 29 Abs. 2 Satz 1 Nr. 1 BDSG. Damit werden aber im Rahmen der Anfrage an die Auskunftei personenbezogene Daten übermittelt, was nach § 29 Abs. 2 Satz 1 Nr. 1 BDSG sogar vorgeschrieben ist, um die Übermittlung von der Auskunftei nach § 29 Abs. 2 BDSG erst zu ermöglichen. Gleichwohl ist nicht immer eindeutig, ob die mit der Anfrage verbundene Datenübermittlung trotz der nach § 29 Abs. 2 Satz 1 Nr. 1 BDSG bestehenden Verpflichtung überhaupt zulässig ist. So besteht jenseits des BDSG bspw. für Kreditinstitute die Pflicht gegenüber ihren Kunden das Bankgeheimnis zu wahren. Für die SCHUFA wird daher vor allem zur Befreiung vom Bankgeheimnis vor Eingehung von Geschäften in aller Regel eine SCHUFA-Klausel vereinbart. Diese ist also trotz § 28a Abs. 2 BDSG nach wie vor notwendig. Aber auch, wenn auf eine SCHUFA-Klausel verzichtet wird, bleibt zur Wahrung der Transparenz die Verpflichtung bestehen, den Betroffenen nach § 28 Abs. 2 BDSG zu unterrichten1. Mit der Verwendung einer Einwilligungsklausel sind und können in aller Regel auch etwa sonst bestehende Transparenzanforderungen erfüllt werden. Während sich die Übermittlung von der Auskunftei an den Datenempfänger nach § 29 BDSG richtet und damit grundsätzlich gesetzlich zulässig ist, hat der Datenempfänger bzw. Anfragende über die Erforderlichkeit einer Einwilligungsklausel nach § 4a BDSG zur Rechtfertigung seiner im Rahmen einer Anfrage stattfindenden Datenübermittlung selbst zu befinden. Verzichtet der Datenempfänger auf die Verwendung einer Einwilligungsklausel bleiben die ggf. parallel bestehenden Vertraulichkeits- oder Geheimhaltungsverpflichtungen natürlich bestehen. Daher stellt Ziffer 2.2 Abs. 1 klar, dass es im Verantwortungsbereich des Datenempfängers liegt, sich ggf. davon befreien zu lassen.
17
Der Logik folgend, dass die Auskunftserteilung durch die Auskunftei an den Datenempfänger eine nach § 29 BDSG zulässige Datenübermittlung darstellt, bestimmt Ziffer 2.2 Abs. 2, dass mit Auskunftserteilung der Datenempfänger verantwortliche Stelle i.S.d. BDSG wird. Der zeitliche und physische Punkt des Verantwortlichkeitswechsels ergibt sich dabei in aller Regel aus den Beschreibungen nach den Anlagen 1 und 2 zum Auskunfteivertrag. Als verantwortliche Stelle hat der Datenempfänger aus eigener Rechtspflicht bspw. die Löschregeln nach § 35 BDSG zu beachten. An vorstehendem ändert sich auch dann nichts, wenn nach dem vereinbarten technischen Verfahren nach der Auskunftserteilung und damit nach erfolgter Datenübermittlung die Daten physisch in einem System der Auskunftei verbleiben und dort bspw. zum Abruf bereitgestellt oder archiviert werden. Diese Tätigkeit ist dann nachgelagert eine im Auftrag des Datenempfängers durchgeführte Verarbeitung (hier Speicherung) und führt nicht dazu, dass der gesamte Auskunfteivertrag als Vertrag
18
1 Zur SCHUFA-Klausel s. Teil 7 IV.
Kamlah
|
321
Teil 3 I
Rz. 19
Auskunfteivertrag
zur Auftragsdatenverarbeitung zu qualifizieren ist, sondern nur über die Phase der Speicherung nach erfolgter Übermittlung eine Vereinbarung nach § 11 BDSG1 zu schließen ist. 19
Die Tätigkeit der Auskunfteien ist stark reguliert und war sogar Gegenstand einer eigenen Gesetzesnovelle2. Hintergrund der starken – auch öffentlichen – Aufmerksamkeit gegenüber Auskunfteien ist einerseits die Wirkung etwa erteilter Auskünfte, aber auch die Vertraulichkeit der durch die Auskunfteien vermittelten Informationen. Es ist daher systemimmanent, dass diese Parameter nicht nur für die Phasen der Übermittlung an eine Auskunftei, die Speicherung dort und die Rückübermittlung gelten, sondern auch Wirkung für die weitere Verwendung beim Datenempfänger entfalten. Gleichsam einer Systemverantwortung haben daher die Auskunfteien sicherzustellen, dass die für den Auskunfteidatenbestand definierten Grundsätze auf die Datenempfänger übertragen werden, auch wenn diese – wie soeben dargestellt – nach der Übermittlung selbst verantwortliche Stelle geworden sind. Die in Ziffer 2.2 Abs. 3 beschriebenen Grundsätze enthalten daher ein Mindestmaß an vertraglich verpflichtender Verantwortlichkeit, um die den Auskunfteien auferlegten Sorgfaltspflichten auf der Empfängerseite nicht zur Makulatur verkommen zu lassen. Für die potenziellen Datenempfänger bedeutet dies, dass sie zumindest Strukturen vorhalten müssen, die den Anforderungen der Anlage zu § 9 BDSG entsprechen. Ferner haben sie auch die notwendigerweise im Vorfeld einer Zusammenarbeit mit der Auskunftei ausgetauschte technische Dokumentation vertraulich zu behandeln, was insbesondere für die Zugangs- und Verbindungsdaten zum Auskunfteisystem gilt.
20
In der Konsequenz des Vorstehenden ist auch Ziffer 2.2 Abs. 4 zu lesen: Der den Auskunfteien durch zahlreiche spezielle Regelungen verordnete Datenschutz setzt sich beim Datenempfänger fort, indem dieser seine Mitarbeiter nach § 5 BDSG zu verpflichten hat. Daher ist es auch folgerichtig, dass dieser „Durchgriff“ sogar auf den Subunternehmer des Datenempfängers erstreckt wird. Damit das der Auskunftei verordnete Datenschutzniveau nicht schlussendlich durch einen Subunternehmer verloren geht, hat der Datenempfänger die entsprechenden Verträge mit seinem Subunternehmer vorzulegen.
21
Lediglich klarstellend formuliert dann Ziffer 2.2 Abs. 5, dass die dem Datenempfänger entweder bereits vor der Übermittlung der Anfragedaten als auch nach Erhalt in der Rolle als verantwortliche Stelle obliegenden datenschutzrechtlichen Pflichten unberührt bleiben.
22
Ziffer 2.2 Abs. 6 enthält einen Hinweis u.a. auf § 29 Abs. 2 Satz 3 BDSG. Damit die darin vorgeschriebenen Kontrollen überhaupt durchgeführt werden können, hat eine Aufzeichnung der entsprechenden Abfragen auch durch die Auskunftei zu erfolgen. Nach § 29 Abs. 2 Satz 4 BDSG ist zwar im automatisierten Abrufverfahren (das der Zusammenarbeit mit Auskunfteien in aller Regel zugrunde liegt) der Datenempfänger zur Aufzeichnung verpflichtet. Doch lassen sich die über § 10 Abs. 4 BDSG geforderten Stichprobenkontrollen nur 1 Zum Auftragsdatenverarbeitungsvertrag, s. Teil 2 I und 2 II. 2 S. hierzu Plath/Kamlah, § 28a BDSG Rz. 1, 7 f.
322
|
Kamlah
Erläuterungen
Rz. 24 Teil 3 I
durchführen, wenn die Auskunftei über die bei ihr gespeicherten Abfragen gezielt beim Datenempfänger nachfragen kann. Nur so lassen sich missbräuchliche Abfragen überhaupt erst feststellen. Gleichzeitig ist der vertragliche Hinweis auf die gesetzliche Systematik sicher aber auch eine „Warnung“ an die Datenempfänger, in dem sie auf die etwas versteckten Vorschriften zur Stichprobenkontrolle aufmerksam gemacht werden1. Ziffer 2.2 Abs. 7 enthält eine Sonderregelung, die gewissermaßen von den insbesondere in Ziffer 2.2 Abs. 3 auferlegten Vertraulichkeitsverpflichtungen gleich wieder dispensiert. Entscheidend aber ist, dass dies zugunsten des Betroffenen geschieht. In der Praxis haben Betroffene vielfach – sofern es nicht um Distanzgeschäfte geht – gegenüber ihren Vertragspartnern umfangreiche Selbstauskünfte abzugeben. Dies gilt nicht nur für den Bereich der Institute i.S.d. KWG, sondern ist auch in der Wohnungswirtschaft geläufig, wo potenzielle Mieter gegenüber ihren Vermietern weitestgehend Selbstauskünfte erteilen müssen. Holen nun die potenziellen Vertragspartner der Betroffenen bei einer Auskunftei Informationen ein und weichen diese von den Eigenangaben des Betroffenen ab, dann ist der Auskunftsinhalt dem Betroffenen gegenüber offenzulegen, damit eine durch die Auskunftei vermittelte Information evtl. sofort korrigiert werden kann. Allerdings ist darauf zu achten, dass dabei nicht – durch ein in der Praxis immer wieder vorkommendes „Drehen des Bildschirms“ – die Auskunftei-Zugangsdaten mit offen gelegt werden. Führt der Auskunftsinhalt zur Ablehnung, so schreibt bereits § 29 Abs. 7 BDSG vor, dass der Auskunftsinhalt bekannt zu geben ist. Parallel zu der damit dem Betroffenen gegebenen Möglichkeit ggf. bestehende Auskunfteifehler zu korrigieren, soll aber auch der Datenempfänger selbst verpflichtet sein, i.S.d. Betroffenen eine Klärung herbeizuführen. Da mit Erteilung der Auskunft der Datenempfänger verantwortliche Stelle geworden ist, ist dieser ohnehin nach § 34 BDSG gegenüber dem Betroffenen zur Auskunft verpflichtet. Dass diese Auskunftspflicht sich auch auf die seitens der Auskunftei übermittelten Daten bezieht, wird zur Klarstellung noch einmal festgehalten. Der letzte Absatz stellt für die Datenempfänger, die gleichzeitig Scoredienstleistungen beziehen (s. hierzu Ziffer 4 des Auskunfteivertrags) klar, dass die nach § 34 Abs. 2 Satz 3 BDSG zur Verfügung gestellten Daten nicht als Auskunfteidienstleistung zu qualifizieren sind, sondern lediglich der Transparenz gegenüber dem Betroffenen dienen und deshalb auch nur für diese Zwecke verarbeitet und genutzt werden dürfen (vgl. § 31 BDSG).
23
c) Erläuterungen zu Ziffer 2.3 E 2.3 Vorliegen des berechtigten Interesses Die Auskunftei stellt ihren Datenempfängern Daten nur unter Beachtung datenschutzrechtlicher Bestimmungen zur Verfügung und wenn diese ein berechtigtes Interesse an der Datenübermittlung i.S.d. § 29 Abs. 2 BDSG glaubhaft darlegen. Anfragen zu … sind unzulässig. 1 In welchem Umfang Stichproben durchzuführen sind, erwähnt das Gesetz nicht und wird für den Bereich der Handelsauskunfteien regelmäßig mit den zuständigen Datenschutzaufsichtsbehörden abgestimmt.
Kamlah
|
323
24
Teil 3 I
Rz. 25
Auskunfteivertrag
Die Auskunftei ist gesetzlich verpflichtet, das Vorliegen des berechtigten Interesses an der Übermittlung der Daten aufzuzeichnen und stichprobenweise durch Rückfrage bei ihren Datenempfängern zu prüfen. Zu diesem Zweck haben diese ebenfalls geeignete Aufzeichnungen über alle Anfragen zwölf Monate bereitzuhalten und der Auskunftei auf Verlangen zur Verfügung zu stellen. Der Datenempfänger hat die sich aus § 10 BDSG und die sich aus der Schuldnerverzeichnisabdruckverordnung – insbesondere aus deren §§ 16 ff. – ergebenden Pflichten zu realisieren. Insbesondere hat er den Abruf derart zu protokollieren, dass die Zugriffe sekundengenau und mitarbeiterbezogen nachvollzogen werden können. Dieses gilt auch bei abgelehnten Anträgen. Datenempfänger, die über einen Datenschutzbeauftragten oder eine Revisionsabteilung verfügen, können zunächst mit einer Bestätigung durch diese den Nachweis des berechtigten Interesses führen, nachdem sie das Vorliegen des berechtigten Interesses einzelfallbezogen festgestellt und überprüft haben. Auf gesonderte Anforderung der Auskunftei ist der Nachweis durch Vorlage geeigneter Unterlagen (z.B. durch Antragsunterlagen und entsprechende Protokolle) zu führen. 25
Der Eingangssatz von Ziffer 2.3 wiederholt im Grunde § 29 Abs. 2 Satz 1 Nr. 1 BDSG. Daneben enthalten einige Auskunfteiverträge Anwendungsfelder, in denen – korrespondierend mit dem zweckgebundenen Datenbestand und der nach § 10 Abs. 2 Satz 2 BDSG im automatisierten Abrufverfahren festzulegenden gesonderten Zweckbindung – Anfragen von vornherein ausgeschlossen werden. Wie das berechtigte Interesse konkret angegeben wird, bestimmt Ziffer 3.3.
26
Da das sog. Stichprobenverfahren bei Unterhaltung eines automatisierten Abrufverfahrens in § 29 Abs. 2 Satz 3 bis 5 BDSG i.V.m. § 10 BDSG nur fragmentarisch beschrieben wird, werden die Einzelheiten noch einmal vertraglich beschrieben, um der gesetzlichen Verpflichtung auch tatsächlich nachkommen zu können. So findet sich im Gesetz bspw. kein Hinweis darauf, wie lange eigentlich der Nachweis des berechtigten Interesses geführt werden muss oder welchen Umfang die Stichproben überhaupt haben müssen. Als Prüfungszeitraum haben sich in der Praxis in Abstimmung mit den Datenschutzaufsichtsbehörden die zwölf Monate herausgebildet, die sich dementsprechend dann auch in den Auskunfteiverträgen finden. Da, wie bereits erwähnt, mehr oder weniger alle Auskunfteien Daten aus den Schuldnerverzeichnissen führen, die Verwendung dieser Daten teils sehr versteckten gesetzlichen Verpflichtungen unterliegen, wird auf diese Verpflichtungen ebenfalls noch einmal vertraglich hingewiesen. Der Hinweis kann aber entfallen, wenn den Auskunfteidienstleistungen keine Schuldnerverzeichnisdaten zugrunde liegen. Da zu einer effektiven Missbrauchskontrolle letztlich die Identifikation der konkret anfragenden Person wichtig ist, hat der Datenempfänger sicherzustellen, dass die Anfrage eben mitarbeiterbezogen nachvollzogen werden kann. Die Information, dass „irgendwer“ aus dem Unternehmen des Datenempfängers eine Anfrage veranlasst hat, würde den Kontrollzweck ins Leere laufen lassen.
27
Schließlich formuliert Ziffer 2.3 Abs. 3 die Art und Weise, wie der Nachweis des berechtigten Interesses seitens des Datenempfängers geführt werden kann. 324
|
Kamlah
Erläuterungen
Rz. 29 Teil 3 I
Hier sind die Auskunfteien überwiegend der Ansicht, dass der Nachweis auch durch eine Bestätigung des innerbetrieblichen Kontrollorgans geführt werden kann, da dieser die internen Geschäftsprozesse einschließlich der Korrektheit von Auskunfteianfrageprozessen überprüft hat. Demgegenüber wird nach Neufassung des § 29 Abs. 2 Satz 5 BDSG teilweise die Ansicht vertreten, es müssten zur Nachweisführung die (Original-)Antragsunterlagen vorgelegt werden1.
d) Erläuterungen zu Ziffer 2.4 E 2.4 Identität/Nutzungsverbot Die Auskunftei wendet bei der Datenverarbeitung die allgemein übliche Sorgfalt an. Mit der Auskunftei-Auskunft werden jedoch weder Existenz noch Identität der angefragten Person bestätigt. Darum obliegt die Identitätsprüfung vor jeder Anfrage und bei Verwendung der Auskunft dem Empfänger. Dies gilt insbesondere bei der Beauskunftung von Daten, die den öffentlichen Verzeichnissen und amtlichen Bekanntmachungen entnommen wurden. Bei Abweichungen zwischen den gespeicherten bzw. beauskunfteten Daten und den Daten der Anfrage kann ein Hinweis durch die Auskunftei erfolgen. Wenn der Auskunftsempfänger die Identität nicht eindeutig feststellen kann, unterliegt die Auskunft einem absoluten Nutzungsverbot. Der Datenempfänger ist in diesen Fällen verpflichtet, der Auskunftei das Ergebnis seiner Identitätsprüfung mitzuteilen.
28
Ziffer 2.4 beschreibt eine auskunfteispezifische Problematik, denn im Auskunfteidatenbestand befinden sich keine Personen, sondern letztlich nur Datensätze. Auf eine Anfrage des Datenempfängers hin, kann die Auskunftei im Grunde nur die Übereinstimmung der mit der Anfrage übermittelten personenbezogenen Daten mit den bei ihr gespeicherten Daten abgleichen und nach Feststellung etwaiger Übereinstimmungen eine entsprechende Auskunft erteilen. Die Auskunftei kann aber als eine am konkreten Geschäftsvorfall, der berechtigterweise zu einer Anfrage führt, gar nicht anwesende Partei nicht feststellen, ob die Person, deren Daten im Rahmen eines Anfrage- und Auskunftsprozesses ausgetauscht werden, mit der Person identisch ist, die tatsächlich am konkreten Geschäftsvorfall teilnimmt oder gar existent ist. Es obliegt daher dem Datenempfänger, die Identität seines potenziellen Geschäftspartners zu überprüfen und festzustellen, ob die angefragten und darauf seitens der Auskunftei übermittelten Daten überhaupt dem „Gegenüber“ zuzuordnen sind und ggf. Identitätsmissbrauch vorzubeugen2. Die Problematik verschärft sich auch insbesondere in den Fällen, in denen zu den Datensätzen keine hinreichenden Identifikationsmerkmale vorliegen. So liegen bspw. den zentralen Vollstreckungsgerichten nicht immer die Geburtsdaten der Betroffenen vor. Sieht man dann das Schuldnerverzeichnis ein, so weiß man nicht, wem kon-
29
1 Diese Frage wird jedenfalls zwischen dem Verband der Handelsauskunfteien und dem sog. Düsseldorfer Kreis teilweise kontrovers diskutiert. 2 S. hierzu die schon nach dem GwG bestehenden Verpflichtungen; s. dazu Chrozciel, ZD 2013, 170 ff.
Kamlah
|
325
Teil 3 I
Rz. 30
Auskunfteivertrag
kret ein bestimmter Eintrag zuzuordnen ist (z.B. bei Allerweltsnamen). Der Effekt entsteht natürlich in gleicher Weise bei Auskünften von Auskunfteien, die aufgrund gerichtlicher Bewilligung Schuldnerverzeichnisdaten in ihren Bestand übernehmen. 30
Stellt eine Auskunftei eine Ähnlichkeit des Anfragedatensatzes mit dem eigenen Bestand fest, kann sie auch einen entsprechenden Ähnlichkeitshinweis beauskunften. Dieser soll auf die Überprüfungspflicht des Datenempfängers noch einmal hinweisen. Sind aber gleichzeitig schon personenbezogene Daten übermittelt worden und kann der Datenempfänger nach Ausübung seiner Überprüfungspflicht eine Identität nicht feststellen, unterliegen die übermittelten Daten einem absoluten Nutzungsverbot. Gleichzeitig besteht die Verpflichtung des Datenempfängers, das Ergebnis der Überprüfung der Auskunftei mitzuteilen, damit die Auskunftei ggf. Korrekturen am eigenen Bestand vornehmen kann.
e) Erläuterungen zu Ziffer 2.5 31
E 2.5 Die Auskünfte sind erteilt, wenn sie die Schnittstelle der Auskunftei verlassen haben oder dem Datenempfänger zum Abruf bereitgestellt wurden.
32
Ziffer 2.5 stellt klar, wann eine Auskunft erteilt ist. Damit wird quasi der „Gefahrübergang“ definiert bzw. der Leistungsübergabepunkt, an dem der Datenempfänger auch datenschutzrechtlich verantwortliche Stelle wird. Für die Auskunftei ist diese Definition wichtig, da nicht selten die Datenverarbeitung auf Seiten des Datenempfängers weitergeht und die in der Auskunft enthaltenen Daten mit eigenen Daten vermischt werden. Wird daraus ein Gesamtergebnis gewonnen und etwa einer Entscheidung zugrunde gelegt, so ist dafür insoweit die Auskunftei nicht verantwortlich.
f) Erläuterungen zu Ziffer 2.6 33
E 2.6 Löschfristen Die bei der Auskunftei gespeicherten Daten bleiben so lange gespeichert, solange sie noch nicht erledigt sind und werden grundsätzlich nach drei Kalenderjahren nach Erledigung gelöscht. Im Übrigen wird eine Löschung bzw. Berichtigung nur vorgenommen, wenn die ursprüngliche Meldung unzulässig war.
34
Ziffer 2.6 enthält einen Hinweis auf die Regellöschfrist nach der für Auskunfteien geltenden Spezialnorm des § 35 Abs. 2 Nr. 4 BDSG. Gleichzeitig wird damit dem Datenempfänger ein Leistungsmerkmal des Datenbestandes gegeben: Ältere Daten sind damit grundsätzlich nicht mehr verfügbar. Das soll aber nicht darüber hinwegtäuschen, dass teilweise abweichende Löschfristen bestehen. So können Informationen über laufende Geschäftsvorfälle (bspw. über Dauerschuldverhältnisse) und noch aktuelle Daten (Adressen) länger gespeichert werden.
326
|
Kamlah
Erläuterungen
Rz. 37 Teil 3 I
g) Erläuterungen zu Ziffer 2.7 E 2.7 Processingunternehmen/Erfüllungsgehilfen Sofern der Datenempfänger sich zur technischen Abwicklung eines Dritten bedient, hat er gegenüber der Auskunftei eine den Datenbankzugang regelnde Vereinbarung zu beauftragen. In diesem Fall stellt er darüber hinaus unter Beachtung der Vorgaben des § 11 BDSG durch vertragliche Regelungen mit diesem Dritten die Einhaltung der technischen Vorgaben durch den Dritten sicher.
35
Ziffer 2.7 behandelt die Einschaltung Dritter beim Datenaustausch. Es ist häufige Praxis, dass sich Datenempfänger zum Datenaustausch mit der Auskunftei eines technischen Dienstleisters bedienen, da sie oft nicht über die für ein automatisiertes Abrufverfahren (siehe § 10 BDSG) nötige technische Infrastruktur verfügen. In diesen Fällen wird zur technischen Anbindung des Dienstleisters eine gesonderte Vereinbarung geschlossen. Im Verhältnis zum Datenempfänger ist der Dienstleister Auftragsdatenverarbeiter. Da die Auskunftei ein Interesse daran hat, dass auch beim Datenempfänger und den durch diesen beauftragten Dritten ein angemessenes Datenschutzniveau herrscht, wird der Datenempfänger auf seine Verpflichtung hingewiesen, den Dienstleister nach § 11 BDSG zu verpflichten.
36
5. Erläuterungen zu Ziffer 3 37
E 3. Pflichten des Datenempfängers 3.1 Die übermittelten Daten dürfen nur für den angefragten Zweck genutzt werden (vgl. Ziffer 1.1). Sie dürfen nicht an Dritte weitergegeben werden. Das Weitergabeverbot an Dritte beinhaltet auch das Verbot erhaltene Auskünfte in aufbereiteter Form oder mittelbar, z.B. durch Vergabe oder Ausweis von Zertifikaten oder sonstigen Hinweisen, aus denen sich die erfolgte Bonitätsprüfung ergibt, Dritten zur Verfügung zu stellen. 3.2 Der Datenempfänger verpflichtet sich, die Leistungen der Auskunftei nur in Anspruch zu nehmen, wenn ein berechtigtes Interesse an der Verwendung des Ergebnisses im vorstehenden Sinne vorliegt. 3.3 Zur Darlegung und Dokumentation des berechtigten Interesses am Erhalt der Auskunftei-Auskunft nutzt der Datenempfänger das Merkmal … und dokumentiert somit das Vorliegen des berechtigten Interesses. Die Auskunftei speichert dieses Merkmal und dokumentiert die Anfrage des Datenempfängers, sofern die Anfrage einer konkreten Person zugeordnet werden kann. Die Auskunftei übermittelt Ergebnisse nur, wenn der Anfragende sich eindeutig als berechtigter Datenempfänger identifiziert. 3.4 Daten zur angefragten Person Die zu einer Person gespeicherten Daten kann die Auskunftei nur beauskunften, wenn die angefragte Person eindeutig identifiziert werden kann. Der Datenempfänger ist daher verpflichtet, mit den korrekten und vollständigen Personalien des Betroffenen (Name, Vorname, Geschlecht, Kamlah
|
327
Teil 3 I
Rz. 38
Auskunfteivertrag
private Anschrift und Voranschrift; ein zu langer Straßenname ist in normierter Schreibweise so abzukürzen, dass die Hausnummer mit angegeben werden kann) und möglichst unter Angabe des Geburtsdatums und des Geburtsortes anzufragen. oder alternativ, wie sie sich aus Anlage 1 (Verfahrensbeschreibung) zu diesem Vertrag ergeben, anzufragen. Ein zu langer Straßenname ist in normierter Schreibweise so abzukürzen, dass die Hausnummer mit angegeben werden kann. Fällt nach Auskünften die Identitätsprüfung negativ aus (vgl. hierzu Ziffer 2.4), so ist – ggf. nach Rückfrage beim Antragsteller – erneut mit insoweit korrigierten Daten anzufragen. 38
Ziffer 3.1 formuliert, dass die seitens der Auskunftei übermittelten Daten nur für den angefragten Zweck genutzt werden dürfen. Diese vertragliche Verpflichtung ergibt sich schon aus § 28 Abs. 5 BDSG, der über § 29 Abs. 4 BDSG auf den Datenaustausch mit Auskunfteien Anwendung findet. Dass die Auskunftei hierüber den Datenempfänger noch einmal ausdrücklich zu unterrichten hat, ergibt sich aus § 28 Abs. 5 Satz 3 BDSG. Der (ursprüngliche) Zweck der Anfrage ergibt sich aus dem im Rahmen der Angabe des berechtigten Interesses übermittelten Anfragegrund (s. auch Ziffer 3.3). Schon zur eigenen Existenzsicherung bestimmen die Auskunfteiverträge in aller Regel, dass die übermittelten Daten nicht an Dritte weitergegeben werden dürfen. Etwa nach § 28 Abs. 5 Satz 2 BDSG noch bestehende Möglichkeiten werden damit weitestgehend ausgeschlossen.
39
Ziffer 3.2 stellt klar, dass nicht nur ein berechtigtes Interesse durch einen entsprechenden Anfragegrund anzugeben ist, sondern dass das berechtigte Interesse auch tatsächlich vorliegen muss. Durch die vertragliche Verankerung ist damit gleichzeitig auch eine schuldrechtliche Zusicherung gegeben.
40
Ziffer 3.3 formuliert nun, wie das (tatsächlich vorliegende) berechtigte Interesse anzugeben ist. Dabei werden seitens der Auskunftei in aller Regel bestimmte Anfragegründe als Standard vorgegeben. Innerhalb der Auskunfteien ist hier in der Praxis unterschiedlicher Differenzierungsgrad festzustellen. So ist sicher präziser bspw. ein seitens des Betroffenen konkret angefragtes Geschäft als Anfragegrund anzugeben, als pauschal die Angabe, dass eine Überprüfung stattfinden soll. Der entsprechende Katalog an Anfragegründen wird bei den Auskunfteiverträgen entweder direkt in den Vertrag integriert oder in einer Anlage zum Vertrag aufgeführt. Wie bereits erwähnt, zeichnet auch die Auskunftei den übermittelten Anfragegrund zur Überprüfung des berechtigten Interesses auf (siehe Rz. 22 und 25 ff. zu Ziffer 2.2 Abs. 6 und Ziffer 2.3 des Vertrags). Das macht aber natürlich nur Sinn, wenn die entsprechende Anfrage auch tatsächlich einer Person zugeordnet werden kann und daraufhin auch eine Auskunft erteilt wird. Diese wird auch nur erteilt, wenn sich der Datenempfänger entsprechend legitimiert hat.
41
Ziffer 3.4 knüpft direkt an Ziffer 3.3 und formuliert die Voraussetzung, damit eine eindeutige Zuordnung des Anfragedatensatzes zu den bei der Auskunftei 328
|
Kamlah
Rz. 44 Teil 3 I
Erläuterungen
gespeicherten Daten stattfinden kann. Es ist im Sinne der Betroffenen, dass der Datenempfänger möglichst präzise anfragt. Nur so können Personenverwechselungen sowohl bei der Auskunftei und beim Datenempfänger vermieden werden. Die teilweise geforderte Beschränkung der Erhebung von Daten, bspw. im Rahmen von Bestellprozessen, ist daher eher kontraproduktiv. Betroffene haben es selbst in der Hand sich ausreichend zu identifizieren und damit für eine sichere Überprüfung durch Auskunfteien zu sorgen. Am Ende von Ziffer 3.4 wird (noch einmal) der Zusammenhang mit Ziffer 2.4 hergestellt, wonach eben nicht nur die Auskunftei die Identität des Anfragedatensatzes mit den bei ihr gespeicherten Daten feststellen muss, sondern auch der Datenempfänger verpflichtet ist, zu prüfen, ob die übermittelten Daten überhaupt zu der (ggf. vor ihm stehenden) Person „gehören“. Der Datenempfänger hat dann ggf. im Gespräch weitergehende Angaben zu erfragen und dann eine neue Anfrage an die Auskunftei zu richten. Das Nutzungsverbot für die ggf. nicht eindeutig zuordbare Erstauskunft ergibt sich aus Ziffer 2.4.
42
6. Erläuterungen zu Ziffer 4: Scoring E 4. Scoring
43
4.1 Die Score-Information erscheint in folgenden Varianten: … 4.2 Der Auskunftei-Score wird immer nur als Momentaufnahme berechnet und hat daher nur eine Aussagekraft für den Augenblick der Beauskunftung. Durch Änderung der zugrunde liegenden Informationen kann er somit bereits am nächsten Tag überholt sein. 4.3 Nach den datenschutzrechtlichen Bestimmungen dürfen Entscheidungen zulasten des Betroffenen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden. Dies gilt nicht, wenn dem Betroffenen von vornherein die Möglichkeit eingeräumt wurde, seinen Standpunkt mit der Folge einer Überprüfung geltend zu machen. Die Vorschriften der §§ 6a, 34 Abs. 2 und Abs. 4 BDSG bleiben hiervon im Übrigen unberührt. 4.4 Der Datenempfänger wird auf Wunsch dem Betroffenen eine AuskunfteiBroschüre aushändigen. Die Auskunftei stellt dem Datenempfänger entsprechende Broschüren zur Verfügung. 4.5 Sofern der Datenempfänger Scoreverfahren unter Nutzung von Anschriftendaten einsetzt, wird er hierüber den Betroffenen vorher unterrichten. Die Unterrichtung ist zu dokumentieren. Neben Auskünften, die aus personenbezogenen Daten in Form von Klardaten bestehen, gehört die Errechnung und Übermittlung von Scorewerten inzwischen zum Standard der Auskunfteien. Scoreverfahren sind nach § 28b BDSG (und spezialgesetzlich für Kreditinstitute nach § 10 KWG) auch ausdrücklich zulässig1. Dabei kann die Berechnung und Darstellungsform von Scoreinforma1 S. hierzu auch Plath/Kamlah, § 28b BDSG Rz. 42.
Kamlah
|
329
44
Teil 3 I
Rz. 45
Auskunfteivertrag
tionen höchst unterschiedlich sein. Sie stellt in der Regel das Geschäftsgeheimnis der jeweiligen Auskunftei dar. 45
Ziffer 4.2 hat eher erläuternden Charakter und stellt klar, dass Scorewerte immer nur anlassbezogen berechnet werden und bereits am nächsten Tag überholt sein können, da sich der der Scoreberechnung zugrunde liegende Datenbestand (möglicherweise schon durch Zeitablauf) geändert hat.
46
Trotz – oder gerade wegen – des erhöhten Automatisierungsgrades von Entscheidungen, die (auch) aufgrund von Scoreinformationen getroffen werden, besteht die sich bereits aus § 6a BDSG ergebende Verpflichtung, keine ausschließlich automatisierten Ablehnungen zu treffen und wurde daher auch noch einmal vertraglich unterlegt. Da die nach § 6a BDSG zu treffenden Maßnahmen bereits ein gewisses Maß an Transparenz von der verantwortlichen Stelle erfordern, wird weiterhin klargestellt, dass die Verfahrensrechte nach § 34 BDSG davon unberührt bleiben, sprich zusätzlich zu erfüllen sind1.
47
Da Normadressat des § 6a BDSG die letztlich entscheidende Stelle ist2, diese sich aber möglicherweise weitestgehend auf den seitens der Auskunftei zur Verfügung gestellten Score stützt, sollte zur Sicherstellung der Transparenz am point of sale insbesondere bei auf Scorewerten gestützten, den Betroffenen belastenden Entscheidungen ein initiales Informationsbedürfnis des Betroffenen befriedigt werden. Daher erscheint die Bereitstellung von Informationsmaterial für beide Vertragsparteien von Interesse, um den Betroffenen sogleich bei etwa auftauchenden Fragen bedienen zu können.
48
Ziffer 4.5 weist auf die Besonderheit von § 28b Nr. 4 BDSG hin, wonach die Nutzung von Anschriftendaten zur Berechnung und Übermittlung von Scores zwar zulässig, in diesen Fällen der Betroffene aber darüber gesondert zu informieren ist.
7. Erläuterungen zu Ziffer 5 49
E 5. Intervall der Leistungserbringung 5.1 Der Datenempfänger beauftragt die Auskunftei 5.2 l für eine einmalige Leistungserbringung. 5.3 l für eine dauerhafte Leistungserbringung, wobei die Leistung in folgenden zeitlichen Abständen erbracht werden soll: 5.4 l monatlich
l vierteljährlich
l halbjährlich
l jährlich
5.5 l gemäß individueller Vereinbarung: 50
Auskünfte können nicht nur anlassbezogen eingeholt werden, sondern sind auch – ein (fortbestehendes) berechtigtes Interesse vorausgesetzt – in regelmäßigen Abständen möglich. Praktischer Anwendungsfall sind sog. Monito1 Zum Verhältnis der Normen Plath/Kamlah, § 6a BDSG Rz. 31 ff. 2 Vgl. Taeger/Gabel/Mackenthun, § 6a BDSG Rz. 7.
330
|
Kamlah
Erläuterungen
Rz. 53 Teil 3 I
ringdienstleistungen, bei denen bspw. Kundenbeziehungen ständig beobachtet werden müssen. So schreibt bspw. § 25a KWG eine solche Beobachtung vor1.
8. Erläuterung zu Ziffer 6 51
E 6. Vergütung 6.1 Pro Treffer wird eine Vergütung fällig. Die Höhe der Vergütung pro Treffer/für die von der Auskunftei erbrachte Leistung richtet sich nach dem jeweils gültigen Preisverzeichnis, das als Anlage 2 diesem Vertrag beigefügt ist. Änderungen des Preisverzeichnisses werden dem Datenempfänger vor ihrem Inkrafttreten rechtzeitig schriftlich mitgeteilt. Ist der Datenempfänger mit der Änderung des Preisverzeichnisses nicht einverstanden, steht ihm das Recht zur ordentlichen Kündigung gem. Ziffer 6.3 zu. alternativ: Die Höhe der Vergütung beträgt … zzgl. der jeweils gesetzlich gültigen USt. Der Mindestumsatz beträgt … Euro pro Auftrag. 6.2 Die Auskunftei stellt dem Datenempfänger im Folgemonat eine Rechnung für Anfragen im vorhergehenden Monat. 6.3 Alle aus diesem Vertrag resultierenden Forderungen werden mit Rechnungsstellung sofort fällig. Diese werden dem Datenempfänger per Lastschrift abgebucht. 6.4 Soweit der Datenempfänger zur Vornahme der Leistungen aus diesem Vertrag einen Prozessor beauftragt, der im eigenen Namen und auf eigene Rechnung tätig wird, werden die daraus resultierenden Forderungen dem Prozessor als Leistungsempfänger in Rechnung gestellt. Hierzu sind separate Vereinbarungen zu treffen. Die Vergütungsklausel ist frei gestaltbar und unterscheidet sich möglicherweise nicht von Vergütungsklauseln anderer Verträge. Auskunfteispezifisch ist allenfalls die Frage, ob transaktionsbezogen (also für die gestellte Anfrage) oder trefferbezogen (nur für tatsächlich identifizierbare Anfragen und daraufhin erteilte Auskünfte) abgerechnet wird. Auch sog. Flatrate-Modelle sind denkbar.
52
9. Erläuterung zu Ziffer 7 E 7. Laufzeit und Kündigung/Inkrafttreten
53
7.1 Dieser Vertrag tritt l mit Unterzeichnung l zum … in Kraft. 7.2 Der Vertrag kann sowohl vom Datenempfänger, als auch von der Auskunftei mit einer Frist von 2 (zwei) Monaten zum Monatsende gekündigt werden. 1 Vgl. Früh, WM 2002, 1813 ff.
Kamlah
|
331
Teil 3 I
Rz. 54
Auskunfteivertrag
7.3 Die Auskunftei ist zur sofortigen Einstellung der Leistungserbringung und zur fristlosen Kündigung berechtigt: – bei schuldhaftem Verstoß des Datenempfängers gegen grundlegende Verpflichtungen aus diesem Vertrag, – bei schuldhaft falschen oder unvollständigen Angaben in Zusammenhang mit dem Abschluss dieses Vertrags oder … – bei Verstößen gegen die Bestimmungen von Ziffer 4. 54
Auch diese Klausel dürfte sich nicht wesentlich von Laufzeitklauseln anderer Verträge unterscheiden. Um jedoch die Seriosität des Datenaustausches zu gewährleisten, wird seitens der Auskunfteien häufig vor Vertragsschluss die Berechtigung des potenziellen Datenempfängers geprüft. Macht der Interessent vor Vertragsschluss falsche Angaben und werden daraufhin möglicherweise unzulässig Auskünfte erteilt, weil das berechtigte Interesse an der Teilnahme des jeweiligen Auskunfteisystems gar nicht bestand, muss die Auskunftei die Zusammenarbeit zügig wieder beenden können. Teilweise finden sich in den Auskunfteiverträgen auch Kündigungsrechte für den Fall, in dem der Auskunftei Informationen zu Personen des Datenempfängers oder der ersten Führungsebene bekannt werden, die dem Präventionszweck der jeweiligen Auskunftei zuwiderlaufen (bspw. Insolvenzinformationen im Datenbestand eines Kreditwürdigkeitsinformationssystems). Schließlich werden sich Kündigungsrechte für fehlerhafte Anwendung von Scoredienstleistungen vorbehalten, da diese zu erheblichen Reputationsschäden (auch) bei der Auskunftei führen können.
10. Erläuterung zu Ziffer 8 55
E 8. Kommunikationsverfahren 8.1 Der Datenempfänger wird die Festlegungen der ihm – im Hinblick auf das jeweils gewählte elektronische Kommunikationsverfahren – zur Verfügung gestellten Dokumente oder Software sowie die Außerbetriebnahme in ihrer jeweils gültigen Fassung einhalten. Änderungen und neue Versionen dieser Dokumente oder Software werden dem Datenempfänger rechtzeitig, d.h. in der Regel drei Monate vor deren Wirksamwerden bzw. vor der Inbetriebnahme der geänderten Schnittstelle oder der Außerbetriebnahme, mitgeteilt. Stimmt der Datenempfänger den Änderungen nicht zu, so kann er diesen Vertrag gem. Ziffer 6.1 kündigen. In Anbetracht ständiger DV-Optimierung kann die Auskunftei keine Gewähr für die Vollständigkeit und Richtigkeit der vorgenannten Dokumente oder Software übernehmen. Werden die vereinbarten technischen Vorgaben nicht eingehalten, ist die Auskunftei berechtigt, den elektronischen Kommunikationszugang zum Auskunftei-Verfahren zu sperren. Hat der Datenempfänger den Verdacht, dass diese technischen Vorgaben nicht eingehalten werden – bspw. dass ein ihm zugewiesenes Zertifikat in unberechtigter Weise genutzt werden könnte –, wird er die Auskunftei unverzüglich informieren, damit der Zugang ggf. gesperrt werden kann. 332
|
Kamlah
Erläuterungen
Rz. 57 Teil 3 I
Der Datenempfänger ist verpflichtet, aktuelle Sicherheitseinrichtungen, Firewalls, Virenscanner u.ä. zum Schutz der von der Auskunftei übermittelten oder bereitgestellten Informationen einzusetzen. Der Datenempfänger wird vor jeder das Kommunikationsverfahren und/ oder die elektronische Verbindung zur Auskunftei betreffenden eigenen Aktivität (z.B. Veränderung von Einstellungen bei Schnittstellen) die konkreten und aktuellen Spezifikationen mit der Auskunftei abklären und vor deren (produktivem) Einsatz einen diesbezüglichen Test gemeinsam mit der Auskunftei durchführen, sofern sich die Parteien nicht auf ein anderes Vorgehen einigen. 8.2 Der Datenempfänger wählt folgendes Kommunikationsverfahren zum Bezug der Dienstleistungen der Auskunftei: l Auskunftei l … l … l … Ergänzend gelten die für das jeweils vereinbarte Kommunikationsverfahren bestehenden Sonderbedingungen gemäß Anlage 2. Die Berechtigung zur Nutzung eines Kommunikationsverfahrens endet automatisch mit dem Ende des entsprechenden Vertragsbestandteils oder des gesamten Vertrags. Die Zusammenarbeit mit einer Auskunftei vollzieht sich in aller Regel in einem automatisierten Abrufverfahren nach § 10 BDSG. Dabei bieten die Auskunfteien unterschiedliche technische Wege an, um die Anbindung tatsächlich zu realisieren. Welcher Weg gewählt wird, hängt maßgeblich von dem Volumen des Datenaustausches ab. So bieten sich bei großen Volumina Rechnerzu-Rechnerverbindungen an, während sich für kleinere Datenempfänger die Einrichtung einer solchen IT-Infrastruktur nicht lohnt und daher auch webbasierte Services angeboten werden. Entsprechend dem gewählten technischen Verfahren existieren anbindungsspezifische Besonderheiten, die dann über eine Anlage zum Vertrag in entsprechenden Sonderbindungen abgebildet werden, um einen sicheren Datenaustausch zu gewährleisten. Im Vertrag selbst dagegen finden sich allgemeine Bestimmungen, die insbesondere die Versionierung und die Folgen der Aktualisierung der technischen Spezifikationen regeln.
56
11. Erläuterung zu Ziffer 9 57
E 9. Haftung 9.1 Haftung der Auskunftei für Informationen 9.1.1 Allgemeine Haftung Die Auskunftei haftet unbeschränkt für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die auf einer fahrlässigen Pflichtverletzung der Auskunftei oder einer vorsätzliKamlah
|
333
Teil 3 I
Rz. 57
Auskunfteivertrag
chen oder fahrlässigen Pflichtverletzung eines gesetzlichen Vertreters oder Erfüllungsgehilfen der Auskunftei beruhen. Die Auskunftei haftet unbeschränkt im Fall von Vorsatz sowie im Fall der Haftung von der Auskunftei nach dem Produkthaftungsgesetz. 9.1.2 Haftungsprivilegierung Dem Datenempfänger ist bewusst, dass mit der Lieferung von Informationen durch die Auskunftei zum Zwecke der Risikobeurteilung von Geschäften die Realisierung dieser Risiken nicht versichert ist. Daher gelten die folgenden Haftungsbeschränkungen für die vertragliche und gesetzliche, insbesondere deliktische Haftung der Auskunftei; dies gilt auch zugunsten der Auskunftei-Mitarbeiter. Die Auskunftei haftet nicht für die sachliche Richtigkeit und Vollständigkeit der ihr von ihren Datenempfängern übermittelten bzw. aus allgemein zugänglichen Quellen und amtlichen Bekanntmachungen entnommenen oder von sonstigen Informationsdienstleistern zur Verfügung gestellten und von ihr verwalteten Daten. Die Auskunftei haftet nicht für Kreditlimitempfehlungen. Die Auskunftei oder einer ihrer Erfüllungsgehilfen haftet für Fahrlässigkeit nur bei der Verletzung vertragswesentlicher Pflichten (Kardinalpflichten). Pro Kalenderjahr ist die Haftung der Auskunftei der Summe nach begrenzt auf 50 % des vom Datenempfänger unter diesem Vertrag im jeweiligen Kalenderjahr gezahlten Entgelts. Pro Einzelfall ist die Haftung der Auskunftei der Summe nach begrenzt auf 10 % des vom Datenempfänger unter diesem Vertrag im jeweiligen Kalenderjahr gezahlten Entgelts. Die Haftung ist jedoch in jedem Fall auf 50 000 Euro pro Jahr begrenzt. Bei der Erteilung von aus dem Ausland eingeholten Auskünften kann die Auskunftei eine Übersetzungshilfe zur Verfügung stellen, für die jedoch keine Haftung übernommen wird. 9.2 Haftung des Datenempfängers Ein Verstoß des Datenempfängers gegen Verpflichtungen aus diesem Vertrag, insbesondere – der missbräuchliche Abruf von Daten, – die missbräuchliche Verwendung der Auskunftei-Auskunft, begründet Schadenersatzansprüche der Auskunftei gegenüber dem Datenempfänger. Dies gilt auch für den Fall, dass die Auskunftei ihrerseits von Dritten in Anspruch genommen wird. Teilt der Datenempfänger den Wegfall des berechtigten Interesses, insbesondere die Beendigung einer Geschäftsbeziehung mit dem Betroffenen nicht mit und werden dann in Erfüllung des Monitoringverfahrens 334
|
Kamlah
Erläuterungen
Rz. 63 Teil 3 I
trotzdem Daten an den Datenempfänger übermittelt, so begründet dies eine unzulässige Datenübermittlung nach § 29 Abs. 2 BDSG. Insoweit haftet der Datenempfänger gegenüber der Auskunftei für den ihr daraus entstandenen Schaden. Ziffer 9.1 regelt die Haftung der Auskunftei. Die Haftungsklausel leitet dabei zunächst mit der Aufzählung der Fälle ein, in denen die Haftung nach allgemeiner Ansicht nicht beschränkt werden kann.
58
Es folgt dann eine Haftungsprivilegierung zugunsten der Auskunfteien, die den Besonderheiten des Auskunfteivertrags Rechnung trägt. So wird zunächst klargestellt, dass die Auskunft keinen Versicherungscharakter hat. Eine aufgrund einer erteilten Auskunft getroffene (Kredit-)Entscheidung kann also nicht zum vollen Ersatz einer etwa valutierten Summe führen, falls diese (wegen vermeintlich fehlerhafter Auskunft) ausfällt. Die erteilte Auskunft deckt also nicht das Risiko des eingegangenen Geschäfts ab, sondern dient lediglich als Entscheidungsunterstützung. Diese Regelung ist gerechtfertigt, da sich der Einzelpreis für eine erteilte Auskunft überwiegend im Centbereich bewegt und damit deutlich wird, dass eine volle Risikoübernahme nicht gewollt ist, da es hierfür schon an einer äquivalenten Bepreisung fehlt.
59
Es folgt dann eine Konkretisierung der Haftungsprivilegierungen. So schließen die Auskunfteien in aller Regel die Haftung für solche Daten aus, die sie aus öffentlich zugänglichen Quellen entnommen haben und selbst zur Beauskunftung bereitstellen. Grund hierfür ist, dass möglicherweise schon die Veröffentlichung fehlerhaft war, was die Auskunfteien naturgemäß nicht nachvollziehen können, da sie am Veröffentlichungsvorgang nicht beteiligt gewesen sind. Beispielhaft seien hier die den Schuldnerverzeichnissen der Vollstreckungsgerichte entnommenen Daten genannt, die aufgrund von Bewilligungen den Auskunfteien „spiegelbildlich“ zur Verfügung gestellt werden. Hier trifft die Auskunfteien allenfalls die Verpflichtung, für eine dem Stand der Technik entsprechende Zuordnungslogik zu sorgen. Auch die im Bereich von Wirtschaftsinformationen gegebenen sog. Limitempfehlungen unterliegen nicht der Haftung, falls das daraufhin eingeräumte Limit schlussendlich ausfällt, da sich die entsprechenden Limitempfehlungen aus den gespeicherten Daten ableiten, die nach dem Vorstehenden aber ihrerseits „haftungsfrei“ fehlerhaft sein können.
60
Die folgenden Bestimmungen definieren eine Haftungsprivilegierung bei leichter Fahrlässigkeit wie sie nach allgemeiner Ansicht zulässig ist. Sie weisen insoweit keine Besonderheiten auf.
61
Aufgrund von § 29 Abs. 6 BDSG sind Kreditwürdigkeitsinformationen diskriminierungsfrei auch ausländischen Anbietern zur Verfügung zu stellen. Da die Auskunfteisysteme jedoch immer noch stark national geprägt sind, werden teilweise Übersetzungshilfen für die erteilten Auskünfte verlangt. Insbesondere aber zivilprozessuale Termini lassen sich nicht immer eindeutig übersetzen, so dass die Haftung für überlassene Übersetzungshilfen ausgeschlossen wird.
62
Ziffer 9.2 formuliert die Haftung des Datenempfängers. Hier spielen insbesondere der missbräuchliche Abruf bzw. die missbräuchliche Verwendung eine pra-
63
Kamlah
|
335
Teil 3 I
Rz. 64
Auskunfteivertrag
xisrelevante Rolle. Da Anfragen zur (nachträglichen) Überprüfung des berechtigten Interesses gespeichert werden müssen, müssen diese Anfragen als gespeicherte Daten den Betroffenen nach § 34 BDSG beauskunftet werden. Erkennt dann der Betroffene die ggf. missbräuchliche Anfrage, sind Schadensersatzansprüche denkbar, für die dann der missbräuchlich Anfragende haften soll. 64
Eine Ersatzpflicht wird auch für den Fall bestimmt, dass der Datenempfänger bei Monitoringdienstleistungen (siehe Rz. 50) den Wegfall seines ursprünglich fortbestehenden Interesses, aufgrund dessen dann laufend neu bekannt gewordene Informationen erteilt wurden, der Auskunftei nicht mitteilt und es daraufhin zu unzulässigen Datenübermittlungen kommt.
65
In Auskunfteiverträgen, die von einem Gegenseitigkeitsprinzip ausgehen, wonach bestimmte Sachverhalte auch der Auskunftei zu übermitteln sind, wird die Haftung für fehlerhaft übermittelte Sachverhalte konkretisiert. Hintergrund ist, dass die Auskunfteien die Richtigkeit der ihr übermittelten Daten nicht einer „Eingangskontrolle“ unterziehen können1. Die fehlerhafte Meldung fällt mithin erst nach erfolgter (Weiter-)Übermittlung auf und ein etwaiges Bekanntwerden des Betroffenen bspw. nach dem Mechanismus von Ziffer 2.2 Abs. 7 des Vertrags. In diesen Fällen bestehen ggf. Ansprüche gegen die Auskunftei, deren Regressmöglichkeit sich die Auskunftei über die hier in Rede stehende Vorschrift sichern können muss. Gleichzeitig ist eine Haftungsregelung in diesem Sinne aber auch erforderlich, um ggf. missbräuchlichen Meldungen nicht Vorschub zu leisten.
12. Erläuterung zu Ziffer 10 66
E 10. Informationsweitergabe und Geheimhaltung 10.1 Die Parteien werden alle Presseinformationen und -erklärungen sowie sonstige öffentliche Stellungnahmen über Abschlüsse oder Durchführung dieses Vertrags ausschließlich im vorherigen gegenseitigen Einvernehmen abgeben, herausgeben oder Dritten zur Verfügung stellen, es sei denn, es handelt sich um Pflichtveröffentlichungen nach börsenrechtlichen Bestimmungen. Hiervon unabhängig ist das Recht, auf die durch diesen Vertrag geregelte Zusammenarbeit hinzuweisen. 10.2 Beide Parteien verpflichten sich, während der gesamten Laufzeit dieses Vertrags sowie auch unbefristet nach Beendigung dieses Vertrags sämtliche vertraulichen Informationen, die im Zusammenhang mit der Durchführung dieses Vertrags bekannt werden sollten, strikt vertraulich zu behandeln und nicht gegenüber Dritten zu offenbaren oder anderweitig zu verwenden. 10.3 Als vertraulich sind insbesondere diejenigen Informationen zu verstehen, die den Inhalt dieses Vertrags, die Durchführung und Abwicklung dieses Vertrags und sämtliche mündlichen Abreden im Zusammenhang mit diesem Vertrag betreffen. Jede Partei ist verpflichtet, mit der ande1 Vgl. LG Stuttgart v. 15.5.2002 – 21 O 97/01, DB 2002, 1499.
336
|
Kamlah
Rz. 70 Teil 3 I
Erläuterungen
ren Partei Rücksprache zu halten, sofern irgendwelche Zweifel aufkommen sollten, ob eine Information im konkreten Einzelfall als vertraulich zu behandeln ist. 10.4 Diese Vertraulichkeitsverpflichtung gilt nicht für Informationen, die eine Partei nachweislich von Dritten rechtmäßig erhalten hat oder erhält, die bei Vertragsabschluss bereits allgemein bekannt waren oder nachträglich ohne Verstoß gegen die in diesem Vertrag enthaltenen Verpflichtungen allgemein bekannt wurden oder deren Veröffentlichung die andere Partei zugestimmt hat sowie für Informationen, die aufgrund gesetzlicher Pflicht oder behördlicher Anordnung an einen Dritten zu geben sind; in diesen Fällen ist die verpflichtete Partei gehalten, die jeweils andere Partei, soweit rechtlich zulässig, vorab bzw. unverzüglich über die Herausgabe zu unterrichten. Ziffer 10.1 enthält eine weitestgehend gängige Formulierung zur Abstimmung bei Presseaktivitäten.
67
Die Ziffern 10.2. bis 10.4 enthalten Regelungen zur Vertraulichkeit hinsichtlich der im Rahmen der Vertragsbegründung und Durchführung überlassenen Unterlagen. Relevant wird dies insbesondere für die technischen Verfahrensbeschreibungen zur Einrichtung des automatisierten Abrufverfahrens, die meistens schon vor Vertragsunterzeichnung übergeben und im Laufe des Vertrags ständig aktualisiert werden1. Zur Sicherung des in diesen technischen Spezifikationen enthaltenen Auskunftei-Know-How sind daher entsprechende Verpflichtungen in Auskunfteiverträgen enthalten.
13. Erläuterungen zu Ziffer 11 E 11. Ansprechpartner
68
Die Parteien benennen einander folgende Ansprechpartner/Datenempfänger und deren Stellvertreter: Für den Datenempfänger:
…
…
Für die Auskunftei:
…
…
Die Vorschrift enthält keine Besonderheiten gegenüber vergleichbaren Regelungen, die auch andere Vertragstypen enthalten.
69
14. Erläuterungen zu Ziffer 12 E 12. Sonstiges
70
12.1 Die sich aus diesem Vertrag ergebenden Rechte zugunsten des Datenempfängers auf Erhalt von Informationen sind nicht übertragbar. Eine Sitzverlegung ins Ausland, insbesondere in ein sog. Drittland (i.S.d. europäischen Datenschutzrechts) zeigt der Datenempfänger der Aus1 S. Ziffer 7 des Auskunfteivertrags.
Kamlah
|
337
Teil 3 I
Rz. 71
Auskunfteivertrag
kunftei unverzüglich an. Vorstehendes gilt auch für den Fall, dass die Daten physisch an einen Prozessor geliefert werden und dieser seinen Sitz ins Ausland oder in ein Drittland verlegt. Bei der Datenlieferung in ein Drittland sowie bei jedem Drittlandbezug ist der Datenempfänger verpflichtet, weiterhin den gesetzeskonformen Umgang mit Daten zu gewährleisten sowie umgehend Kontakt bzw. Vertragsverhandlungen aufzunehmen, um den gesetzeskonformen Drittlandverkehr entweder nachzuweisen oder zu vereinbaren. 12.2 Änderungen, Erweiterungen und Ergänzungen dieses Vertrags bedürfen der Schriftform. Abweichend hiervon genügen für Änderungen, Erweiterungen und Ergänzungen bezüglich des gewählten Vertragsgegenstandes gem. Ziffer 1.1 sowie des Kommunikationsverfahrens gem. Ziffer 8, die elektronische Form oder die Textform. Eine Änderung der vorstehenden Formklauseln bedarf ebenfalls der Schriftform. 12.3 Vertragssprache für diesen Vertrag ist deutsch. Etwaige, für den Datenempfänger erstellte anderssprachige Fassungen sind lediglich informatorische Übersetzungen, die nichts an den in deutscher Sprache definierten Leistungsverpflichtungen ändern. 12.4 Für alle Ansprüche aus und im Zusammenhang mit diesem Vertrag gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des einheitlichen UN-Kaufrechts (CISG). Ausschließlicher Gerichtsstand für alle Rechtsstreitigkeiten aus diesem Vertrag ist … 12.5 Sollte eine Bestimmung dieses Vertrags ganz oder teilweise gegen gesetzliche Regelungen verstoßen oder aus sonstigen Gründen nichtig sein, wird dadurch die Gültigkeit des übrigen Vertrags nicht berührt. Die Parteien werden die nichtige bzw. unwirksame Bestimmung im gegenseitigen Einvernehmen durch eine andere ersetzen, die dem wirtschaftlich angestrebten Zweck am nächsten kommt. 12.6 Die Anlagen sind Bestandteil dieses Vertrags. 71
Auch ein Auskunfteivertrag enthält die üblichen Schlussbestimmungen, wie sie in anderen Verträgen enthalten sind. Auskunfteispezifisch ist allerdings Ziffer 12.1 Abs. 2. Diese Regelung soll sicherstellen, dass der Datenempfänger oder sein Dienstleister nicht einfach eine Verlagerung in ein Drittland vornimmt, ohne dass vorher das angemessene Datenschutzniveau i.S.d. Drittlandverkehrs durch entsprechende Maßnahmen1 erreicht ist. Im Ergebnis soll auch diese Vorschrift der Seriosität des Auskunfteiverfahrens unterstützend helfen, indem die Auskunftei auch nach bereits erfolgter Auskunftserteilung auf der Empfängerseite auf ein angemessenes Datenschutzniveau achtet.
1 Z.B. durch Vereinbarung der EG-Standardvertragsklauseln, s. hierzu Teil 5 I, II, III und IV.
338
|
Kamlah
II. Adressenkauf- und -überlassungsvertrag Literaturverzeichnis: Bergmann/Möhrle/Herb, Datenschutzrecht, Loseblattwerk, Stand
45. Ergänzungslieferung 2012; Eisenberg, Möglichkeiten des E-Mail-Direktmarketing ohne Einwilligung der Beworbenen, BB 2012, 2963; Geiger, Aufgedrängte Vertragsschlüsse durch Zusammenwirken von Adresshandel, Telefonmarketing und angemaßten Einzugsermächtigungen, NJW 2007, 3030; Gola/Klug, Die Entwicklung des Datenschutzrechts in den Jahren 2008/2009, NJW 2009, 2577; Palandt, BGB, 72. Aufl. 2013; Patzak/ Beyerlein, Adressdatenhandel unter dem neuen BDSG, MMR 2009, 525; Pfeiffer, Neue Regeln für die Datennutzung zu Werbezwecken, MMR 2010, 52; Plath, BDSG, 2013; Plath, Direktmarketing nach der BDSG-Novelle: Grenzen erkennen, Spielräume optimal nutzen, BB 2009, 1762; Roßnagel, Die Novellen zum Datenschutzrecht – Scoring und Adresshandel, NJW 2009, 2716.
A. Einleitung Das folgende Vertragsformular enthält Regelungen für den klassischen Adresskauf: Der Käufer übernimmt von dem Lieferanten einen Bestand an personenbezogenen Daten und zahlt dem Lieferanten dafür eine Vergütung. Es handelt sich um einen Kaufvertrag gem. § 433 BGB1, wobei das Kaufobjekt im Falle der Verkörperung der Daten auf einem Datenträger eine Sache i.S.d. § 90 BGB ist, andernfalls die unverkörperten Daten „sonstiger Gegenstand“ i.S.d. § 453 BGB sind2.
1
Das Formular ist zudem als Rahmenvertrag (vgl. v.a. Ziffer 2.2) ausgestaltet. Das hat zur Folge, dass alleine der Abschluss dieses Adresslieferungsrahmenvertrags keine unmittelbaren Pflichten begründet, sondern erst ein darauf basierender Einzelvertrag, ggf. in Form einer schlichten Bestellung des Käufers. Derartige Rahmenkonstruktionen sind branchenüblich. Käufer arbeiten bei gleichartigen Geschäften in der Regel dauerhaft mit immer denselben Lieferanten zusammen. Die gleichartigen Geschäfte zwischen denselben Parteien sollen allesamt denselben (strengen) Regeln unterliegen. So ermöglicht der Rahmenvertrag die Lieferung von Daten „auf Zuruf“ binnen kurzer Zeit, ohne dass es stets des Abschlusses eines umfangreichen Einzelvertrags bedarf. Das entspricht der heutigen Marketingrealität, in der Adressen mitunter tagesaktuell selektiert und geliefert werden. Dieses System sorgt für Flexibilität und Zeiteffizienz.
2
Das Vertragsmuster kann aber auch auf einen Einzelvertrag „zurückgebaut“ werden, indem die auf Dauerschuldverhältnisse gemünzten Klauseln, insbesondere zum Entstehen der Leistungspflichten, zur Laufzeit und den Vergütungsalternativen, entsprechend angepasst werden.
1 In der Praxis ist zu beachten, dass aus Sicht der Lieferanten – regelmäßig auch nach deren Verträgen – eher ein Mietvertrag zur ein- oder mehrmaligen Nutzung der gelieferten Datensätze vorliegt. Dementsprechend werden dort oft auch Regelungen zur Rückgabe sowie zur über das vereinbarte Maß hinausgehenden Nutzung getroffen. 2 Palandt/Ellenberger, § 90 BGB Rz. 2.
Feldmann/Höppner
|
339
Teil 3 II Rz. 3
Adressenkauf- und -überlassungsvertrag
3
Das Vertragsmuster ist für das sog. „Permission Marketing“ ausgestaltet, bei dem die werbliche Ansprache des Verbrauchers auf der Grundlage einer durch den Verbraucher erteilten Einwilligung in Datenverarbeitung und Empfang der Werbebotschaft gegründet ist. Das Muster geht also nicht von einem gesetzlichen Erlaubnistatbestand, insbesondere nicht von der Anwendung des sog. Listenprivilegs des § 28 Abs. 3 Satz 2, 4 BDSG aus. Letzteres mag für den Bereich des „White Mailing“ nach wie vor einen Anwendungsbereich haben; jedenfalls für Telefon- und E-Mail-Marketing bedarf es aber wegen § 7 Abs. 2 UWG ohnehin der Einwilligung des Verbrauchers (vgl. hierzu insbesondere die Rz. 26 ff.)
4
Eine besondere Spielart des Adresslieferungsvertrags ist der Vertrag zur Adressoder Leadgenerierung, bei der ein Unternehmen (als Auftraggeber) mit einem Auftragnehmer eine Vereinbarung über die Erhebung von personenbezogenen Daten und der Einholung entsprechender Einwilligungserklärungen der Verbraucher im Auftrag des Unternehmers und – im Hinblick auf die datenschutzrechtliche Beziehung – unmittelbar für das Unternehmen schließt. Der Auftragnehmer erbringt lediglich im Innenverhältnis die Dienstleistungen (etwa die Gestaltung einer Website, die Durchführung eines Gewinnspiels oder einer Telefonaktion, jeweils nach den Vorgaben des auftraggebenden Unternehmens), während im Außenverhältnis einzig der Auftraggeber auftritt. Datenschutzrechtlich ist die Leadgenerierung einfacher darstellbar, weil als Auftragsdatenverarbeitung1 abzubilden. Allerdings ist sie aufwendiger und dadurch wesentlich teurer für den Unternehmer, so dass sich der Adresslieferungsvertrag auch in Zeiten der Erschwerung der Übermittlung von personenbezogenen Daten zu Werbezwecken auf dem Markt noch immer gewisser Beliebtheit erfreut. Anders als in den Anfangsjahren des modernen Adresshandels sind die Käufer inzwischen aber aufgrund des gesteigerten Datenschutzbewusstseins, teilweise fragwürdiger Praktiken der Adresshändler und der sich daraus ergebenden Risiken wesentlich aufmerksamer.
5
Abzugrenzen ist der Adresslieferungsvertrag vom Listbrokingvertrag, bei dem nicht die Lieferung der Daten selbst Vertragsgegenstand ist, sondern das Vermitteln eines entsprechenden Vertrags zwischen Lieferanten und Käufer.
6
Selbstverständlich sind die Klauseln des vorliegenden Vertragsmusters als Allgemeine Geschäftsbedingungen gem. § 305 BGB zu werten. Ihre Wirksamkeit ist daher an den §§ 307 ff. BGB zu messen, sofern nicht im Zuge des Vertragsschlusses über die Klauseln „verhandelt“2 wird.
1 S. hierzu Teil 2 I und 2 II. 2 Zum Begriff des „Verhandelns“ im Zusammenhang mit AGB-Klauseln vgl. Palandt/ Grüneberg, § 305 BGB Rz. 11, unter Verweis auf BGH v. 6.12.2002 – V ZR 220/02, NJW 2003, 1313.
340
|
Feldmann/Höppner
Rz. 7 Teil 3 II
Vertragstext
B. Muster E Adressenlieferungsrahmenvertrag
7
zwischen A – Käufer – und B – Lieferant – Der Lieferant verfügt über einen Bestand von Adressdaten von Verbrauchern (nachfolgend „Datensätze“). Der Käufer beabsichtigt, Verbraucher aus bestimmten Zielgruppen direkt zu Werbezwecken zu kontaktieren und zu diesem Zweck entsprechende Datensätze von dem Lieferanten zu beziehen. Dies vorangestellt schließen die Parteien den folgenden Vertrag. 1. Gegenstand des Vertrags 1.1 Gegenstand dieses Rahmenvertrags ist die Vereinbarung des vertraglichen Rahmens für die Lieferung und Überlassung von Datensätzen zum Zwecke der Nutzung der Datensätze zur Kontaktaufnahme mit Verbrauchern zu Werbezwecken und die Selektion der zu liefernden Datensätze. 1.2 Dieser Rahmenvertrag begründet noch keine Leistungspflichten. Leistungspflichten werden erst durch die unter diesem Rahmenvertrag geschlossenen Einzelaufträge begründet. Ein Muster eines Einzelauftrags ist diesem Rahmenvertrag als Anhang A beigefügt. Es besteht keine Verpflichtung, Einzelaufträge zu erteilen. 1.3 Gegenstand der Einzelaufträge können Datensätze für die Werbung per Briefpost (White Mailing), per E-Mail oder per Telefon (Festnetz und Mobil) sein. In den Einzelaufträgen werden zumindest – das Kommunikationsmittel, für das die Datensätze zu liefern sind; – die Maßgaben für die Selektion der Datensätze; – die Liefermenge; – das jeweilige Recht zur Nutzung der Datensätze (ein- oder mehrmalige Nutzung, dauerhafte Nutzung etc.); – die Lieferzeit; – der Preis (in der Regel als sog. Tausenderkontaktpreis oder TKP) und die Abrechnungsmethode (Vergütung pro geliefertem Datensatz [ggf. mit Abzügen für nach internen Abgleichen ausgeschiedene Dubletten oder anderweitig nicht nutzbare Datensätze]), pro eingesetztem Datensatz (mit oder ohne Mindestabrechnungsquote) oder pro erfolgreicher Kontaktaufnahme mit den Verbrauchern Feldmann/Höppner
|
341
Teil 3 II Rz. 7
Adressenkauf- und -überlassungsvertrag
festgelegt. Weitere Leistungsparameter, wie z.B. die Neuerhebung von Verbraucherdaten (sog. Leads bzw. Lead-Generierung) speziell für den Käufer vor der Lieferung der entsprechenden Datensätze können hinzukommen. 1.4 Der Lieferant kann vorbehaltlich Ziffer 4 dieses Rahmenvertrags für seine Lieferungen und Leistungen auf eigene Datenbestände oder auch solche dritter Unternehmen zurückgreifen. Die Parteien stellen jedoch vorsorglich klar, dass alleiniger Vertragspartner des Käufers der Lieferant ist, dieser also nicht lediglich als Vermittler dritter Datenbestände fungiert. Der Lieferant ist auch mit Blick auf die Nutzung von Datenbeständen dritter Unternehmen in jeder Hinsicht vollumfänglich leistungsverpflichtet, also insbesondere auch hinsichtlich der Anforderungen der Ziffern 5 und 6 dieses Rahmenvertrags. 1.5 Bei Widersprüchen gehen die in den Einzelaufträgen vereinbarten Regelungen den Regelungen dieses Rahmenvertrags stets vor. 2. Stornierung Der Käufer ist berechtigt, Einzelaufträge ganz oder teilweise zu stornieren. Eine solche Stornierung wird der Käufer dem Lieferanten in Textform mitteilen. Die Stornierung wird innerhalb von 24 Stunden nach Zugang bzw. Empfang der Mitteilung wirksam (24-Stunden-Ausstiegsklausel). Kosten entstehen dem Käufer durch eine solche Stornierung nicht; der Lieferant kann keine Entgelt- oder Ersatzansprüche geltend machen. 3. Grundsätze zur Vertragsdurchführung 3.1 Negative Abweichungen von den vereinbarten Lieferungen und Leistungen und Teillieferungen, jeweils gleich ob in Bezug auf die Liefermenge oder sonstige Quantität oder von der vereinbarten Qualität des Leistungsgegenstands, werden vom Käufer nur akzeptiert, wenn der Käufer dies ausdrücklich bestätigt. Ansonsten ist der Lieferant nach Wahl des Käufers zur unverzüglichen Nacherfüllung verpflichtet, oder es gilt Ziffer 3.2 dieses Rahmenvertrags. Dubletten von Datensätzen gelten jeweils als nur ein gelieferter Datensatz und führen dementsprechend zu einer Minderlieferung. 3.2 Verbleibt es bei einer Minderlieferung oder bloßen Teilleistung, weil der Käufer die Nacherfüllung aus nachvollziehbaren Gründen ablehnt, weil der Lieferant die Nacherfüllung verweigert oder nicht leisten kann, oder aus sonstigen Gründen, ist die Vergütungspflicht des Käufers in jedem Fall entsprechend gemindert. Der Käufer ist jedoch überdies berechtigt, eine nicht unerhebliche Minderlieferung oder bloße Teilleistung als Nichterfüllung des ganzen Einzelauftrags zu werten und die entsprechenden Rechte auszuüben, insbesondere vom gesamten Einzelauftrag zurückzutreten und etwaige durch die Minderlieferung oder bloße Teilleistung entstandene unmittelbare und mittelbare Schäden gegenüber dem Lieferanten geltend zu machen, wenn und soweit der Lieferant die Minderlieferung bzw. bloße Teillieferung zu vertreten hat. 342
|
Feldmann/Höppner
Vertragstext
Rz. 7 Teil 3 II
3.3 Vom Käufer nicht veranlasste Mehrlieferungen des Lieferanten können durch den Käufer ohne zusätzlich anfallende Vergütung genutzt werden. 3.4 Leistungszeiten und Liefertermine sind stets verbindlich. Bei Nichteinhaltung ist der Käufer berechtigt, die Vergütung angemessen zu mindern oder vom Vertrag zurückzutreten bzw. diesen zu kündigen. Wenn dem Käufer durch schuldhaft nicht eingehaltene Leistungszeiten und Liefertermine ein Schaden entsteht, hat der Lieferant dem Käufer den entsprechenden Schaden zu ersetzen. 3.5 Wenn dem Lieferanten Schwierigkeiten hinsichtlich der Leistungserbringung entstehen oder bekannt werden, muss dies dem Käufer unverzüglich mitgeteilt werden. 4. Unterauftragnehmer Der Lieferant ist grundsätzlich berechtigt, sich zur Erfüllung seiner vertraglichen Pflichten eines oder mehrerer Unterauftragnehmer zu bedienen (vgl. Ziffer 1.4 dieses Rahmenvertrags). Voraussetzung ist jedoch, dass der Lieferant zuvor gegenüber dem Käufer die Identität des oder der avisierten Unterauftragnehmer offengelegt und die Quelle der betreffenden Datensätze angegeben hat. Auf Nachfrage des Käufers hat der Lieferant die Richtigkeit seiner Angaben vor oder nach Vertragsschluss zu belegen. 5. Datenqualität in tatsächlicher Hinsicht 5.1 Alle vom Lieferanten gelieferten Datensätze müssen im Double-Opt-inVerfahren erhoben worden sein. Der Lieferant wird mit jeder Lieferung einen Beispieldatensatz mitliefern, der aufzeigt, wie der Double-Opt-inProzess gestaltet war und wie er beim Lieferanten in identischer oder in allen wesentlichen Punkten vergleichbarer Weise – dies garantiert der Lieferant – auch für die anderen in der Lieferung enthaltenen Datensätze nachweisbar ist. Dies gilt insbesondere auch mit Blick auf gelieferte Datensätze aus Beständen Dritter. 5.2 Bei Mängeln der Lieferungen und Leistungen finden die Vorschriften der §§ 434 ff. BGB entsprechende Anwendung. Vorrangig gilt jedoch: 5.2.1 Soweit Vertragsgegenstand die Lieferung von Telefonadressen ist, hat der Lieferant den Einzelauftrag nicht erfüllt, wenn mehr als 5 % der betreffenden Personen unter der angegebenen Telefonnummer nicht erreicht werden können. Bei der Lieferung von E-Mail-Adressen zur werblichen Ansprache ist der Vertrag nur ordnungsgemäß erfüllt, wenn wenigstens 95 % der versandten E-Mails an die Empfänger zugestellt werden können. Liegt nach dieser Ziffer 5.2.1 keine Vertragserfüllung vor, kann der Käufer alle Datensätze des Einzelauftrags zurückgeben, ohne dass es einer Fristsetzung bedarf. Der Lieferant erhält in diesem Fall als Wertersatz unabhängig von der im Einzelauftrag vereinbarten Abrechnungsmethode nur die rechnerische Vergütung für diejenigen Datensätze, die vom Käufer tatsächlich eingesetzt wurden und bei Feldmann/Höppner
|
343
Teil 3 II Rz. 7
Adressenkauf- und -überlassungsvertrag
denen die Kontaktaufnahme mit dem Verbraucher möglich war; etwaig bereits geleistete Beträge sind unverzüglich zurückzuzahlen. Maßstab für die oben bezeichneten Quoten sind, sofern vorhanden, die eigenen Aufzeichnungen des Käufers. Wenn sich während der Durchführung der jeweiligen Kampagne nach wenigstens 10 % genutzter Datensätze Fehlerquoten abzeichnen, die die obigen Quoten um mehr als 50 % überschreiten, müssen nicht alle Datensätze genutzt werden; es kann jederzeit abgebrochen werden. In diesem Fall geltend die Sätze 3 und 4 des vorangehenden Absatzes dieser Ziffer 5.2.1 entsprechend. Alternativ ist der Käufer berechtigt, eine Minderung der Vergütung geltend zu machen. 5.2.2 Der Käufer kann auch dann vom Einzelauftrag zurücktreten oder die Vergütung mindern, wenn ein anderer erheblicher Mangel der Datenqualität vorliegt. Einer Fristsetzung durch den Käufer bedarf es in solchen Fällen nicht. Ein erheblicher Mangel kann z.B. bei vereinbarter Exklusiv- bzw. Erstnutzung von Datensätzen in sich wiederholenden Aussagen von Verbrauchern bestehen, bereits zuvor auf derselben Grundlage (also z.B. auf Grundlage des Gewinnspiels, das auch die Grundlage der Datenerhebung für die nach diesem Rahmenvertrag gelieferten Datensätze ist) kontaktiert worden zu sein. Um zu Gewährleistungsansprüchen nach dieser Ziffer 5.2.2 berechtigt zu sein, muss der Käufer nur nachweisen, dass es solche wiederholten Aussagen von Verbrauchern gibt. 5.3 Der Lieferant hat im Zuge der Lieferung immer anzugeben, aus welcher Quelle bzw. welchen Quellen die Daten genau stammen und wie und in welchem Zusammenhang sie erhoben wurden, insbesondere welche Gesellschaft die Daten erstmalig erhoben hat. 5.4 Der Käufer ist zudem stets berechtigt, vom Lieferanten zu verlangen, dass dieser auch das Datum der Erhebung (Generierung) der einzelnen Datensätze mitliefert oder nachliefert. Zudem ist der Käufer berechtigt, vom Lieferanten pro Lieferung anlassunabhängig die Lieferung von bis zu 20 Einwilligungsnachweisen nach Maßgabe von Ziffer 6 dieses Rahmenvertrags für vom Käufer bezeichnete Verbraucher zu verlangen. Dem Käufer steht diesbezüglich ein Zurückbehaltungsrecht hinsichtlich der eigenen Leistung zu. Stellt der Lieferant die Opt-in-Nachweise auch nach zweifacher Aufforderung nicht zur Verfügung, kann der Käufer ohne Weiteres vom Einzelauftrag zurücktreten. Der Käufer kann die Einwilligungsnachweise während oder auch nach der Auftragsdurchführung geltend machen. 5.5 Ist das Alter der Personen Gegenstand der vom Lieferant vorzunehmenden Datenselektion, so kann der Käufer verlangen, dass der Lieferant jeweils die Geburtsjahre der Verbraucher mitliefert. In jedem Fall hat der Käufer das Recht, eine nachträgliche Lieferung dieser Daten zu Prüfungs344
|
Feldmann/Höppner
Vertragstext
Rz. 7 Teil 3 II
zwecken zu verlangen. Ziffer 5.4 dieses Rahmenvertrags, dort die Sätze 3 bis 5, gilt entsprechend. 5.6 Bestellt der Käufer durch weitere Einzelaufträge weitere Datensätze, gleich ob im unmittelbaren Zusammenhang oder später bzw. für andere Kampagnen, hat der Lieferant sicherzustellen, dass diese Datensätze zu den zuvor unter diesem Rahmenvertrag gelieferten Datensätzen stets überschneidungsfrei sind, also keine Dubletten geliefert werden. 5.7 Ist der Lieferant (auch) mit der Lead-Generierung beauftragt und wird er vom Käufer pro so generiertem und geliefertem Datensatz vergütet, hängt der Anspruch auf die Vergütung von der Qualität der Leads ab. Stellt sich innerhalb von sechs Monaten nach der Lieferung der Leads heraus (z.B. im Zuge der versuchten Kontaktaufnahme mit den betreffenden Verbrauchern), dass die Leads mit einer nicht unerheblichen Fehlerquote behaftet sind, z.B. weil die Verbraucher unter dem angegebenen Namen, der mitgeteilten Adresse, E-Mail-Adresse oder Telefonnummer nicht zu erreichen sind, mindert sich die Vergütung des Lieferanten entsprechend der Fehlerquote. Zudem hat der Käufer das Recht, vom Einzelauftrag zurückzutreten, wenn die Fehlerquote erheblich ist. Eine Fehlerquote von über 7,5 % der Leads gilt stets als erheblich. Eine bereits geleistete Vergütung ist anteilig (bei Minderung) oder vollständig (bei Rücktritt) zurückzuzahlen, wobei in letzterem Fall Ziffer 5.2.1 Satz 4 dieses Rahmenvertrags Anwendung findet. 5.8 Keine Regelung dieser Ziffer 5 ist so auszulegen, dass sie die dem Käufer bei entsprechender Anwendung der §§ 434 ff. BGB zustehenden Gewährleistungsansprüche einschränken würde. Dem Käufer obliegt es nicht, den Leistungsgegenstand vor Verwendung auf Mangelfreiheit zu prüfen. Der Käufer unterliegt auch keiner Rügeobliegenheit oder -pflicht i.S.v. § 377 HGB, weder hinsichtlich offensichtlicher noch hinsichtlich erst später zutage tretender Mängel. 6. Datenqualität in rechtlicher Hinsicht: Einwilligungen, Nachweis der Einwilligung und Prüfung der Leistung 6.1 Zu liefernde Datensätze müssen stets mit entsprechenden Einwilligungserklärungen der jeweiligen Verbraucher (für die Zwecke dieses Rahmenvertrags sog. „Opt-ins“) vorliegen. Die Einwilligungserklärungen müssen mit Blick auf die einzelauftragsgegenständliche Kontaktaufnahme zu Werbezwecken rechtlich wirksam und beweisbar sein. Der Lieferant hat diesbezüglich die geltende Rechtslage einschließlich der jeweils aktuellen Rechtsprechung zu beachten und deren Anforderungen zu genügen. Fehlende oder unwirksame Einwilligungserklärungen stellen einen erheblichen, nicht heilbaren Mangel der Leistung dar. 6.2 Unabhängig von Ziffer 6.1 dieses Rahmenvertrags, die dieser Ziffer 6.2 bei der Beurteilung der Vertragsgemäßheit der Lieferung/Leistung des Lieferanten im Zweifel stets vorgeht, stellt der Käufer an die Einholung der Einwilligung von den Personen, deren Datensätze Gegenstand einer Lieferung sind, die folgenden Mindestanforderungen: Feldmann/Höppner
|
345
Teil 3 II Rz. 7
Adressenkauf- und -überlassungsvertrag
6.2.1 Die Einwilligungserklärung muss gerade (auch) für den Käufer wirken und den Käufer als Einwilligungsempfänger bezeichnen. Sie muss zudem darüber informieren, dass die Einwilligung jederzeit (auch) gegenüber dem Käufer widerrufen werden kann. 6.2.2 Sofern die Daten „offline“ erhoben werden, ist die Einwilligung immer mittels einer gesonderten, von den Adressaten aktiv anzuwählenden Checkbox (anzukreuzendes Kästchen) einzuholen, der ein eigener, deutlich gestalteter, nicht mit anderen Erklärungen (wie z.B. der Teilnahmeerklärung zu einem Gewinnspiel) kombinierter oder in anderen Erklärungen (wie z.B. AGB) ohne Trennung enthaltener Einwilligungstext zugeordnet ist. 6.2.3 Sofern die Daten im Internet erhoben werden, ist die Einwilligung stets mittels einer gesonderten, nicht bereits voreingestellten, von den Adressaten also aktiv anzuwählenden Checkbox einzuholen, der ein eigener, deutlich gestalteter, nicht mit anderen Erklärungen (wie z.B. der Teilnahmeerklärung zu einem Gewinnspiel) kombinierter oder in anderen Erklärungen (wie z.B. AGB) enthaltener Einwilligungstext zugeordnet ist. Weiterhin sind sämtliche zu liefernden Datensätze einschließlich eines sog. IP-Timestamps zu erheben und zu speichern, also versehen mit der IP-Adresse des Internetanschlusses des Verbrauchers zum Zeitpunkt der Erklärung der Einwilligung sowie dem exakten Datum und Zeitpunkt der Erklärung. Über diese Erhebung und Verarbeitung dieser Daten ist der Verbraucher im Zuge des Einwilligungsprozesses zu informieren und sie muss von der Einwilligung umfasst sein. Zudem ist für jede Adresslieferung ein Screenshot der Internetseite, über die die Einwilligung des Adressaten eingeholt wurde, in Farbe vorzuhalten, auf dem der Einwilligungstext lesbar ist und aus dem ersehen werden kann, wie dieser und die ihm zugeordnete Checkbox auf der Seite angeordnet und dargestellt wurden. 6.2.4 Stellt die jeweils aktuelle Rechtslage bzw. Rechtsprechung strengere Anforderungen an die Wirksamkeit von Einwilligungserklärungen, gehen diese dieser Ziffer 6.2 vor. 6.3 Auf Verlangen des Käufers muss der Lieferant angefragte Einwilligungserklärungen gegenüber dem Käufer binnen 48 Stunden nach Anfrage nachweisen und schriftlich bzw. digital in der Form des Protokolls des Double-Opt-in-Prozesses des betreffenden Verbrauchers einschließlich Nachweises über die zugeordnete Einwilligungserklärung zur Verfügung stellen (Samstage, Sonntage und gesetzliche Feiertage bleiben bei der Berechnung der Frist außer Betracht). Diese Verpflichtung besteht zeitlich unbefristet. Der Nachweis der Einwilligung, dessen Richtigkeit vom Lieferant durch seine Unterschrift zu garantieren ist, hat dabei den kompletten Datensatz des Adressaten zu enthalten. Er ist zudem bei digital erteilten Einwilligungen mit dem in Ziffer 6.2.3 dieses Rahmenvertrags genannten Screenshot und dem IP-Timestamp zu verbinden. Die Versicherung der 346
|
Feldmann/Höppner
Vertragstext
Rz. 7 Teil 3 II
Richtigkeit der Angaben durch den Lieferanten muss sich auch auf den IPTimestamp und den Screenshot beziehen. 6.4 Die Verpflichtungen der vorstehenden Ziffern 6.1 bis 6.3 gelten unabhängig davon, ob der Lieferant aus eigenen Datenbeständen liefert oder sich Datenbeständen Dritter (Unterlieferanten) bedient. 6.5 Hat der Lieferant schuldhaft gegen seine Verpflichtung verstoßen, entsprechende Einwilligungen einzuholen und vorzuhalten bzw. einholen und zur Lieferung an den Käufer vorhalten zu lassen, oder schuldhaft seine Nachweispflicht nach Ziffer 6.3 verletzt, hat er dem Käufer in jedem Fall eine Vertragsstrafe in Höhe von 15 000 Euro zu zahlen. Die Geltendmachung weiterer und weitergehender Ansprüche seitens des Käufers wird durch die Vertragsstrafeverpflichtung nicht berührt. Die Vertragsstrafe wird aber, sofern sie geleistet ist, auf andere Ansprüche immer angerechnet, solche Ansprüche werden daher nur insoweit fällig, als sie die Vertragsstrafezahlung übersteigen. 6.6 Der Lieferant hat vor der Lieferung von Datensätzen stets sicherzustellen, dass die betreffenden Verbraucher nicht in einer der Robinsonlisten oder einer anderen einschlägigen Liste eingetragen sind. 6.7 Der Lieferant gewährleistet weiterhin, dass der Leistungsgegenstand keine Datensätze enthält, deren Verwendung dem Lieferanten oder dem betreffenden Unterlieferanten durch gerichtliche Unterlassungs- oder sonstige Titel, gleich ob rechtskräftig oder nicht, untersagt wurde, gegen vom Lieferanten oder dem betreffenden Unterlieferanten abgegebene Unterlassungsversprechen (insbesondere in der Form von strafbewehrten Unterlassungs- und Verpflichtungserklärungen) verstoßen würde und/ oder hinsichtlich derer beim Lieferanten oder dem betreffenden Unterlieferanten auch nur eine Beschwerde des betroffenen Verbrauchers oder eines Verbraucherschutz- oder anderen Verbandes vorliegt. 7. Datenabgleich und Abrechnung „netto erreicht“ 7.1 In Fällen, in denen im Einzelauftrag vereinbart ist, dass vor der eigentlichen Selektion für die Lieferung Datensätze zunächst zum Zwecke eines Datenabgleichs (z.B. Abgleich mit beim Käufer bereits vorhandenen Beständen) bestellt werden, um die für den Käufer und/oder den Endkunden mit einem Mehrwert nutzbaren Datensätze zu ermitteln (im Folgenden die „tatsächliche Liefermenge“), wird erst nach dem Abgleich die eigentliche Selektion auf der Grundlage der tatsächlichen Liefermenge durchgeführt. Nur die tatsächliche Liefermenge ist auch vergütungspflichtig. Die übrigen Datensätze erhält der Lieferant ungenutzt zurück. Eine etwaig vereinbarte Mindestabrechnungsquote („MAQ“; siehe unten Ziffer 8.3 dieses Rahmenvertrags) bezieht sich in einem solchen Fall lediglich auf die tatsächliche Liefermenge. 7.2 Ist eine Abrechnung „netto erreicht“ vereinbart (in der Regel nur für Datensätze für Telefonmarketingzwecke), wird zunächst ein Datenabgleich Feldmann/Höppner
|
347
Teil 3 II Rz. 7
Adressenkauf- und -überlassungsvertrag
nach Ziffer 7.1 dieses Rahmenvertrags durchgeführt. Vergütungspflichtig ist aber nicht die tatsächliche Liefermenge, sondern lediglich die Anzahl der durch Nutzung der tatsächlichen Liefermenge am Ende erfolgreich kontaktierten Verbraucher; erfolgreich kontaktiert in diesem Sinne wurde ein Verbraucher dann, wenn tatsächlich mit ihm gesprochen und nicht lediglich eine dritte Person oder ein Anrufbeantworter erreicht wurde oder die Nummer besetzt oder nicht vergeben war. Sofern zusätzlich das erfolgreiche Erreichen einer bestimmten Anzahl von Empfängern Gegenstand des Einzelvertrags ist, ist der Lieferant verpflichtet, solange Datensätze gemäß der vertraglichen Spezifikationen nachzuliefern, bis die vorgesehene Anzahl erfolgreich kontaktierter Empfänger erreicht ist. Entscheidend sind diesbezüglich die Aufzeichnungen des Käufers. 8. Vergütung 8.1 Der Käufer leistet dem Lieferanten die im Einzelvertrag festgelegte Vergütung. 8.2 Die im Einzelvertrag genannten Vergütungsbeträge verstehen sich netto zuzüglich Umsatzsteuer. 8.3 Ist im Einzelvertrag eine Mindestabrechnungsquote („MAQ“) vereinbart, richtet sich die Vergütung grundsätzlich (siehe aber Ziffer 7.1 dieses Rahmenvertrags) nach dieser Quote, nicht nach der Gesamtliefermenge. Eine Vergütung über die MAQ hinaus ist nur zu leisten, sofern Datensätze über die vereinbarte MAQ hinaus tatsächlich genutzt wurden. 8.4 Ist eine Nettoabrechnung vereinbart (z.B., aber nicht ausschließlich, nach einem Datenabgleich wie in Ziffer 7.1 dieses Rahmenvertrags beschrieben), sind nur die tatsächlich genutzten Datensätze vergütungspflichtig. Ist eine Abrechnung „netto erreicht“ Gegenstand des Einzelauftrags, bestimmt sich die Vergütung nach der Anzahl der tatsächlich erfolgreich kontaktierten Verbraucher, ggf. begrenzt auf die vorgesehene Zielanzahl, wenn eine solche vereinbart ist (vgl. Ziffer 7.2 dieses Rahmenvertrags). 8.5 Dem Käufer stehen gegen Vergütungsansprüche des Lieferanten die gesetzlichen Zurückbehaltungsrechte zu. Ein Zurückbehaltungsrecht besteht insbesondere, solange der Lieferant nicht die verlangten Einwilligungsnachweise erbracht hat. 9. Zahlungsbedingungen 9.1 Der Lieferant erstellt ordnungsgemäße, die abgerechnete Leistung unter Nennung des betreffenden Einzelvertrags genau bezeichnende Rechnungen. 9.2 Das Zahlungsziel beträgt 60 Tage nach Eingang der ordnungsgemäßen Rechnung. Erfolgt die Zahlung binnen 21 Tagen nach Eingang der Rechnung gelten 3 % Skonto. 348
|
Feldmann/Höppner
Vertragstext
Rz. 7 Teil 3 II
10. Gewährleistung Unbeschadet der besonderen Regelungen der Ziffern 5 und 6 dieses Rahmenvertrags stehen dem Käufer bei Sach- und/oder Rechtsmängeln des Leistungsgegenstands die gesetzlichen Gewährleistungsansprüche nach den folgenden Maßgaben zu: 10.1 Der Lieferant gewährleistet, dass die Leistungsgegenstände mangelfrei sind, insbesondere dass sie sich zur vertraglich oder gewöhnlich bestimmten Nutzung eignen und der Nutzung weder gesetzliche Normen noch eine der in Ziffer 6.6 dieses Rahmenvertrags aufgeführten Konstellationen entgegenstehen. 10.2 Der Käufer ist nur dann verpflichtet, eine Nacherfüllung des Lieferanten anzunehmen, wenn er für die nachgelieferten Datensätze noch im Rahmen der dem Einzelauftrag zugrunde liegenden Kampagne Verwendung hat. Ansonsten kann der Käufer die Vergütung unmittelbar mindern. Bei einer erheblichen Minderlieferung gilt zudem Ziffer 3.2 Satz 2 dieses Rahmenvertrags. 10.3 Sofern der Käufer die Nacherfüllung wünscht, werden vom Käufer hierfür eingedenk der marktüblich kurzfristigen Leistungszeiträume nur einmalige, knappe Nachfristen gesetzt. Eine Nachfrist von 24 Stunden ist im Regelfall nicht unangemessen. Eine zweite Nachfrist muss nicht gesetzt werden. Nach erfolglosem Ablauf der einmaligen Nachfrist stehen dem Käufer die gesetzlichen Ansprüche zu. 10.4 Sofern der Mangel in einer fehlenden rechtswirksamen Einwilligung des Verbrauchers besteht, kann der Käufer trotz Nachlieferung alle wegen der fehlenden Einwilligung entstehenden Schäden, insbesondere in der Form von Rechtsanwaltskosten und Verfahrenskosten, gegen den Lieferanten geltend machen (siehe auch Ziffer 11.2 dieses Rahmenvertrags). 11. Haftung des Lieferanten und Freistellung 11.1 Unbeschadet Ziffer 11.2 dieses Rahmenvertrags haftet der Lieferant gegenüber dem Käufer grundsätzlich nach den gesetzlichen Bestimmungen. 11.2 Der Lieferant stellt den Käufer zudem insbesondere von jeder Haftung und sämtlichen Kosten, einschließlich Rechtsanwaltskosten zur Rechtsverteidigung sowie möglicher und tatsächlicher Kosten eines gerichtlichen Verfahrens, frei, falls der Käufer von Dritten, insbesondere einem Verbraucher, einem Verbraucherschutzverband, einem Wettbewerber oder einer staatlichen Institution wie der Bundesnetzagentur mit der Behauptung in Anspruch genommen wird, der bzw. ein oder mehrere Verbraucher seien zu Werbezwecken kontaktiert worden, ohne dass eine wirksame Einwilligung der betreffenden Person in die Datenverarbeitung und/oder den Empfang des betreffenden Werbemittels/die Kontaktaufnahme für den entsprechenden werblichen Zweck vorlag. Der Lieferant kann diese Haftung durch den Nachweis einer wirksamen EinFeldmann/Höppner
|
349
Teil 3 II Rz. 7
Adressenkauf- und -überlassungsvertrag
willigung vermeiden bzw. beenden, wobei hinsichtlich der Wirksamkeit die einschlägige Gesetzeslage und Rechtsprechung maßgeblich ist, nicht das Urteil des Lieferanten. Der Käufer wird den Lieferanten über die Inanspruchnahme unterrichten. Der Lieferant ist verpflichtet, dem Käufer unverzüglich alle ihm verfügbaren Informationen über den betreffenden Sachverhalt vollständig mitzuteilen. Voraussetzung für die Freistellung ist, dass der Käufer in der Sache ohne Zustimmung des Lieferanten keine Zugeständnisse macht oder Anerkenntnisse erklärt und es dem Lieferanten ermöglicht, auf seine Kosten alle gerichtlichen und außergerichtlichen Verhandlungen über die Ansprüche zu führen. Diese Voraussetzungen entfallen allerdings, wenn und soweit der Lieferant binnen der vom Käufer hierfür gesetzten Frist sich nicht mit dem Käufer über den Sachverhalt und das Vorgehen ins Benehmen setzt. 11.3 Ist eine nach Ziffer 6.4 dieses Rahmenvertrags fällige Vertragsstrafe durch den Lieferanten geleistet, findet eine entsprechende Anrechnung statt. Freistellungsansprüche werden in diesem Fall also nur fällig, sofern ihr Umfang den Betrag der geleisteten Vertragsstrafe übersteigt. 12. Laufzeit, Kündigung und Rücktritt 12.1 Dieser Rahmenvertrag ist auf unbestimmte Zeit geschlossen. Er kann von beiden Seiten mit einer Frist von drei Monaten zum Ende des Quartals gekündigt werden. 12.2 Die Einzelaufträge unterliegen dem Stornierungsrecht des Käufers (siehe oben Ziffer 2 dieses Rahmenvertrags). 12.3 Dem Käufer steht ein jederzeit ausübbares Sonderkündigungsecht mit sofortiger Wirkung für den Fall zu, dass sich die Rechtslage hinsichtlich der Zulässigkeit der geplanten Verwendung der Leistungsgegenstände ändert und die Verwendung rechtlich unzulässig wird. Eine auf dieser Grundlage ausgesprochen Kündigung wirkt sowohl für diesen Rahmenvertrag als auch für alle laufenden Einzelaufträge. 12.4 Das Recht zur außerordentlichen Kündigung ist beiden Parteien unbenommen. 12.5 Bei einer ordentlichen Kündigung dieses Rahmenvertrags werden bereits geschlossene Einzelaufträge noch zu den Bedingungen dieses Rahmenvertrags durchgeführt, es sei denn, der Käufer erklärt, dies nicht zu wollen. Eine außerordentliche Kündigung dieses Rahmenvertrags bewirkt aber auch das sofortige Ende aller Einzelaufträge, ohne dass dies gesondert erklärt zu werden braucht. 12.6 Kündigungserklärungen bedürfen der Schriftform. Die Übermittlung der unterzeichneten Erklärung per Telefax genügt diesem Schriftformerfordernis, nicht hingegen eine Erklärung per E-Mail. 350
|
Feldmann/Höppner
Vertragstext
Rz. 7 Teil 3 II
13. Vertraulichkeit 13.1 Der Lieferant ist verpflichtet, diesen Rahmenvertrag sowie alle ihm im Zusammenhang mit dem Auftrag bekannt gewordenen oder bekannt werdenden Informationen über den Käufer, die als vertraulich gekennzeichnet werden oder anhand sonstiger Umstände als Geschäfts- und Betriebsgeheimnisse oder anderweitig geheim zu haltende Informationen erkennbar sind, dauerhaft geheim zu halten, nicht an Dritte weiterzugeben, aufzuzeichnen oder in anderer Weise zu verwerten, sofern der Käufer der Offenlegung oder Verwendung nicht ausdrücklich und schriftlich zugestimmt hat. 13.2 Der Lieferant stellt durch geeignete vertragliche Vereinbarungen mit seinen Arbeitnehmern und allen anderen für ihn tätigen Personen, insbesondere eigenen Unterauftragnehmern und Lieferanten, sicher, dass auch diese Personen jegliche Offenlegung, Verwertung, Weitergabe oder Aufzeichnung der geheim zu haltenden Informationen unterlassen. 13.3 Verstößt der Lieferant gegen eine der in dieser Klausel festgelegten Verpflichtungen, hat der Lieferant dem Käufer für jeden Fall der schuldhaften Zuwiderhandlung eine vom Käufer der Höhe nach festzusetzende und im Streitfall vom zuständigen Gericht zu überprüfende Vertragsstrafe zu zahlen, wobei die Mindestvertragsstrafe 5 000 Euro beträgt. 13.4 Weitere und weitergehende Ansprüche, insbesondere Schadensersatzansprüche, behält sich der Käufer unter Anrechnung einer nach dem vorstehenden Absatz geleisteten Vertragsstrafe ebenso vor wie eine außerordentliche Kündigung des Vertrags. 13.5 Die Verpflichtungen nach dieser Ziffer 13 überdauern das Ende dieses Rahmenvertrags. 14. Aufrechnung und Zurückbehaltungsrecht Der Lieferant ist nicht zur Aufrechnung berechtigt, es sei denn, die Gegenforderungen sind von dem Käufer nicht bestritten oder rechtskräftig festgestellt. Entsprechendes gilt für die Geltendmachung eines Zurückbehaltungsrechts. 15. Schlussbestimmungen 15.1 Allgemeine Geschäftsbedingungen des Lieferanten finden keine Anwendung. 15.2 Gerichtsstand für alle aus oder im Zusammenhang mit dem Rahmenvertrag und/oder einem oder mehreren Einzelaufträgen entstehenden Streitigkeiten ist [STADT], wenn die Vertragsparteien Kaufleute, juristische Personen des öffentlichen Rechts oder öffentlich-rechtliche Sondervermögen sind. Alternativ hat der Käufer stets das Recht, den Lieferanten auch an dessen Sitz zu verklagen. 15.3 Für diesen Rahmenvertrag und alle Einzelaufträge gilt ausschließlich das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-KaufFeldmann/Höppner
|
351
Teil 3 II Rz. 8
Adressenkauf- und -überlassungsvertrag
rechtsübereinkommens sowie des deutschen und europäischen Kollisionsrechts. 15.4 Änderungen und Ergänzungen von Rahmenvertrag und/oder Einzelaufträgen bedürfen zu ihrer Wirksamkeit der Schriftform. Dies gilt auch für eine Abrede, durch die diese Klausel für ungültig erklärt oder geändert wird. 15.5 Sollten eine oder mehrere Bestimmungen dieses Rahmenvertrags und/ oder eines Einzelauftrags unwirksam sein oder werden, so bleibt der Rahmenvertrag bzw. der betreffende Einzelauftrag im Übrigen wirksam. Der Lieferant und der Käufer verpflichten sich, die entsprechende Bestimmung in einem solchen Fall durch die Regelung zu ersetzen, die dem Vertragszweck wirtschaftlich soweit wie möglich entspricht.
C. Erläuterungen I. Ausrichtung des Vertragsmusters 8
Das Vertragsmuster ist insgesamt bewusst käuferfreundlich gestaltet und dabei in AGB-rechtlicher Hinsicht insbesondere in den Regelungen der Ziffern 3, 5 und 6 „auf Kante genäht“. Dies ist zum einen der meist stärkeren Verhandlungsposition von großen Datenabnehmern geschuldet. Zum anderen besteht der Sinn dieser Herangehensweise aber auch darin, neuralgische Punkte des Dateneinkaufs für Werbezwecke hervorzuheben, um die Interessen der Käufer deutlich zu machen – während die Motive und Interessen der Datenlieferanten naturgemäß gegenläufig sind. Bei der Vertragsgestaltung aus Sicht des Datenlieferanten lässt sich das Vertragsmuster daher in großen Teilen spiegeln.
II. Datenschutzrechtliche und wettbewerbsrechtliche Grundkonstellation 9
In der Regel sind Gegenstand des Adresslieferungsvertrags personenbezogene Daten von Verbrauchern. Der „Handel“ mit solchen Daten hat im Jahr 2009 eine gesetzliche Verschärfung erfahren, so dass der Prozess der Datenlieferung schon datenschutzrechtlich nur unter erschwerten Voraussetzungen rechtskonform abgebildet werden kann. Hinzu kommen aber im Direktmarketing jenseits der bloßen Briefwerbung auch noch die Anforderungen des § 7 Abs. 2 Nr. 2 und 3 UWG. Die strengen gesetzlichen Verpflichtungen schlagen sich in der Vertragsgestaltung, und damit auch im hiesigen Formular, vor allem in Gestalt von vertraglichen Garantien (vgl. v.a. Ziffern 6 und 7 des Musters), nieder.
1. Datenschutzrecht: § 28 Abs. 3 BDSG 10
§ 28 Abs. 3 BDSG enthält einen Erlaubnistatbestand, der über die Nutzung von „eigenen“ personenbezogenen Daten zum Zwecke der Werbung für eigene 352
|
Feldmann/Höppner
Erläuterungen
Rz. 11 Teil 3 II
Produkte hinaus, wenn auch unter strengen Voraussetzungen, die Übermittlung von Daten zum Zwecke der Werbung durch Dritte gestattet1. § 28 Abs. 3 Satz 4 BDSG ist zwar – wie § 28 Abs. 3 BDSG insgesamt – insbesondere in Bezug auf die Berechtigung des Dritten, die Daten auch zu Werbezwecken zu verarbeiten, anerkanntermaßen kein gesetzgeberisches Glanzstück. Da jedoch die Übermittlung entsprechender Listen erlaubt ist, muss auch die entsprechende Nutzung der Daten und die dafür erforderliche Verbreitung durch den Empfänger zulässig sein. Für das moderne Direktmarketing ist der Erlaubnistatbestand des § 28 Abs. 3 Satz 2, 4 BDSG aber schon deswegen kaum zu gebrauchen, da die Datenmerkmale, die Teil einer „Liste“ sein dürfen, einem numerus clausus unterliegen. Andere Daten als die Berufs-, Branchen- oder Geschäftsbezeichnung des Verbrauchers, seinen Namen, Titel und akademischen Grad sowie die Anschrift und das Geburtsjahr dürfen für eine Verarbeitung und Nutzung im Rahmen des § 28 Abs. 3 BDSG grundsätzlich nicht gespeichert werden. Nur für Zwecke der Werbung für eigene Angebote der verantwortlichen Stelle gestattet § 28 Abs. 3 Satz 3 BDSG eine Hinzuspeicherung weiterer Daten. Das bedeutet insbesondere, dass eine rein auf § 28 Abs. 3 BDSG basierende Datenverarbeitung für das Telefon- und E-Mail-Marketing ausscheidet. Zwar wird teilweise vertreten, dass wenigstens die E-Mail-Adresse noch unter den Begriff „Anschrift“ subsumiert werden könne2. Das erscheint jedoch nicht nur vor dem Hintergrund des Wortlauts zweifelhaft. Vielmehr hat der Gesetzgeber bei der Überarbeitung der Norm im Jahr 2009 die E-Mail-Adresse gerade nicht zu einem zulässigen Listendatum erhoben. Es ist davon auszugehen, dass dies eine bewusste Entscheidung war, war doch gerade das vermeintlich Überhand nehmende Direktmarketing einer der Gründe für die Verschärfung der Vorschrift3. In der Praxis war die Werbung auf Grundlage des Listenprivilegs aber schon vor der Reform des Jahres 2009 auf dem Rückzug. Zumindest um die Datenverarbeitung auf einen zweiten Erlaubnistatbestand zu stellen, wird heute in aller Regel von Käuferseite großer Wert auf das Vorliegen entsprechender Einwilligungserklärungen der Verbraucher gelegt. Entscheidend ist also weniger § 28 Abs. 3 BDSG als § 28 Abs. 3a, § 4a BDSG.
2. Wettbewerbsrecht § 28 Abs. 3a, § 4a BDSG stellen für das Einholen einer wirksamen Einwilligung zur Datenverarbeitung für Werbezwecke bestimmte formelle und inhaltliche Voraussetzungen auf. Da infolge der „Payback“-Entscheidung des BGH4 die ge1 Zum Regelungsinhalt von § 28 Abs. 3 BDSG s. im Detail Pfeiffer, MMR 2010, 524; Roßnagel, NJW 2009, 2716. 2 Plath/Plath, § 28 BDSG Rz. 119. 3 S. hierzu BT-Drucks. 16/12011 v. 18.2.2009, 31; so auch Bergmann/Möhrle/Herb, § 28 BDSG Rz. 79; zum Hintergrund der Datenschutz-Novelle s. auch die Beschlussempfehlung des Innenausschusses, BT-Drucks. 16/13657, 2; Gola/Klug, NJW 2009, 2577 (2579); Roßnagel, NJW 2009, 2716 (2717). Eine Analyse der Rechtslage und der Lücken im gesetzlichen Verbraucherschutz bietet Geiger, NJW 2007, 3030. 4 BGH v. 16.7.2008 – VIII ZR 348/06 – Payback, NJW 2008, 3055 = GRUR 2008, 1010.
Feldmann/Höppner
|
353
11
Teil 3 II Rz. 12
Adressenkauf- und -überlassungsvertrag
nannten Normen aus datenschutzrechtlicher Perspektive auch eine Opt-outGestaltung des Einholens der Einwilligung ermöglichen, liegt der Schwerpunkt der rechtlichen Prüfung – jedenfalls wenn auch Telefon- und E-Mail-Marketing Gegenstand des Vertrags sind – regelmäßig auf § 7 Abs. 2 Nr. 2 und Nr. 3 UWG1. Da die Rechtsprechung gerade der Instanzgerichte zu diesen Normen (1.) generell sehr streng und (2.) in vielerlei Hinsicht uneinheitlich ist, ist der Käufer als (auch) datenschutzrechtlich, vor allem aber mit Blick auf § 7 Abs. 2 UWG Verantwortlicher einem erheblichen Risiko ausgesetzt. Er muss sich daher vertraglich so gut es geht absichern. Neben der sorgfältigen Auswahl des Datenlieferanten und der eigenen Sorgfalt bei der Durchführung der Kampagnen, ist der Vertrag mit dem Lieferanten elementar, um sich, sollten sich die geschilderten rechtlichen Risiken realisieren, exkulpieren, wenigstens aber Regress nehmen zu können. Für die Exkulpation ist es natürlich entscheidend, das Erteilen einer Einwilligung durch den Verbraucher nachweisen und deren Wirksamkeit überzeugend vertreten zu können.
III. Erläuterung der einzelnen Klauseln 1. Erläuterungen zu Ziffer 1 12
E 1. Gegenstand des Vertrags 1.1 Gegenstand dieses Rahmenvertrags ist die Vereinbarung des vertraglichen Rahmens für die Lieferung und Überlassung von Datensätzen zum Zwecke der Nutzung der Datensätze zur Kontaktaufnahme mit Verbrauchern zu Werbezwecken und die Selektion der zu liefernden Datensätze. 1.2 Dieser Rahmenvertrag begründet noch keine Leistungspflichten. Leistungspflichten werden erst durch die unter diesem Rahmenvertrag geschlossenen Einzelaufträge begründet. Ein Muster eines Einzelauftrags ist diesem Rahmenvertrag als Anhang A beigefügt. Es besteht keine Verpflichtung, Einzelaufträge zu erteilen. 1.3 Gegenstand der Einzelaufträge können Datensätze für die Werbung per Briefpost (White Mailing), per E-Mail oder per Telefon (Festnetz und Mobil) sein. In den Einzelaufträgen werden zumindest – das Kommunikationsmittel, für das die Datensätze zu liefern sind; – die Maßgaben für die Selektion der Datensätze; – die Liefermenge; – das jeweilige Recht zur Nutzung der Datensätze (ein- oder mehrmalige Nutzung, dauerhafte Nutzung etc.); – die Lieferzeit; – der Preis (in der Regel als sog. Tausenderkontaktpreis oder TKP) und die Abrechnungsmethode (Vergütung pro geliefertem Datensatz [ggf. 1 Vgl. hierzu das Muster einer Werbe-Einwilligungserklärung in Teil 7 III Rz. 11.
354
|
Feldmann/Höppner
Rz. 15 Teil 3 II
Erläuterungen
mit Abzügen für nach internen Abgleichen ausgeschiedene Dubletten oder anderweitig nicht nutzbare Datensätze]), pro eingesetztem Datensatz (mit oder ohne Mindestabrechnungsquote) oder pro erfolgreicher Kontaktaufnahme mit den Verbrauchern festgelegt. Weitere Leistungsparameter, wie z.B. die Neuerhebung von Verbraucherdaten (sog. Leads bzw. Lead-Generierung) speziell für den Käufer vor der Lieferung der entsprechenden Datensätze können hinzukommen. 1.4 Der Lieferant kann vorbehaltlich Ziffer 4 dieses Rahmenvertrags für seine Lieferungen und Leistungen auf eigene Datenbestände oder auch solche dritter Unternehmen zurückgreifen. Die Parteien stellen jedoch vorsorglich klar, dass alleiniger Vertragspartner des Käufers der Lieferant ist, dieser also nicht lediglich als Vermittler dritter Datenbestände fungiert. Der Lieferant ist auch mit Blick auf die Nutzung von Datenbeständen dritter Unternehmen in jeder Hinsicht vollumfänglich leistungsverpflichtet, also insbesondere auch hinsichtlich der Anforderungen der Ziffern 5 und 6 dieses Rahmenvertrags. 1.5 Bei Widersprüchen gehen die in den Einzelaufträgen vereinbarten Regelungen den Regelungen dieses Rahmenvertrags stets vor. Die Ziffern 1.1 und 1.2 des Vertragsmusters legen den Charakter des Vertrags als Rahmenvertrag fest. Vor allem stellt Ziffer 1.2 klar, dass durch den Abschluss des Vertrags noch keine unmittelbaren Leistungsverpflichtungen begründet werden. Solche kommen vielmehr erst durch Abschluss eines Einzelauftrags zustande, der dem Vertrag als Anlage beigefügt werden soll.
13
Durch die Rahmenvertrag-Einzelauftrag-Konstruktion haben es die Parteien in der Hand, die Schwelle für den Abschluss eines Einzelauftrags abzusenken oder anzuheben. Der Einzelauftrag kann als einseitige Bestellung oder als zweiseitig abzuschließende Vereinbarung ausgestaltet werden. So kann der Käufer z.B. sein Standard-Bestellformular für Fremdleistungen einsetzen. Auch kann der Lieferant seine Auftragsbestätigung als Anlage vorsehen, wobei es sich in allen Fällen um ein durchaus kurzes Formular handeln sollte, das lediglich die fachlichen und kaufmännischen Parameter des einzelnen Auftrags festhalten muss. Ziffer 1.3 des Vertragsmusters sieht vor, dass in einem Einzelauftrag festgelegt wird, über welchen Werbekanal der Käufer die Verbraucher ansprechen will. Dies ist für die wettbewerbs- und datenschutzrechtliche Zulässigkeit von großer Bedeutung, weil die Anforderungen an die Einwilligung des Verbrauchers in die jeweils aufgeführten Werbemaßnahmen unterschiedlich sind1. Auch hat das Kommunikationsmittel, über das geworben werden soll, maßgeblichen Einfluss auf die vom Lieferant gem. Ziffer 5 des Vertragsmusters zu gewährleistende Datenqualität.
14
Ziffer 1.4, die im Zusammenhang mit der Regelung in Ziffer 4 zu lesen ist, stellt dem Lieferanten grundsätzlich die Art und Weise der Datenbeschaffung
15
1 Zur Ausgestaltung der Einwilligungserklärung s. Teil 7 III Rz. 2.
Feldmann/Höppner
|
355
Teil 3 II Rz. 16
Adressenkauf- und -überlassungsvertrag
frei. Dies spiegelt die Gegebenheiten der Branche wieder, in der kaum ein Lieferant über Daten in der Menge, Selektion und Qualität verfügt, wie sie am Markt durch Käufer nachgefragt werden. Daher beziehen Adresshändler Daten auch von anderen Händlern, um sie in der Folge auf der Grundlage von Verträgen wie dem hiesigen an die Käufer zu liefern. Insoweit agieren Datenlieferanten in gewisser Hinsicht als Listbroker. Weil aber die Käufer nur einen Vertragspartner haben und alle etwaigen Ansprüche unmittelbar gegen den tatsächlichen Lieferanten geltend machen können möchten, ist das „echte“ Listbroking selten geworden, wenn sich auch viele Datenhändler nach wie vor als Listbroker verstehen.
2. Erläuterungen zu Ziffer 2 16
E 2. Stornierung Der Käufer ist berechtigt, Einzelaufträge ganz oder teilweise zu stornieren. Eine solche Stornierung wird der Käufer dem Lieferanten in Textform mitteilen. Die Stornierung wird innerhalb von 24 Stunden nach Zugang bzw. Empfang der Mitteilung wirksam (24-Stunden-Ausstiegsklausel). Kosten entstehen dem Käufer durch eine solche Stornierung nicht; der Lieferant kann keine Entgelt- oder Ersatzansprüche geltend machen.
17
In Adresslieferungsverträgen sind Stornierungsklauseln nicht unüblich. Da auf Anbieterseite großer Wettbewerb herrscht und in den vergangenen Jahren aufgrund gesetzlicher Verschärfungen die Nachfrage nachgelassen hat, befindet sich der Käufer in der stärkeren Verhandlungsposition. Zudem muss dem Lieferanten zumindest in den Fällen, in denen er Datensätze hinzukauft, regelmäßig kein Schaden entstehen, wenn er eine entsprechende Regelung mit dem Unterlieferanten getroffen hat oder jedenfalls (nun) treffen wird. Unklar ist die rechtliche Einordnung der Stornierung. Dem Willen der Parteien entspricht in der Regel die Einordnung als vertraglich vereinbartes, einseitiges Widerrufsrecht des Käufers, das ihn in die Lage versetzt, die von ihm abgegebene Willenserklärung jederzeit ohne Kostenfolge aus der Welt zu schaffen. Je nach Fallgestaltung kann jedoch eine rechtliche Einordnung als Rücktrittsoder Kündigungsrecht dem Willen der Parteien entsprechen. Auch über die ABG-rechtliche Wirksamkeit wird man sich ggf. streiten können.
3. Erläuterungen zu Ziffer 3 18
E 3. Grundsätze zur Vertragsdurchführung 3.1 Negative Abweichungen von den vereinbarten Lieferungen und Leistungen und Teillieferungen, jeweils gleich ob in Bezug auf die Liefermenge oder sonstige Quantität oder von der vereinbarten Qualität des Leistungsgegenstands, werden vom Käufer nur akzeptiert, wenn der Käufer dies ausdrücklich bestätigt. Ansonsten ist der Lieferant nach Wahl des Käufers zur unverzüglichen Nacherfüllung verpflichtet, oder es gilt Ziffer 3.2 dieses Rahmenvertrags. Dubletten von Datensätzen gelten jeweils 356
|
Feldmann/Höppner
Erläuterungen
Rz. 19 Teil 3 II
als nur ein gelieferter Datensatz und führen dementsprechend zu einer Minderlieferung. 3.2 Verbleibt es bei einer Minderlieferung oder bloßen Teilleistung, weil der Käufer die Nacherfüllung aus nachvollziehbaren Gründen ablehnt, weil der Lieferant die Nacherfüllung verweigert oder nicht leisten kann, oder aus sonstigen Gründen, ist die Vergütungspflicht des Käufers in jedem Fall entsprechend gemindert. Der Käufer ist jedoch überdies berechtigt, eine nicht unerhebliche Minderlieferung oder bloße Teilleistung als Nichterfüllung des ganzen Einzelauftrags zu werten und die entsprechenden Rechte auszuüben, insbesondere vom gesamten Einzelauftrag zurückzutreten und etwaige durch die Minderlieferung oder bloße Teilleistung entstandene unmittelbare und mittelbare Schäden gegenüber dem Lieferanten geltend zu machen, wenn und soweit der Lieferant die Minderlieferung bzw. bloße Teillieferung zu vertreten hat. 3.3 Vom Käufer nicht veranlasste Mehrlieferungen des Lieferanten können durch den Käufer ohne zusätzlich anfallende Vergütung genutzt werden. 3.4 Leistungszeiten und Liefertermine sind stets verbindlich. Bei Nichteinhaltung ist der Käufer berechtigt, die Vergütung angemessen zu mindern oder vom Vertrag zurückzutreten bzw. diesen zu kündigen. Wenn dem Käufer durch schuldhaft nicht eingehaltene Leistungszeiten und Liefertermine ein Schaden entsteht, hat der Lieferant dem Käufer den entsprechenden Schaden zu ersetzen. 3.5 Wenn dem Lieferanten Schwierigkeiten hinsichtlich der Leistungserbringung entstehen oder bekannt werden, muss dies dem Käufer unverzüglich mitgeteilt werden. Bei der Durchführung von Verträgen über die Lieferungen von Daten in großer Anzahl lassen sich Mehr- oder Minderlieferungen nie ausschließen. Auch ohne vertragliche Regelung wären die Parteien dabei jedoch nicht schutzlos gestellt: Im Falle der Minderlieferung hat der Käufer (weiterhin) das Recht auf vollständige Vertragserfüllung, so dass auch in Ermangelung einer vertraglichen Regelung Adressen bis zur geschuldeten Anzahl geliefert werden müssen. Als Fall der Minderlieferung gilt auch die Dublette. Adresslieferungsverträge sind grundsätzlich dahingehend auszulegen, dass individuelle Adressen in der geschuldeten Anzahl zu liefern sind. Eine automatische Minderung des Kaufpreises im Falle der Minderlieferung ist gesetzlich hingegen nicht normiert. Dies bedarf einer vertraglichen Regelung wie sie im vorliegenden Muster in Ziffer 3.2 vorgesehen ist. Damit hat der Käufer ein Wahlrecht, ob er auf Lieferung der Adressen in voller Anzahl besteht oder ob er dem Lieferanten nur die geminderte Vergütung zahlt. Mehrlieferungen müssten demgegenüber gem. §§ 812 ff. BGB zugunsten des Lieferanten rückabgewickelt werden. Das ist allerdings praktisch schwer umzusetzen und letztlich illusorisch. Nach Ziffer 3.3 kommen daher Mehrlieferungen in der Regel dem Käufer zugute. Feldmann/Höppner
|
357
19
Teil 3 II Rz. 20 20
Adressenkauf- und -überlassungsvertrag
Die übrigen Klauseln von Ziffer 3 enthalten zwar teilweise Selbstverständlichkeiten und haben daher nur deklaratorischen Charakter. Sie schreiben aber dem vielleicht rechtlich weniger beschlagenen Lieferanten seine schuldrechtlichen Verpflichtungen ins Stammbuch. Nicht deklaratorisch ist allerdings (siehe schon Rz. 19) das Minderungsrecht des Käufers gem. Ziffer 3.4. Ohne dass zuvor die Möglichkeit zur Nacherfüllung eingeräumt werden müsste, berechtigt es den Käufer zur sofortigen Reduktion der Rechnung, wenn der Lieferant Termine verstreichen lässt. Da dies nicht dem gesetzlichen Leitbild entspricht, bestehen AGB-rechtliche Bedenken im Hinblick auf die Wirksamkeit dieser Klausel.
4. Erläuterungen zu Ziffer 4 21
E 4. Unterauftragnehmer Der Lieferant ist grundsätzlich berechtigt, sich zur Erfüllung seiner vertraglichen Pflichten eines oder mehrerer Unterauftragnehmer zu bedienen (vgl. Ziffer 1.4 dieses Rahmenvertrags). Voraussetzung ist jedoch, dass der Lieferant zuvor gegenüber dem Käufer die Identität des oder der avisierten Unterauftragnehmer offengelegt und die Quelle der betreffenden Datensätze angegeben hat. Auf Nachfrage des Käufers hat der Lieferant die Richtigkeit seiner Angaben vor oder nach Vertragsschluss zu belegen.
22
Aus Käufersicht ist darauf zu achten, dass die Identität der Unterauftragnehmer bekannt gemacht wird und dem Käufer auch insofern die Datenquellen offenliegen. Dies ist vor allem im Rahmen von Auseinandersetzungen von Bedeutung, in denen sich der Käufer gegen die Behauptung eines Dritten (Betroffener, einer Verbraucherschutzzentrale, Wettbewerber, Bundesnetzagentur) wehren muss, die werbliche Ansprache sei rechtswidrig, weil ohne entsprechende Einwilligung erfolgt. Dazu aber bedarf der Käufer entsprechender Unterstützung des Lieferanten und seiner Unterlieferanten (normiert durch die Ziffern 5.4 und 6.3 des Vertragsmusters). Allerdings bietet es sich in manchen Konstellationen an, den Einsatz von Unterauftragnehmern explizit auszuschließen. Insbesondere, wenn der Lieferant für den Käufer individuell erhobene Adressen zu liefern hat, demnach Dienstleistungselemente in der Leistungspflicht enthalten sind, sollte der Käufer auf eine individuelle Bedienung durch ausschließlich den Lieferanten bestehen.
23
Aus Sicht des Lieferanten ist die Verpflichtung, die Identität der Unterlieferanten offenzulegen, hingegen ungünstig und wird von ihm, wenn er kann, abgelehnt werden. Denn legt er die Identität seiner Lieferanten offen, muss er befürchten, dass sich der Käufer bei Folgekäufen direkt an den (Unter)Lieferanten wendet, um Kosten zu sparen. Es bieten sich zur Absicherung zudem Klauseln an, die es dem Käufer (ggf. vertragsstrafebewehrt) untersagen, bekannt gewordene Unterlieferanten zu kontaktieren und mit diesen unmittelbar oder mittelbar ohne Beteiligung des Auftragnehmers in Geschäftsbeziehungen über die Lieferung von Datensätzen zu treten, wenngleich man die AGB-rechtliche Zulässigkeit solcher Klauseln bezweifeln mag. 358
|
Feldmann/Höppner
Erläuterungen
Rz. 24 Teil 3 II
5. Erläuterungen zu Ziffer 5 und 6 24
E 5. Datenqualität in tatsächlicher Hinsicht 5.1 Alle vom Lieferanten gelieferten Datensätze müssen im Double-Opt-inVerfahren erhoben worden sein. Der Lieferant wird mit jeder Lieferung einen Beispieldatensatz mitliefern, der aufzeigt, wie der Double-Opt-inProzess gestaltet war und wie er beim Lieferanten in identischer oder in allen wesentlichen Punkten vergleichbarer Weise – dies garantiert der Lieferant – auch für die anderen in der Lieferung enthaltenen Datensätze nachweisbar ist. Dies gilt insbesondere auch mit Blick auf gelieferte Datensätze aus Beständen Dritter. 5.2 Bei Mängeln der Lieferungen und Leistungen finden die Vorschriften der §§ 434 ff. BGB entsprechende Anwendung. Vorrangig gilt jedoch: 5.2.1 Soweit Vertragsgegenstand die Lieferung von Telefonadressen ist, hat der Lieferant den Einzelauftrag nicht erfüllt, wenn mehr als 5 % der betreffenden Personen unter der angegebenen Telefonnummer nicht erreicht werden können. Bei der Lieferung von E-Mail-Adressen zur werblichen Ansprache ist der Vertrag nur ordnungsgemäß erfüllt, wenn wenigstens 95 % der versandten E-Mails an die Empfänger zugestellt werden können. Liegt nach dieser Ziffer 5.2.1 keine Vertragserfüllung vor, kann der Käufer alle Datensätze des Einzelauftrags zurückgeben, ohne dass es einer Fristsetzung bedarf. Der Lieferant erhält in diesem Fall als Wertersatz unabhängig von der im Einzelauftrag vereinbarten Abrechnungsmethode nur die rechnerische Vergütung für diejenigen Datensätze, die vom Käufer tatsächlich eingesetzt wurden und bei denen die Kontaktaufnahme mit dem Verbraucher möglich war; etwaig bereits geleistete Beträge sind unverzüglich zurückzuzahlen. Maßstab für die oben bezeichneten Quoten sind, sofern vorhanden, die eigenen Aufzeichnungen des Käufers. Wenn sich während der Durchführung der jeweiligen Kampagne nach wenigstens 10 % genutzter Datensätze Fehlerquoten abzeichnen, die die obigen Quoten um mehr als 50 % überschreiten, müssen nicht alle Datensätze genutzt werden; es kann jederzeit abgebrochen werden. In diesem Fall gelten die Sätze 3 und 4 des vorangehenden Absatzes dieser Ziffer 5.2.1 entsprechend. Alternativ ist der Käufer berechtigt, eine Minderung der Vergütung geltend zu machen. 5.2.2 Der Käufer kann auch dann vom Einzelauftrag zurücktreten oder die Vergütung mindern, wenn ein anderer erheblicher Mangel der Datenqualität vorliegt. Einer Fristsetzung durch den Käufer bedarf es in solchen Fällen nicht. Ein erheblicher Mangel kann z.B. bei vereinbarter Exklusiv- bzw. Erstnutzung von Datensätzen in sich wiederholenden Aussagen von Verbrauchern bestehen, bereits zuvor auf derselben Grundlage (also z.B. auf Grundlage des Gewinnspiels, das auch die Grundlage der Datenerhebung für die nach Feldmann/Höppner
|
359
Teil 3 II Rz. 24
Adressenkauf- und -überlassungsvertrag
diesem Rahmenvertrag gelieferten Datensätze ist) kontaktiert worden zu sein. Um zu Gewährleistungsansprüchen nach dieser Ziffer 5.2.2 berechtigt zu sein, muss der Käufer nur nachweisen, dass es solche wiederholten Aussagen von Verbrauchern gibt. 5.3 Der Lieferant hat im Zuge der Lieferung immer anzugeben, aus welcher Quelle bzw. welchen Quellen die Daten genau stammen und wie und in welchem Zusammenhang sie erhoben wurden, insbesondere welche Gesellschaft die Daten erstmalig erhoben hat. 5.4 Der Käufer ist zudem stets berechtigt, vom Lieferanten zu verlangen, dass dieser auch das Datum der Erhebung (Generierung) der einzelnen Datensätze mitliefert oder nachliefert. Zudem ist der Käufer berechtigt, vom Lieferanten pro Lieferung anlassunabhängig die Lieferung von bis zu 20 Einwilligungsnachweisen nach Maßgabe von Ziffer 6 dieses Rahmenvertrags für vom Käufer bezeichnete Verbraucher zu verlangen. Dem Käufer steht diesbezüglich ein Zurückbehaltungsrecht hinsichtlich der eigenen Leistung zu. Stellt der Lieferant die Opt-in-Nachweise auch nach zweifacher Aufforderung nicht zur Verfügung, kann der Käufer ohne Weiteres vom Einzelauftrag zurücktreten. Der Käufer kann die Einwilligungsnachweise während oder auch nach der Auftragsdurchführung geltend machen. 5.5 Ist das Alter der Personen Gegenstand der vom Lieferant vorzunehmenden Datenselektion, so kann der Käufer verlangen, dass der Lieferant jeweils die Geburtsjahre der Verbraucher mitliefert. In jedem Fall hat der Käufer das Recht, eine nachträgliche Lieferung dieser Daten zu Prüfungszwecken zu verlangen. Ziffer 5.4 dieses Rahmenvertrags, dort die Sätze 3 bis 5, gilt entsprechend. 5.6 Bestellt der Käufer durch weitere Einzelaufträge weitere Datensätze, gleich ob im unmittelbaren Zusammenhang oder später bzw. für andere Kampagnen, hat der Lieferant sicherzustellen, dass diese Datensätze zu den zuvor unter diesem Rahmenvertrag gelieferten Datensätzen stets überschneidungsfrei sind, also keine Dubletten geliefert werden. 5.7 Ist der Lieferant (auch) mit der Lead-Generierung beauftragt und wird er vom Käufer pro so generiertem und geliefertem Datensatz vergütet, hängt der Anspruch auf die Vergütung von der Qualität der Leads ab. Stellt sich innerhalb von sechs Monaten nach der Lieferung der Leads heraus (z.B. im Zuge der versuchten Kontaktaufnahme mit den betreffenden Verbrauchern), dass die Leads mit einer nicht unerheblichen Fehlerquote behaftet sind, z.B. weil die Verbraucher unter dem angegebenen Namen, der mitgeteilten Adresse, E-Mail-Adresse oder Telefonnummer nicht zu erreichen sind, mindert sich die Vergütung des Lieferanten entsprechend der Fehlerquote. Zudem hat der Käufer das Recht, vom Einzelauftrag zurückzutreten, wenn die Fehlerquote erheblich ist. Eine Fehlerquote von über 7,5 % der Leads gilt stets als erheblich. Eine bereits geleistete Vergütung ist anteilig (bei Minderung) oder vollständig (bei Rücktritt) zurückzuzahlen, wobei in letzterem Fall Ziffer 5.2.1 Satz 4 dieses Rahmenvertrags Anwendung findet. 360
|
Feldmann/Höppner
Erläuterungen
Rz. 24 Teil 3 II
5.8 Keine Regelung dieser Ziffer 5 ist so auszulegen, dass sie die dem Käufer bei entsprechender Anwendung der §§ 434 ff. BGB zustehenden Gewährleistungsansprüche einschränken würde. Dem Käufer obliegt es nicht, den Leistungsgegenstand vor Verwendung auf Mangelfreiheit zu prüfen. Der Käufer unterliegt auch keiner Rügeobliegenheit oder -pflicht i.S.v. § 377 HGB, weder hinsichtlich offensichtlicher noch hinsichtlich erst später zutage tretender Mängel. 6. Datenqualität in rechtlicher Hinsicht: Einwilligungen, Nachweis der Einwilligung und Prüfung der Leistung 6.1 Zu liefernde Datensätze müssen stets mit entsprechenden Einwilligungserklärungen der jeweiligen Verbraucher (für die Zwecke dieses Rahmenvertrags sog. „Opt-Ins“) vorliegen. Die Einwilligungserklärungen müssen mit Blick auf die einzelauftragsgegenständliche Kontaktaufnahme zu Werbezwecken rechtlich wirksam und beweisbar sein. Der Lieferant hat diesbezüglich die geltende Rechtslage einschließlich der jeweils aktuellen Rechtsprechung zu beachten und deren Anforderungen zu genügen. Fehlende oder unwirksame Einwilligungserklärungen stellen einen erheblichen, nicht heilbaren Mangel der Leistung dar. 6.2 Unabhängig von Ziffer 6.1 dieses Rahmenvertrags, die dieser Ziffer 6.2 bei der Beurteilung der Vertragsgemäßheit der Lieferung/Leistung des Lieferanten im Zweifel stets vorgeht, stellt der Käufer an die Einholung der Einwilligung von den Personen, deren Datensätze Gegenstand einer Lieferung sind, die folgenden Mindestanforderungen: 6.2.1 Die Einwilligungserklärung muss gerade (auch) für den Käufer wirken und den Käufer als Einwilligungsempfänger bezeichnen. Sie muss zudem darüber informieren, dass die Einwilligung jederzeit (auch) gegenüber dem Käufer widerrufen werden kann. 6.2.2 Sofern die Daten „offline“ erhoben werden, ist die Einwilligung immer mittels einer gesonderten, von den Adressaten aktiv anzuwählenden Checkbox (anzukreuzendes Kästchen) einzuholen, der ein eigener, deutlich gestalteter, nicht mit anderen Erklärungen (wie z.B. der Teilnahmeerklärung zu einem Gewinnspiel) kombinierter oder in anderen Erklärungen (wie z.B. AGB) ohne Trennung enthaltener Einwilligungstext zugeordnet ist. 6.2.3 Sofern die Daten im Internet erhoben werden, ist die Einwilligung stets mittels einer gesonderten, nicht bereits voreingestellten, von den Adressaten also aktiv anzuwählenden Checkbox einzuholen, der ein eigener, deutlich gestalteter, nicht mit anderen Erklärungen (wie z.B. der Teilnahmeerklärung zu einem Gewinnspiel) kombinierter oder in anderen Erklärungen (wie z.B. AGB) enthaltener Einwilligungstext zugeordnet ist. Weiterhin sind sämtliche zu liefernden Datensätze einschließlich eines sog. IP-Timestamps zu erheben und zu speichern, also versehen mit der IP-Adresse des Internetanschlusses des Verbrauchers zum Zeitpunkt der Erklärung der Einwilligung sowie dem exakten Datum und Zeitpunkt der ErFeldmann/Höppner
|
361
Teil 3 II Rz. 24
Adressenkauf- und -überlassungsvertrag
klärung. Über diese Erhebung und Verarbeitung dieser Daten ist der Verbraucher im Zuge des Einwilligungsprozesses zu informieren und sie muss von der Einwilligung umfasst sein. Zudem ist für jede Adresslieferung ein Screenshot der Internetseite, über die die Einwilligung des Adressaten eingeholt wurde, in Farbe vorzuhalten, auf dem der Einwilligungstext lesbar ist und aus dem ersehen werden kann, wie dieser und die ihm zugeordnete Checkbox auf der Seite angeordnet und dargestellt wurden. 6.2.4 Stellt die jeweils aktuelle Rechtslage bzw. Rechtsprechung strengere Anforderungen an die Wirksamkeit von Einwilligungserklärungen, gehen diese dieser Ziffer 6.2 vor. 6.3 Auf Verlangen des Käufers muss der Lieferant angefragte Einwilligungserklärungen gegenüber dem Käufer binnen 48 Stunden nach Anfrage nachweisen und schriftlich bzw. digital in der Form des Protokolls des Double-Opt-in-Prozesses des betreffenden Verbrauchers einschließlich Nachweises über die zugeordnete Einwilligungserklärung zur Verfügung stellen (Samstage, Sonntage und gesetzliche Feiertage bleiben bei der Berechnung der Frist außer Betracht). Diese Verpflichtung besteht zeitlich unbefristet. Der Nachweis der Einwilligung, dessen Richtigkeit vom Lieferant durch seine Unterschrift zu garantieren ist, hat dabei den kompletten Datensatz des Adressaten zu enthalten. Er ist zudem bei digital erteilten Einwilligungen mit dem in Ziffer 6.2.3 dieses Rahmenvertrags genannten Screenshot und dem IP-Timestamp zu verbinden. Die Versicherung der Richtigkeit der Angaben durch den Lieferanten muss sich auch auf den IPTimestamp und den Screenshot beziehen. 6.4 Die Verpflichtungen der vorstehenden Ziffern 6.1 bis 6.3 gelten unabhängig davon, ob der Lieferant aus eigenen Datenbeständen liefert oder sich Datenbeständen Dritter (Unterlieferanten) bedient. 6.5 Hat der Lieferant schuldhaft gegen seine Verpflichtung verstoßen, entsprechende Einwilligungen einzuholen und vorzuhalten bzw. einholen und zur Lieferung an den Käufer vorhalten zu lassen, oder schuldhaft seine Nachweispflicht nach Ziffer 6.3 verletzt, hat er dem Käufer in jedem Fall eine Vertragsstrafe in Höhe von 15 000 Euro zu zahlen. Die Geltendmachung weiterer und weitergehender Ansprüche seitens des Käufers wird durch die Vertragsstrafeverpflichtung nicht berührt. Die Vertragsstrafe wird aber, sofern sie geleistet ist, auf andere Ansprüche immer angerechnet, solche Ansprüche werden daher nur insoweit fällig, als sie die Vertragsstrafezahlung übersteigen. 6.6 Der Lieferant hat vor der Lieferung von Datensätzen stets sicherzustellen, dass die betreffenden Verbraucher nicht in einer der Robinsonlisten oder einer anderen einschlägigen Liste eingetragen sind. 6.7 Der Lieferant gewährleistet weiterhin, dass der Leistungsgegenstand keine Datensätze enthält, deren Verwendung dem Lieferanten oder dem betreffenden Unterlieferanten durch gerichtliche Unterlassungs- oder sonstige Titel, gleich ob rechtskräftig oder nicht, untersagt wurde, gegen 362
|
Feldmann/Höppner
Erläuterungen
Rz. 28 Teil 3 II
vom Lieferanten oder dem betreffenden Unterlieferanten abgegebene Unterlassungsversprechen (insbesondere in der Form von strafbewehrten Unterlassungs- und Verpflichtungserklärungen) verstoßen würde und/ oder hinsichtlich derer beim Lieferanten oder dem betreffenden Unterlieferanten auch nur eine Beschwerde des betroffenen Verbrauchers oder eines Verbraucherschutz- oder anderen Verbandes vorliegt. Von zentraler Bedeutung im Adresslieferungsvertrag sind die Regelungen in Ziffer 5 und 6 zur Datenqualität. Durch sie sollen zum einen typische Probleme bei der tatsächlichen Beschaffenheit der Daten antizipiert, zum anderen rechtliche Risiken abgefedert werden, denen der Käufer bei der Nutzung der Adressen zu Werbezwecken im Falle nachfolgender Beschwerden von Verbrauchern, Wettbewerbern oder auch der Bundesnetzagentur ausgesetzt ist.
25
a) Datenqualität in tatsächlicher Hinsicht aa) Erläuterungen zu Ziffer 5.1 Obwohl der Käufer im Außenverhältnis für Werbung und die zugrunde liegende Datenverarbeitung haftet, ist er in Bezug auf die zentrale Frage – Liegt eine wirksame Einwilligung des Verbrauchers vor? – nicht in der Lage, sich mit den ihm vorliegenden Unterlagen und Informationen gegen Ansprüche Dritter zu verteidigen. Dies wird ihm nur gelingen, wenn der Lieferant ihm die erforderlichen Unterlagen und Informationen zur Verfügung stellt – und bei der Datenerhebung alles nachweisbar richtig gemacht hat.
26
Das Vertragsmuster wälzt das Haftungsrisiko des Käufers wegen Ansprüchen Dritter im Innenverhältnis auf den Lieferanten ab, soweit dies möglich ist. Dabei geht es nicht nur um die rechtliche Wirksamkeit der Einwilligungen (siehe dazu der nächste Abschnitt), sondern wesentlich auch um deren Nachweisbarkeit. Daher besteht eine der wesentlichen vertraglichen Verpflichtungen des Lieferanten darin, die gelieferten Datensätze im sog. Double-Opt-in-Verfahren zu erheben oder erhoben zu haben1. Bei diesem Verfahren bestätigt der Verbraucher nicht nur einmal, seine Einwilligung zu erteilen. Vielmehr muss er die Erteilung der Einwilligung im Nachhinein noch einmal ausdrücklich bestätigen. Auf welche Art und Weise die Bestätigung erfolgt, hängt davon ab, wie die Adresse erhoben und die Einwilligung erteilt wurde2. Bei der „Opt-in-Generierung“ im Internet erhält der Verbraucher bspw. im Nachhinein eine E-Mail, in der der Umstand, dass der Verbraucher seine Einwilligung erteilt hat und deren Reichweite, ausdrücklich aufgeführt sind. In der E-Mail ist zugleich ein Link enthalten, den der Verbraucher anzuklicken aufgefordert wird. Tut er dies, bewirkt dies die Bestätigung der Einwilligung.
27
Beim Double-Opt-in-Verfahren geht es – anders als oft unterstellt – nie um die rechtliche Wirksamkeit der Einwilligung. Diese hängt von anderen Faktoren
28
1 So auch OLG Frankfurt a.M. v. 3.12.2009 – 16 U 30/09; zur Gestaltung des Double-Optin-Verfahrens und der Werbe-Einwilligungserklärung s. Teil 7 III Rz. 20 f. 2 S. hierzu Teil 7 III Rz. 18 ff.; vgl. auch Patzak/Beyerlein, MMR 2009, 525; zur Möglichkeit, ohne Einwilligung des Kunden zu werben, s. Plath, BB 2009, 1762.
Feldmann/Höppner
|
363
Teil 3 II Rz. 29
Adressenkauf- und -überlassungsvertrag
wie der Deutlichkeit und Nachvollziehbarkeit der vorformulierten Einwilligungserklärung ab. Das Double-Opt-in-Verfahren dient allein der Nachweisbarkeit der erteilten Erklärung in tatsächlicher Hinsicht. Wenn ein DoubleOpt-in-Verfahren durchgeführt wurde, führt dies nach der Rechtsprechung zu einer Vermutung, dass der Erklärende auch wirklich eine Einwilligung abgegeben hat, wenn diese Vermutung auch immer noch vom Werbeempfänger widerlegt werden kann. Noch unklar ist allerdings zum einen, was für Dokumentationspflichten für das werbende Unternehmen bestehen, damit ein Double-Opt-in-Verfahren den Beweiszwecken effektiv dienen kann. Der BGH hat insofern festgestellt, dass der Werbende die konkrete Einverständniserklärung jedes einzelnen Verbrauchers vollständig dokumentieren muss, was im Fall einer elektronisch übermittelten Einverständniserklärung deren Speicherung und die jederzeitige Möglichkeit eines Ausdrucks voraussetzt1. Zudem muss für die Einwilligung in Telefonwerbung die Besonderheit beachtet werden, dass der Inhaber einer E-Mail-Adresse nicht zwangsläufig auch der Inhaber einer angegebenen Telefonnummer ist. Nach der Rechtsprechung des BGH hat das Double-Opt-in-Verfahren auf Basis einer Bestätigungs-E-Mail daher nicht die gewünschte Beweiswirkung, wenn die angerufene Person bestreitet, Inhaber der E-Mail-Adresse zu sein, mit der das Double-Opt-in-Verfahren durchgeführt wurde2. Auch der telefonisch generierte Opt-in ist aber einer den Nachweiszweck erfüllenden Bestätigung zugänglich. Diese kann durch einen Rückruf an die von dem Verbraucher angegebene Telefonnummer erfolgen. Im Rahmen des Rückrufs wird dem Verbraucher dann ein Buchstaben- oder Zahlencode mitgeteilt, den dieser auf einer Webseite eingeben muss, auf der die Einzelheiten der zuvor erteilten Einwilligung spezifiziert sind3. Ist ein solches Verfahren nicht möglich, ist das „normale“ Double-Opt-in-Bestätigungsverfahren mit E-Mails aber immer noch einem Verzicht auf jegliches Double-Opt-in-Verfahren vorzuziehen. Bestreitet nämlich der Verbraucher nicht, die E-Mail erhalten und den Bestätigungslink geklickt zu haben, begründet das Double-Opt-in-Verfahren zumindest eine sekundäre Darlegungslast für den Anspruchsteller. 29
In Ziffer 5.1 des Vertragsformulars garantiert der Lieferant, die Daten in einem solchen Double-Opt-in-Verfahren generiert zu haben. Die Art der Erhebung der Adresse ist ein Qualitätsmerkmal des Kaufgegenstands. Sie ist Eigenschaft i.S.d. § 119 BGB sowie Beschaffenheit i.S.d. § 434 BGB. Im Vertragsmuster ist sie aber zugleich Gegenstand einer Beschaffenheitsgarantie i.S.d. § 443 BGB. Hat der Lieferant die Daten nicht im Double-Opt-in-Verfahren erhoben, so hat 1 BGH v. 10.2.2011 – I ZR 164/09, MMR 2011, 662; LG Berlin v. 23.1.2007 – 15 O 346/06; AG Düsseldorf v. 14.7.2009 – 48 C 1911/09; AG Berlin v. 11.6.2008 – 21 C 43/08. Das Double-Opt-in-Verfahren ist allerdings vom OLG München (v. 27.9.2012 – 29 U 1682/12) in Frage gestellt worden, weil dieses Gericht bereits die Bestätigungsmail, die Teil des Verifizierungsverfahrens ist, als unzulässige Werbung angesehen hat. Es bleibt zu hoffen, dass diese Entscheidung, die zudem mit der Rechtsprechung des BGH nur schwer vereinbar ist, ein vereinzelter gerichtlicher „Irrläufer“ bleiben wird. 2 BGH v. 10.2.2011 – I ZR 164/09, MMR 2011, 662. 3 Zu den rechtlichen Problemen eines solchen „Verification Calls“ s. Teil 7 III Rz. 20.
364
|
Feldmann/Höppner
Erläuterungen
Rz. 32 Teil 3 II
er den Käufer ggf. arglistig i.S.d. § 123 BGB getäuscht. Auch liegt ein Eingehungs- oder Erfüllungsbetrug nahe. Die Regelungen der Ziffern 5.3 und 5.4 dienen dem Käufer zur weiteren Absicherung. Möchte sich der Lieferant auf derartige Regelungen nicht einlassen oder kann er sie nicht bedienen, muss der Käufer vermuten, dass etwas nicht stimmt, und sollte die Beendigung der Geschäftsbeziehung mit dem Lieferanten ins Auge fassen. Der Käufer sollte also gerade zu Beginn einer längerfristigen Zusammenarbeit mit einem Lieferanten das Recht, Stichproben zu nehmen, auch ausüben. Das gilt nicht zuletzt aufgrund der Tatsache, dass den Käufer zumindest nach der Auffassung mancher Gerichte im gerichtlichen Verfahren die Darlegungs- und Beweislast für das Nichtvorliegen der erforderlichen Einwilligung trifft. Der Käufer könne seinen Vortrag nicht auf die pauschale Behauptung beschränken, für die übermittelten Daten lägen keine Einwilligungen vor1. Vielmehr müsse der Käufer darlegen, wann er welche Datensätze benutzte und welche Person wann und in welcher Form mit welcher Begründung das fehlende Einverständnis artikulierte2.
30
bb) Erläuterungen zu Ziffer 5.2 Es empfiehlt es sich zudem nicht nur hinsichtlich des Double-Opt-in-Verfahrens, sondern auch in Sachen der Validität der Datensätze Vorgaben zu machen und die dem Käufer im Gewährleistungsfall zustehenden Rechte konkret zu benennen. Dies kann wie im Vertragsmuster in Ziffer 5.2 vorgeschlagen, aber natürlich auch anders geschehen.
31
Kriterien sind u.a. die Erreichbarkeit der Verbraucher sowie (sofern vereinbart), dass die Datensätze dem Käufer exklusiv oder zur Erstnutzung überlassen werden. Die auf den ersten Blick harsch erscheinenden Rechtsfolgen entsprechender Schlechtleistung und die in den Ziffern 5.2.1 und 5.2.2 vorgesehenen Beweiserleichterungen sind in der Praxis durchaus angemessen. Wenn sich z.B. gleich zu Beginn einer Marketingaktion herausstellt, dass 5 % der Verbraucher nicht angesprochen werden können, spricht die Erfahrung dafür, dass es sich bei den gelieferten Daten insgesamt um Daten minderer Qualität, vor allem veraltete Daten, handelt. Nachdem dem Käufer kein anderer Indikator zur Qualitätsbemessung zur Verfügung steht, ist das Kriterium der Erreichbarkeit absolut sachgerecht.
b) Datenqualität in rechtlicher Hinsicht Gegenstand des Vertragsmusters sind Daten, zu deren Verwendung zu Werbezwecken der Verbraucher seine ausdrückliche, wirksame Einwilligung erteilt hat. Liegt eine solche Einwilligung nicht vor, ist der Kaufgegenstand mit einem Rechtsmangel i.S.d. § 435 BGB behaftet. Denn liegt tatsächlich und/oder rechtlich eine Einwilligung nicht vor, kann dem Käufer die Nutzung, ggf. sogar schon die Speicherung der Daten, untersagt werden. 1 OLG Düsseldorf v. 17.2.2010 – 10 O 386/08; OLG Frankfurt a.M. v. 3.12.2009 – 16 U 30/09. 2 OLG Düsseldorf v. 17.2.2010 – 10 O 386/08.
Feldmann/Höppner
|
365
32
Teil 3 II Rz. 33
Adressenkauf- und -überlassungsvertrag
aa) Anforderungen der Rechtsprechung 33
Wann eine Einwilligung des Verbrauchers in eine werbliche Ansprache durch einen Unternehmer wirksam ist, ist höchst umstritten1. Die Rechtsprechung zu dieser Frage ist generell sehr streng. Höchst- oder obergerichtliche Rechtsprechung, in der eine bestimmte Einwilligungsklausel für zulässig angesehen wurde, gibt es – soweit ersichtlich – nicht. Jedoch lassen sich aus den bekannt gewordenen Entscheidungen neben dem Erfordernis der ausdrücklichen, aktiven Erklärung der Einwilligung2 bestimmte inhaltliche Grundsätze destillieren: Der Verbraucher muss grundsätzlich wissen bzw. darüber informiert werden, in welche Maßnahme er einwilligt (sog. Transparenzgebot). Nicht nur muss ihm klar sein, dass seine Daten generell zu Werbezwecken verwendet werden. Nach der Rechtsprechung3 ist es vielmehr erforderlich, dass der Verbraucher darüber in Kenntnis gesetzt wird, welches Unternehmen ihn konkret mit welcher Werbung für welche Bereiche bzw. Produkte4 ansprechen wird. Jedenfalls nach früherer Rechtsprechung musste es zudem einen engen inhaltlichen Bezug zwischen dem Umfeld der Einwilligungserteilung und dem Gegenstand der Einwilligungserklärung geben5. Bestand ein solcher enger inhaltlicher Bezug nicht, nahm der BGH eine unangemessene Benachteiligung i.S.d. § 307 BGB an. In neueren Urteilen hat der BGH zwar die fehlende inhaltliche Verzahnung nicht mehr thematisiert, was dafür spricht, dass er sie inzwischen nicht mehr fordert6. Da es jedoch an einer eindeutigen Klarstellung fehlt, folgen viele Instanzgerichte aber weiterhin in ihrer Grundtendenz der „Telefonwerbung VI“-Entscheidung.
34
Diese rechtlichen Anforderungen, mehr aber noch die teilweise kaum nachvollziehbaren – und zudem uneinheitlichen – Erwartungen der Gerichte ziehen erhebliche Haftungsrisiken für den Käufer als Werbetreibenden nach sich. Die strengen Anforderungen der Rechtsprechung machen den Käufer nicht nur gegenüber dem Verbraucher und Verbraucherschutzzentralen, sondern wegen § 7 Abs. 2 UWG vor allem auch gegenüber Wettbewerbern angreifbar. Vor diesem Hintergrund ist zentraler Gegenstand der Vertragsgestaltung und zentrale Anforderung an den Lieferanten im Rahmen der Generierung bzw. Einkauf der Daten, die rechtlichen Anforderungen an die Erhebung der Einwilligung abzubilden7.
bb) Erläuterungen zu Ziffer 6.1 35
Weil sich die rechtlichen Anforderungen rechtsprechungsgetrieben dynamisch entwickeln, müssen sich Klauseln wie Ziffer 6 des Vertragsmusters im Abstrakten halten. Sie bürdet dem Lieferanten jedenfalls die Verpflichtung auf, 1 2 3 4 5 6 7
S. hierzu im Detail vor allem auch Teil 7 III Rz. 4 ff. BGH v. 16.7.2008 – VIII ZR 348/06 – Payback, NJW 2008, 3055 = GRUR 2008, 1010. Plath/Plath, § 4a BDSG Rz. 48; BGH v. 18.7.2012 – VIII ZR 337/11. BGH v. 14.4.2011 – I ZR 50/09. BGH v. 27.1.2000 – I ZR 241/97 – Telefonwerbung VI, GRUR 2000, 818. S. hierzu etwa BGH v. 16.7.2008 – VIII ZR 348/06 – Payback, NJW 2008, 3055. S. zur Gestaltung der Werbe-Einwilligungserklärung Teil 7 III.
366
|
Feldmann/Höppner
Erläuterungen
Rz. 38 Teil 3 II
sich mit der jeweils geltenden Rechtslage vertraut zu machen und diese bei der Generierung, dem Einkauf und in jedem Fall der Lieferung umzusetzen. Ziffer 6.2 legt insoweit lediglich einige Mindestanforderungen fest, die allerdings der generellen Regel der Ziffer 6.1 nachrangig sind (vgl. auch die Regelung in Ziffer 6.2.4 des Vertragsmusters).
cc) Erläuterungen zu Ziffer 6.2 Jenseits dessen materialisiert sich in Ziffer 6.2.1 des Vertragsmusters ein grundsätzliches Dilemma des Datenhandels: Die Rechtsprechung verlangt für die Rechtmäßigkeit der Übermittlung von personenbezogenen Daten, dass bereits bei der Erhebung der Einwilligung dem Verbraucher transparent dargelegt wird, an wen der Datensatz übermittelt wird. Die bloß abstrakte Beschreibung der Branche, der das Empfängerunternehmen angehört, genügt wohl nicht. Vielmehr ist das Unternehmen konkret zu bezeichnen. Dies hat streng genommen zur Folge, dass die auf Vorrat eingeholte Einwilligung in Werbemaßnahmen von noch nicht namentlich bezeichneten Unternehmen im Hinblick auf die Übermittlung und spätere Verwendung der Daten durch den Käufer unwirksam ist. Ziffer 6.2.1 verbietet es dem Lieferanten daher, aus einem bestehenden Datenbestand die Daten an den Käufer zu liefern, sofern diese nicht spezifisch (auch) für ihn erhoben wurden. Das beschränkt natürlich die Möglichkeit des Lieferanten Daten dazuzukaufen.
36
Von besonderer Bedeutung für die Generierung von personenbezogenen Daten über Online-Angebote ist zudem Ziffer 6.2.3 des Vertragsentwurfs. Durch Ziffer 6.2.3 werden dem Lieferanten Verpflichtungen auferlegt, wie und in welcher Form er die Einwilligung des Verbrauchers einholen muss1.
37
Dabei könnte man darüber, ob aus datenschutzrechtlicher Sicht auch IP-Adressen gespeichert werden dürfen, eigentlich trefflich streiten2. Aus Sicht des Verfassers wäre dies jedenfalls in der vorliegenden Konstellation zulässig. IPTimestamps sind ein anerkanntes Mittel, einen bestimmten Vorgang zu Nachweiszwecken zu protokollieren – und zu protokollieren ist die Einwilligung auch bei der elektronischen Kommunikation nun einmal, wenn auch die Nachweiseignung des IP-Timestamps nur in Kombination mit anderen Merkmalen gegeben ist. Um dieses Problem aber zu umgehen, trägt Ziffer 6.2.3. dem Lieferanten auf, auch den zu erstellenden Timestamp zum Gegenstand der Einwilligungserklärung zu machen.
dd) Erläuterungen zu Ziffer 6.3 Wenn der Käufer die Daten nutzt und von einem Verbraucher, einem Wettbewerber oder einer Verbraucherzentrale mit der Begründung angegriffen wird, eine wirksame Einwilligung des Verbrauchers liege nicht vor, muss der Käufer 1 Zur Opt-in-Erklärung im Einzelnen vgl. Teil 7 III Rz. 10. 2 Die Diskussion, ob es sich bei (dynamischen) IP-Adressen um personenbezogene Daten handelt, dürfte sich in der Rechtswirklichkeit nach der Entscheidung des EuGH „Scarlet Extended“, dort Rz. 52 (EuGH v. 24.11.2011 – C-70/10) faktisch – wenn auch rechtlich zu Unrecht – erledigt haben.
Feldmann/Höppner
|
367
38
Teil 3 II Rz. 39
Adressenkauf- und -überlassungsvertrag
in der Lage sein, die Beweise für die Generierung des Opt-ins zu beschaffen, zu prüfen und dem Angreifer zur Rechtsverteidigung vorzulegen. Da der Käufer die Daten nicht selbst erhoben hat, ist er auf die Unterstützung des Lieferanten angewiesen. Ziffer 6.3 des Vertragsmusters gestaltet diese Pflicht zur Mithilfe vertraglich aus. Bei Klauseln wie Ziffer 6.3 ist zu beachten, dass das Mittel solcher Angriffe regelmäßig die Abmahnung ist – mit einem drohenden Antrag auf Erlass einer einstweiligen Verfügung als nächstem Schritt. Aus diesem Grund muss der Nachweis der Einwilligung extrem schnell erbracht werden. Die vorgeschlagene Frist von 48 Stunden ist hier praxisnah und angemessen1. Aus AGB-rechtlicher Sicht fraglich könnte es ggf. sein, die Verpflichtung zur Lieferung des Opt-ins nur von einer Anfrage des Käufers, nicht aber davon abhängig zu machen, dass dieser seinen konkreten Bedarf nach dem Opt-in nachweist. Eine solche Sichtweise wäre indes nicht überzeugend. Denn Sie würde bedeuten, dass der Käufer dem Lieferanten Interna offenlegen müsste. Opt-ins einzuholen, vorzuhalten und nachzuweisen, ist letztlich Hauptleistungspflicht des Lieferanten. Deren Erfüllung von besonderen Voraussetzungen abhängig zu machen, wäre nicht nachvollziehbar. Aus Sicht des Lieferanten ist zudem insbesondere die fehlende zeitliche Befristung der Verpflichtung problematisch, und der Lieferant wird deswegen, wenn er die Möglichkeit hat, eine zeitliche Befristung, z.B. auf drei Monate nach Lieferung des Datensatzes, verhandeln wollen. Für den Käufer ist dies aber kaum akzeptabel. Denn das Risiko, das durch den Opt-in-Nachweis reguliert werden soll, besteht eben nicht nur für einige Monate, sondern solange, wie die Ansprüche, denen sich der Käufer möglicherweise ausgesetzt sieht, nicht verjährt sind bzw. so lange keine Verfolgungsverjährung eingetreten ist.
ee) Erläuterungen zu Ziffer 6.5 39
Um das Einhalten der Verpflichtungen des Lieferanten im Rahmen der Adressgenerierung „wehrhaft“ zu machen, sieht das Vertragsmuster eine empfindliche Vertragsstrafe vor. Wegen gewisser Auswüchse in der Adresshandelsbranche ist eine solche unbedingt zu empfehlen, weil andernfalls kein spürbarer Anreiz geschaffen wird, die Verpflichtungen auch zu beachten. Fraglich ist AGB-rechtlich natürlich vor allem stets die Höhe einer solchen Vertragsstrafe. Eine Vertragsstrafe ist nach der Rechtsprechung verhältnismäßig, solange sie nicht „jedes vernünftige Verhältnis zum möglichen Schaden übersteig[t]“2 bzw. solange sie nicht „außer Verhältnis zum Gewicht des Vertragsverstoßes und zu dessen Folgen für den Vertragspartner steh[t]“3. Vor diesem Hintergrund erscheint eine Vertragsstrafe in Höhe von 15 000 Euro pro Fall angemessen, bedenkt man, dass die Verfahrenskosten aus einstweiligen Verfügungs- und Hauptsacheverfahren (gar über mehr als eine Instanz) insbesondere in Wett1 Dagegen aber ggf. OLG Celle v. 28.11.2012 – 9 U 77/12, wobei auch dort kurze Fristen nicht per se abgelehnt werden. 2 BGH v. 18.11.1982 – VII ZR 305/81, NJW 1983, 385. 3 BGH v. 3.4.1998 – V ZR 6/97, NJW 1998, 2600.
368
|
Feldmann/Höppner
Rz. 42 Teil 3 II
Erläuterungen
bewerbsstreitsachen sowie vor allem auch mögliche Bußgelder der Bundesnetzagentur 15 000 Euro durchaus niedrig erscheinen lassen1.
ff) Erläuterungen zu Ziffer 6.6 Bei den sog. Robinsonlisten handelt es sich um Schutzlisten mit Kontaktdaten von Verbrauchern, die keine unangeforderte Werbung erhalten wollen. Es gibt Robinsonlisten für Briefpost, E-Mail-Werbung, Festnetztelefonanschlüsse, Mobiltelefonanschlüsse und Telefaxnummern.
40
gg) Erläuterungen zur Perspektive des Lieferanten Der Lieferant hat selbstverständlich ganz andere Interessen. Wenn er diese durchsetzen kann, wird er u.a. vereinbaren wollen, dass
41
– ihn der Käufer umgehend informiert, wenn es unerreichbare Adressen bzw. Telefonnummern und/oder Widersprüche und Beschwerden von Verbrauchern (vor allem in der Form von Abmahnungen) gegen die Verwendung ihrer Daten für Werbung gibt; – der Käufer die Verantwortung für den datenschutzgerechten und auch sonst (v.a. hinsichtlich § 7 Abs. 2 UWG) zulässigen Einsatz der Datensätze trägt, diesem also insbesondere die Prüfung obliegt, ob er die Daten zulässigerweise für die vorgesehenen Zwecke der Werbung verarbeiten und nutzen darf; und – der Käufer ihn von den Folgen einer unzulässigen Nutzung freistellt.
6. Erläuterungen zu Ziffer 7 und 8 E 7. Datenabgleich und Abrechnung „netto erreicht“
42
7.1 In Fällen, in denen im Einzelauftrag vereinbart ist, dass vor der eigentlichen Selektion für die Lieferung Datensätze zunächst zum Zwecke eines Datenabgleichs (z.B. Abgleich mit beim Käufer bereits vorhandenen Beständen) bestellt werden, um die für den Käufer und/oder den Endkunden mit einem Mehrwert nutzbaren Datensätze zu ermitteln (im Folgenden die „tatsächliche Liefermenge“), wird erst nach dem Abgleich die eigentliche Selektion auf der Grundlage der tatsächlichen Liefermenge durchgeführt. Nur die tatsächliche Liefermenge ist auch vergütungspflichtig. Die übrigen Datensätze erhält der Lieferant ungenutzt zurück. Eine etwaig vereinbarte Mindestabrechnungsquote („MAQ“; siehe unten Ziffer 8.3 dieses Rahmenvertrags) bezieht sich in einem solchen Fall lediglich auf die tatsächliche Liefermenge. 7.2 Ist eine Abrechnung „netto erreicht“ vereinbart (in der Regel nur für Datensätze für Telefonmarketingzwecke), wird zunächst ein Datenabgleich nach Ziffer 7.1 dieses Rahmenvertrags durchgeführt. Vergütungspflichtig 1 A.A. OLG Celle v. 28.11.2012 – 9 U 77/12, das auf die Höhe der Vergütung für den einzelnen Datensatz – der meist unter einem Euro liegt – abstellt.
Feldmann/Höppner
|
369
Teil 3 II Rz. 43
Adressenkauf- und -überlassungsvertrag
ist aber nicht die tatsächliche Liefermenge, sondern lediglich die Anzahl der durch Nutzung der tatsächlichen Liefermenge am Ende erfolgreich kontaktierten Verbraucher; erfolgreich kontaktiert in diesem Sinne wurde ein Verbraucher dann, wenn tatsächlich mit ihm gesprochen und nicht lediglich eine dritte Person oder ein Anrufbeantworter erreicht wurde oder die Nummer besetzt oder nicht vergeben war. Sofern zusätzlich das erfolgreiche Erreichen einer bestimmten Anzahl von Empfängern Gegenstand des Einzelvertrags ist, ist der Lieferant verpflichtet, solange Datensätze gemäß der vertraglichen Spezifikationen nachzuliefern, bis die vorgesehene Anzahl erfolgreich kontaktierter Empfänger erreicht ist. Entscheidend sind diesbezüglich die Aufzeichnungen des Käufers. 8. Vergütung 8.1 Der Käufer leistet dem Lieferanten die im Einzelvertrag festgelegte Vergütung. 8.2 Die im Einzelvertrag genannten Vergütungsbeträge verstehen sich netto zuzüglich Umsatzsteuer. 8.3 Ist im Einzelvertrag eine Mindestabrechnungsquote („MAQ“) vereinbart, richtet sich die Vergütung grundsätzlich (siehe aber Ziffer 7.1 dieses Rahmenvertrags) nach dieser Quote, nicht nach der Gesamtliefermenge. Eine Vergütung über die MAQ hinaus ist nur zu leisten, sofern Datensätze über die vereinbarte MAQ hinaus tatsächlich genutzt wurden. 8.4 Ist eine Nettoabrechnung vereinbart (z.B., aber nicht ausschließlich, nach einem Datenabgleich wie in Ziffer 7.1 dieses Rahmenvertrags beschrieben), sind nur die tatsächlich genutzten Datensätze vergütungspflichtig. Ist eine Abrechnung „netto erreicht“ Gegenstand des Einzelauftrags, bestimmt sich die Vergütung nach der Anzahl der tatsächlich erfolgreich kontaktierten Verbraucher, ggf. begrenzt auf die vorgesehene Zielanzahl, wenn eine solche vereinbart ist (vgl. Ziffer 7.2 dieses Rahmenvertrags). 8.5 Dem Käufer stehen gegen Vergütungsansprüche des Lieferanten die gesetzlichen Zurückbehaltungsrechte zu. Ein Zurückbehaltungsrecht besteht insbesondere, solange der Lieferant nicht die verlangten Einwilligungsnachweise erbracht hat. 43
Selbstverständlich können die Parteien in einem Einzelauftrag einfach vereinbaren, dass der Käufer dem Lieferanten jeden gelieferten Datensatz zu einem bestimmten Preis zu vergüten hat. So einfach sind die Vergütungsregelungen aber in der Praxis nur selten.
a) Erläuterungen zu Ziffer 7.1 44
Der Käufer will in der Regel sicherstellen, dass er die gelieferten Datensätze – jedenfalls solche, die er bezahlen muss – auch erfolgreich einsetzen kann, insbesondere, dass sie geeignet sind, die von ihm verfolgten Marketingziele zu er370
|
Feldmann/Höppner
Erläuterungen
Rz. 46 Teil 3 II
reichen. Deswegen vereinbaren die Parteien in der Regel zunächst bestimmte Auswahlkriterien, nach denen die Daten bestimmte Eigenschaften im Hinblick auf die vom Käufer für sich festgelegte Zielgruppe aufweisen müssen, z.B. ein bestimmtes Alter, ein bestimmtes Geschlecht oder eine bestimmte Berufsgruppe. Daneben ist es üblich, dass der Käufer die vom Lieferanten zur Verfügung gestellten Datensätze zunächst zwar in voller Anzahl entgegennimmt, diese aber vor der finalen Selektion durch den Lieferanten mit bei ihm selbst, dem Käufer, bereits vorhandenen Datensätzen abgleicht. Der Käufer siebt dann die Daten aus, für die er keine Verwendung hat, und benutzt zu Werbezwecken lediglich die Daten, die erfolgreich den Filter durchlaufen haben. Die übrigen Datensätze erhält der Lieferant unbenutzt zurück. Ziffer 7.1 des Vertragsmusters sieht dementsprechend vor, dass der Käufer lediglich die von ihm ermittelten „gebrauchsfähigen“ Datensätze vergütet. Aus Sicht der Lieferanten wiederum ist die Selektion ebenso wie jede Vorselektion eine zu vergütende Leistung. Dies nicht zuletzt deswegen, weil in der Branche die Datenhaltung und -verarbeitung oft an Dienstleister ausgelagert sind, die pro Selektion bezahlt werden. Meist wird der Lieferant seine diesbezüglichen Leistungen und Kosten aber über den Preis für den einzelnen Datensatz kalkulieren.
b) Erläuterungen zu Ziffer 8.3 Um dem Lieferanten im Falle eines Datenabgleichs durch den Käufer die Unsicherheit zu nehmen, welcher Anteil der gelieferten Adressen vergütet wird, wird nicht selten eine sog. Mindestabrechnungsquote (kurz „MAQ“) vereinbart. Der Käufer ist dann verpflichtet, die Zahl der tatsächlich eingesetzten Datensätze (unabhängig von der Gesamtliefermenge) zu vergüten, mindestens aber einen bestimmten Prozentsatz der gesamten Liefermenge. Dies mag für den Käufer zwar auf den ersten Blick kaufmännisch nachteilig sein, denn durch die Mindestabrechnungsmethode muss er vielleicht Datensätze vergüten, die er nicht mit Mehrwert einsetzen kann. Der Käufer sollte also grundsätzlich bestrebt sein, eine Mindestabrechnungsquote im Vertrag zu vermeiden. Auf der anderen Seite sind für den Lieferanten die letzten Prozent zur Komplettierung einer dublettenfreien Selektion immer die teuersten – was sich dann im Preis pro Datensatz niederschlagen muss. Eine angemessene Mindestabrechnungsquote ist also ein Mittel, die kaufmännischen Risiken angemessen zu verteilen.
45
c) Erläuterungen zu Ziffer 8.4 Die Vergütungsvariante „netto erreicht“ ist vor allem im Telefonmarketing relevant. Bei ihr werden Kontakte nur dann vergütet, wenn die Person auch tatsächlich erreicht wurde. Selbstverständlich wirft diese Abrechnungsart Fragen auf. In jedem Fall wird der Käufer bzw. das Call-Center die Anruferfolge zu dokumentieren haben. Das Abrechnungsmodell legt zwar grundsätzlich nahe, die Darlegungs- und Beweislast hinsichtlich der Anruferfolge dem Lieferanten aufFeldmann/Höppner
|
371
46
Teil 3 II Rz. 47
Adressenkauf- und -überlassungsvertrag
zuerlegen. Der Anruferfolg ist Voraussetzung der Vergütungspflicht und daher für den Lieferanten günstig. Da der Anruferfolg jedoch allein der Sphäre des Käufers zuzuordnen ist und vom Lieferanten nicht überprüft werden kann, ist die Annahme der sekundären Darlegungslast des Käufers naheliegend und sogar eine Beweislastumkehr denkbar.
d) Erläuterungen aus Sicht des Lieferanten 47
Der Lieferant wird Wert darauf legen, dass der Käufer die tatsächliche Nutzung (ob eingesetzte Datensätze oder „netto erreichte“ Datensätze) ordentlich erfasst, protokolliert und nachvollziehbar abrechnet. Zum Schutz vor Missbrauch, vor allem vor einem Weiterverkauf der Datensätze und wenn der Lieferant die Nutzung der Datensätze begrenzt hat, wird der Lieferant den Lieferungen auch Datensätze (Fakes) beimischen, bei denen es die vermeintlichen Verbraucher gar nicht gibt, weshalb die Werbung vielmehr bei ihm selbst, einem Mitarbeiter oder sonstigen ihm bekannten Dritten eingeht. Dies sollte er im Vertrag durchaus offenlegen, zum einen um zu vermeiden, dass (zu Unrecht) ein Mangel behauptet wird, zum anderen, um den Käufer vor den naheliegenden Versuchungen der Übernutzung oder Verwertung der Datensätze zu bewahren.
7. Erläuterungen zu Ziffer 10 48
E 10. Gewährleistung Unbeschadet der besonderen Regelungen der Ziffern 5 und 6 dieses Rahmenvertrags stehen dem Käufer bei Sach- und/oder Rechtsmängeln des Leistungsgegenstands die gesetzlichen Gewährleistungsansprüche nach den folgenden Maßgaben zu: 10.1 Der Lieferant gewährleistet, dass die Leistungsgegenstände mangelfrei sind, insbesondere dass sie sich zur vertraglich oder gewöhnlich bestimmten Nutzung eignen und der Nutzung weder gesetzliche Normen noch eine der in Ziffer 6.6 dieses Rahmenvertrags aufgeführten Konstellationen entgegenstehen. 10.2 Der Käufer ist nur dann verpflichtet, eine Nacherfüllung des Lieferanten anzunehmen, wenn er für die nachgelieferten Datensätze noch im Rahmen der dem Einzelauftrag zugrunde liegenden Kampagne Verwendung hat. Ansonsten kann der Käufer die Vergütung unmittelbar mindern. Bei einer erheblichen Minderlieferung gilt zudem Ziffer 3.2 Satz 2 dieses Rahmenvertrags. 10.3 Sofern der Käufer die Nacherfüllung wünscht, werden vom Käufer hierfür eingedenk der marktüblich kurzfristigen Leistungszeiträume nur einmalige, knappe Nachfristen gesetzt. Eine Nachfrist von 24 Stunden ist im Regelfall nicht unangemessen. Eine zweite Nachfrist muss nicht gesetzt werden. Nach erfolglosem Ablauf der einmaligen Nachfrist stehen dem Käufer die gesetzlichen Ansprüche zu. 10.4 Sofern der Mangel in einer fehlenden rechtswirksamen Einwilligung des Verbrauchers besteht, kann der Käufer trotz Nachlieferung alle wegen 372
|
Feldmann/Höppner
Erläuterungen
Rz. 50 Teil 3 II
der fehlenden Einwilligung entstehenden Schäden, insbesondere in der Form von Rechtsanwaltskosten und Verfahrenskosten, gegen den Lieferanten geltend machen (siehe auch Ziffer 11.2 dieses Rahmenvertrags). Ziffer 10 des Vertragsmusters gestaltet die anwendbaren kaufrechtlichen Gewährleistungsansprüche des Käufers näher aus. Abweichungen vom gesetzlichen Leitbild (wie Ziffer 10.3 des Vertragsmusters) sind bekanntlich gerade in Gewährleistungsklauseln AGB-rechtlich stets dem Risiko der Unwirksamkeit ausgesetzt. Allerdings gibt es in der Branche Besonderheiten, die es angemessen erscheinen lassen, durchaus z.B. mit kurzen Fristen zu arbeiten. So werden Datensätze für E-Mail-Kampagnen in der Regel für eine bestimmte Werbekampagne eingekauft, bei der E-Mails an einem bestimmten Tag ausgesendet werden sollen. Natürlich könnte ein Teil auch nachträglich versendet werden. Das würde aber im Zweifel höhere Versendungskosten mit sich bringen und – wichtiger – nicht mehr dem Kommunikationsplan des Käufers entsprechen.
49
Der Lieferant wird hier natürlich ganz andere Regelungen bevorzugen. So wird er die Gewährleistungszeit begrenzen und bestimmte Toleranzgrenzen definierten wollen, unterhalb derer (noch) keine Mängel vorliegen. Zudem wird er Wert darauf legen, dass die Rügeobliegenheit des § 377 HGB ausdrückliche Erwähnung findet. Seine Gewährleistung für Rechtsmängel wird der Lieferant durch eine entsprechende Definition der diesbezüglichen Leistungen und eine entsprechende Verteilung der Verantwortlichkeiten reduzieren wollen.
8. Erläuterungen zu Ziffer 11 50
E 11. Haftung des Lieferanten und Freistellung 11.1 Unbeschadet Ziffer 11.2 dieses Rahmenvertrags haftet der Lieferant gegenüber dem Käufer grundsätzlich nach den gesetzlichen Bestimmungen. 11.2 Der Lieferant stellt den Käufer zudem insbesondere von jeder Haftung und sämtlichen Kosten, einschließlich Rechtsanwaltskosten zur Rechtsverteidigung sowie möglicher und tatsächlicher Kosten eines gerichtlichen Verfahrens, frei, falls der Käufer von Dritten, insbesondere einem Verbraucher, einem Verbraucherschutzverband, einem Wettbewerber oder einer staatlichen Institution wie der Bundesnetzagentur mit der Behauptung in Anspruch genommen wird, der bzw. ein oder mehrere Verbraucher seien zu Werbezwecken kontaktiert worden, ohne dass eine wirksame Einwilligung der betreffenden Person in die Datenverarbeitung und/oder den Empfang des betreffenden Werbemittels/die Kontaktaufnahme für den entsprechenden werblichen Zweck vorlag. Der Lieferant kann diese Haftung durch den Nachweis einer wirksamen Einwilligung vermeiden bzw. beenden, wobei hinsichtlich der Wirksamkeit die einschlägige Gesetzeslage und Rechtsprechung maßgeblich ist, nicht das Urteil des Lieferanten. Der Käufer wird den Lieferanten über die Inanspruchnahme unterrichten. Der Lieferant ist verpflichtet, dem Käufer unverzüglich alle ihm verFeldmann/Höppner
|
373
Teil 3 II Rz. 51
Adressenkauf- und -überlassungsvertrag
fügbaren Informationen über den betreffenden Sachverhalt vollständig mitzuteilen. Voraussetzung für die Freistellung ist, dass der Käufer in der Sache ohne Zustimmung des Lieferanten keine Zugeständnisse macht oder Anerkenntnisse erklärt und es dem Lieferanten ermöglicht, auf seine Kosten alle gerichtlichen und außergerichtlichen Verhandlungen über die Ansprüche zu führen. Diese Voraussetzungen entfallen allerdings, wenn und soweit der Lieferant binnen der vom Käufer hierfür gesetzten Frist sich nicht mit dem Käufer über den Sachverhalt und das Vorgehen ins Benehmen setzt. 11.3 Ist eine nach Ziffer 6.4 dieses Rahmenvertrags fällige Vertragsstrafe durch den Lieferanten geleistet, findet eine entsprechende Anrechnung statt. Freistellungsansprüche werden in diesem Fall also nur fällig, sofern ihr Umfang den Betrag der geleisteten Vertragsstrafe übersteigt. 51
Der Käufer haftet bei der Verwendung der Datensätze gegenüber Verbrauchern und Wettbewerbern. Er kann sich zudem Ansprüchen von Verbraucher- bzw. Wettbewerbszentralen ausgesetzt sehen und – beim Telefonmarketing mittlerweile nicht selten, wenn das werbende Unternehmen zu den großen einer Branche gehört – von der Bundesnetzagentur mit Bußgeldern belegt werden. Verwirklichen sich diese Risiken, liegt der Grund regelmäßig in dem Unvermögen des Käufers, im Verfahren die wirksame Einwilligung des jeweiligen Verbrauchers in den Empfang der betreffenden Werbung nachzuweisen. Diesen Nachweis nicht führen zu können, liegt wiederum daran, dass der Lieferant entweder abredewidrig gar keine wirksame Einwilligung eingeholt bzw. „eingekauft“ hat oder sich eingeholte Einwilligungen nicht gerichts- bzw. verfahrensfest hat nachweisen lassen.
52
Das Vertragsmuster weist die diesbezüglichen Risiken dem Lieferanten zu, soweit dies praktisch und rechtlich möglich ist. Dieser Ausrichtung entsprechend enthält Ziffer 11.2 des Vertragsmusters eine umfassende Freistellungsverpflichtung. Auf deren Grundlage hat der Käufer u.a. die Möglichkeit, dem Lieferanten den Streit zu verkünden, wenn der Käufer vor einem Zivilgericht (meist auf Unterlassung) in Anspruch genommen wird. Gegen die Regelung mag man zwar einwenden, dass es unter den heute gegebenen rechtlichen Voraussetzungen für Adresshändler nahezu unmöglich ist, die von der Rechtsprechung aufgestellten Anforderungen an die Einholung einer wirksamen Einwilligung in Werbemaßnahmen komplett abzubilden, und eine umfassende Freistellungsverpflichtung für den Lieferanten ein enormes Haftungsrisiko in sich birgt. Dem kann man aber entgegenhalten, dass auch unter den rechtlich erschwerten Marktbedingungen die Generierung und der Handel mit personenbezogenen Daten für die verbleibenden Anbieter überaus profitabel ist und die Profitabilität vor allem über die vom Käufer bezahlte Vergütung erzielt wird. Vor diesem Hintergrund ist die im Vertragsmuster vorgesehene Verteilung des Risikos jedenfalls nicht unangemessen.
53
Bestehen für den Käufer Zweifel an der Solvenz des Lieferanten, bietet es sich an, vom Lieferanten eine selbstschuldnerische Bürgschaft auf erstes Anfordern, ausgereicht von einer renommierten Bank, zu fordern. 374
|
Feldmann/Höppner
Erläuterungen
Rz. 56 Teil 3 II
Der Lieferant wird, so er die Verhandlungsmacht hat, natürlich versuchen, zumindest den Haftungsrahmen für Fälle nur einfacher Fahrlässigkeit betragsmäßig zu begrenzen. In eigenen Standardverträgen stehen dem zwar die bekannten AGB-rechtlichen Schranken entgegen. Zumindest für die Freistellungsverpflichtung bei bloß behaupteten Ansprüchen Dritter wäre nach Auffassung der Autoren auch eine signifikante betragsmäßige Begrenzung möglich, da in diesen Fällen die Freistellung keine „echte“ Haftung auf Schadensersatz ist, sondern nur einen möglichen Schadensersatzanspruch sichert.
54
9. Erläuterung zu Ziffer 14 E 14. Aufrechnung und Zurückbehaltungsrecht
55
Der Lieferant ist nicht zur Aufrechnung berechtigt, es sei denn, die Gegenforderungen sind von dem Käufer nicht bestritten oder rechtskräftig festgestellt. Entsprechendes gilt für die Geltendmachung eines Zurückbehaltungsrechts. Die Wirksamkeit des in Ziffer 14 des Vertragsentwurfs vorgesehenen Aufrechnungsverbots ist nach einer jüngeren Entscheidung des BGH1 AGB-rechtlich nicht gesichert. Die genannte Entscheidung erging allerdings zu einer Unternehmer-Verbraucher-Konstellation. Da hier lediglich Unternehmen beteiligt sind und die möglichen Ansprüche des Käufers – vor allem Schadensersatzund Freistellungsansprüche infolge von Vertragsverletzungen des Lieferanten – in gewisser Weise „schutzwürdig“ erscheinen, ist es nach hiesiger Auffassung aber mit § 307 BGB zu vereinbaren, die Aufrechnung zu begrenzen.
1 BGH v. 7.4.2011 – VII ZR 209/07.
Feldmann/Höppner
|
375
56
III. Marktforschungsvertrag/ Social Media Monitoring-Vertrag Literaturverzeichnis: Gola/Schomerus, BDSG, 11. Aufl. 2012; Plath, BDSG, 2013; Taeger/Gabel, Kommentar zum BDSG, 2010; Pflüger, Datenschutz in der Markt- und Meinungsforschung, RDV 2010, 101; Solmecke/Wahlers, Rechtliche Situation von Social Media Monitoring-Diensten, ZD 2012, 550.
A. Einleitung 1
Der Bereich der Markt- und Meinungsforschung sowie der sog. Sozialforschung führt in der datenschutzrechtlichen Literatur und Wahrnehmung noch immer ein Schattendasein. Fachaufsätze oder gar Fachbücher, die sich dezidiert mit den datenschutzrechtlichen Fragen rund um die Marktforschung beschäftigen, sind schwer oder gar nicht zu finden. Dies überrascht angesichts der hohen Bedeutung der Markt- und Meinungsforschung in der Unternehmenspraxis. Es gibt kaum ein Unternehmen, das nicht in die Marktforschung investiert. Die Marketingabteilungen sind auf Erkenntnisse der Marktforschung angewiesen, um Marketingbudgets effektiv einsetzen zu können. „Know your customer“ ist bereits seit längerem zu einem Schlagwort geworden.
2
Die Unternehmen bedienen sich der Marktforschung aber längst nicht mehr nur zu Marketingzwecken. Auch bei der Produktentwicklung und Produktgestaltung kommen immer öfter Methoden der Markt- und Meinungsforschung zum Einsatz. Das soziale Web macht es möglich, die Wünsche der potentiellen Kunden schon bei der Entwicklung und dem Design von neuen Produkten zu berücksichtigen. Unter dem Buzzword „Crowdsourcing“ testen vor allem größere Unternehmen den Bedarf und die potentielle Nachfrage nach neuen Produkten oder neuen Produktdesigns bereits während der Entwicklungsphase.
3
In der Bugwelle des sozialen Webs und der Beliebtheit insbesondere der sozialen Netzwerke hat sich dabei eine Art „Marktforschung 2.0“ entwickelt. Es liegt auf der Hand, dass sich durch die Nutzung des sozialen Webs sehr viel schneller sehr viel fundiertere und damit treffsichere Erkenntnisse gewinnen lassen, als durch die traditionellen Formen der Marktforschung, wie etwa Umfragen oder Telefonbefragungen. Über das soziale Web kommen Unternehmen in unmittelbaren Kontakt zu den potentiellen Abnehmern ihrer Produkte und können deren Wünsche antizipieren oder die künftigen Kunden gar aktiv bei der Gestaltung von Produkten oder von Werbekampagnen einbinden.
4
Eine wichtige Rolle bei der „neuen Marktforschung“ spielt dabei die Analyse und Auswertung des sozialen Webs. In den sozialen Netzwerken lassen sich sehr schnell und vergleichsweise einfach bestimmte Trends und Stimmungen erkennen und kommerziell nutzen. Social Media Monitoring dient daher längst nicht mehr nur der Aufdeckung von Verstößen gegen unternehmensinterne 376
|
Baumgartner
Rz. 7 Teil 3 III
Vertragstext
Social Media Policies. Die systematische und automatische Analyse und Auswertung von Social Media Kanälen hat sich vielmehr zu einer neuen Disziplin der Markt- und Meinungsforschung entwickelt. Neben zahlreichen weiteren Rechtsfragen (insbesondere zum Gewerblichen Rechtsschutz) stellen sich dabei auch spannende und neue datenschutzrechtliche Fragen. Wie so oft im Zusammenhang mit neuen technischen Entwicklungen lässt sich dem BDSG keine eindeutige Regelung entnehmen. Die Unternehmen stehen daher vor der Herausforderung, die bestehenden Gesetze (insbesondere § 30a BDSG) auf aktuelle technische Entwicklungen anzuwenden.
5
Die folgenden Ausführungen sollen anhand eines Vertrags zwischen einem Anbieter von Social Media Monitoring Dienstleistungen und dem auftragserteilenden Unternehmen praktische Hilfestellung geben. Das Vertragsmuster und die begleitenden Erläuterungen stellen dabei die Interessen des Anbieters in den Mittelpunkt und erläutern, welchen Regelungen Anbieter in ihren Verträgen besondere Beachtung schenken sollten.
6
B. Muster E Marktforschungsvertrag/Social Media Monitoring-Vertrag
7
Präambel: Der Kunde ist ein Unternehmen mit Aktivitäten im Bereich […]. Zur Unterstützung seiner Marketingaktivitäten im Zusammenhang mit der Markteinführung eines neuen Produkts benötigt der Kunde verschiedene Marktinformationen. Der Auftragnehmer bietet verschiedene Dienstleistungen im Bereich der Marktund Meinungsforschung an, insbesondere zur Erfassung und Auswertung von sozialen Netzwerken („Social Media Monitoring“). Der Auftragnehmer verfügt zu diesem Zweck über ein System, mit dessen Hilfe er dem Kunden Daten aus dem Social Web beschaffen, analysieren und verfügbar machen kann. Gleichzeitig bietet der Auftragnehmer auch die Auswertung der gewonnenen Informationen an. Vor diesem Hintergrund vereinbaren die Parteien Folgendes: 1. Vertragsgegenstand 1.1 Der Auftragnehmer führt für den Kunden eine Marktanalyse zu folgenden Themen/Produkten durch: [Aufzählung der Themen, zu denen der Kunde eine Marktanalyse wünscht] 1.2 Zu diesem Zweck wird der Auftragnehmer während der Vertragslaufzeit permanent relevante Beiträge und Meinungen auf folgenden Sozialen Netzwerken, Foren, Blogs, App-Stores, Bewertungsportalen und sonstigen Social Media Kanälen erfassen und auswerten: [Aufzählung der Sozialen Medien, die ausgewertet werden sollen] Baumgartner
|
377
Teil 3 III
Rz. 7
Marktforschungsvertrag
1.3 Auf Wunsch unterstützt der Auftragnehmer den Kunden dabei, weitere Social Media Kanäle zu identifizieren (Social Media Audit). In Abstimmung mit dem Kunden bietet der Auftragnehmer zudem einen Quellencheck an, um ggf. weitere besondere Quellen zu integrieren. 2. Zugang zum System des Auftragnehmers 2.1 Der Kunde erhält zum Zwecke der Bereitstellung der Auswertungsergebnisse Zugang zum System des Auftragnehmers. Der Zugang erfolgt in Form einer Web-Applikation bzw. in Form einer vorab definierten Schnittstelle. 2.2 Sämtliche Rechte an dem System stehen ausschließlich dem Auftragnehmer zu. Der Kunde erwirbt an dem System keinerlei Eigentumsrechte und ist zur Nutzung des Systems nur für die Dauer dieses Vertrags und im Rahmen der vertraglichen Vereinbarungen berechtigt. 2.3 Zur Nutzung der Web-Applikation ist eine Autorisierung und Authentifizierung erforderlich. Hierfür erhält der Kunde eine Benutzerkennung und ein Passwort. Der Kunde hat das Passwort streng geheim zu halten und dafür zu sorgen, dass es Dritten nicht zugänglich wird. Das System steht dem Kunden während folgender Zeiten zur Verfügung: [Definition der Zugangszeiten] 2.4 [Ggf. noch Regelungen zu Service Level bzgl. Verfügbarkeit des Systems, Antwortzeiten, Nutzungseinschränkungen, etc.] 3. Mitwirkung des Kunden 3.1 Falls der Kunde Leistungen beauftragt hat, für die seine Mitwirkung notwendig ist, benennt der Kunde einen qualifizierten und entscheidungsbefugten Ansprechpartner, der während der Dauer der Zusammenarbeit nach Absprache und Vereinbarung zu den üblichen Geschäftszeiten als Ansprechpartner zur Verfügung steht. 3.2 Der Ansprechpartner beim Kunden ist verantwortlich für die Bereitstellung, Richtigkeit und Vollständigkeit aller Informationen, Arbeitsunterlagen und Arbeitsmittel, die der Auftragnehmer zur Durchführung des Auftrags benötigt. 4. Reporting 4.1 Die Ergebnisse seiner Auswertung verdichtet der Auftragnehmer zu einem Report, der insbesondere folgende mit dem Kunden vereinbarte Merkmale aufweist: – Zahl und Quellen der ausgewerteten relevanten Beiträge – Executive Summary der ausgewerteten relevanten Beiträge – Meinungsbildanalysen (ggf. mit O-Ton-Zitaten) – Qualitative Trendanalyse 378
|
Baumgartner
Vertragstext
Rz. 7 Teil 3 III
– Ggfs. Skizzierung von empfohlenen Maßnahmen – [Aufzählung weiterer Merkmale] 4.2 Der Report wird dem Kunden [wöchentlich/monatlich/quartalsweise] über den in Ziffer 2 oben beschriebenen Zugang des Kunden zum System des Auftragnehmers zur Verfügung gestellt. 5. Vertragsdauer 5.1 Die Vertragslaufzeit beginnt mit Unterzeichnung dieses Vertrags durch beide Vertragspartner und läuft bis zum [Definition der Vertragslaufzeit]. 5.2 Dieser Vertrag kann von beiden Parteien schriftlich mit einer Frist von drei Monaten zum Monatsende gekündigt werden. Die gesetzlichen Rechte zur außerordentlichen Kündigung bleiben unberührt. 5.3 Das Recht zur Kündigung gem. § 627 BGB (Fristlose Kündigung bei Vertrauensstellung) ist ausgeschlossen. 5.4 Der Auftragnehmer hat das Recht, den Vertrag mit sofortiger Wirkung zu kündigen und seine vertragsgegenständlichen Leistungen einzustellen, falls der Kunde durch seine Nutzung des Systems des Auftragnehmers diesem Schaden zufügt und er sein schädigendes Verhalten auch nach schriftlicher Aufforderung nicht einstellt. 6. Vergütung 6.1 Der Auftragnehmer erhält für die Erbringung der oben genannten Dienstleistungen eine Vergütung, wie in dem entsprechenden Angebot ausgewiesen. Für darüber hinausgehende, vom Kunden gewünschte Leistungen kann der Auftragnehmer eine zusätzliche Vergütung verlangen. 6.2 Darüber hinaus hat der Auftragnehmer Anspruch auf Ersatz seiner Auslagen und Kosten, die wie folgt vergütet werden: [Aufstellung der Vergütung, ggf. werden bestimmte Leistungen auf Basis von Manntagen abgerechnet.] 6.3 Die Vergütung ist ohne Abzug sofort nach Rechnungsstellung zahlbar. Im Fall von Zahlungsverzug ist der Auftragnehmer berechtigt, Verzugszinsen in Höhe von [x] Prozentpunkten über dem Basiszinssatz zu verlangen. 6.4 Die Aufrechnung mit etwaigen Gegenansprüchen ist dem Kunden nur gestattet, wenn die Gegenansprüche unbestritten oder bereits rechtskräftig gerichtlich festgestellt sind. 7. Keine Rechte des Kunden an Daten 7.1 Der Auftragnehmer betreibt ein System zur Beschaffung und Verarbeitung von Informationen und Daten aus dem Internet und anderen Quellen. Der Auftragnehmer verfügt daher über keinerlei Rechte an den Informationen und Daten (Texte, Bilder, etc.), die über das System aus dem Web beschafft werden und kann dem Kunden folglich auch keinerlei Rechte hieran einräumen oder verschaffen. Baumgartner
|
379
Teil 3 III
Rz. 7
Marktforschungsvertrag
7.2 Der Kunde ist verpflichtet, sicherzustellen, dass durch seine Nutzung des Systems Rechte Dritter sowie gesetzliche Vorschriften nicht verletzt werden. Dies gilt insbesondere für Persönlichkeitsrechte und Urheberrechte. Der Kunde wird, soweit erforderlich, die entsprechenden (Nutzungs-) Rechte vom jeweiligen Inhaber bzw. Berechtigten erwerben. 8. Rechte an den Ergebnissen 8.1 Dem Auftragnehmer verbleiben alle Rechte an seinen Leistungen und den Ergebnissen derselben, die ihm nach dem Urheberrechtsgesetz zustehen. Der Kunde erkennt an, dass das alleinige Urheberrecht und alle Schutzrechte an Untersuchungskonzeptionen, Methoden, Verfahren und Verfahrenstechniken, grafischen und tabellarischen Darstellungen, die vom Auftragnehmer stammen, und an allen sonstigen Leistungen des Auftragnehmers ausschließlich diesem zustehen. Das Urheberrecht des Kunden an Unterlagen, die er erarbeitet hat, bleibt unberührt. 8.2 Das Eigentum an dem bei Durchführung des Auftrags angefallenen Material – Datenträger jeder Art, Fragebogen, weitere schriftliche Unterlagen usw. – und der angefallenen Daten liegt, wenn nichts anderes vereinbart wird, ausschließlich beim Auftragnehmer. 8.3 Der Auftragnehmer räumt dem Kunden an den mit Hilfe des Systems erstellten Analyse- und Arbeitsergebnissen ein nicht ausschließliches, zeitlich und räumlich unbeschränktes Nutzungsrecht ein, inhaltlich beschränkt auf die bestimmungsgemäße Nutzung im Rahmen des vereinbarten Zwecks und der vertraglichen Leistungsbeschreibung. Der Kunde darf die Ergebnisse ausschließlich für eigene, interne Zwecke im Rahmen der Markt- und Meinungsforschung verwenden. Eine Übertragung dieser Rechte auf Dritte bedarf der vorherigen schriftlichen Zustimmung des Auftragnehmers. 8.4 Jegliche über Ziffer 8.3 hinausgehende Nutzung ist unzulässig. Dies gilt insbesondere für jegliche öffentliche Zugänglichmachung, Verbreitung, Wiedergabe oder die Weitergabe von Daten an Dritte. Diese Regelungen gelten nicht, soweit es sich lediglich um unwesentliche Teile der Ergebnisse handelt. In jedem Fall hat der Kunde etwaige personenbezogene Daten als Teil der Ergebnisse zu anonymisieren, bevor er diese im Rahmen des nach dieser Ziffer 8.4 Zulässigen für weitergehende Zwecke verwendet. 9. Vertraulichkeit 9.1 Beide Vertragsparteien verpflichten sich, den Inhalt dieses Vertrags, einschließlich seiner Anlagen und einschließlich der dem Vertrag zugrundeliegenden wirtschaftlichen Konditionen und aller Unterlagen, Daten, Informationen und Schriftstücke der jeweils anderen Partei, die ihnen aus oder im Zusammenhang mit dem vorliegenden Vertrag zugänglich und/ oder bekannt werden oder wurden, sowie sämtliche wechselseitig im Rahmen der Auftragsdurchführung ausgetauschten Informationen streng vertraulich zu behandeln und sie ausschließlich für die Durchführung des 380
|
Baumgartner
Vertragstext
Rz. 7 Teil 3 III
Auftrags zu verwenden. Beide Vertragsparteien werden ihre Mitarbeiter entsprechend verpflichten. 9.2 Diese Verpflichtung gilt über die Laufzeit dieses Vertrags hinaus für einen Zeitraum von zwei Jahren weiter. 9.3 Die oben genannten Verpflichtungen gelten nicht für solche Informationen, für welche die empfangene Partei nachweist, dass sie ihr bereits vor dem Empfang bekannt waren oder dass sie der Öffentlichkeit vor dem Empfang bekannt waren oder dass sie der Öffentlichkeit nach dem Empfang zugänglich wurden, ohne dass die empfangende Partei dafür verantwortlich war. 10. Gewährleistung 10.1 Die Mängelrechte des Kunden richten sich nach den gesetzlichen Vorschriften, sofern nachfolgend nichts anderes bestimmt ist. 10.2 Der Auftragnehmer übernimmt keine Gewährleistung, dass die von ihm nach den Regeln und Methoden der Markt- und Meinungsforschung erhobenen, ausgewerteten und analysierten Daten vom Kunden in einer bestimmten Weise kaufmännisch verwertet werden können. 10.3 Die Parteien sind sich einig, dass es trotz sorgfältiger Arbeit nach dem Stand der Technik nicht möglich ist, Hard- und Software, Anwendungen und elektronische Datenbanken so zu erstellen, dass diese stets fehlerfrei arbeiten oder gegen Manipulation durch Dritte geschützt werden können. 10.4 Der Auftragnehmer haftet nicht für Störungen der Datenübermittlung in fremde Datennetze. 10.5 Der Kunde ist verpflichtet, dem Auftragnehmer Mängel des Systems unverzüglich und mit einer möglichst detaillierten Fehlerbeschreibung mitzuteilen. 10.6 Die Reaktionszeiten bei Supportanfragen und die einzelnen Service-Level nach Fehlerklassen ergeben sich aus dem Folgenden: [Reaktionszeiten/ Service Level nach Fehlerklassen] 10.7 Die Gewährleistungsbeschränkungen dieser Ziffer 10 gelten nicht, soweit der Auftragnehmer einen Mangel arglistig verschwiegen oder bestimmte Eigenschaften ausdrücklich zugesichert hat. 11. Haftung 11.1 Der Auftragnehmer haftet dem Grunde nach für Vorsatz und grobe Fahrlässigkeit. Für leichte Fahrlässigkeit haftet der Auftragnehmer nur im Falle der Verletzung vertragswesentlicher Pflichten, wobei die Haftung dabei auf die Gesamthöhe der vereinbarten Nettovergütung des jeweiligen Einzelauftrags beschränkt ist. 11.2 Der Auftragnehmer haftet nicht für Folgeschäden, insbesondere wegen entgangenen Gewinns oder immaterieller Verluste. Dies gilt insbesondere, Baumgartner
|
381
Teil 3 III
Rz. 7
Marktforschungsvertrag
aber nicht abschließend, für Schäden, die aus oder in Verbindung mit der Nutzung der gelieferten Daten/Ergebnisse durch den Kunden entstehen. 11.3 Alle sonstigen Schadensersatzansprüche gegen den Auftragnehmer aus welchem Rechtsgrund auch immer, insbesondere aufgrund von Vertragsverletzungen oder Delikt, sind ausgeschlossen, es sei denn, dem Auftragnehmer fällt Vorsatz oder grobe Fahrlässigkeit zur Last. Die Haftung wegen schuldhafter Verletzung des Lebens, des Körpers oder der Gesundheit bleibt unberührt; dies gilt auch für die zwingende Haftung nach dem Produkthaftungsgesetz. 11.4 Soweit die Schadensersatzhaftung des Auftragnehmers nach den vorstehenden Vorschriften ausgeschlossen oder eingeschränkt ist, gilt dies auch im Hinblick auf die persönliche Schadensersatzhaftung der Arbeitnehmer, Mitarbeiter, Vertreter und Erfüllungsgehilfen des Auftragnehmers. 12. Datenschutz 12.1 Die Vertragsparteien verpflichten sich, bei der Durchführung dieses Vertrags alle anwendbaren gesetzlichen datenschutzrechtlichen Bestimmungen zu beachten. 12.2 Die Vertragsparteien sind sich darüber einig, dass der Auftragnehmer im Rahmen der Durchführung dieses Vertrags selbständig handelt und dem Kunden keine personenbezogenen Daten übermitteln wird. 13. Höhere Gewalt 13.1 Im Falle höherer Gewalt ist der Auftragnehmer zur Leistungserbringung nicht verpflichtet. Als höhere Gewalt gelten insbesondere Streik, Aussperrung, Verzögerung oder Ausfall der Belieferung durch Lieferanten, sofern diese durch ein Ereignis der höheren Gewalt verursacht wurden, Stromausfälle und Unterbrechungen oder Zerstörung datenführender Leitungen außerhalb des Verantwortungsbereichs des Auftragnehmers, Angriffe und Attacken von Anwendern oder Dritten (z.B. durch Schadsoftware wie Viren oder DoS-Attacken), die der Auftragnehmer auch mit der nach den Umständen des Falles zumutbaren Sorgfalt nicht hätte abwenden können. 13.2 Der Auftragnehmer wird den Kunden innerhalb angemessener Zeit über ein derartiges Leistungshindernis sowie darüber, wann mit einer Wiederaufnahme der Leistung zu rechnen ist, informieren. 13.3 Sollte der Auftragnehmer mehr als zwei Wochen infolge höherer Gewalt nicht zur Leistungserbringung in der Lage sein, so ist der Kunde berechtigt, den vorliegenden Vertrag außerordentlich ohne Einhaltung einer Kündigungsfrist zu kündigen. 14. Schlussbestimmungen 14.1 Erfüllungsort und Gerichtsstand ist, wenn die Parteien Kaufleute sind, der Sitz des Auftragnehmers. 382
|
Baumgartner
Rz. 9 Teil 3 III
Erläuterungen
14.2 Es gilt das Recht der Bundesrepublik Deutschland. 14.3 Alle Änderungen dieses Vertrags bedürfen der Schriftform. Dies gilt auch für die Abänderung dieser Schriftformklausel. 14.4 Sollten eine oder mehrere Bestimmungen dieses Vertrags unwirksam sein, so bleibt die Wirksamkeit der übrigen Bestimmungen und des Vertrags als Ganzem hiervon unberührt. Das Gleiche gilt, soweit dieser Vertrag eine Lücke aufweisen sollte. Eine unwirksame Bestimmung oder Lücke wird automatisch durch diejenige wirksame Bestimmung ersetzt, die dem wirtschaftlichen Zweck dieses Vertrags am nächsten kommt.
C. Erläuterungen I. Vertragsgegenstand Der Vertragsgegenstand ist bereits in der Präambel des Vertrags kurz beschrieben. Dienstleistungen im Bereich der Markt- und Meinungsforschung werden oftmals durch spezialisierte externe Anbieter erbracht. Dies gilt umso mehr bei den neuen Formen der „digitalen“ Markt- und Meinungsforschung wie bspw. bei dem hier vertragsgegenständlichen Social Media Monitoring.
8
Unter Social Media Monitoring versteht man die automatisierte, systematische und kontinuierliche Beobachtung und Analyse von Beiträgen und Dialogen in verschiedenen Social Media Kanälen, wie insbesondere Soziale Netzwerke, Foren, Blogs, App-Stores, Bewertungsportale und sonstige Social Media Kanäle1. Social Media Monitoring kann dabei etwa für das Marketing-Controlling, bei Produkteinführungen und zur Trenderkennung eingesetzt werden. Anbieter von Social Media Monitoring-Dienstleistungen verfügen oft über proprietäre Technologien und Methoden, die eine automatisierte, zielgerichtete und effektive Erfassung, Analyse und Auswertung der zahlreichen Meinungsäußerungen ermöglichen (z.B. sog. Social Media Crawler oder spezielle Schnittstellen (APIs) zu sozialen Netzwerken)2. Diese stellen sie teilweise ihren Kunden zur Verfügung, die dann mit Hilfe der Technologie eigene Auswertungen vornehmen. In der Praxis häufiger ist es jedoch, dass Unternehmen bestimmte Analysen in Auftrag geben und von den externen Anbietern oder Agenturen die Ergebnisse zur Verfügung gestellt bekommen. Ein wesentlicher Teil der Leistungen der Anbieter besteht dabei darin, die oft unüberschaubare Flut von Informationen zu bereinigen und in einer mit dem Kunden vorab vereinbarten Form aufzubereiten.
1 Vgl. Solmecke/Wahlers, ZD 2012, 550; Wikipedia, http://de.wikipedia.org/wiki/Social _Media#Monitoring, zuletzt abgerufen am 19.4.2013. 2 Ein Überblick über den deutschen Markt für Social Monitoring Dienstleistungen findet sich unter http://www.social-media-magazin.de/index.php/inhalt/social-media-moni toring-anbieter.html (zuletzt abgerufen am 23.5.2013).
Baumgartner
|
383
9
Teil 3 III
Rz. 10
Marktforschungsvertrag
II. Rechtsnatur 10
Die Rechtsnatur eines Social Media Monitoring-Vertrags richtet sich nach dem konkreten Einzelfall. In der Regel wird es sich um einen typengemischten Vertrag handeln. Die Durchführung einer Social Media Monitoring-Analyse hat in der Regel werkvertraglichen Charakter i.S.d. §§ 631 ff. BGB. Geschuldet ist nicht nur ein bloßes Tätigwerden, sondern ein bestimmter Erfolg in Form eines Reports oder von Ergebnissen der Analyse und deren Auswertung in anderer Form. Soweit der Anbieter dem Kunden die Nutzung seines IT-Systems ermöglicht, und sei es auch nur zur Übermittlung der Analyse-Ergebnisse, handelt es sich meist um Dienstleistungen i.S.d. §§ 611 ff. BGB. Im Einzelfall ist auch ein Geschäftsbesorgungsvertrag mit werk- und dienstvertraglichen Elementen möglich (§§ 675, 611, 631 BGB).
III. Erläuterung der einzelnen Ziffern 1. Erläuterungen zu Ziffer 1 11
E 1. Vertragsgegenstand 1.1 Der Auftragnehmer führt für den Kunden eine Marktanalyse zu folgenden Themen/Produkten durch: [Aufzählung der Themen, zu denen der Kunde eine Marktanalyse wünscht] 1.2 Zu diesem Zweck wird der Auftragnehmer während der Vertragslaufzeit permanent relevante Beiträge und Meinungen auf folgenden Sozialen Netzwerken, Foren, Blogs, App-Stores, Bewertungsportalen und sonstigen Social Media Kanälen erfassen und auswerten: [Aufzählung der Sozialen Medien, die ausgewertet werden sollen] 1.3 Auf Wunsch unterstützt der Auftragnehmer den Kunden dabei, weitere Social Media Kanäle zu identifizieren (Social Media Audit). In Abstimmung mit dem Kunden bietet der Auftragnehmer zudem einen Quellencheck an, um ggf. weitere besondere Quellen zu integrieren.
a) Allgemeines 12
Gegenstand des Vertrags ist eine Marktanalyse, mit deren Hilfe der Kunde die Marketingaktivitäten rund um die Markteinführung eines neuen Produkts planen möchte. Zu diesem Zweck beauftragt der Kunde einen Anbieter von Social Media Monitoring-Leistungen damit, zielgerichtet die Kommunikation im sozialen Web zu beobachten und zu analysieren.
13
Aufgrund der Vielzahl an Social Media Kanälen und der unüberschaubaren Dimension der täglichen Internet-Kommunikation ist es üblich, in derartigen Verträgen die von dem Dienstleister auszuwertenden Quellen vorab zu definieren. Aus empirischer Sicht unterscheiden sich die verschiedenen Social Media 384
|
Baumgartner
Erläuterungen
Rz. 18 Teil 3 III
Kanäle und die einzelnen Medientypen erheblich1. Umso wichtiger ist auch aus diesem Grunde eine vertragliche Festlegung, welche Medien analysiert und ausgewertet werden sollen.
b) Datenschutzrechtlicher Hintergrund Aus datenschutzrechtlicher Sicht ist dabei Folgendes zu beachten: Bei der Internet-Kommunikation und den sonstigen Daten, die im Zusammenhang mit Social Media Monitoring erhoben werden, wird es sich zumindest auch um personenbezogene Daten i.S.d. § 3 Abs. 1 BDSG handeln. Nach der Definition des Gesetzes reicht eine sog. „Personenbeziehbarkeit“ bereits aus, um den Schutzbereich des § 3 Abs. 1 BDSG und damit des BDSG zu eröffnen. Mit anderen Worten: Sobald es praktisch möglich ist, ein Datum einer bestimmten natürlichen Person zuzuordnen, muss von einem personenbezogenen Datum ausgegangen werden.
14
Die rechtsdogmatische Diskussion rund um die Reichweite einer „Personenbeziehbarkeit“ ist seit langem lebhaft2. Die Praxis zeigt jedoch, dass insbesondere die Datenschutz-Aufsichtsbehörden, aber zunehmend auch die Gerichte zu einer sehr weiten (und oftmals deutlich überzogenen) Interpretation des Begriffs der personenbezogenen Daten neigen. Anschauliches Beispiel hierfür ist die Diskussion um Google Street View/Bing Streetside oder jüngst um das sog. Smart Metering.
15
Für den Bereich des Social Media Monitorings hat diese Diskussion jedoch kaum praktische Bedeutung. Im Rahmen der systematischen und automatisierten Erfassung und Analyse von Social Media Kanälen wird es sich in der Praxis nicht vermeiden lassen, auch personenbezogene Daten wie Klarnamen, E-Mail-Adressen oder IP-Adressen mit zu erfassen3.
16
Aufgrund des sog. Verbotes mit Erlaubnisvorbehalt (vgl. § 4 Abs. 1 BDSG) ist daher eine datenschutzrechtliche Rechtfertigung für die Erhebung und Verarbeitung der Daten notwendig. Da eine Einwilligung der Betroffenen nach § 4a BDSG denknotwendig ausscheidet, kommt den gesetzlichen Erlaubnistatbeständen besondere Bedeutung zu4.
17
Von besonderer Bedeutung ist § 30a BDSG, der eine Sondervorschrift für die „geschäftsmäßige Datenerhebung und -speicherung für Zwecke der Markt- und Meinungsforschung“ enthält. Die Regelung verdrängt die §§ 29 und 30 BDSG (vgl. § 30a Abs. 4 BDSG) und stellt insoweit eine Privilegierung der Markt- und Meinungsforschung dar (ob und inwieweit daneben noch § 28 BDSG von Bedeutung ist, ist umstritten5). Der Gesetzgeber hat die Privilegierung der Markt- und
18
1 Vgl. dazu die jüngst veröffentlichte „Richtlinie zur Medientyp-Einteilung“ der BVDWFachgruppe Social Media vom 17.4.2013, abrufbar unter http://www.bvdw.org/mybvdw/ media/download/richtlinie-social-media-zur-medientyp-einteilung-2013.pdf?file=2714, zuletzt abgerufen am 19.4.2013. 2 Vgl. etwa Gola/Schomerus, § 3 BDSG Rz. 10. 3 Vgl. Solmecke/Wahlers, ZD 2012, 550 (552). 4 S. auch Solmecke/Wahlers, ZD 2012, 550 (552 f.). 5 Vgl. Taeger/Gabel/Munz, § 30a BDSG Rz. 4 f.
Baumgartner
|
385
Teil 3 III
Rz. 19
Marktforschungsvertrag
Meinungsforschung gegenüber den übrigen Unternehmen damit begründet, dass diese eine „wichtige Voraussetzung für die nachhaltige demokratische und wirtschaftliche Entwicklung der Bundesrepublik Deutschland“ sei1. 19
§ 30a BDSG gilt für das geschäftsmäßige Erheben, Verarbeiten und Nutzen personenbezogener Daten für Zwecke der Markt- und Meinungsforschung. Hier ist zunächst zu beachten, dass das Erfordernis der „Geschäftsmäßigkeit“ dann nicht erfüllt ist, wenn die Erhebung, Verarbeitung und Nutzung der Daten einmalig und zu eigenen Zwecken erfolgt – etwa durch ein Unternehmen, das für eigene Zwecke einmalig eine Marktstudie durchführt. Erforderlich ist vielmehr eine auf Wiederholung ausgerichtete Tätigkeit, die einen dauernden oder wiederkehrenden Bestandteil der Aktivitäten der die Daten erhebenden Stelle darstellt2. Diese Voraussetzung wird bei der Beauftragung eines externen Anbieters von Social Media Monitoring-Dienstleistungen regelmäßig erfüllt sein.
20
Für die dem Muster zugrunde liegende Fallgestaltung hat insbesondere die zweite Alternative des § 30a Abs. 2 BDSG praktische Bedeutung. Danach dürfen personenbezogene Daten für Zwecke der Markt- und Meinungsforschung geschäftsmäßig erhoben, verarbeitet und genutzt werden, wenn (1) die Daten aus „allgemein zugänglichen Quellen“ entnommen werden können (ohne dass sie tatsächlich diesen Quellen entnommen worden sein müssen3) und (2) schutzwürdige Interessen der Betroffenen nicht „offensichtlich“ überwiegen. Weiter gilt nach § 30a Abs. 2 BDSG eine strenge Zweckbindung, d.h. die Daten dürfen ausschließlich für Zwecke der Markt- und Meinungsforschung verwendet werden; andernfalls sind sie zu anonymisieren.
21
Diese Voraussetzungen müssen wohlgemerkt bereits für die Erhebung der Daten erfüllt sein. Der Umstand, dass die Anbieter von Social Media Monitoring ihren Kunden in aller Regel nur statistische (d.h. anonyme) Daten übermitteln, enthebt die Anbieter also nicht ihrer datenschutzrechtlichen Pflichten.
22
Es kommt folglich darauf an, ob die Social Media Kanäle, die der Anbieter im Auftrag des Kunden analysiert und auswertet, als „allgemein zugängliche Quellen“ angesehen werden können. Nach der Rechtsprechung des BVerfG sind Informationen dann öffentlich zugänglich, wenn sie „technisch geeignet und bestimmt sind, der Allgemeinheit Informationen zu verschaffen“4. Dies lässt sich bejahen für Informationen auf öffentlich zugänglichen Webseiten, wie etwa für öffentlich einsehbare Profile in sozialen Netzwerken, öffentlich einsehbare Tweets, Blogeinträge (und dazugehörige Kommentare) sowie für Beiträge auf Foren oder Bewertungsportalen5. Soweit auf Informationen aus dem Internet über gängige Suchmaschinen zugegriffen werden kann, ist ebenfalls von einer „allgemeinen Zugänglichkeit“ auszugehen6. 1 2 3 4 5 6
Vgl. die Gesetzesbegründung zur BDSG-Novelle II 2009, BT-Drucks. 16/13657, 20. So etwa Gola/Schomerus, § 30a BDSG Rz. 1. Vgl. Plath/Kamlah, § 30a BDSG Rz. 18. Vgl. BverfG v. 24.1.2001 – 1 BvR 2623/95 – Fernsehaufnahmen, BVerfGE 103, 44 (60). Vgl. Solmecke/Wahlers, ZD 2012, 550 (552). Vgl. Gola/Schomerus, § 28 BDSG Rz. 33a.
386
|
Baumgartner
Erläuterungen
Rz. 25 Teil 3 III
Sobald jedoch eine Registrierung bspw. für ein soziales Netzwerk erforderlich ist, um bestimmte Profilinformationen einsehen zu können, kann es bereits zweifelhaft sein, ob es sich noch um „allgemein zugängliche Quellen“ handelt. Nicht mehr allgemein zugänglich sind jedenfalls solche Informationen, die ein Mitglied eines sozialen Netzwerks auch innerhalb dieses Netzwerks nur ausgewählten Personen (z.B. „Freunden“) zugänglich macht. Profilinformationen, Postings, Statusmeldungen, etc., die für alle registrierten Mitglieder desselben sozialen Netzwerks einsehbar sind, wird man dagegen noch als „allgemein zugänglich“ ansehen können: Aus dem Umstand, dass ein einzelner Nutzer den Zugang nicht selbst weiter beschränkt (obwohl er dazu in der Lage wäre), lässt sich angesichts der hohen Mitgliederzahlen der beliebtesten sozialen Netzwerke schließen, dass der Nutzer sich bewusst dafür entschieden hat, diese Daten der Allgemeinheit zur Verfügung zu stellen1. Daneben sind bei der Erhebung und Auswertung von Daten aus sozialen Netzwerken auch deren Nutzungsbedingungen zu beachten. Dabei sollte insbesondere darauf geachtet werden, ob die Nutzungsbedingungen eine kommerzielle Nutzung der Daten gestatten.
23
2. Erläuterungen zu Ziffer 2 E 2. Zugang zum System des Auftragnehmers
24
2.1 Der Kunde erhält zum Zwecke der Bereitstellung der Auswertungsergebnisse Zugang zum System des Auftragnehmers. Der Zugang erfolgt in Form einer Web-Applikation bzw. in Form einer vorab definierten Schnittstelle. 2.2 Sämtliche Rechte an dem System stehen ausschließlich dem Auftragnehmer zu. Der Kunde erwirbt an dem System keinerlei Eigentumsrechte und ist zur Nutzung des Systems nur für die Dauer dieses Vertrags und im Rahmen der vertraglichen Vereinbarungen berechtigt. 2.3 Zur Nutzung der Web-Applikation ist eine Autorisierung und Authentifizierung erforderlich. Hierfür erhält der Kunde eine Benutzerkennung und ein Passwort. Der Kunde hat das Passwort streng geheim zu halten und dafür zu sorgen, dass es Dritten nicht zugänglich wird. Das System steht dem Kunden während folgender Zeiten zur Verfügung: [Definition der Zugangszeiten] 2.4 [Ggf. noch Regelungen zu Service Level bzgl. Verfügbarkeit des Systems, Antwortzeiten, Nutzungseinschränkungen, etc.] Erhält der Kunde, wie in Ziffer 2 des Vertragsmusters vorgesehen, Zugang zum System des Anbieters, so muss dieser technisch sicherstellen, dass der Kunde ausschließlich auf solche Daten zugreifen kann, die ihm der Anbieter berechtigterweise zur Verfügung stellt. Ein Zugriff auf andere Daten muss technisch ausgeschlossen sein. 1 So i.Erg. auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 82.
Baumgartner
|
387
25
Teil 3 III
Rz. 26
Marktforschungsvertrag
3. Erläuterungen zu Ziffer 3 26
E 3. Mitwirkung des Kunden 3.1 Falls der Kunde Leistungen beauftragt hat, für die seine Mitwirkung notwendig ist, benennt der Kunde einen qualifizierten und entscheidungsbefugten Ansprechpartner, der während der Dauer der Zusammenarbeit nach Absprache und Vereinbarung zu den üblichen Geschäftszeiten als Ansprechpartner zur Verfügung steht. 3.2 Der Ansprechpartner beim Kunden ist verantwortlich für die Bereitstellung, Richtigkeit und Vollständigkeit aller Informationen, Arbeitsunterlagen und Arbeitsmittel, die der Auftragnehmer zur Durchführung des Auftrags benötigt.
27
In Abhängigkeit von den im Einzelfall beauftragten Leistungen bedarf der Anbieter der Mitwirkung des Kunden, um die vertragsgegenständlichen Leistungen erbringen zu können. Eine in der Praxis übliche Mitwirkungshandlung ist etwa die Einrichtung von Schnittstellen zwischen dem System des Kunden und dem System des Anbieters. Erhält der Kunde, wie in Ziffer 2 des Vertragsmusters vorgesehen, die Reports über einen Zugang zum System des Anbieters, so müssen die Vertragspartner diesen Zugang technisch sicherstellen. Dies erfordert auf Seiten des Kunden verschiedene Mitwirkungshandlungen und idealerweise die Identifizierung eines technischen Ansprechpartners für die Dauer der Zusammenarbeit.
4. Erläuterungen zu Ziffer 4 28
E 4. Reporting 4.1 Die Ergebnisse seiner Auswertung verdichtet der Auftragnehmer zu einem Report, der insbesondere folgende mit dem Kunden vereinbarte Merkmale aufweist: – Zahl und Quellen der ausgewerteten relevanten Beiträge – Executive Summary der ausgewerteten relevanten Beiträge – Meinungsbildanalysen (ggf. mit O-Ton-Zitaten) – Qualitative Trendanalyse – Ggf. Skizzierung von empfohlenen Maßnahmen – [Aufzählung weiterer Merkmale] 4.2 Der Report wird dem Kunden [wöchentlich/monatlich/quartalsweise] über den in Ziffer 2 oben beschriebenen Zugang des Kunden zum System des Auftragnehmers zur Verfügung gestellt.
29
Als Ergebnis eines Social Media Monitoring-Auftrags werden dem Kunden von dem Anbieter in aller Regel Reports oder sonstige Auswertungen zur Verfügung gestellt, die keine personenbezogenen Daten enthalten. Es wird sich viel388
|
Baumgartner
Erläuterungen
Rz. 33 Teil 3 III
mehr ganz überwiegend um statistische Angaben handeln1. So werden etwa üblicherweise keine einzelnen Äußerungen, Postings oder andere Stellungnahmen an den Kunden weitergegeben. Typische Inhalte von Reports sind etwa quantitative Angaben über das Diskussionsvolumen und qualitative Auswertungen der Tonalitäten in einem vorab definierten Social Media Kanal sowie Meinungsbild- und Trendanalysen. Insoweit gelten also keine datenschutzrechtlichen Besonderheiten. Soweit jedoch „O-Töne“ oder individuelle Stellungnahmen weitergegeben werden, können auch diese personenbezogene Daten enthalten. Gem. § 30a Abs. 2 BDSG darf der die Daten empfangende Kunde diese ausschließlich für Zwecke der Markt- und Meinungsforschung nutzen. Eine darüber hinausgehende Nutzung setzt die vorherige Anonymisierung der Daten voraus. Außerdem hat der Anbieter das Gebot der Datensparsamkeit zu beachten, wonach er dem Kunden nur im absolut erforderlichen Umfang personenbezogene Daten übermitteln darf.
30
5. Erläuterungen zu Ziffer 5 E 5. Vertragsdauer
31
5.1 Die Vertragslaufzeit beginnt mit Unterzeichnung dieses Vertrags durch beide Vertragspartner und läuft bis zum [Definition der Vertragslaufzeit]. 5.2 Dieser Vertrag kann von beiden Parteien schriftlich mit einer Frist von drei Monaten zum Monatsende gekündigt werden. Die gesetzlichen Rechte zur außerordentlichen Kündigung bleiben unberührt. 5.3 Das Recht zur Kündigung gem. § 627 BGB (Fristlose Kündigung bei Vertrauensstellung) ist ausgeschlossen. 5.4 Der Auftragnehmer hat das Recht, den Vertrag mit sofortiger Wirkung zu kündigen und seine vertragsgegenständlichen Leistungen einzustellen, falls der Kunde durch seine Nutzung des Systems des Auftragnehmers diesem Schaden zufügt und er sein schädigendes Verhalten auch nach schriftlicher Aufforderung nicht einstellt. Verträge über Social Media Monitoring-Dienstleistungen werden üblicherweise für eine bestimmte Laufzeit abgeschlossen, die im Vertrag definiert werden sollte (einschließlich der vertraglichen Kündigungsmöglichkeiten). Aus Anbietersicht empfiehlt sich außerdem, die Anwendbarkeit des § 627 BGB auszuschließen.
32
6. Erläuterungen zu Ziffer 6 E 6. Vergütung
33
6.1 Der Auftragnehmer erhält für die Erbringung der oben genannten Dienstleistungen eine Vergütung, wie in dem entsprechenden Angebot aus1 Vgl. Pflüger, RDV 2010, 101 (104).
Baumgartner
|
389
Teil 3 III
Rz. 34
Marktforschungsvertrag
gewiesen. Für darüber hinausgehende, vom Kunden gewünschte Leistungen kann der Auftragnehmer eine zusätzliche Vergütung verlangen. 6.2 Darüber hinaus hat der Auftragnehmer Anspruch auf Ersatz seiner Auslagen und Kosten, die wie folgt vergütet werden: [Aufstellung der Vergütung, ggf. werden bestimmte Leistungen auf Basis von Manntagen abgerechnet.] 6.3 Die Vergütung ist ohne Abzug sofort nach Rechnungsstellung zahlbar. Im Fall von Zahlungsverzug ist der Auftragnehmer berechtigt, Verzugszinsen in Höhe von [x] Prozentpunkten über dem Basiszinssatz zu verlangen. 6.4 Die Aufrechnung mit etwaigen Gegenansprüchen ist dem Kunden nur gestattet, wenn die Gegenansprüche unbestritten oder bereits rechtskräftig gerichtlich festgestellt sind. 34
Die Vergütungsregelung wird üblicherweise außerhalb des Hauptvertrags geregelt, etwa in Form eines schriftlichen Angebots des Anbieters, das der Kunde als Vertragsbestandteil akzeptiert. Im Hauptvertrag finden sich dann lediglich die üblichen Regelungen zu den Folgen eines Zahlungsverzugs, zu Zahlungsfristen oder zu einer möglichen Aufrechnung.
7. Erläuterungen zu Ziffer 7 35
E 7. Keine Rechte des Kunden an Daten 7.1 Der Auftragnehmer betreibt ein System zur Beschaffung und Verarbeitung von Informationen und Daten aus dem Internet und anderen Quellen. Der Auftragnehmer verfügt daher über keinerlei Rechte an den Informationen und Daten (Texte, Bilder, etc.), die über das System aus dem Web beschafft werden und kann dem Kunden folglich auch keinerlei Rechte hieran einräumen oder verschaffen. 7.2 Der Kunde ist verpflichtet, sicherzustellen, dass durch seine Nutzung des Systems Rechte Dritter sowie gesetzliche Vorschriften nicht verletzt werden. Dies gilt insbesondere für Persönlichkeitsrechte und Urheberrechte. Der Kunde wird, soweit erforderlich, die entsprechenden (Nutzungs-) Rechte vom jeweiligen Inhaber bzw. Berechtigten erwerben.
36
Da es sich bei den erhobenen Daten in der Regel um allgemein über das Internet zugängliche Informationen handeln wird, werden dem Auftragnehmer daran in der Regel keine Rechte zustehen. Folglich ist er auch nicht in der Lage, entsprechende Rechte an den Kunden zu übertragen.
37
Aus Sicht des Anbieters empfiehlt sich außerdem die in Ziffer 7.2 vorgesehene Verpflichtung des Kunden, das System des Anbieters ausschließlich in rechtskonformer Art und Weise zu nutzen. Denkbar wäre an dieser Stelle auch die Vereinbarung einer Freistellungsverpflichtung des Kunden, sollten Dritte gegen den Anbieter Ansprüche geltend machen, die auf eine vertragswidrige Nutzung des Systems durch den Kunden zurückgehen.
390
|
Baumgartner
Erläuterungen
Rz. 39 Teil 3 III
8. Erläuterungen zu Ziffer 8 E 8. Rechte an den Ergebnissen
38
8.1 Dem Auftragnehmer verbleiben alle Rechte an seinen Leistungen und den Ergebnissen derselben, die ihm nach dem Urheberrechtsgesetz zustehen. Der Kunde erkennt an, dass das alleinige Urheberrecht und alle Schutzrechte an Untersuchungskonzeptionen, Methoden, Verfahren und Verfahrenstechniken, grafischen und tabellarischen Darstellungen, die vom Auftragnehmer stammen, und an allen sonstigen Leistungen des Auftragnehmers ausschließlich diesem zustehen. Das Urheberrecht des Kunden an Unterlagen, die er erarbeitet hat, bleibt unberührt. 8.2 Das Eigentum an dem bei Durchführung des Auftrags angefallenen Material – Datenträger jeder Art, Fragebogen, weitere schriftliche Unterlagen usw. – und der angefallenen Daten liegt, wenn nichts anderes vereinbart wird, ausschließlich beim Auftragnehmer. 8.3 Der Auftragnehmer räumt dem Kunden an den mit Hilfe des Systems erstellten Analyse- und Arbeitsergebnissen ein nicht ausschließliches, zeitlich und räumlich unbeschränktes Nutzungsrecht ein, inhaltlich beschränkt auf die bestimmungsgemäße Nutzung im Rahmen des vereinbarten Zwecks und der vertraglichen Leistungsbeschreibung. Der Kunde darf die Ergebnisse ausschließlich für eigene, interne Zwecke im Rahmen der Markt- und Meinungsforschung verwenden. Eine Übertragung dieser Rechte auf Dritte bedarf der vorherigen schriftlichen Zustimmung des Auftragnehmers. 8.4 Jegliche über Ziffer 8.3 hinausgehende Nutzung ist unzulässig. Dies gilt insbesondere für jegliche öffentliche Zugänglichmachung, Verbreitung, Wiedergabe oder die Weitergabe von Daten an Dritte. Diese Regelungen gelten nicht, soweit es sich lediglich um unwesentliche Teile der Ergebnisse handelt. In jedem Fall hat der Kunde etwaige personenbezogene Daten als Teil der Ergebnisse zu anonymisieren, bevor er diese im Rahmen des nach dieser Ziffer 8.4 Zulässigen für weitergehende Zwecke verwendet. An den vom Anbieter generierten Ergebnissen der Social Media Analyse benötigt der Kunde bestimmte Nutzungsrechte, um die Ergebnisse verwerten zu können. Diese Rechte erhält er durch die in Ziffer 8 des Vertragsmusters vorgesehene Regelung. Daneben spielen insbesondere urheberrechtliche Überlegungen noch eine andere Rolle: Im Rahmen des Social Media Monitoring wird der Anbieter in der Regel auch in großem Umfang nutzergenerierte Inhalte erfassen und speichern. Dies wirft zahlreiche Fragen nach der urheberrechtlichen Zulässigkeit dieses Vorgehens auf, die an dieser Stelle jedoch nicht weiter vertieft werden sollen1. 1 I.Erg. wird es dabei im Einzelfall darauf ankommen, ob die im Rahmen des Monitorings erfassten Beiträge (d.h. in der Regel Sprachwerke i.S.d. § 2 Abs. 1 Nr. 1 UrhG) die erforderliche urheberrechtliche Schöpfungshöhe erreichen, so dass sie als „geschützte Werke“ i.S.d. §§ 1, 2 UrhG Rechtsschutz genießen.
Baumgartner
|
391
39
Teil 3 III 40
Rz. 40
Marktforschungsvertrag
In Ziffern 8.3 und 8.4 kommt daneben die durch § 30a Abs. 2 BDSG zwingend vorgeschriebene Zweckbindung zum Ausdruck, sollten die Ergebnisse personenbezogene Daten i.S.d. § 3 Abs. 1 BDSG enthalten. Gleichzeitig wird der Kunde verpflichtet, personenbezogene Daten zu anonymisieren, wenn er diese ausnahmsweise doch für andere Zwecke als zur Markt- und Meinungsforschung verwenden möchte (was ihm nach dem Vertragsmuster in engen Grenzen gestattet ist).
9. Erläuterungen zu Ziffer 9 41
E 9. Vertraulichkeit 9.1 Beide Vertragsparteien verpflichten sich, den Inhalt dieses Vertrags, einschließlich seiner Anlagen und einschließlich der dem Vertrag zugrundeliegenden wirtschaftlichen Konditionen und aller Unterlagen, Daten, Informationen und Schriftstücke der jeweils anderen Partei, die ihnen aus oder im Zusammenhang mit dem vorliegenden Vertrag zugänglich und/ oder bekannt werden oder wurden, sowie sämtliche wechselseitig im Rahmen der Auftragsdurchführung ausgetauschten Informationen streng vertraulich zu behandeln und sie ausschließlich für die Durchführung des Auftrags zu verwenden. Beide Vertragsparteien werden ihre Mitarbeiter entsprechend verpflichten. 9.2 Diese Verpflichtung gilt über die Laufzeit dieses Vertrags hinaus für einen Zeitraum von zwei Jahren weiter. 9.3 Die oben genannten Verpflichtungen gelten nicht für solche Informationen, für welche die empfangene Partei nachweist, dass sie ihr bereits vor dem Empfang bekannt waren oder dass sie der Öffentlichkeit vor dem Empfang bekannt waren oder dass sie der Öffentlichkeit nach dem Empfang zugänglich wurden, ohne dass die empfangende Partei dafür verantwortlich war.
42
Insbesondere aus Sicht des Anbieters, der sein System dem Kunden zur Verfügung stellt, empfiehlt sich die Vereinbarung einer (gegenseitigen) Vertraulichkeitsverpflichtung. Aber auch der Kunde wird dem Anbieter im Rahmen der Zusammenarbeit unter Umständen vertrauliche Informationen offenlegen. Aus diesem Grund enthält das Vertragsmuster eine gegenseitige Vertraulichkeitsverpflichtung der Vertragsparteien, die inhaltlich jedoch keine Besonderheiten zu den auch in sonstigen Serviceverträgen verwendeten Standardklauseln aufweist.
10. Erläuterungen zu Ziffer 10 43
E 10. Gewährleistung 10.1 Die Mängelrechte des Kunden richten sich nach den gesetzlichen Vorschriften, sofern nachfolgend nichts anderes bestimmt ist. 10.2 Der Auftragnehmer übernimmt keine Gewährleistung, dass die von ihm nach den Regeln und Methoden der Markt- und Meinungsforschung er392
|
Baumgartner
Erläuterungen
Rz. 45 Teil 3 III
hobenen, ausgewerteten und analysierten Daten vom Kunden in einer bestimmten Weise kaufmännisch verwertet werden können. 10.3 Die Parteien sind sich einig, dass es trotz sorgfältiger Arbeit nach dem Stand der Technik nicht möglich ist, Hard- und Software, Anwendungen und elektronische Datenbanken so zu erstellen, dass diese stets fehlerfrei arbeiten oder gegen Manipulation durch Dritte geschützt werden können. 10.4 Der Auftragnehmer haftet nicht für Störungen der Datenübermittlung in fremde Datennetze. 10.5 Der Kunde ist verpflichtet, dem Auftragnehmer Mängel des Systems unverzüglich und mit einer möglichst detaillierten Fehlerbeschreibung mitzuteilen. 10.6 Die Reaktionszeiten bei Supportanfragen und die einzelnen Service-Level nach Fehlerklassen ergeben sich aus dem Folgenden: [Reaktionszeiten/ Service Level nach Fehlerklassen] 10.7 Die Gewährleistungsbeschränkungen dieser Ziffer 10 gelten nicht, soweit der Auftragnehmer einen Mangel arglistig verschwiegen oder bestimmte Eigenschaften ausdrücklich zugesichert hat. Diese Regelung enthält zunächst die in Marktforschungsverträgen üblichen Gewährleistungsbeschränkungen hinsichtlich der Verwertbarkeit der Ergebnisse durch den Kunden.
44
Da der Anbieter seine Leistungen im Wesentlichen mit Hilfe eines (oft komplexen) IT-Systems erbringt, empfiehlt es sich, auch die insoweit üblichen Regelungen aufzunehmen. So sehen Verträge über IT-Services üblicherweise einen Ausschluss der Gewährleistung für den fehlerfreien Betrieb der IT-Systeme ebenso vor wie für die störungsfreie Datenübermittlung in den Netzen Dritter. Je nach Komplexität der Leistungen kann es auch sinnvoll sein, den Vertrag mit einem SLA (Service Level Agreement) zu ergänzen.
11. Erläuterungen zu Ziffer 11 E 11. Haftung
45
11.1 Der Auftragnehmer haftet dem Grunde nach für Vorsatz und grobe Fahrlässigkeit. Für leichte Fahrlässigkeit haftet der Auftragnehmer nur im Falle der Verletzung vertragswesentlicher Pflichten, wobei die Haftung dabei auf die Gesamthöhe der vereinbarten Nettovergütung des jeweiligen Einzelauftrags beschränkt ist. 11.2 Der Auftragnehmer haftet nicht für Folgeschäden, insbesondere wegen entgangenen Gewinns oder immaterieller Verluste. Dies gilt insbesondere, aber nicht abschließend, für Schäden, die aus oder in Verbindung mit der Nutzung der gelieferten Daten/Ergebnisse durch den Kunden entstehen. 11.3 Alle sonstigen Schadensersatzansprüche gegen den Auftragnehmer aus welchem Rechtsgrund auch immer, insbesondere aufgrund von VertragsBaumgartner
|
393
Teil 3 III
Rz. 46
Marktforschungsvertrag
verletzungen oder Delikt, sind ausgeschlossen, es sei denn, dem Auftragnehmer fällt Vorsatz oder grobe Fahrlässigkeit zur Last. Die Haftung wegen schuldhafter Verletzung des Lebens, des Körpers oder der Gesundheit bleibt unberührt; dies gilt auch für die zwingende Haftung nach dem Produkthaftungsgesetz. 11.4 Soweit die Schadensersatzhaftung des Auftragnehmers nach den vorstehenden Vorschriften ausgeschlossen oder eingeschränkt ist, gilt dies auch im Hinblick auf die persönliche Schadensersatzhaftung der Arbeitnehmer, Mitarbeiter, Vertreter und Erfüllungsgehilfen des Auftragnehmers. 46
Das Vertragsmuster sieht eine Haftungsbeschränkung zugunsten des Anbieters vor. Die Klausel entspricht dabei den Anforderungen der §§ 607 ff. BGB. Für den Anbieter wird dabei insbesondere die Beschränkung seiner Haftung für entgangenen Gewinn und sonstige Folgeschäden auf Seiten des Kunden von besonderem Interesse sein. Derartige „indirekte“ Schäden sind nur schwer kalkulierbar oder vorhersehbar; umso wichtiger erscheint aus Sicht des Anbieters eine Reduzierung dieser Risiken.
12. Erläuterungen zu Ziffer 12 47
E 12. Datenschutz 12.1 Die Vertragsparteien verpflichten sich, bei der Durchführung dieses Vertrags alle anwendbaren gesetzlichen datenschutzrechtlichen Bestimmungen zu beachten. 12.2 Die Vertragsparteien sind sich darüber einig, dass der Auftragnehmer im Rahmen der Durchführung dieses Vertrags selbständig handelt und dem Kunden keine personenbezogenen Daten übermitteln wird.
48
Da der Anbieter nach dem hier vorgestellten Vertragsmuster keine personenbezogenen Daten i.S.d. § 3 Abs. 1 BDSG als Teil der Ergebnisse an den Kunden übermittelt, erübrigen sich in dem Vertragsmuster weitere Regelungen zum Thema Datenschutz im Verhältnis der Parteien zueinander.
49
Für die Erhebung und Verarbeitung personenbezogener Daten im Zuge einer Social Media Monitoring-Analyse wird in der Regel deren Anbieter (also der Auftragnehmer) als verantwortliche Stelle i.S.d. § 3 Abs. 7 BDSG anzusehen sein. Dies gilt jedenfalls dann, wenn der Anbieter einen Gestaltungsspielraum bei der Erhebung und Auswertung der Daten hat. Dementsprechend wird in der Regel auch keine Auftragsdatenverarbeitung i.S.d. § 11 BDSG zwischen dem Anbieter und dem Kunden vorliegen1. In Ziffer 12 des Vertragsmusters wird dies noch einmal klargestellt.
50
Bei der datenschutzrechtlichen Beurteilung des Auftragsverhältnisses kommt es jedoch letztlich auf die tatsächlichen Umstände an. So ist es denkbar, dass in Einzelfällen und abhängig von dem konkreten Auftrag (ungeachtet einer gegenteiligen vertraglichen Regelung) durchaus auch der Kunde als verantwort1 So auch Solmecke/Wahlers, ZD 2012, 550 (553).
394
|
Baumgartner
Erläuterungen
Rz. 53 Teil 3 III
liche Stelle i.S.d. § 3 Abs. 7 BDSG anzusehen ist. Insbesondere wenn der Kunde spezifische Anweisungen zur Durchführung der Analyse erteilt oder das vom Auftragnehmer auszuwertende Datenmaterial selbst zur Verfügung stellt, ließe sich auch vertreten, den Kunden als verantwortliche Stelle und den Auftragnehmer lediglich als dessen „verlängerten Arm“, d.h. als Auftragsdatenverarbeiter i.S.d. § 11 Abs. 1 BDSG zu qualifizieren1. In solchen Fällen müsste dann ein Auftragsdatenverarbeitungsvertrag nach Maßgabe des § 11 BDSG geschlossen werden2.
13. Erläuterungen zu Ziffer 13 51
E 13. Höhere Gewalt 13.1 Im Falle höherer Gewalt ist der Auftragnehmer zur Leistungserbringung nicht verpflichtet. Als höhere Gewalt gelten insbesondere Streik, Aussperrung, Verzögerung oder Ausfall der Belieferung durch Lieferanten, sofern diese durch ein Ereignis der höheren Gewalt verursacht wurden, Stromausfälle und Unterbrechungen oder Zerstörung datenführender Leitungen außerhalb des Verantwortungsbereichs des Auftragnehmers, Angriffe und Attacken von Anwendern oder Dritten (z.B. durch Schadsoftware wie Viren oder DoS-Attacken), die der Auftragnehmer auch mit der nach den Umständen des Falles zumutbaren Sorgfalt nicht hätte abwenden können. 13.2 Der Auftragnehmer wird den Kunden innerhalb angemessener Zeit über ein derartiges Leistungshindernis sowie darüber, wann mit einer Wiederaufnahme der Leistung zu rechnen ist, informieren. 13.3 Sollte der Auftragnehmer mehr als zwei Wochen infolge höherer Gewalt nicht zur Leistungserbringung in der Lage sein, so ist der Kunde berechtigt, den vorliegenden Vertrag außerordentlich ohne Einhaltung einer Kündigungsfrist zu kündigen. Da Social Media Monitoring-Verträge üblicherweise für eine längere Laufzeit abgeschlossen werden, empfiehlt sich im Interesse des Anbieters eine Regelung für den Fall, dass der Anbieter infolge höherer Gewalt gehindert ist, seine Leistungen zu erbringen. Als ein möglicher Fall höherer Gewalt sollte dabei der in der Praxis immer häufigere Fall von Hacking-Attacken oder sonstiger CyberKriminalität bedacht werden.
52
14. Erläuterungen zu Ziffer 14 E 14. Schlussbestimmungen
53
14.1 Erfüllungsort und Gerichtsstand ist, wenn die Parteien Kaufleute sind, der Sitz des Auftragnehmers. 1 Allgemein zur Abgrenzung zwischen Auftragsdatenverarbeitung i.S.d. § 11 Abs. 1 BDSG und der Übermittlung personenbezogener Daten nach § 30a BDSG s. Pflüger, RDV 2010, 101 (105 f.). 2 S. hierzu die Muster in Teil 2 I und 2 II.
Baumgartner
|
395
Teil 3 III
Rz. 54
Marktforschungsvertrag
14.2 Es gilt das Recht der Bundesrepublik Deutschland. 14.3 Alle Änderungen dieses Vertrags bedürfen der Schriftform. Dies gilt auch für die Abänderung dieser Schriftformklausel. 14.4 Sollten eine oder mehrere Bestimmungen dieses Vertrags unwirksam sein, so bleibt die Wirksamkeit der übrigen Bestimmungen und des Vertrags als Ganzem hiervon unberührt. Das Gleiche gilt, soweit dieser Vertrag eine Lücke aufweisen sollte. Eine unwirksame Bestimmung oder Lücke wird automatisch durch diejenige wirksame Bestimmung ersetzt, die dem wirtschaftlichen Zweck dieses Vertrags am nächsten kommt. 54
Diese Klausel des Vertragsmusters weist keine Besonderheiten in Bezug auf den Vertragsgegenstand auf. Die Regelungen entsprechen vielmehr den üblichen Schlussbestimmungen in deutschen Verträgen.
396
|
Baumgartner
IV. Vertrag zur Durchführung von Webanalysen („Webtracking“) Literaturverzeichnis: Busche-Rabus, Customer Tracking – Orientierung in rechtlicher
Grauzone, DSRI-Tagungsband 2011, 463 ff.; Höppner, Web Analytics und Datenschutz, DSRI-Tagungsband 2011, 477 ff.; Hoeren, Google Analytics – datenschutzrechtlich unbedenklich? Verwendbarkeit von Webtracking-Tools nach BDSG und TMG, ZD 2011, 3 ff.; Karg, Die Rechtsfigur des personenbezogenen Datums – Ein Anachronismus des Datenschutzes?, ZD 2012, 255 ff.; Karg/Thomsen, Tracking und Analyse durch Facebook, DuD 2012, 729 ff.; Nikiforakis/Kapravelost/Joosen/Kruegel/Piessens/Vigna, Cookieless Monster: Exploring the Ecosystem of Web-based Device Fingerprinting, https://lirias.kuleuven.be/ bitstream/123456789/393661/1/cookieless_sp2013.pdf; Plath, BDSG, 2013; Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2011.
A. Einleitung I. Allgemeines zur Webanalyse Auf sehr vielen Internetseiten kommen sog. Webanalyse-Verfahren zum Einsatz. Dabei werden für diese Verfahren verschiedene Begriffe verwendet. So wird von Webtracking1, Customer Tracking2, Tracking3, Webanalyse4 oder auch von Reichweitenanalyse5 gesprochen, wenn es um die Messung und Analyse von Nutzerverhalten auf Internetseiten geht.
1
Bei einer Webanalyse werden durch den Einsatz von Cookies, JavaScript oder weiteren Technologien Daten über die Nutzung einer Internetseite durch Besucher derselben erfasst und für den Betreiber der Seite aufbereitet. Hierbei werden in der Regel Daten über die Besuche aggregiert (z.B. Seitenabrufe pro Tag, „unique“ Besucher pro Tag, durchschnittliche Verweildauer auf der Seite, abgerufene Seiten, Downloads von Dateien, ausgehende Links usw.)6.
2
Webanalyse-Systeme sind für gewerblich betriebene Internetangebote häufig essentiell. Sie erlauben nicht nur die Korrektur von Fehlern (z.B. „toten“ internen Links), sondern ermöglichen vor allem die sog. „bedarfsgerechte Gestal-
3
1 So z.B. im „Arbeitspapier Webtracking und Privatsphäre“ der International Working Group on Data Protection in Telecommunications („Berlin Group“) vom 16.4.2013, http://www.datenschutz-berlin.de/attachments/951/675.46.18.pdf?1371729170; vgl. auch Hoeren, ZD 2011, 3 ff. 2 Busche-Rabus, DSRI-Tagungsband 2011, 463 ff. 3 So Karg/Thomsen, DuD 2012, 729 ff. 4 Vgl. Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) in: „Hinweise und Empfehlungen zur Analyse von Internet-Angeboten mit „Piwik“, https:// www.datenschutzzentrum.de/tracking/piwik/20110315-webanalyse-piwik.pdf. 5 So z.B. das ULD in der „Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook“, https://www.datenschutzzentrum.de/facebook/facebook-ap-20110819.pdf. 6 Vgl. zur Historie der Webanalyse „Arbeitspapier Webtracking und Privatsphäre“ der International Working Group on Data Protection in Telecommunications („Berlin Group“) vom 16.4.2013, http://www.datenschutz-berlin.de/attachments/951/675.46.18.pdf?137 1729170, Ziff. 12 ff.
Hansen-Oest
|
397
Teil 3 IV
Rz. 4
Vertrag zur Durchführung von Webanalysen („Webtracking“)
tung“ und Optimierung des Dienstes. Durch das Wissen, welche Seiten z.B. besonders beliebt sind, kann ein Anbieter einer Internetseite Rückschlüsse auf erfolgversprechende weitere Inhalte ziehen. Auch wird z.B. bei Online-Shops messbar, welche Inhalte auf der Internetseite häufiger zu Käufen geführt haben. 4
Allen gängigen Webanalyse-Verfahren liegt der Ansatz zugrunde, dass es nicht darum geht, das Verhalten von einzelnen Nutzern „auszuspähen“1. Die Systeme sind vielmehr darauf ausgelegt, das Verhalten der Nutzer insgesamt oder ggf. noch von Nutzergruppen zu analysieren, um hieraus Rückschlüsse auf Optimierungen zu ziehen oder Erkenntnisse über Besucherverhalten erhalten zu können.
5
Gleichwohl beinhalten Webanalyse-Verfahren durch die Vielzahl der möglichen Datenerhebungen und Analysen Gefahren für das Recht auf informationelle Selbstbestimmung der Nutzer einer Internetseite. Die Gefahr wird hier vor allem in der Verkettung von Daten durch vernetzte Systeme gesehen. So wäre Google durch die hohe Verbreitung seines Webanalyse-Tools „Google Analytics“ z.B. theoretisch in der Lage, das Surfverhalten einzelner Nutzer recht genau nachvollziehen zu können.
6
Weltweit gibt es immer mehr Nutzer, die sich gegen das „Tracking“ ihres Nutzerverhaltens wehren (wollen). Hierfür kann z.B. spezielle Software genutzt werden, die ein Tracking durch gängige Webanalyse-Tools unterbindet. Zum Teil werden diese selbst von den Herstellern von Webanalyse-Tools zur Verfügung gestellt.
7
Das World Wide Web Consortium (W3C), das offene Standards für das Web entwickelt, hat durch das sog. „Do-Not-Track“ (DNT) einen „Tracking Preference Expression“-Standard2 entwickelt, der durch das Übertragen einer sog. HeaderInformation im Browser des Nutzers der Internetseite mitteilt, dass ein Tracking nicht gewünscht ist. Sowohl in den USA als auch in der EU-Kommission3 gibt es Diskussionen darüber, ob DNT regulatorisch in die Praxis umgesetzt und die Beachtung von DNT damit verpflichtend für Anbieter von Internetseiten wird.
II. Technische Funktionsweise der Webanalyse 8
Bei Webanalye-Systemen kann zunächst zwischen zwei Lösungsansätzen differenziert werden. So gibt es Webanalyse-Software, die Anbieter von Internetseiten auf ihrem eigenen Webserver oder ihrem Webspace installieren können. Hier ist vor allem das Webanalyse-Tool „Piwik“ sehr verbreitet. Die weitaus gängigere Variante ist allerdings die, dass die Webanalyse-Software auf externen Systemen, also in einem vom Webanalyse-Anbieter genutzten Rechenzentrum, betrieben wird. Das hat den Vorteil, dass die Wartung und Pflege der häu1 Viele „Webanalysten“ sind z.B. auch dem Kodex „The Web Analyst’s Code of Ethics“ der Digital Analytics Association beigetreten, http://www.digitalanalyticsassociation. org/?page=codeofethics. 2 Vgl. http://www.w3.org/TR/tracking-dnt/. 3 Vgl. Neelie Kroes, „Why we need a sound Do-Not–Track standard for privacy online“, http://blogs.ec.europa.eu/neelie-kroes/donottrack/.
398
|
Hansen-Oest
Vertrag zur Durchführung von Webanalysen („Webtracking“)
Rz. 12 Teil 3 IV
fig komplexen Systeme vom Webanalyse-Anbieter selbst durchgeführt wird. Nachteil ist jedoch, dass eine wirksame Kontrolle dessen, was mit dem Webanalyse-Tool an Daten erhoben und analysiert wird, ungleich schwerer im Vergleich zu einer selbst „gehosteten“ Variante ist. Bei beiden Varianten wird technisch die Messung des Besucherverhaltens dadurch initiiert, dass über ein Script im Quelltext der jeweils abgerufenen Internetseite auch die Webanalyse-Software über einen http-request aufgerufen wird. Dem HTTP-Protokoll liegt zugrunde, dass die Webanalyse-Software hierüber schon bestimmte Informationen über die IP-Adresse, den verwendeten Browser, den „Referrer“ und weitere Informationen über den Browser im Endgerät des Nutzers erhält. Verbreitet ist auch die Anwendung von sog. „Tracking-Pixeln“. Das sind Links zu sehr kleinen „leeren“ Grafikdateien mit 1×1 Pixel Größe, die auf dem Server mit der Webanalyse-Software gespeichert sind und insoweit beim Aufruf dann auch die Informationen über den http-request ermöglichen.
9
Technisch wird dann meist vom Webanalyse-System ein Cookie im Browser des Endgeräts des Nutzers gesetzt, der dazu dient, den Besucher „wiederzuerkennen“. Zu Beginn der Entwicklung von Webanalyse-Verfahren soll zum Teil die IP-Adresse im Cookie gespeichert worden sein. Heute macht dies keiner der gängigen Anbieter mehr. Die meisten Anbieter speichern eine zufällige Identifikationsnummer im Cookie, die von der Webanalyse-Software vergeben wird und die an sich noch keinen unmittelbaren Personenbezug zum jeweiligen Nutzer ausweist. Über die Identifikationsnummer im Cookie kann der Benutzer wiedererkannt und sein Verhalten auf der Internetseite (Abruf von Internetseiten, getätigte Downloads etc.) dieser Identifikationsnummer zugeordnet werden.
10
Durch zusätzliche JavaScript-Technologie kann ein Webanalyse-Anbieter zudem weitere Informationen über den Browser des Nutzers bzw. das von diesem verwendete Endgerät in Erfahrung bringen. Dazu gehören Informationen über das verwendete Betriebssystem, die Bildschirmauflösung, die Farbtiefe, installierte Plugins (wie z.B. „Flash“) usw. Dies wiederum ermöglicht Rückschlüsse für die Optimierung der Internetseite im Hinblick auf bestimmte Endgeräte wie Smartphones, Tablet-PCs und dergleichen.
11
Wenn der Nutzer das Cookie löscht oder das Setzen von Cookies unterdrückt, dann ist eine Webanalyse – zumindest auf Cookie-Basis – nicht bzw. nicht mehr möglich. Viele Anbieter von Webanalyse-Verfahren haben hierfür jedoch alternative Verfahren entwickelt. So ist auf Basis von HTML5-Standards z.B. auch ein Speichern im sog. DOM-Storage möglich. Und schließlich gibt es auch einige Anbieter, die Webanalyse auf Basis des sog. „Device-Fingerprintings“ anbieten. Bei dieser Technologie werden über eine Abfrage über den Browser des Nutzers so viele Informationen über das Endgerät des Nutzers erhoben, dass eine Identifizierung dieses Geräts eindeutig möglich wird, und das ohne Verwendung von Cookies. Im Gegensatz zu Cookies ist diese Technologie jedoch für den Betroffenen sehr intransparent1.
12
1 Vgl. umfassend zum Device-Fingerprinting, Nikiforakis/Kapravelost/Joosen/Kruegel/Piessens/Vigna, Cookieless Monster:Exploring the Ecosystem of Web-based Device Fingerprinting, https://lirias.kuleuven.be/bitstream/123456789/393661/1/cookieless_sp2013.pdf.
Hansen-Oest
|
399
Teil 3 IV
Rz. 13
Vertrag zur Durchführung von Webanalysen („Webtracking“)
13
Der Großteil der Anbieter von Webanalyse-Software bietet mit seinen Produkten eine Form der Geolokalisierung von Nutzern an. Hierzu wird meist die IPAdresse verwendet. Aus einer vollständigen IP-Adresse lässt sich häufig eine Zuordnung auf eine Region des Landes vornehmen. Nach Maßgabe eines Beschlusses des Düsseldorfer Kreises soll eine IP-Adresse vor Durchführen der Geolokalisierung jedoch verkürzt werden, sofern keine Einwilligung des Betroffenen vorliegt, wobei die Verkürzung so zu erfolgen hat, dass eine Personenbeziehbarkeit ausgeschlossen ist1. Umstritten ist dabei, ob eine Verkürzung der IP-Adresse um das letzte Oktett ausreicht, oder ob eine Löschung von zwei Oktetten geboten ist. Zum Teil wird von Aufsichtsbehörden empfohlen, die letzten beiden Oktette für eine Anonymisierung zu löschen2 („IP-Masking“). Andere Aufsichtsbehörden haben im Rahmen eines sog. beanstandungsfreien Betriebes zumindest bei zwei Webanalyse-Anbietern die Löschung des letzten Oktetts ausreichen lassen3.
14
Die Analyse-, Auswertungs- und Darstellungsmöglichkeiten der verschiedenen Webanalyse-Anbieter ist durchaus unterschiedlich. Im Hinblick auf die Möglichkeit der Unterbindung eines Trackings hat sich die Verwendung von sog. „Opt-Out-Cookies“ durchgesetzt. Der Nutzer kann durch das Setzen eines „Opt-Out-Cookies“, über das er idealerweise in den Datenschutzhinweisen des Anbieters der Internetseite informiert wird, dem weiteren Tracking widersprechen. Tut er dies, wird ein Cookie im Endgerät seines Browsers gesetzt. Dieses Cookie wird dann bei jedem Seitenaufruf von der Webanalyse-Software erkannt und führt dazu, dass eine Erhebung der Daten des Nutzers unterbleibt. Zum Teil führt das Cookie jedoch nur dazu, dass eine Auswertung der Daten unterbleibt, die Daten aber gleichwohl erhoben werden. Hier sollten die Anbieter, die die Technologie einsetzen, genau darauf achten, dass schon keine Erhebung der Daten erfolgt.
15
Wenn der Nutzer das „Opt-Out-Cookie“ jedoch löscht, dann wird wieder ein Tracking seines Nutzungsverhaltens erfolgen. Hierauf muss der Nutzer hingewiesen werden. Der Nutzer kann schließlich auch selbst durch entsprechende Zusatzsoftware (z.B. Browser-Plugins) das Setzen von Cookies durch Webana1 Vgl. Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27. November 2009 in Stralsund, Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten, https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Be schluesse_Duesseldorfer_Kreis/Inhalt/2009/Datenschutzkonforme_Ausgestaltung_von _Analyseverfahren_zur_Reichweitenmessung_bei_Internet-Angeboten/Analyse.pdf. 2 So z.B. das ULD, Hinweise und Empfehlungen zur Analyse von Internet-Angeboten mit „Piwik“, S. 8. 3 Vgl. ausdrücklich das Bayerische Landesamt für Datenschutz (Bay LDA) zur Online-Prüfung Adobe Analytics (Omniture) (Stand: Juni 2013), http://www.lda.bayern.de/online pruefung/adobeanalytics.html; ähnlich auch Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit (HmbBfDI), Hinweise für Webseitenbetreiber mit Sitz in Hamburg, die Google Analytics einsetzen (Stand: März 2013), http://www.daten schutz-hamburg.de/uploads/media/GoogleAnalytics_Hinweise_fuer_Webseitenbetrei ber_in_Hamburg_01.pdf, die die Verwendung von Google Analytics unter der Implementierung des sog. „–anonymizeIp()“-Codes für zulässig erachten. Mit der Verwendung dieses Codes führt Google eine Löschung des letzten Oktetts der IP-Adresse durch.
400
|
Hansen-Oest
Vertrag zur Durchführung von Webanalysen („Webtracking“)
Rz. 19 Teil 3 IV
lyse-Software unterbinden. Das ändert jedoch nichts an der Tatsache, dass der Anbieter der Internetseite die Webanalyse veranlasst und insoweit wohl auch verantwortliche Stelle für diese Datenerhebung, -verarbeitung und -nutzung ist.
III. Rechtliche und behördliche Vorgaben zur Webanalyse Sofern die Webanalyse nicht ausdrücklich dazu dient, Pflichten des Anbieters gegenüber dem Nutzer aus dem Nutzungsverhältnis zu erfüllen1, erfolgt die Webanalyse regelmäßig für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien (§ 15 Abs. 3 Satz 1 TMG). Dabei dürfen die Nutzungsprofile nur unter Pseudonym erstellt werden. Hintergrund für diese Pflicht ist es, einen „Kompromiss zwischen dem Interesse des Nutzers an weitgehender Anonymität seines Konsumentenverhaltens und dem berechtigten wirtschaftlichen Interesse des Diensteanbieters“ an der Auswertung der Inanspruchnahme des Dienstes herzustellen2. Daher soll eine entsprechende Auswertung nur pseudonym erfolgen können.
16
Nach § 15 Abs. 3 TMG ist die Voraussetzung für die Erstellung von pseudonymen Nutzungsprofilen, dass diese für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien erstellt werden und dass der Nutzer dem nicht widersprochen hat. Für die Wahrnehmung des Widerspruchsrechts ist eine entsprechende „Informiertheit“ des Betroffenen erforderlich, die durch die Verpflichtung des Diensteanbieters, über die Widerspuchsmöglichkeit in Datenschutzhinweisen zu belehren (vgl. § 15 Abs. 2 Satz 2 TMG) erreicht werden soll.
17
Rechtlich bedeutsam ist schließlich auch das Verbot der Zusammenführung von pseudonymen Nutzungsprofilen mit dem Träger des Pseudonyms (§ 15 Abs. 3 Satz 3 TMG). Dies wäre nach § 16 Abs. 3 Nr. 5 TMG eine Ordnungswidrigkeit, die mit einer Geldbuße von bis zu 50 000 Euro geahndet werden kann.
18
Gerade in Online-Shop-Systemen oder auch in sozialen Netzwerken kann eine Zusammenführung zwischen der pseudonymen Identifikationsnummer im Cookie und dem Träger des Pseudonyms theoretisch leicht herbei geführt werden, da der Diensteanbieter hier durch Interaktion des registrierten Nutzers eine Zuordnung vornehmen kann. Hier sieht § 13 Abs. 4 Nr. 6 TMG flankierend vor, dass der Diensteanbieter technische und organisatorische Maßnahmen dafür zu treffen hat, dass Nutzungsprofile nach § 15 Abs. 3 TMG nicht mit dem Träger des Pseudonyms zusammengeführt werden. Wie diese Maß-
19
1 Bei Betreibern von sozialen Netzwerken erfolgt häufig eine Analyse des Nutzungsverhaltens, um dem Nutzer z.B. passende Inhalte (Gruppenbeiträge, Stellenanzeigen, passende Kontakte) anzeigen zu können. Sofern es Vertragsinhalt ist und der Anbieter diese „Matching“-Funktionen, z.B. zur Erweiterung des Netzwerks des Nutzers als vertragliche Leistung anbietet, ist eine Erhebung-, Verarbeitung und Nutzung dieser Daten nach § 15 Abs. 1 TMG zulässig. § 15 Abs. 3 TMG steht dem nicht entgegen, da dieser eine Verarbeitung für andere Zwecke betrifft. 2 So die Gesetzesbegründung zur Vorgängerregelung in § 4 Abs. 4 TDDSG, BT-Drucks. 13/7385, 24 – http://dipbt.bundestag.de/doc/btd/13/073/1307385.pdf.
Hansen-Oest
|
401
Teil 3 IV
Rz. 20
Vertrag zur Durchführung von Webanalysen („Webtracking“)
nahmen konkret aussehen sollen, ergibt sich aus dem Gesetz nicht1. Dabei müssen nicht zwingend technische und organisatorische Maßnahmen zugleich getroffen werden. Dies würde dem Sinn und Zweck der Norm widersprechen. Gesetzessystematisch ist der Begriff der technischen und organisatorischen Maßnahmen i.S.d. § 13 Abs. 4 TMG im Zusammenhang mit dem Begriff der technischen und organisatorischen Maßnahmen nach § 9 BDSG zu sehen. Bei § 9 BDSG wird nach allgemeiner Auffassung jedoch auch nicht nach technischen oder organisatorischen Maßnahmen differenziert. Mit dem Begriff soll eher eine Negativabgrenzung erreicht werden und nur begriffslogisch solche Maßnahmen ausscheiden, die nicht unter technischen und organisatorischen Maßnahmen subsumiert werden können2. 20
Beispielhafte Maßnahme kann vor allem eine Abschottung von Verarbeitungsbereichen sein3. Denkbar sind auch Maßnahmen einer „informationellen Gewaltenteilung“. Das sind Modelle, in denen mehrere Unternehmen zusammen agieren, um einen ganzheitlichen Dienst anzubieten. Dabei besteht jedoch die Besonderheit, dass jeder Anbieter allein einen Personenbezug nicht herleiten kann, weil dies durch Pseudonymisierungs- und Anonymisierungtechnologien des jeweils anderen Teils unterbunden wird. So wird z.B. im Bereich der Anbieter von verhaltensbezogener Werbung schon seit längerer Zeit mit Anonymisierungsdiensten gearbeitet, die z.B. IP-Adressen für den Anbieter anonymisieren, so dass dieser keinen Personenbezug aus der IP-Adresse herleiten kann. Der Anonymisierungsanbieter hingegen hat wiederum keinen Zugriff auf Daten, die auf ein Nutzerverhalten schließen lassen könnten. So weiß jedes einzelne Unternehmen nicht „alles“, und dennoch kann für den Nutzer ein ganzheitlicher Dienst angeboten werden. Diese Modelle sind allerdings meist sehr komplex – technisch und rechtlich. Und nicht in jedem Fall sind diese Modelle geeignet, so kann es gerade bei reichweitenstarken Angeboten zu PerformanceProblemen kommen.
21
Neben den gesetzlichen Vorgaben hat es auch seitens der Aufsichtsbehörden Beschlüsse und Empfehlungen im Hinblick auf die Durchführung von Webanalyse-Maßnahmen gegeben. So hat der Düsseldorfer Kreis in seiner Sitzung am 26./27.11.2009 in Stralsund den Beschluss „Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“4 gefasst und insoweit Vorgaben für entsprechende Diensteanbieter aus dem TMG zusammengefasst. Weitere Empfehlungen zu einem sog. beanstandungsfreien Betrieb von zwei konkreten Webanalysediensten hat es von der Hamburger5
1 2 3 4
Vgl. Plath/Hullen/Roggenkamp, § 15 TMG Rz. 26. Vgl. Simitis/Ernestus, § 9 BDSG Rz. 21. Taeger/Gabel/Moos, § 13 TMG Rz. 28. Zu finden unter: https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungs archiv/Inhalt/Beschluesse_Duesseldorfer_Kreis/Inhalt/2009/Datenschutzkonforme_Aus gestaltung_von_Analyseverfahren_zur_Reichweitenmessung_bei_Internet-Angeboten/ Analyse.pdf. 5 HmbBfDI, Hinweise für Webseitenbetreiber mit Sitz in Hamburg, die Google Analytics einsetzen (Stand: März 2013), http://www.datenschutz-hamburg.de/uploads/media/ GoogleAnalytics_Hinweise_fuer_Webseitenbetreiber_in_Hamburg_01.pdf.
402
|
Hansen-Oest
Vertrag zur Durchführung von Webanalysen („Webtracking“)
Rz. 23 Teil 3 IV
und der Bayerischen Aufsichtsbehörde1 für den nicht-öffentlichen Bereich gegeben. Unter Berücksichtigung dieser Veröffentlichungen von Aufsichtsbehörden lassen sich folgende Empfehlungen für Diensteanbieter, die Webanalysen durchführen (wollen), treffen: – Der Diensteanbieter sollte in seinen Datenschutzhinweisen auf der Internetseite über Art und Umfang der Webanalyse informieren und eine Widerspruchsmöglichkeit anbieten. – IP-Adressen sollten vor der Durchführung einer Geolokalisierung zumindest um das letzte Oktett verkürzt werden. – Sofern IP-Adressen durch eine Verschlüsselung anonymisiert werden sollen, hat der Diensteanbieter Sorge dafür zu tragen, dass ein Algorithmus gewählt wird, der eine De-Anonymisierung nach dem Stand der Technik ausschließt. Der insoweit früher hierfür häufig genutzte MD5-Algorithmus ist nicht mehr geeignet. – Die Laufzeit der Cookies sollte begrenzt werden und maximal 24 Monate betragen. – Wenn die Webanalyse durch einen Dienstleister durchgeführt wird, ist regelmäßig ein Auftragsdatenverarbeitungsvertrag abzuschließen. Rechtlich unklar ist noch, inwieweit die sog. Cookie-Richtlinie eine Einwilligung des Betroffenen in die Webanalyse erfordert. Hintergrund der Diskussionen ist die Änderung von Art. 5 der sog. E-Privacy-Richlinie (2002/58/EG) durch die Richtlinie 2009/316/EG. Mit Einführung des Art. 5 (3) der E-PrivacyRichtlinie wurde ein Einwilligungserfordernis in das Speichern von „Informationen“ im Endgerät eines Nutzers eingeführt. Weil dies vor allem den Gebrauch von Cookies betrifft, wird die Richlinie 2009/136/EG, die die Änderung des betreffenden Art. 5 der E-Privacy-Richtlinie beinhaltet, auch häufig als „Cookie-Richtlinie“ bezeichnet. Nach Art. 5 (3) der E-Privacy-Richtlinie in der aktuellen Fassung ist die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur zulässig, wenn der Nutzer seine Einwilligung auf der Grundlage einer klaren und umfassenden Information erhalten hat.
22
Dabei soll es sich zudem um einen „prior consent“, also eine Einwilligung handeln, die vor dem Setzen des Cookies oder dem Auslesen des Cookies, erteilt werden muss2. Die durch Art. 5 (3) der E-Privacy-Richtlinie herbeigeführten Änderungen sind rechtspolitisch stark umstritten, da der Einsatz von Cookies für werbefinan1 Bay LDA zur Online-Prüfung Adobe Analytics (Omniture) (Stand: Juni 2013), http:// www.lda.bayern.de/onlinepruefung/adobeanalytics.html. 2 Vgl. zur Problematik ULD, Position paper on the impact of the new „Cookie Law“ on certifiability of behavioural advertising systems according to EuroPriSe, https://www. european-privacy-seal.eu/results/Position-Papers/PDF%20-%20EuroPriSe%20position %20paper%20on%20the%20new%20cookie%20law.pdf; Höppner, DSRI-Tagungsband 2011, 477 (486 f.).
Hansen-Oest
|
403
23
Teil 3 IV
Rz. 24
Vertrag zur Durchführung von Webanalysen („Webtracking“)
zierte Internetseiten essentiell ist. Aufgrund der nicht einheitlichen Auslegung von Art. 5 (3) der E-Privacy-Richtlinie hat die Artikel-29-Datenschutzgruppe schon im Juni 2010 eine „discussion period“ eingeführt1, um in der Umsetzung der Anforderungen in praktischer Hinsicht Erfahrung zu sammeln. Diese „discussion period“ ist bis dato (Stand: August 2013) nicht beendet worden, so dass derzeit nicht davon auszugehen ist, dass bei einem Einsatz von WebanalyseSoftware ein striktes Einwilligungserfordernis gefordert ist. Vielmehr hat die Artikel-29-Datenschutzgruppe in ihrem Arbeitspapier „Opinion 04/2012 on Cookie Consent Exemption“ im Juni 2012 (WP 194)2 empfohlen, Art. 5 (3) der E-PrivacyRichtlinie insoweit zu überdenken, dass bei einer Verwendung von WebanalyseTools mittels First-Party-Cookies eine Ausnahme vom Einwilligungserfordernis denkbar und angemessen sei.
B. Muster 24
E Vertrag zur Durchführung von Webanalysen („Webtracking“) zwischen … (nachfolgend „Auftraggeber“ genannt) und … (nachfolgend „Auftragnehmer“ genannt) 1. Allgemeines 1.1 Der Auftragnehmer stellt dem Auftraggeber seinen Webanalyse-Service zur Nutzung zur Verfügung. Der Webanalyse-Service wird auf IT-Systemen (Server) des Auftragnehmers betrieben, die der Auftragnehmer verwaltet, wartet und pflegt. 1.2 Voraussetzung für die Nutzung durch den Auftraggeber ist die Einbindung eines „Tracking-Codes“ in den Quelltext seiner Internetseiten. Der „Tracking-Code“ wird dem Auftraggeber vom Auftragnehmer zur Verfügung stellt. Alternativ kann die Einbindung auch über ein „TrackingPixel“ in den Quelltext der Internetseiten des Auftraggebers erfolgen. Bei dieser Methode wird ein Aufruf einer Leer-Grafik-Datei (1×1 Pixel) auf dem Server des Auftragnehmers initiiert. Über diesen Aufruf, der über das HTTP-Protokoll erfolgt, kann der Auftragnehmer dann die Webanalyse durchführen. Der Auftragnehmer behält sich vor, die Einbindung abhängig von der Weiterentwicklung von technischen Standards anzupassen. Der Auftragnehmer wird dabei berechtigte Interessen des Auftraggebers angemessen berücksichtigen. 1 Vgl. Artikel-29-Datenschutzgruppe, „Opinion 2/2010 on online behavioural advertising“ (WP 171), S. 22, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp 171_en.pdf. 2 Zu finden hier: http://ec.europa.eu/justice/data-protection/article-29/documentation/ opinion-recommendation/files/2012/wp194_en.pdf.
404
|
Hansen-Oest
Vertragstext
Rz. 24 Teil 3 IV
2. Vertragsschluss Der Vertrag kommt mit der Unterzeichnung des Vertrags durch beide Parteien zustande. 3. Leistungen des Auftragnehmers 3.1 Der Auftragnehmer bietet dem Auftraggeber die Durchführung von Analysen des Verhaltens von Besuchern der Internetseiten des Auftraggebers an, die unter nachfolgendem URL im Internet abrufbar sind: … (Domain eintragen) 3.2 Die Leistungen des Auftragnehmers beinhalten die Bereitstellung von „Tracking-Codes“ oder vergleichbaren Methoden, die der Auftraggeber in seine unter Ziffer 3.1 genannte Internetseite einbinden kann. Bei einem Aufruf einer Internetseite mit einem „Tracking-Code“ des Auftraggebers führt dies dazu, dass der Aufruf vom Webanalyse-Service des Auftragnehmers protokolliert und nach den Festlegungen dieses Vertrags ausgewertet wird. 3.3 Der Auftragnehmer bereitet die Daten über das Besucherverhalten für den Auftraggeber auf und stellt neben Abrufzahlen auch weitere Übersichten mit Grafiken zur Verfügung. Die Auswertung kann der Auftraggeber in seinem Kundenbereich des Webanalyse-Services einsehen. Der Auftragnehmer stellt dem Auftraggeber die erforderlichen Zugangsdaten in geeigneter Weise zur Verfügung. 3.4 Der Auftragnehmer bietet dem Auftraggeber seinen Webanalyse-Service in der jeweils vom Auftraggeber gewählten Produktvariante und den jeweiligen Leistungsmerkmalen an. 4. Pflichten des Auftraggebers 4.1 Der Auftraggeber hat seine Zugangsdaten (Benutzername, Passwort) geheim zu halten. Er hat dafür Sorge zu tragen, dass diese Daten nicht unbefugten Dritten zugänglich gemacht werden. 4.2 Der Auftraggeber hat ferner sicher zu stellen, dass der Zugang zu und die Nutzung des Webanalyse-Services des Auftragnehmers mit den Benutzerdaten ausschließlich durch den Auftraggeber und/oder berechtigte Nutzer erfolgt. Sofern Tatsachen vorliegen, die die Annahme begründen, dass unbefugte Dritte von Zugangsdaten des Nutzers Kenntnis erlangt haben oder erlangen könnten, ist der Auftragnehmer vom Auftraggeber unverzüglich zu informieren. 4.3 Der Auftraggeber ist verpflichtet, bei der Nutzung des Webanalyse-Services die jeweils geltenden Rechtsvorschriften einzuhalten, dies gilt insbesondere im Hinblick auf das Bundesdatenschutzgesetz (BDSG) und das Telemediengesetz (TMG). 4.4 Der Auftraggeber wird auf seiner Internetseite über den Einsatz des Webanalyse-Services des Auftragnehmers hinweisen und in dem ZusammenHansen-Oest
|
405
Teil 3 IV
Rz. 24
Vertrag zur Durchführung von Webanalysen („Webtracking“)
hang auch über die Erstellung von pseudonymen Nutzungsprofilen und die Verwendung von Cookies informieren. Der Auftraggeber wird in dem Zusammenhang auch über die Möglichkeit informieren, das weitere „Tracking“ durch Setzen eines „Opt-Out-Cookies“ zu unterbinden. Die Information soll auch den Hinweis erhalten, dass im Falle einer Löschung eines „Opt-Out-Cookies“ durch den Nutzer erneut ein „Tracking“ stattfindet. 5. Datenschutz 5.1 Der Auftragnehmer ist verpflichtet, seinen Web-Analyse-Service so zu gestalten, dass eine Einhaltung der jeweils geltenden Rechtsvorschriften zu Datenschutz und Datensicherheit für den Auftraggeber möglich ist. 5.2 Der Auftragnehmer wird insbesondere folgende Maßnahmen umsetzen: 5.2.1 Der Auftragnehmer wird dem Auftraggeber die technischen Informationen zur Verfügung stellen, die der Auftraggeber für eine den Anforderungen des § 13 Abs. 1 TMG entsprechende Information der Nutzer seiner Internetseiten benötigt. 5.2.2 Der Auftragnehmer ist verpflichtet, die Möglichkeit zu eröffnen, dass die erhobenen IP-Adressen von Nutzern vor der Durchführung einer etwaigen Geolokalisierung um das letzte Oktett gelöscht oder das letzte Oktett überschrieben wird. 5.2.3 Der Auftragnehmer wird eine Speicherung von IP-Adressen in vollständiger Form unterlassen. Soweit IP-Adressen unverzüglich nach Erhebung dazu genutzt werden, um die IP-Adresse verschlüsselt in anonymisierter Weise zu speichern, so ist der Auftragnehmer verpflichtet, Verschlüsselungstechnologien einzusetzen, die eine DeAnonymisierung nach dem Stand der Technik ausschließen. 5.2.4 Der Auftragnehmer hat dem Auftraggeber eine Anpassung der Lebensdauer von Cookies zu ermöglichen. Sofern eine Anpassung der Cookie-Laufzeiten nicht oder nicht vollständig möglich ist, ist die Lebensdauer der für den Auftraggeber verwendeten Cookies auf sechs Monate zu beschränken. 5.2.5 Der Auftragnehmer wird es unterlassen, Technologien einzusetzen, die die Wiederherstellung von Cookies, die ein Nutzer in seinem Browser gelöscht hat, ermöglichen. 5.2.6 Der Auftragnehmer stellt eine technische Lösung für den Auftraggeber bereit, die dieser auf seinen Internetseiten einbinden kann, mit der Nutzer der Internetseiten des Auftraggeber eine Einwilligung („Opt-In“) für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten für Zwecke der Webanalyse erteilen können. 5.3 Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten durch den Auftragnehmer für den Auftraggeber hat ausschließlich innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums stattzufinden. 406
|
Hansen-Oest
Vertragstext
Rz. 24 Teil 3 IV
5.4 Dem Auftragnehmer ist es untersagt, Nutzungsprofile von Nutzern der Internetseiten des Auftraggebers auf Basis von individuellen, browserbasierten Informationen („Device Fingerprint“) zu erstellen. 5.5 Der Auftragnehmer wird dem Auftraggeber ermöglichen, das „Tracking“ von Nutzern der Internetseiten des Auftraggebers, die einen „Do-NotTrack“-Header mittels ihres Browsers übertragen, zu unterbinden. 5.6 Dem Auftragnehmer ist es untersagt, pseudonyme Daten aus Nutzungsprofilen mit dem Träger des Pseudonyms zusammenzuführen. 6. Auftragsdatenverarbeitung Der Auftraggeber ist verantwortliche Stelle (§ 3 Abs. 7 BDSG) für die Verarbeitung von personenbezogenen Daten im Zusammenhang mit der Durchführung der Webanalyse auf seinen Internetseiten. Der Auftragnehmer wird im Hinblick auf die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Auftrag des Auftraggebers tätig. Zur Umsetzung der Voraussetzungen des § 11 BDSG vereinbaren die Parteien die in der „Anlage Auftragsdatenverarbeitung“ festgesetzten Regelungen. 7. Nutzungsrechte 7.1 Der Auftragnehmer räumt dem Auftraggeber das zeitlich auf die Dauer des Vertrags beschränkte, nicht übertragbare Nutzungsrecht an der zum Einsatz kommenden Webanalyse-Software ein. 7.2 Die mit der Webanalyse-Software verarbeiteten und genutzten Nutzungsdaten werden im Auftrag des Auftraggebers vom Auftragnehmer verarbeitet. Der Auftraggeber ist insoweit „Herr dieser Daten“ und kann über die Daten frei verfügen. Im Hinblick auf die vertragsgemäß durchzuführenden Webanalyse-Leistungen räumt der Auftraggeber dem Auftragnehmer das Recht ein, die Nutzungsdaten zur Erfüllung der Pflichten aus diesem Vertrag zu nutzen. 8. Datensicherung Der Auftragnehmer wird die für den Auftraggeber gespeicherten Daten regelmäßig, mindestens einmal täglich, in einer dem Stand der Technik entsprechenden Weise sichern. Die Sicherung hat redundant zu erfolgen. Die Datensicherung ist so zu verwahren, dass eine unbefugte Kenntnisnahme durch Dritte ausgeschlossen ist. 9. Preise und Zahlung 9.1 Die Parteien vereinbaren für die Durchführung des Datenschutzaudits durch den Auftragnehmer einer Vergütung i.H.v. … Euro netto zzgl. USt. pro Monat. 9.2 Die Vergütung wird dem Auftraggeber jeweils zu Beginn eines Monats für den vergangenen Monat in Rechnung gestellt. Der Anspruch auf ZahHansen-Oest
|
407
Teil 3 IV
Rz. 24
Vertrag zur Durchführung von Webanalysen („Webtracking“)
lung ist mit Zugang der Rechnung beim Auftraggeber fällig und binnen 30 Tagen vom Auftraggeber an den Auftragnehmer zu zahlen. 10. Verfügbarkeit 10.1 Der Auftragnehmer bemüht sich um eine möglichst unterbrechungsfreie Nutzbarkeit seines Webanalyse-Services. Jedoch können durch technische Störungen (wie z.B. Unterbrechung der Stromversorgung, Hardware- und Softwarefehler, technische Probleme in den Datenleitungen) zeitweilige Beschränkungen oder Unterbrechungen auftreten. 10.2 Der Auftragnehmer gewährleistet in seinem Verantwortungsbereich eine Verfügbarkeit von 99 % im Jahresmittel. Nicht in die Berechnung der Verfügbarkeit fallen die regulären Wartungsfenster, die jede Woche zwei Stunden betragen und in der Regel zwischen 0:00 Uhr und 6:00 Uhr mitteleuropäischer Zeit durchgeführt werden. Der Auftragnehmer wird den Auftraggeber über geplante Wartungsarbeiten vorab in Textform (z.B. per E-Mail) informieren. Der Auftragnehmer wird die Verfügbarkeit des Webanalyse-Services durch geeignete technische Methoden messen und dem Auftraggeber auf Anfrage zur Prüfung geeignete Unterlagen in geeigneter Weise zur Verfügung stellen. 11. Haftungsbeschränkung 11.1 Die Parteien haften bei Vorsatz oder grober Fahrlässigkeit für alle jeweils von ihnen verursachten Schäden unbeschränkt. 11.2 Bei leichter Fahrlässigkeit haften die Parteien im Fall der Verletzung des Lebens, des Körpers oder der Gesundheit unbeschränkt. 11.3 Im Übrigen haften die Parteien nur, soweit sie jeweils eine wesentliche Vertragspflicht verletzt haben. Als wesentliche Vertragspflichten werden dabei abstrakt solche Pflichten bezeichnet, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung die jeweils andere Partei regelmäßig vertrauen darf. In diesen Fällen ist die Haftung auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schadens beschränkt. 11.4 Soweit die Haftung der Parteien nach den vorgenannten Vorschriften ausgeschlossen oder beschränkt wird, gilt dies auch für Erfüllungsgehilfen der Parteien. 12. Dauer und Kündigung 12.1 Der Vertrag wird auf unbestimmte Zeit geschlossen. 12.2 Der Vertrag kann von jeder Partei mit einer Frist von drei Monaten zum Ende eines Monats gekündigt werden. 12.3 Ein außerordentliches Kündigungsrecht jeder Partei bleibt unberührt. 12.4 Die Kündigung bedarf der Schriftform. 408
|
Hansen-Oest
Rz. 26 Teil 3 IV
Erläuterungen
12.5 Im Falle der Beendigung wird der Auftragnehmer alle für den Auftraggeber verarbeiteten Nutzungsdaten, insbesondere Rohdaten, in einem lesbaren, weiterverarbeitbaren Format zur Verfügung stellen. 13. Schlussbestimmungen 13.1 Es gilt das Recht der Bundesrepublik Deutschland, wobei die Geltung des UN-Kaufrechts ausgeschlossen wird. 13.2 Als Gerichtsstand für alle Streitigkeiten aus dem Vertragsverhältnis wird der Sitz des Auftragnehmers (alternativ: Auftraggebers) vereinbart. 13.3 Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien werden im Falle der Unwirksamkeit einer Klausel eine in sachlicher, am wirtschaftlichen Zweck des Vertrags orientierte ersatzweise Regelung vereinbaren.
C. Erläuterungen I. Vorbemerkung In diesem Vertragsmuster wird davon ausgegangen, dass die Webanalyse-Systeme von einem externen Dienstleister im Auftrag des Anbieters der Internetseiten durchgeführt werden. Der Vertrag ist für die Verwendung durch Hersteller von Webanalyse-Software, die auf eigenen IT-Systemen eines Diensteanbieters installiert werden, nicht geeignet.
25
II. Erläuterung der einzelnen Klauseln 1. Erläuterungen zu Ziffer 1 26
E 1. Allgemeines 1.1 Der Auftragnehmer stellt dem Auftraggeber seinen Webanalyse-Service zur Nutzung zur Verfügung. Der Webanalyse-Service wird auf IT-Systemen (Server) des Auftragnehmers betrieben, die der Auftragnehmer verwaltet, wartet und pflegt. 1.2 Voraussetzung für die Nutzung durch den Auftraggeber ist die Einbindung eines „Tracking-Codes“ in den Quelltext seiner Internetseiten. Der „Tracking-Code“ wird dem Auftraggeber vom Auftragnehmer zur Verfügung stellt. Alternativ kann die Einbindung auch über ein „TrackingPixel“ in den Quelltext der Internetseiten des Auftraggebers erfolgen. Bei dieser Methode wird ein Aufruf einer Leer-Grafik-Datei (1×1 Pixel) auf dem Server des Auftragnehmers initiiert. Über diesen Aufruf, der über das HTTP-Protokoll erfolgt, kann der Auftragnehmer dann die Webanalyse durchführen. Der Auftragnehmer behält sich vor, die Einbindung abhängig von der Weiterentwicklung von technischen Standards anzuHansen-Oest
|
409
Teil 3 IV
Rz. 27
Vertrag zur Durchführung von Webanalysen („Webtracking“)
passen. Der Auftragnehmer wird dabei berechtigte Interessen des Auftraggebers angemessen berücksichtigen.
a) Ratio 27
Der Vertrag wird mit einer allgemeinen Einleitung begonnen, in der der Vertragsgegenstand grob beschrieben und die Einbindung des Webtrackings in die Seiten als Voraussetzung für eine Nutzung dargestellt wird.
b) Erläuterungen aa) Zu Ziffer 1.1 28
Der Vertragsgegenstand wird hier allgemein beschrieben. Der Auftragnehmer soll für den Auftraggeber einen Webanalyse-Service zur Verfügung stellen. Wichtig ist, dass in dieser Vertragsvariante der Auftragnehmer den Webanalyse-Service auf seinen IT-Systemen, also extern zur Verfügung stellt. Der Vertrag sieht die Variante der Installation von Webanalyse-Software auf IT-Systemen des Auftraggebers nicht vor.
29
Diese externe Variante kommt in der Praxis häufiger vor. Dies ermöglicht dem Auftragnehmer eine bessere Wartung und Pflege der zum Einsatz kommenden Software, ohne dass ein Zugriff auf fremde Hardware des Auftraggebers erforderlich wäre.
bb) Zu Ziffer 1.2 30
Die Einbindung von Webanalyse-Software erfolgt in aller Regel durch die Einbindung eines Tracking-Scripts („Tracking-Code“) in den Quelltext der Internetseiten des Auftraggebers. Diese Einbindung muss durch den Auftraggeber erfolgen, da der Auftragnehmer regelmäßig keinen Zugriff auf den Quelltext der Internetseiten des Auftraggebers hat.
31
Die Pflicht des Auftragnehmers beschränkt sich insoweit darauf, einen „Tracking-Code“ zur Verfügung zu stellen, der durch dessen Einbindung in die Internetseiten die Webanalyse ermöglicht und initiiert.
32
Der „Tracking-Code“ besteht meist aus einem JavaScript-Code, der in die Seite eingebunden wird. Da einige Nutzer z.B. aus Sicherheitsgründen JavaScript in ihrem Browser deaktiviert haben, wird darüber hinaus von vielen WebanalyseAnbietern die Möglichkeit offeriert, mit sog. „Tracking-Pixeln“ zu arbeiten. Ein solches Pixel ist in der Regel eine Leer-Grafik-Datei, die über einen HTMLTag im Quelltext vom Webanalyse-Server abgerufen wird. Über die technische Spezifizierung des HTTP-Protokolls erhält der Webanalyse-Server dann schon zumindest einige Grunddaten über den Browser des Nutzers und den Abruf der jeweiligen Internetseite. So wird ein Basis-Tracking möglich, auch wenn der Nutzer JavaScript deaktiviert hat.
33
Mit der Weiterentwicklung von technischen Standards im Internet sind auch andere Einbindungstechnologien denkbar. Der Vertrag sieht insoweit eine dy410
|
Hansen-Oest
Erläuterungen
Rz. 38 Teil 3 IV
namische Anpassung durch den Auftraggeber vor, bei dem jedoch berechtigte Interessen des Auftraggebers angemessen berücksichtigt werden müssen.
2. Erläuterungen zu Ziffer 2 34
E 2. Vertragsschluss Der Vertrag kommt mit der Unterzeichnung des Vertrags durch beide Parteien zustande.
a) Ratio Die Ziffer enthält eine kurze Festlegung darüber, wann ein Vertrag zwischen den Parteien zustande kommt.
35
b) Erläuterungen In diesem Vertrag ist eine einfache Variante des Vertragsschlusses verwendet worden. Der Vertrag kommt zustande, wenn beide Parteien den Vertrag unterzeichnet haben.
36
Selbstverständlich kann hier eine entsprechende Anpassung im Hinblick auf den Vertragsbeginn und damit den Beginn der Leistungen erfolgen.
37
3. Erläuterungen zu Ziffer 3 38
E 3. Leistungen des Auftragnehmers 3.1 Der Auftragnehmer bietet dem Auftraggeber die Durchführung von Analysen des Verhaltens von Besuchern der Internetseiten des Auftraggebers an, die unter nachfolgendem URL im Internet abrufbar sind: … (Domain eintragen) 3.2 Die Leistungen des Auftragnehmers beinhalten die Bereitstellung von „Tracking-Codes“ oder vergleichbaren Methoden, die der Auftraggeber in seine unter Ziffer 3.1 genannte Internetseite einbinden kann. Bei einem Aufruf einer Internetseite mit einem „Tracking-Code“ des Auftraggebers führt dies dazu, dass der Aufruf vom Webanalyse-Service des Auftragnehmers protokolliert und nach den Festlegungen dieses Vertrags ausgewertet wird. 3.3 Der Auftragnehmer bereitet die Daten über das Besucherverhalten für den Auftraggeber auf und stellt neben Abrufzahlen auch weitere Übersichten mit Grafiken zur Verfügung. Die Auswertung kann der Auftraggeber in seinem Kundenbereich des Webanalyse-Services einsehen. Der Auftragnehmer stellt dem Auftraggeber die erforderlichen Zugangsdaten in geeigneter Weise zur Verfügung. 3.4 Der Auftragnehmer bietet dem Auftraggeber seinen Webanalyse-Service in der jeweils vom Auftraggeber gewählten Produktvariante und den jeweiligen Leistungsmerkmalen an. Hansen-Oest
|
411
Teil 3 IV
Rz. 39
Vertrag zur Durchführung von Webanalysen („Webtracking“)
a) Ratio 39
Die Leistungen, die der Webanalyse-Anbieter erbringt, werden in dieser Ziffer definiert. Der Gegenstand der vertraglichen Leistungen und auch der Gegenstand der Datenverarbeitung werden hier grundsätzlich festgelegt.
40
Die Leistungen werden durch eine flankierende Regelung in Ziffer 5 („Datenschutz“), in der weitere Pflichten des Auftragnehmers im Umgang mit personenbezogenen Daten geregelt sind, ergänzt.
b) Erläuterungen aa) Zu Ziffer 3.1 41
Die vertraglich vereinbarte Webanalyse wird in der Regel domainbasiert erfolgen, d.h., dass der Auftragnehmer dem Auftraggeber anbietet, die Webanalyse für eine bestimmte Internetseite unter einer bestimmten Domain durchzuführen.
42
Denkbar ist auch eine Anpassung dahingehend, dass der Auftragnehmer dem Auftraggeber anbietet, jegliche seiner Internetseiten – unabhängig von Domains – zu analysieren. Das dürfte in der Praxis aber eher unüblich sein. Vertragsrechtlich ist die Beschränkung auf eine oder mehrere, wenige Domains die Regel.
bb) Zu Ziffer 3.2 43
Wie schon unter Ziffer 1 beschrieben, besteht die vertragliche Leistung des Auftraggebers darin, einen „Tracking-Code“ für den Auftraggeber bereitzustellen, den dieser in den Quelltext seiner Internetseiten einbinden kann, um eine Webanalyse zu ermöglichen. Die Klausel ermöglicht statt eines „TrackingCodes“ auch eine vergleichbare Methode. Hier kann es sich insbesondere um ein „Tracking-Pixel“ handeln.
44
Erst bei einem Aufruf einer Internetseite, in die der „Tracking-Code“ eingebunden ist, kann eine Webanalyse erfolgen, indem der Aufruf der Internetseite protokolliert wird und eine Auswertung der Daten über den Besuch erfolgen kann.
cc) Zu Ziffer 3.3 45
Die Protokollierung von Zugriffen auf eine Internetseite ist nur ein Merkmal einer Webanalyse. Die Kernleistung bei einer Webanalyse besteht darin, aus den gespeicherten Daten, eine Auswertung zu generieren, die dem Auftraggeber Aufschluss darüber gibt, wie Nutzer bzw. Nutzergruppen seine Internetseite nutzen.
46
Der Auftraggeber erhält vom Auftragnehmer hierfür die Möglichkeit, in einem Kundenbereich auf einer Internetseite des Auftragnehmers die Analysen und Auswertungen einzusehen bzw. diese zu konfigurieren und anzupassen. Der Auftragnehmer stellt dem Auftraggeber die Zugangsdaten in geeigneter Weise zur Verfügung. Häufig werden dem Auftraggeber die Zugangsdaten separat per Post oder Übergabe zur Verfügung gestellt. Die Zusendung von Zugangsdaten per unverschlüsselter E-Mail sollte unterbleiben, da unverschlüsselte E-Mails 412
|
Hansen-Oest
Erläuterungen
Rz. 49 Teil 3 IV
nicht hinreichend sicher vor der unbefugten Kenntnisnahme durch Dritte sind. Einige Anbieter senden dem Auftraggeber einen Link zur Aktivierung seines Kundenbereichs. Nach Aufruf des Links kann der Auftraggeber dann sein Passwort (und ggf. auch seinen Benutzernamen) selbst wählen. In der Praxis kann gerade im Umgang mit großen Unternehmen eine Anpassung dahingehend erforderlich sein, dass es mehrere Zugänge zum Kundenbereich geben muss, weil es mehrere Benutzer gibt. Zum Teil sind hier dann auch abgestufte Berechtigungen erforderlich. Bei komplexen Webanalyse-Systemen mit individuellen Analyse- und Reporting-Möglichkeiten ist eine Unterscheidung zwischen Benutzerkonten mit reinem Lesezugriff und Benutzerkonten, die die Berechtigung zur Erstellung und Konfiguration von Analysen und Berichten („Reports“) haben, sinnvoll.
47
dd) Zu Ziffer 3.4 Aufgrund der Vielfalt der jeweiligen Möglichkeiten von Webanalyse-Software ist es in der Praxis nicht üblich, eine komplette Leistungsbeschreibung im Vertrag vorzunehmen. In Ziffer 3.4 findet insoweit eine Verweisung auf die jeweilige Produktvariante und den dazugehörigen Leistungsmerkmalen statt. Wichtig ist insoweit, dass dem Vertrag auch eine „Bestellung“ eines bestimmten Produktes zugrunde liegt. Anderenfalls müsste die Produktvariante, z.B. unter Ziffer 3.1, konkret benannt werden.
48
4. Erläuterungen zu Ziffer 4 49
E 4. Pflichten des Auftraggebers 4.1 Der Auftraggeber hat seine Zugangsdaten (Benutzername, Passwort) geheim zu halten. Er hat dafür Sorge zu tragen, dass diese Daten nicht unbefugten Dritten zugänglich gemacht werden. 4.2 Der Auftraggeber hat ferner sicher zu stellen, dass der Zugang zu und die Nutzung des Webanalyse-Services des Auftragnehmers mit den Benutzerdaten ausschließlich durch den Auftraggeber und/oder berechtigte Nutzer erfolgt. Sofern Tatsachen vorliegen, die die Annahme begründen, dass unbefugte Dritte von Zugangsdaten des Nutzers Kenntnis erlangt haben oder erlangen könnten, ist der Auftragnehmer vom Auftraggeber unverzüglich zu informieren. 4.3 Der Auftraggeber ist verpflichtet, bei der Nutzung des Webanalyse-Services die jeweils geltenden Rechtsvorschriften einzuhalten, dies gilt insbesondere im Hinblick auf das Bundesdatenschutzgesetz (BDSG) und das Telemediengesetz (TMG). 4.4 Der Auftraggeber wird auf seiner Internetseite über den Einsatz des Webanalyse-Services des Auftragnehmers hinweisen und in dem Zusammenhang auch über die Erstellung von pseudonymen Nutzungsprofilen und die Verwendung von Cookies informieren. Der Auftraggeber wird in dem Zusammenhang auch über die Möglichkeit informieren, das weitere „TraHansen-Oest
|
413
Teil 3 IV
Rz. 50
Vertrag zur Durchführung von Webanalysen („Webtracking“)
cking“ durch Setzen eines „Opt-Out-Cookies“ zu unterbinden. Die Information soll auch den Hinweis erhalten, dass im Falle einer Löschung eines „Opt-Out-Cookies“ durch den Nutzer erneut ein „Tracking“ stattfindet.
a) Ratio 50
Auch den Auftraggeber treffen im Zusammenhang mit der Durchführung einer Webanalyse Pflichten. Diese sind in Ziffer 4 geregelt.
b) Erläuterungen aa) Zu Ziffer 4.1 51
Der Auftraggeber erhält vom Auftragnehmer Zugangsdaten für seinen Kundenbereich, in dem der Auftragnehmer seine Webanalyse-Daten einsehen und pflegen kann. Um den Schutz dieser Daten vor der unbefugten Kenntnisnahme durch Dritte zu gewährleisten, sind die Daten vom Auftraggeber geheim zu halten und vor der unbefugten Kenntnisnahme durch Dritte zu schützen. Dies ist Aufgabe des Auftraggebers.
bb) Zu Ziffer 4.2 52
Der Auftraggeber ist verpflichtet Sorge dafür zu tragen, dass sein „Account“ nur durch ihn bzw. berechtigte Nutzer (vor allem Mitarbeiter) genutzt wird. Dies bezweckt einerseits ebenfalls den Schutz der Daten vor unbefugtem Zugriff, anderseits dient diese Regelung auch dazu, einer ausufernden vertragswidrigen Nutzung der Webanalyse entgegenzuwirken.
53
Häufig wird dem Auftraggeber ein Missbrauch des Passworts durch unberechtigte Nutzer oder die Gefahr desselben selbst auffallen, weil es z.B. einen Computer-Virus im Unternehmen oder einen sonstigen Vorfall mit Schadsoftware im Unternehmen gegeben hat und auf diesem Wege ggf. auch Zugangsdaten für die Webanalyse in dritte Hände gelangt sein können. Denkbar ist auch, dass z.B. mobile Geräte wie ein Notebook eines Beschäftigten des Auftraggebers entwendet worden oder verloren gegangen ist und die Zugangsdaten auf diesem externen Gerät gespeichert gewesen sind.
54
Um den Auftragnehmer in die Lage zu versetzen, sein Webanalyse-System vor entsprechenden Zugriffen durch unberechtigte Nutzer zu schützen und die jeweils erforderlichen Maßnahmen zu treffen, sieht Ziffer 4.2 eine Informationspflicht des Auftraggebers über derartige Vorfälle vor. Wenn Tatsachen die Annahme begründen, dass unbefugte Dritte Zugangsdaten erlangt haben könnten, ist der Auftragnehmer unverzüglich, also ohne schuldhaftes Zögern, zu informieren.
cc) Zu Ziffer 4.3 55
Auch wenn es an sich selbstverständlich ist, dass der Auftraggeber, in dessen Auftrag die Datenverarbeitung stattfindet, die geltenden Gesetze einhält, findet sich in diesem Vertrag noch einmal ausdrücklich die Verpflichtung des Auftraggebers, insbesondere die Regelungen des BDSG und TMG einzuhalten. 414
|
Hansen-Oest
Erläuterungen
Rz. 61 Teil 3 IV
Eine solche Regelung hat sich in der Praxis bewährt, da es häufig Begehrlichkeiten des Auftraggebers im Hinblick auf die Webanalyse gibt, die ggf. über die gesetzlichen Möglichkeiten hinausgehen. Um insoweit auch schon Weisungen unmöglich zu machen, die gegen eine Regelung des BDSG oder TMG verstoßen würden, ist eine entsprechende ausdrückliche Verpflichtung auf die Einhaltung dieser Gesetze zugunsten der Interessen der Auftragnehmers sinnvoll und geboten.
56
dd) Zu Ziffer 4.4 Der Regelungsgedanke ist hier ähnlich wie bei Ziffer 4.3. Natürlich gibt es die gesetzliche Verpflichtung nach § 13 Abs. 1 TMG, über Zweck, Art und Umfang der Erhebung, Verarbeitung und Nutzung personenbezogener Daten auf seinen Internetseiten zu informieren. Eine Klarstellung dieser Pflicht in Ziffer 4.4 ist jedoch im Interesse des Auftragnehmers, da es in der Praxis durchaus vorkommen kann, dass ein Auftraggeber nicht über die Webanalyse informiert.
57
Eine Nichtinformation kann für den Auftragnehmer schädigende Einflüsse haben, da dieser ansonsten möglicherweise selbst vom Betroffenen als verantwortliche Stelle für die Datenverarbeitung angesehen werden könnte. In den Datenschutzhinweisen des Auftraggebers sollte daher deutlich werden, dass diese Webanalyse auf Veranlassung des Auftraggebers erfolgt.
58
Der Auftraggeber muss also in seinen Datenschutzhinweisen über die Webanalyse, die Erstellung von pseudonymen Nutzungsprofilen und die Verwendung von Cookies informieren. Diese Verpflichtungen ergeben sich zudem aus § 15 Abs. 3 TMG i.V.m. § 13 Abs. 1 TMG.
59
Darüber hinaus soll der Auftraggeber, um den Anforderungen über die Information zu einem Widerspruchsrecht nach § 15 Abs. 3 TMG zu entsprechen, über ein Widerspruchsrecht informieren, das in diesem Zusammenhang durch das Setzen eines „Opt-Out-Cookies“ erfolgen kann (zu den technischen Hintergründen eines „Opt-Out-Cookies“ vgl. Rz. 14 f.). Wichtig ist in diesem Zusammenhang auch die Information darüber, dass ein Tracking nicht mehr unterbunden wird, wenn das „Opt-Out-Cookie“ vom Nutzer gelöscht wird, da viele Nutzer sich über diesen Umstand nicht bewusst sind.
60
5. Erläuterungen zu Ziffer 5 E 5. Datenschutz
61
5.1 Der Auftragnehmer ist verpflichtet, seinen Web-Analyse-Service so zu gestalten, dass eine Einhaltung der jeweils geltenden Rechtsvorschriften zu Datenschutz und Datensicherheit für den Auftraggeber möglich ist. 5.2 Der Auftragnehmer wird insbesondere folgende Maßnahmen umsetzen: 5.2.1 Der Auftragnehmer wird dem Auftraggeber die technischen Informationen zur Verfügung stellen, die der Auftraggeber für eine den Anforderungen des § 13 Abs. 1 TMG entsprechende Information der Nutzer seiner Internetseiten benötigt. Hansen-Oest
|
415
Teil 3 IV
Rz. 62
Vertrag zur Durchführung von Webanalysen („Webtracking“)
5.2.2 Der Auftragnehmer ist verpflichtet, die Möglichkeit zu eröffnen, dass die erhobenen IP-Adressen von Nutzern vor der Durchführung einer etwaigen Geolokalisierung um das letzte Oktett gelöscht oder das letzte Oktett überschrieben wird. 5.2.3 Der Auftragnehmer wird eine Speicherung von IP-Adressen in vollständiger Form unterlassen. Soweit IP-Adressen unverzüglich nach Erhebung dazu genutzt werden, um die IP-Adresse verschlüsselt in anonymisierter Weise zu speichern, so ist der Auftragnehmer verpflichtet, Verschlüsselungstechnologien einzusetzen, die eine DeAnonymisierung nach dem Stand der Technik ausschließen. 5.2.4 Der Auftragnehmer hat dem Auftraggeber eine Anpassung der Lebensdauer von Cookies zu ermöglichen. Sofern eine Anpassung der Cookie-Laufzeiten nicht oder nicht vollständig möglich ist, ist die Lebensdauer der für den Auftraggeber verwendeten Cookies auf sechs Monate zu beschränken. 5.2.5 Der Auftragnehmer wird es unterlassen, Technologien einzusetzen, die die Wiederherstellung von Cookies, die ein Nutzer in seinem Browser gelöscht hat, ermöglichen. 5.2.6 Der Auftragnehmer stellt eine technische Lösung für den Auftraggeber bereit, die dieser auf seinen Internetseiten einbinden kann, mit der Nutzer der Internetseiten des Auftraggeber eine Einwilligung („Opt-In“) für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten für Zwecke der Webanalyse erteilen können. 5.3 Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten durch den Auftragnehmer für den Auftraggeber hat ausschließlich innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums stattzufinden. 5.4 Dem Auftragnehmer ist es untersagt, Nutzungsprofile von Nutzern der Internetseiten des Auftraggebers auf Basis von individuellen, browserbasierten Informationen („Device Fingerprint“) zu erstellen. 5.5 Der Auftragnehmer wird dem Auftraggeber ermöglichen, das „Tracking“ von Nutzern der Internetseiten des Auftraggebers, die einen „Do-NotTrack“-Header mittels ihres Browsers übertragen, zu unterbinden. 5.6 Dem Auftragnehmer ist es untersagt, pseudonyme Daten aus Nutzungsprofilen mit dem Träger des Pseudonyms zusammenzuführen.
a) Ratio 62
Die Einhaltung von Rechtsvorschriften zum Schutz personenbezogener Daten ist bei der Durchführung von Webanalysen essentiell. Die Regelungen in Ziffer 5 beinhalten insoweit Pflichten für den Auftragnehmer, die sich aus den einschlägigen Gesetzen selbst ergeben bzw. sich von diesen ableiten lassen. 416
|
Hansen-Oest
Erläuterungen
Rz. 66 Teil 3 IV
Ferner sind auch die Vorgaben der Aufsichtsbehörden für den Datenschutz („Stralsunder Beschluss“ des Düsseldorfer Kreises)1 sowie der Hamburger2 und Bayerischen Aufsichtsbehörde3 im Hinblick auf den „beanstandungsfreien“ Betrieb von bestimmten Webanalyse-Verfahren in diese Regelungen zum Datenschutz eingeflossen.
63
b) Erläuterungen aa) Zu Ziffer 5.1 Das Datenschutzrecht, insbesondere im Telemedienbereich, ist sehr komplex. Dies macht die Einhaltung von rechtlichen Vorgaben in diesem Bereich sehr schwierig, zumal das geltende Recht nicht immer mit der sehr dynamischen technischen Entwicklung Stand halten konnte. In der Praxis kann es zudem sehr häufig vorkommen, dass es Auslegungsschwierigkeiten im Hinblick auf die Einhaltung konkreter Vorgaben des Gesetzes gibt. Auch im Hinblick auf die föderale Aufsichtsbehörden-Struktur in der Bundesrepublik Deutschland ist es nicht ungewöhnlich, dass in einem Bundesland eine Verarbeitung von Daten von Aufsichtsbehörden als erlaubt angesehen wird, während in einem anderen Bundesland eine entsprechende Verarbeitung beanstandet werden könnte.
64
Durch Ziffer 5.1 wird der Auftragnehmer verpflichtet, seinen Webanalyse-Service so zu gestalten, dass eine datenschutzkonforme Nutzung für den jeweiligen Auftraggeber möglich. Dieser ist als verantwortliche Stelle i.S.d. § 3 Abs. 7 BDSG selbst für die Verarbeitung von Daten, auch einer Verarbeitung von Daten im Auftrag, verantwortlich. Demzufolge hat er ein hohes Interesse daran, einen Dienst in Anspruch zu nehmen, der ihm eine datenschutzkonforme Nutzung ermöglicht.
65
bb) Zu Ziffer 5.2 Um eine datenschutzkonforme Nutzung zu ermöglichen, bedarf es insbesondere nach den Vorgaben der Aufsichtsbehörden bestimmter Maßnahmen. Diese werden in Ziffer 5.2 und den jeweiligen Unterziffern geregelt.
1 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27. November 2009 in Stralsund, Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten, https://www. ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Beschluesse_ Duesseldorfer_Kreis/Inhalt/2009/Datenschutzkonforme_Ausgestaltung_von_Analyse verfahren_zur_Reichweitenmessung_bei_Internet-Angeboten/Analyse.pdf. 2 HmbBfDI, Hinweise für Webseitenbetreiber mit Sitz in Hamburg, die Google Analytics einsetzen (Stand: März 2013), http://www.datenschutz-hamburg.de/uploads/media/ GoogleAnalytics_Hinweise_fuer_Webseitenbetreiber_in_Hamburg_01.pdf. 3 Bay LDA, Online-Prüfung Adobe Analytics (Omniture) (Stand: Juni 2013), http://www. lda.bayern.de/onlinepruefung/adobeanalytics.html.
Hansen-Oest
|
417
66
Teil 3 IV
Rz. 67
Vertrag zur Durchführung von Webanalysen („Webtracking“)
(1) Zu Ziffer 5.2.1 67
Der Auftraggeber hat nach § 13 Abs. 1 TMG die Nutzer der Internetseiten über die Webanalyse, deren Zweck, Art und Umfang zu informieren. Häufig bedarf es für die Erläuterung der Funktionsweise weiterer Informationen vom Auftragnehmer, da meist nur dieser die technischen Detailkenntnisse über seine Software hat. Mit Ziffer 5.2.1 erhält der Auftraggeber gegenüber dem Auftragnehmer den Anspruch auf Herausgabe geeigneter Informationen, um seinen Informationspflichten aus dem TMG nachzukommen.
68
Viele Anbieter bieten ihren Kunden entsprechende Formulartexte, die diese in die Datenschutzhinweise auf den Internetseiten einbinden können1.
69
Die Information der Nutzer ist insbesondere auch geboten, um den Anforderungen des Düsseldorfer Kreises aus dem sog. „Stralsunder Beschluss“ zur Webanalyse nachzukommen. Danach ist ein Hinweis zur Erstellung von pseudonymen Nutzungsprofilen in den Datenschutzhinweisen vorzunehmen sowie über die Widerspruchsmöglichkeit zu belehren. Die Information muss danach zudem in „deutlicher Form“ erfolgen2.
(2) Zu Ziffer 5.2.2 70
Nach dem bereits mehrfach angesprochenen Beschluss des Düsseldorfer Kreises sowie den im Hinblick auf Webanalyse-Verfahren einschlägigen Empfehlungen des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit und des Bayerischen Landesamts für Datenschutz muss vor Durchführung einer Geolokalisierung eine Anonymisierung der IP-Adresse erfolgen.
71
Die Ziffer 5.2.2. verpflichtet den Auftragnehmer, eine entsprechende Lösung anzubieten. In diesem Vertrag wird davon ausgegangen, dass die Streichung des letzten Oktetts für eine Anonymisierung ausreicht.
72
Im Zuge der zunehmenden Durchsetzung des IPv6-Standards muss diese Klausel möglicherweise angepasst werden.
(3) Zu Ziffer 5.2.3 73
Es ist nach wie vor umstritten, ob IP-Adressen nun einen Personenbezug aufweisen oder nicht. Je nachdem, ob nach der relativen oder der absoluten Theorie des Personenbezugs eine Bewertung vorgenommen wird, ist zumindest im Hinblick auf dynamische IP-Adressen ein Personenbezug umstritten3. Im Hinblick auf eine Webanalyse ist der Streit jedoch weitgehend ohne praktische Relevanz. Denn egal welche Theorie bevorzugt wird, sowohl nach der absoluten als auch nach der relativen Theorie des Personenbezugs ist unstreitig, dass aus 1 Vgl. BVDW, Whitepaper Webanalyse und Datenschutz, S. 4, http://www.bvdw.org/pres seserver/bvdw_webanalytics_whitepaper/bvdw_whitepaper_webanalyse_datenschutz.pdf. 2 Vgl. Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27. November 2009 in Stralsund, Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten, S. 1. 3 Zur Rechtsfigur des personenbezogenen Datums ausführlich Karg, ZD 2012, 255 ff.
418
|
Hansen-Oest
Erläuterungen
Rz. 77 Teil 3 IV
einer statischen IP-Adresse ein Personenbezug hergeleitet werden könnte. Im Ergebnis kann also nicht ausgeschlossen werden, dass IP-Adressen von Nutzern einer Internetseite personenbezogen sind. Und da der Anbieter nicht danach differenzieren kann, dass z.B. nur IP-Adressen von Nutzern mit dynamischen IP-Adressen protokolliert werden, sind IP-Adressen als Nutzungsdaten nach dem Ende der Nutzung unverzüglich zu löschen. Eine Speicherung darf nach Ziffer 5.2.3 nur in anonymisierter Form erfolgen. Wichtig ist dabei, dass ein Algorithmus zum Anonymisieren verwendet wird, der eine De-Anonymisierung grundsätzlich unmöglich macht. So ist z.B. der MD5-Algorithmus von der Bayerischen Aufsichtsbehörde im Hinblick auf eine „Ver-Hashung“ von IP-Adressen für mit dem BDSG unvereinbar erklärt worden1. Hintergrund hierfür dürfte eine Schwachstelle im MD5-Algorithmus sein2.
74
(4) Zu Ziffer 5.2.4 Der Auftraggeber wird im Einzelfall eigene Wünsche im Hinblick auf die Speicherdauer von Cookies haben. Diese können aufgrund praktischer Bedürfnisse stark schwanken. Unterschiedlich dürften auch die Ansichten der Aufsichtsbehörden im Hinblick auf die maximale Lebensdauer bei Cookies im Zusammenhang mit Webanalyse-Verfahren sein. So hat das Bayerische Landesamt für Datenschutz eine Speicherdauer von maximal 24 Monaten für vertretbar gehalten3. Erfahrungen aus der Praxis zeigen, dass andere Aufsichtsbehörden hier durchaus eine kürzere Lebensdauer von sechs bis zwölf Monaten für erforderlich halten. Daher sieht die Klausel hier eine maximale Cookie-Lebensdauer von sechs Monaten vor, sofern eine individuelle Anpassung über die Webanalyse-Software nicht oder nicht vollständig möglich ist.
75
Der Auftragnehmer muss über die Regelung in Ziffer 5.2.4 eine Anpassung der Cookie-Laufzeiten ermöglichen, um den jeweiligen datenschutzrechtlichen Anforderungen entsprechen zu können.
76
(5) Zu Ziffer 5.2.5 Es gibt Technologien, z.B. unter der Verwendung der Flash-Technologie oder auch des „Device-Fingerprintings“, die es Anbietern ermöglicht, vom Nutzer gelöschte Cookies ohne deren Einverständnis wiederherzustellen („Re-Spawning“). Ermöglicht wird dies, indem parallel zu den Informationen im Cookie ein „Schattenprofil“ mit identischen Informationen bzw. Informationszuordnungen auf Seiten des Webanalyse-Anbieters „mitläuft“. Wenn ein Nutzer ohne Cookie dann dennoch z.B. über ein „Device-Fingerprinting“ erkannt wird, dann 1 Bay LDA, Online-Prüfung Adobe Analytics (Omniture) (Stand: Juni 2013), http://www. lda.bayern.de/onlinepruefung/adobeanalytics.html. 2 Zum Hintergrund http://www.heise.de/security/artikel/Konsequenzen-der-erfolgrei chen-Angriffe-auf-MD5_270106.html. 3 Bay LDA, Online-Prüfung Adobe Analytics (Omniture) (Stand: Juni 2013), http://www. lda.bayern.de/onlinepruefung/adobeanalytics.html.
Hansen-Oest
|
419
77
Teil 3 IV
Rz. 78
Vertrag zur Durchführung von Webanalysen („Webtracking“)
kann ihm dasselbe Cookie mit den vorherigen Informationen wieder gesetzt werden. 78
Nach deutschem Recht ist dieses „Re-Spawning“ rechtswidrig. Denn diese Bildung und Erstellung von Nutzungsprofilen unterläuft die Widerspruchsmöglichkeit des § 15 Abs. 3 TMG und ist daher mit den Vorgaben des § 15 Abs. 3 TMG nicht in Einklang zu bringen.
79
Zur Sicherstellung einer rechtskonformen Nutzung sieht Ziffer 5.2.5 ein entsprechendes Verbot solcher Technologien vor.
(6) Zu Ziffer 5.2.6 80
Wie in Rz. 22 f. erläutert, ist nach dem Wortlaut von Art. 5 (3) der E-PrivacyRichtlinie eine Einwilligung des Nutzers erforderlich. Sofern eine Umsetzung von Art. 5 (3) in deutsches Recht tatsächlich noch erfolgen bzw. ein Fall der unmittelbaren Geltung der Richtlinie wegen verspäteter Umsetzung und einem subjektiv-öffentlichen Recht vorliegen sollte, sieht Ziffer 5.2.5 vorsorglich eine Verpflichtung des Auftragnehmers vor, eine entsprechende „Opt-InTechnologie“ vorzuhalten, damit der Auftraggeber die Möglichkeit hat, eine Einwilligung von Betroffenen einzuholen.
81
Zur Zeit arbeiten viele gängigen Webanalyse-Verfahren jedoch meist mit einer „Opt-Out“-Technologie. Es ist jedoch zu erwarten, dass Verfahren mit „Opt-In“Möglichkeit vermehrt angeboten werden1.
cc) Zu Ziffer 5.3 82
Die Klausel sieht eine Datenverarbeitung in der EU bzw. dem EWR vor. Hintergrund ist, dass im Falle der Nutzung eines Rechenzentrums in einem Drittstaat schon durch den Aufruf des Webanalyse-Services über den http-Request eine Übermittlung der IP-Adresse erfolgt. Dies erfolgt zwar notwendigerweise, um die Kommunikation mit dem Webanalyse-Server zu ermöglichen. Da eine IP-Adresse aber einen Personenbezug aufweisen kann, handelt es sich hier möglicherweise um eine unzulässige Übermittlung von Nutzungsdaten, die nicht von § 15 Abs. 1 TMG bzw. § 15 Abs. 3 TMG gedeckt ist.
83
Um dieser Problematik aus dem Weg zu gehen, wird von vornherein eine Datenverarbeitung in Staaten mit einem angemessenen Datenschutzniveau verpflichtend vorgegeben.
dd) Zu Ziffer 5.4 84
Die Problematik des „Device Fingerprintings“ wurde schon in Rz. 12 dargestellt. Die Klausel soll sicherstellen, dass hier keine entsprechende Technologie zum Einsatz kommt, soweit es um Zwecke der Webanalyse geht.
1 Die deutschen Anbieter eTracker und Webtrekk bieten zur Zeit (Stand: August 2013) schon die Möglichkeit, mit Opt-In-Technologie zu arbeiten.
420
|
Hansen-Oest
Erläuterungen
Rz. 93 Teil 3 IV
ee) Zu Ziffer 5.5 Wie in Rz. 7 dargelegt, gibt es einen Do-Not-Track-Standard, der es Nutzern von Internetseiten ermöglicht, ihren Wunsch nach einem Unterbleiben von Webtracking durch eine entsprechende Browsereinstellung gegenüber dem Anbieter der Internetseite mitzuteilen. Es ist nicht ausgeschlossen, dass diese Technologie irgendwann verpflichtend zu berücksichtigen ist. Der Vertrag sieht insoweit proaktiv eine entsprechende Einbindung vor.
85
Die Klausel ist optional und kann, falls dies nicht erwünscht ist, ersatzlos gestrichen werden.
86
ff) Zu Ziffer 5.6 Diese Klausel enthält auch die Klarstellung gegenüber dem Auftragnehmer als Auftragsdatenverarbeiter, dass auch dieser keine Zusammenführung von Nutzungsprofilen mit dem Träger des Pseudonyms vornehmen darf.
87
Insoweit werden auch gegenüber dem Auftragnehmer die Vorgaben des § 15 Abs. 3 Satz 3 TMG umgesetzt.
88
6. Erläuterungen zu Ziffer 6 89
E 6. Auftragsdatenverarbeitung Der Auftraggeber ist verantwortliche Stelle (§ 3 Abs. 7 BDSG) für die Verarbeitung von personenbezogenen Daten im Zusammenhang mit der Durchführung der Webanalyse auf seinen Internetseiten. Der Auftragnehmer wird im Hinblick auf die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Auftrag des Auftraggebers tätig. Zur Umsetzung der Voraussetzungen des § 11 BDSG vereinbaren die Parteien die in der „Anlage Auftragsdatenverarbeitung“ festgesetzten Regelungen.
a) Ratio Der Anbieter des Webanalyse-Services wird seine Leistungen in aller Regel in Form einer Verarbeitung von Daten im Auftrag erbringen. Dies bedarf einer kurzen Regelung im Vertrag.
90
b) Erläuterungen Der Auftragnehmer wird als Auftragsdatenverarbeiter für den Auftraggeber tätig. Mit der Klausel wird zur Klarstellung noch einmal darauf hingewiesen, dass der Auftraggeber verantwortliche Stelle für die Datenverarbeitung ist.
91
Schon aufgrund des Umfangs eines Auftragsdatenverarbeitungsvertrags wird dieser meist in eine Anlage ausgelagert.
92
Abhängig davon, ob der Auftragsdatenverarbeitungsvertrag eher auftraggeberoder auftragnehmerfreundlichen sein soll, sollte dann ein entsprechender Auftragsdatenverarbeitungsvertrag als Anlage zum Vertrag genommen werden.
93
Hansen-Oest
|
421
Teil 3 IV
Rz. 94
Vertrag zur Durchführung von Webanalysen („Webtracking“)
Hier kann eine Anlehnung an die Vertragsmuster in Teil 2 I und II vorgenommen werden.
7. Erläuterungen zu Ziffer 7 94
E 7. Nutzungsrechte 7.1 Der Auftragnehmer räumt dem Auftraggeber das zeitlich auf die Dauer des Vertrags beschränkte, nicht übertragbare Nutzungsrecht an der zum Einsatz kommenden Webanalyse-Software ein. 7.2 Die mit der Webanalyse-Software verarbeitet und genutzten Nutzungsdaten werden im Auftrag des Auftraggebers vom Auftragnehmer verarbeitet. Der Auftraggeber ist insoweit „Herr dieser Daten“ und kann über die Daten frei verfügen. Im Hinblick auf die vertragsgemäß durchzuführenden Webanalyse-Leistungen räumt der Auftraggeber dem Auftragnehmer das Recht ein, die Nutzungsdaten zur Erfüllung der Pflichten aus diesem Vertrag zu nutzen.
a) Ratio 95
Bei dem Anbieten einer Webanalyse-Software wird, auch wenn die Software nicht überlassen sondern als Service angeboten wird, eine Übertragung von Nutzungsrechten urheberrechtlich erforderlich. Dies ist Gegenstand der Ziffer 7.
b) Erläuterungen aa) Zu Ziffer 7.1 96
Hier handelt es sich um eine einfache Regelung einer Übertragung der erforderlichen Nutzungsrechte an der Software für die Dauer des Vertrags. Es handelt sich um ein nicht übertragbares Nutzungsrecht.
bb) Zu Ziffer 7.2 97
Die Ziffer 7.2 enthält eine Klarstellung, wer verfügungsberechtigt über die Daten ist, die über die Webanalyse-Software erhoben, verarbeitet und genutzt werden. Verfügungsbefugt ist allein der Auftraggeber als „Herr der Daten“.
98
Auch wenn Zweifel daran bestehen, dass die Nutzungsdaten aus der Webanalyse einen urheberrechtlichen Schutz genießen, ist hier vorsorglich ein Nutzungsrecht an diesen Daten zugunsten des Auftragnehmers eingefügt worden.
8. Erläuterungen zu Ziffer 8 99
E 8. Datensicherung Der Auftragnehmer wird die für den Auftraggeber gespeicherten Daten regelmäßig, mindestens einmal täglich, in einer dem Stand der Technik entsprechenden Weise sichern. Die Sicherung hat redundant zu erfolgen. Die Daten422
|
Hansen-Oest
Erläuterungen
Rz. 107 Teil 3 IV
sicherung ist so zu verwahren, dass eine unbefugte Kenntnisnahme durch Dritte ausgeschlossen ist.
a) Ratio Die Nutzungsdaten, die mit dem Webanalyse-System verarbeitet werden, können einen hohen wirtschaftlichen Wert für den Auftraggeber aufweisen. Eine Sicherung der Daten ist daher für die Interessen des Auftraggebers essenziell.
100
b) Erläuterungen Der Auftragnehmer ist verpflichtet, eine regelmäßige Datensicherung durchzuführen. Diese muss mindestens einmal täglich erfolgen, die Art und Weise der Datensicherung muss dem Stand der Technik entsprechen.
101
Um einen Verlust von Daten, z.B. im Falle eines Brandes im Rechenzentrum, auszuschließen, muss die Sicherung redundant erfolgen, so dass eine Wiederherstellung von Daten von einem anderen Speicherort möglich ist.
102
Schließlich ist die Datensicherung so aufzubewahren, dass diese nicht von Dritten eingesehen werden kann. Hier bieten sich Verschlüsselungstechnologien an, sofern die Datensicherung nicht in einem sicheren Bereich eines Rechenzentrums aufbewahrt wird.
103
9. Erläuterungen zu Ziffer 9 104
E 9. Preise und Zahlung 9.1 Die Parteien vereinbaren für die Erbringung der vertraglichen Leistungen des Auftragnehmers eine Vergütung i.H.v. … Euro netto zzgl. USt. pro Monat. 9.2 Die Vergütung wird dem Auftraggeber jeweils zu Beginn eines Monats für den vergangenen Monat in Rechnung gestellt. Der Anspruch auf Zahlung ist mit Zugang der Rechnung beim Auftraggeber fällig und binnen 30 Tagen vom Auftraggeber an den Auftragnehmer zu zahlen.
a) Ratio Mit dieser Klausel wird eine Vereinbarung zur Vergütung zwischen den Parteien getroffen.
105
b) Erläuterungen aa) Zu Ziffer 9.1 Die Klausel enthält eine einfache Regelung zur Vergütung des Auftragnehmers. Diese basiert in diesem Fall auf einer monatlichen pauschalen Vergütung.
106
Denkbar sind auch dynamische Modelle, die z.B. darauf basieren, dass eine Vergütung abhängig von der jeweiligen Besucherzahl pro Monat abhängig ist. Inso-
107
Hansen-Oest
|
423
Teil 3 IV
Rz. 108
Vertrag zur Durchführung von Webanalysen („Webtracking“)
weit kann dann von einer volumenbasierten Abrechnung gesprochen werden, die entsprechend vereinbart werden kann.
bb) Zu Ziffer 9.2 108
In dieser Regelung wird davon ausgegangen, dass eine monatliche Rechnungsstellung und Bezahlung erfolgt. Entsprechend sind hier Regelungen zur Fälligkeit und zur Zahlung vorgesehen.
10. Erläuterungen zu Ziffer 10 109
E 10. Verfügbarkeit 10.1 Der Auftragnehmer bemüht sich um eine möglichst unterbrechungsfreie Nutzbarkeit seines Webanalyse-Services. Jedoch können durch technische Störungen (wie z.B. Unterbrechung der Stromversorgung, Hardware- und Softwarefehler, technische Probleme in den Datenleitungen) zeitweilige Beschränkungen oder Unterbrechungen auftreten. 10.2 Der Auftragnehmer gewährleistet in seinem Verantwortungsbereich eine Verfügbarkeit von 99 % im Jahresmittel. Nicht in die Berechnung der Verfügbarkeit fallen die regulären Wartungsfenster, die jede Woche zwei Stunden betragen und in der Regel zwischen 0:00 Uhr und 6:00 Uhr mitteleuropäischer Zeit durchgeführt werden. Der Auftragnehmer wird den Auftraggeber über geplante Wartungsarbeiten vorab in Textform (z.B. E-Mail) informieren. Der Auftragnehmer wird die Verfügbarkeit des Webanalyse-Services durch geeignete technische Methoden messen und dem Auftraggeber auf Anfrage zur Prüfung geeignete Unterlagen in geeigneter Weise zur Verfügung stellen.
a) Ratio 110
Aufgrund der wirtschaftlichen Bedeutung der Webanalyse für viele Internetanbieter ist eine Verfügbarkeit dieser Dienstleistung für den Auftraggeber sehr wichtig.
111
Die Ziffer 10 sieht eine Regelung zur Verfügbarkeit vor, die ohne zusätzliche Service-Level-Agreement (SLA) auskommt.
b) Erläuterungen aa) Zu Ziffer 10.1 112
Hier erfolgt eine Klarstellung, dass eine unterbrechungsfreie Nutzbarkeit und damit Verfügbarkeit nicht garantiert werden kann. Dies kann bedingt sein durch technische Störungen, die sowohl an der Hardware als auch der Software auftreten können. Hier ist dann eine entsprechende Wartung erforderlich.
424
|
Hansen-Oest
Erläuterungen
Rz. 118 Teil 3 IV
bb) Zu Ziffer 10.2 In dieser Regelung findet sich die Konkretisierung der Verfügbarkeit auf einen Wert von 99 % im Jahresmittel. Sowohl der Prozentwert als auch der Zeitwert können abgeändert werden. So wäre z.B. eine Erhöhung auf 99,9 % Verfügbarkeit pro Monat als Alternativregelung denkbar.
113
Wichtig ist, dass die üblichen Wartungszeiten, die in Satz 2 definiert werden, nicht mit in die Berechnung der Verfügbarkeit fallen. Der Auftragnehmer ist verpflichtet, den Auftraggeber über geplante Wartungen zu informieren.
114
Der Auftragnehmer wird – schon im eigenen Interesse – die Verfügbarkeit messen und ist nach dieser Regelung dazu auch verpflichtet. Auf Anfrage hat der Auftraggeber das Recht entsprechende Messaufzeichnungen zu erhalten, um die Verfügbarkeitsberechnung nachprüfen zu können.
115
11. Erläuterungen zu Ziffer 11 116
E 11. Haftungsbeschränkung 11.1 Die Parteien haften bei Vorsatz oder grober Fahrlässigkeit für alle jeweils von ihnen verursachten Schäden unbeschränkt. 11.2 Bei leichter Fahrlässigkeit haften die Parteien im Fall der Verletzung des Lebens, des Körpers oder der Gesundheit unbeschränkt. 11.3 Im Übrigen haften die Parteien nur, soweit sie jeweils eine wesentliche Vertragspflicht verletzt haben. Als wesentliche Vertragspflichten werden dabei abstrakt solche Pflichten bezeichnet, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung die jeweils andere Partei regelmäßig vertrauen darf. In diesen Fällen ist die Haftung auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schadens beschränkt. 11.4 Soweit die Haftung der Parteien nach den vorgenannten Vorschriften ausgeschlossen oder beschränkt wird, gilt dies auch für Erfüllungsgehilfen der Parteien.
a) Ratio 117
Die Klausel enthält eine Haftungsbeschränkung zugunsten beider Parteien. Denkbar wäre auch eine jeweils einseitige Haftungsbeschränkung.
b) Erläuterungen aa) Zu Ziffer 11.1 Nach der Rechtsprechung kann in Regelungen zur Haftungsbeschränkung, die der AGB-Kontrolle unterliegen, nur die Haftung für leichte Fahrlässigkeit, nicht aber Vorsatz und grobe Fahrlässigkeit beschränkt werden. Entsprechend sieht die Klausel eine Feststellung diesbezüglich für beide Vertragsparteien vor. Hansen-Oest
|
425
118
Teil 3 IV
Rz. 119
Vertrag zur Durchführung von Webanalysen („Webtracking“)
bb) Zu Ziffer 11.2 119
Da im Falle der Verletzung des Lebens, des Körpers oder der Gesundheit grundsätzlich keine Haftungsbeschränkung über formularmäßige Regelungen möglich ist, enthält diese Klausel eine entsprechende Feststellung.
cc) Zu Ziffer 11.3 120
Mit dieser Klausel wird die Haftung auf die Verletzung wesentlicher Vertragspflichten beschränkt. Diese werden auch als Kardinalpflichten bezeichnet. Da der BGH seit seinem Urteil zum Begriff der Kardinalpflichten1 die Verwendung des Begriffs der Kardinalpflichten ohne dessen konkreter Definition als unzulässig verworfen hat, wird in der Vertragspraxis meist nur noch der Begriff der wesentlichen Vertragspflichten verwendet, wobei auch dieser dann zu konkretisieren und zu erläutern ist.
121
Bei einer Verletzung von wesentlichen Vertragspflichten in leicht fahrlässiger Weise ist die Haftung dann auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schadens begrenzt. Denkbar ist hier auch die Ansetzung eines maximalen Schadensersatzbetrages.
dd) Zu Ziffer 11.4 122
Die Regelung enthält eine Ausweitung der Haftungsbeschränkung auf die Erfüllungsgehilfen der Parteien.
12. Erläuterungen zu Ziffer 12 123
E 12. Dauer und Kündigung 12.1 Der Vertrag wird auf unbestimmte Zeit geschlossen. 12.2 Der Vertrag kann von jeder Partei mit einer Frist von drei Monaten zum Ende eines Monats gekündigt werden. 12.3 Ein außerordentliches Kündigungsrecht jeder Partei bleibt unberührt. 12.4 Die Kündigung bedarf der Schriftform. 12.5 Im Falle der Beendigung wird der Auftragnehmer alle für den Auftraggeber verarbeiteten Nutzungsdaten, insbesondere Rohdaten, in einem lesbaren, weiterverarbeitbaren Format zur Verfügung stellen.
a) Ratio 124
Die Regelung enthält Laufzeit- und Beendigungsvorschriften für den Vertrag, die angepasst werden können.
1 BGH v. 20.7.2005 – VIII ZR 121/04, CR 2006, 228.
426
|
Hansen-Oest
Erläuterungen
Rz. 130 Teil 3 IV
b) Erläuterungen aa) Zu Ziffer 12.1 Im vorliegenden Muster wird der Vertrag auf unbestimmte Zeit geschlossen.
125
Möglich ist natürlich auch eine Befristung des Vertrags, was in der Praxis zudem häufig vorkommt. Im Falle einer Befristung ist dann Ziffer 12.2 entsprechend anzupassen, weil es ggf. nicht gewollt ist, in einem befristeten Vertragsverhältnis ein ordentliches Kündigungsrecht einzuräumen.
126
bb) Zu Ziffer 12.2 Die hier geregelte Kündigungsfrist kann den individuellen Erfordernissen angepasst werden. Im Hinblick auf die Zumutbarkeit der Klausel sollte bei Webanalyse-Verträgen jedoch darauf geachtet werden, dass eine zu kurze Kündigungsfrist für den Auftraggeber eine unzumutbare Klausel darstellen kann. Denn der Auftraggeber wäre im Falle einer kurzfristigen Kündigung ggf. nicht in der Lage, kurzfristig einen Alternativanbieter zu finden und eine Migration der Daten vorzunehmen.
127
cc) Zu Ziffer 12.3 Hier findet sich die Klarstellung, dass ein außerordentliches Kündigungsrecht jeder Partei unberührt bleibt. Denkbar wäre hier – je nach Ausrichtung des Vertrags – wichtige Gründe für eine außerordentliche Kündigung zu definieren (z.B. Insolvenz des Vertragspartners etc.).
128
dd) Zu Ziffer 12.4 Die Kündigung muss nach dieser Klausel schriftlich erfolgen. Auch wenn in Vertragsverhältnissen die Kommunikation und auch die Erteilung von Weisungen im Zusammenhang mit einer Auftragsdatenverarbeitung häufig in Textform (vor allem per E-Mail) erfolgen wird, bedarf die Kündigung immer noch der Schriftform, schon aus Gründen der Nachweisbarkeit.
129
ee) Zu Ziffer 12.5 Die Klausel sieht eine Herausgabe von Daten an den Auftraggeber vor. Die Daten können für den Auftraggeber einen erheblichen Wert haben. Auch wenn nicht alle Analysen oder Funktionalitäten exportiert werden können, so sind zumindest die wesentlichen Daten, insbesondere die Rohdaten, auf denen die Auswertungen und Berichte basieren, herauszugeben. Die Herausgabe muss so erfolgen, dass eine Weiterverarbeitung der Daten durch den Auftraggeber möglich ist. Üblich sind hier z.B. Herausgaben von Daten im csv-Format.
Hansen-Oest
|
427
130
Teil 3 IV
Rz. 131
Vertrag zur Durchführung von Webanalysen („Webtracking“)
13. Erläuterung zu Ziffer 13 131
E 13. Schlussbestimmungen 13.1 Es gilt das Recht der Bundesrepublik Deutschland, wobei die Geltung des UN-Kaufrechts ausgeschlossen wird. 13.2 Als Gerichtsstand für alle Streitigkeiten aus dem Vertragsverhältnis wird der Sitz des Auftragnehmers (alternativ: Auftraggebers) vereinbart. 13.3 Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien werden im Falle der Unwirksamkeit einer Klausel eine in sachlicher, am wirtschaftlichen Zweck des Vertrags orientierte ersatzweise Regelung vereinbaren.
a) Ratio 132
Hier finden sich recht übliche Schlussbestimmung zum anzuwendenden Recht, zum Gerichtsstand und eine „salvatorische Klausel“.
b) Erläuterungen aa) Zu Ziffer 13.1 133
Mit dieser Klausel wird deutsches Recht als Vertragsgrundlage festgelegt.
bb) Zu Ziffer 13.2 134
Hier handelt es sich um eine Gerichtsstandsklausel, die jeweils zugunsten des Auftragnehmers oder Auftraggebers angepasst werden kann. Die Klausel richtet sich an Vertragsparteien im B2B-Bereich. Die Regelung ist im B2C-Bereich nicht geeignet.
cc) Zu Ziffer 13.3 135
Diese Klausel enthält eine übliche „salvatorische Klausel“. Im Falle einer Unwirksamkeit einer Klausel hat dies damit keine Auswirkungen auf den Rest des Vertrags. Wenn eine unwirksame Regelung vorliegen sollte, sind die Parteien gehalten, eine passende Ersatzregelung zu vereinbaren. Wichtig ist hier, dass es keinen Automatismus gibt, der z.B. ohne konkrete Vereinbarung der Parteien eine „ähnliche“ Regelung vorsieht. Eine individuelle Vereinbarung ist insoweit geboten.
428
|
Hansen-Oest
Teil 4 Unternehmensrichtlinien und Betriebsvereinbarungen I. Unternehmensrichtlinie Datenschutz Literaturverzeichnis: Bergmann/Möhrle/Herb, Datenschutzrecht, Loseblattwerk, Stand
45. Ergänzungslieferung 2012; Buchner, Die Einwilligung im Datenschutzrecht, DuD 2010, 39; Bürkle, Compliance in Versicherungsunternehmen, 2009; Gola/Schomerus, BDSG, 11. Aufl. 2012; Grützner/Jakob, Compliance von A-Z, 2010; Härting, Anonymität und Pseudonymität im Datenschutzrecht, NJW 2013, 2065; Hauschka, Corporate Compliance, 2. Aufl. 2010; Hoeren/Sieber, Multimedia-Recht, Loseblattwerk, Stand 34. Ergänzungslieferung 2013; Jacobsen, Datenschutz: Gefahr für Rückversicherungsunternehmen, ZfV 2010, 761; Graf von Kielmansegg, Datenschutz und Gefahrenabwehr bei klinischen Prüfungen, DÖV 2009, 522; Kilian/Heussen, Computerrechts-Handbuch, Loseblattwerk, Stand 31. Ergänzungslieferung 2012; Leupold/Glossner, Münchner Anwaltshandbuch IT-Recht, 2. Aufl. 2011; Moll, Münchener Anwaltshandbuch Arbeitsrecht, 3. Aufl. 2012; Münch, Zum fachlichen Profil der Beauftragten für Datenschutz und Datensicherheit, RDV 1993, 161; Piper/Ohly/Sosnitza, Gesetz gegen den unlauteren Wettbewerb: UWG, 5. Aufl. 2010; Plath, BDSG, 2013; Roßnagel/Wilke, Die rechtliche Bedeutung gescannter Dokumente, NJW 2006, 2145; Scheuring, Das Gesetz zur Änderung datenschutzrechtlicher Vorschriften – die richtige Antwort auf die Datenskandale?, NVwZ 2010, 809; Schulz, Die (Un-)Zulässigkeit von Datenübertragungen innerhalb verbundener Unternehmen, BB 2011, 2552; Schulz, Privacy by Design, CR 2012, 204; Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2011; Trittin/Fischer, Datenschutz und Mitbestimmung, NZA 2009, 343; Wytibul, Neue Anforderungen an betriebliche Datenschutzbeauftragte – Vorgaben der Datenschutzaufsichtsbehörden, MMR 2011, 372.
A. Einleitung I. Sinn und Zweck von Unternehmensrichtlinien Mit Hilfe einer Unternehmensrichtlinie können die grundlegenden Vorgaben der Geschäftsleitung in einem Unternehmen definiert werden. Eine Unternehmensrichtlinie wird dabei als Vorgabe der Geschäftsleitung verabschiedet und den eigenen Mitarbeitern zur Kenntnis gebracht. Aufgrund des Direktionsrechts des Arbeitgebers ist die Geschäftsleitung berechtigt, verbindliche Vorgaben für die Mitarbeiter zu treffen1. Soweit in einem Unternehmen ein Betriebsrat besteht, ist zu prüfen, ob die Vorgaben der Unternehmensrichtlinie der Mitbestimmung unterliegen und nicht einseitig von der Geschäftsleitung vorgegeben werden können. In diesem Fall ist die Regelung durch eine Betriebsvereinbarung in Erwägung zu ziehen2.
1
Eine Unternehmensrichtlinie zum Datenschutz kann dazu dienen, einheitliche datenschutzrechtliche Standards und Verfahren in einem Unternehmen zu
2
1 Moll/Altenburg, Münchener Anwaltshandbuch Arbeitsrecht, § 1 Rz. 39. 2 Moll/Dendorfer, Münchener Anwaltshandbuch Arbeitsrecht, § 35 Rz. 48.
Meyer
|
429
Teil 4 I
Rz. 3
Unternehmensrichtlinie Datenschutz
etablieren. Es sind vor allem die abstrakten gesetzlichen Vorgaben für den Alltag im Unternehmen umzusetzen. Eine wesentliche Aufgabe einer Unternehmensrichtlinie zum Datenschutz ist daher die Unterrichtung der Mitarbeiter über die gesetzlichen Vorgaben zum Datenschutz und deren Umsetzung im Unternehmen. Aufgrund der Vielzahl denkbarer Fallgestaltungen kann auch eine Unternehmensrichtlinie nur einen groben Rahmen vorgeben und typische Konstellationen sowie Fragestellungen aufgreifen. Für spezielle Bereiche wie die Bedingungen für die Nutzung privater IT-Geräte der Mitarbeiter zu beruflichen Zwecken (Bring Your Own Device) ist ggf. auf spezielle Vereinbarungen und Regelungen zu verweisen1. Eine Unternehmensrichtlinie kann aber immerhin die Besonderheiten in einem Unternehmen aufgreifen und typische Abläufe erläutern. Auf diese Weise ist es möglich, den eigenen Mitarbeitern mehr Sicherheit im Umgang mit personenbezogenen Daten zu geben. Eine Unternehmensrichtlinie zum Datenschutz kann dabei insbesondere ein Baustein einer umfassenden Compliance-Strategie eines Unternehmens sein2.
II. Abgrenzung zu anderen Regelwerken 1. Binding Corporate Rules 3
Während eine Unternehmensrichtlinie zumeist dazu dient, den Umgang mit personenbezogenen Daten in diesem Unternehmen durch die Mitarbeiter zu regeln, liegt der Schwerpunkt von Binding Corporate Rules (BCR)3 auf der Regelung des Datenaustausches zwischen verschiedenen Unternehmen innerhalb einer multinationalen Gruppe4. Die BCR finden unter der Geltung verschiedener nationaler Datenschutzbestimmungen Anwendung, so dass sie eher allgemeine Grundprinzipien des Datenschutzrechts aufgreifen und anders als die Unternehmensrichtlinie sich nicht speziell an den Bestimmungen des deutschen Datenschutzrechts orientieren5.
4
Nicht nur der Schwerpunkt der Regelungen ist unterschiedlich, auch die rechtliche Bedeutung. BCR sollen typischerweise ein angemessenes Datenschutzniveau sicherstellen, wodurch überhaupt erst der Datenaustausch mit Empfängern außerhalb des EWR zulässig wird. Die Unternehmensrichtlinie sorgt de facto auch für ein einheitliches Datenschutzniveau, hat aber keine vergleichbare rechtliche Wirkung. Anders formuliert richtet sich die Unternehmensrichtlinie an die Mitarbeiter und soll eine praktische Handreichung sein; die BCR legen den Schwerpunkt dagegen eher darauf, den gesetzlichen Vorgaben und den Anforderungen der Aufsichtsbehörden zu genügen.
1 2 3 4 5
S. hierzu das Muster in Teil 4 VI. Moll/Dendorfer, Münchener Anwaltshandbuch Arbeitsrecht, § 35 Rz 31. S. hierzu das Muster in Teil 5 V. Grützner/Jakob, Compliance A-Z zu „Bindende Unternehmensrichtlinie“. Vgl. Teil 5 V Rz. 96 f.
430
|
Meyer
Rz. 7 Teil 4 I
Vertragstext
2. Branchenweite Verhaltensregeln Richtlinien zum Umgang mit und zum Austausch von personenbezogenen Daten gibt es nicht nur auf Ebene einzelner Unternehmen und Konzernen, sondern auch für Unternehmensbranchen. In diesem Fall werden die Richtlinien in der Regel von den jeweiligen Branchenverbänden veröffentlicht. Nach § 38a BDSG besteht die Möglichkeit der Vorlage der entsprechenden Verhaltensregeln an die Aufsichtsbehörde, die verbindlich die Vereinbarkeit mit dem geltenden Datenschutzrecht prüft1. Von dieser Möglichkeit wird in der Praxis bisher wenig Gebrauch gemacht, allerdings ist die Vorlage an die Aufsichtsbehörde auch nicht zwingend erforderlich2.
5
Branchenweite Verhaltensregeln sind unabhängig von der Vorlage an die Aufsichtsbehörden eine Empfehlung für die dem jeweiligen Branchenverband angeschlossenen bzw. der jeweiligen Branche zugehörigen Unternehmen, ohne dass den Richtlinien eine Verbindlichkeit zukäme. Den Unternehmen steht es natürlich frei, die Richtlinien aufgrund eigener Entscheidung für sich als verbindlich anzuerkennen. Die Erstellung und Übernahme von branchenweiten Verhaltensregeln macht vor allem dann Sinn, wenn es in der jeweiligen Branche Themen und Probleme gibt, denen sich alle Unternehmen stellen müssen. Branchenweite Verhaltensregeln existieren bspw. für die Versicherungswirtschaft3.
6
B. Muster E Unternehmensrichtlinie Datenschutz
7
I. Allgemeines 1. Einleitung 1.1 Die im Unternehmen vorhandenen Daten sind für das Unternehmen und die reibungslosen Abläufe im Unternehmen von großem Wert. Diese Daten sind daher gegen unbefugte Zugriffe und andere Gefährdungen zu schützen. 1.2 Gleichzeitig erwarten die Kunden, Partner und Mitarbeiter des Unternehmens, dass die dem Unternehmen anvertrauten Daten besonders geschützt werden und ein sorgsamer Umgang mit ihnen erfolgt. 1.3 Das Unternehmen bekennt sich auch im Rahmen seines gesellschaftlichen Engagements zu seiner Verantwortung für den sorgsamen Umgang mit personenbezogenen Daten. 1 Plath/Hullen, § 38a BDSG Rz. 22 zur Frage der Bindungswirkung der Feststellung der Aufsichtsbehörde. 2 Simitis/Petri, § 38a BDSG Rz. 6. 3 „Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft“ des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V.
Meyer
|
431
Teil 4 I
Rz. 7
Unternehmensrichtlinie Datenschutz
2. Ziel der Unternehmensrichtlinie 2.1 Mit dieser Unternehmensrichtlinie sollen einheitliche Standards für den Datenschutz im Unternehmen geschaffen werden. 2.2 Durch die Einhaltung der in dieser Unternehmensrichtlinie definierten Standards kommt das Unternehmen seinen datenschutzrechtlichen Verpflichtungen nach und sorgt für eine ausreichende Berücksichtigung der Interessen sowie Rechte der Betroffenen. 2.3 Die Beachtung dieser Unternehmensrichtlinie ist Voraussetzung für den sicheren Austausch von personenbezogenen Daten innerhalb des Unternehmens. 3. Anwendungsbereich der Unternehmensrichtlinie 3.1 Diese Unternehmensrichtlinie gilt für jegliche Erhebung, Speicherung und sonstige Verwendung personenbezogener Daten einschließlich der Weitergabe innerhalb des Unternehmens sowie die Übermittlung an Dritte. Sie regelt umfassend alle datenschutzrechtlichen Aspekte, die sich im Rahmen der Datenverarbeitung ergeben können. Sie findet Anwendung auf sämtliche Arten von personenbezogenen Daten, insbesondere Daten von Mitarbeitern, Kunden, Lieferanten und anderen Geschäftspartnern. 3.2 Auch für alle Tochterunternehmen des Unternehmens ist diese Unternehmensrichtlinie verbindlich. 3.3 Die Herkunft der Daten ist für die Anwendbarkeit dieser Unternehmensrichtlinie nicht maßgeblich; entscheidend ist die Verwendung der Daten im Unternehmen. 3.4 Bestehende gesetzliche Verpflichtungen werden von dieser Unternehmensrichtlinie nicht berührt und sind somit zu erfüllen. Es ist daher stets zu prüfen, welche gesetzlichen Regelungen einschlägig sind; deren Beachtung ist sicherzustellen. Sofern sich aus den gesetzlichen Bestimmungen geringere Anforderungen ergeben, gelten die Regelungen dieser Unternehmensrichtlinie. 4. Definitionen 4.1 Personenbezogene Daten im Sinne dieser Unternehmensrichtlinie und im Sinne des Gesetzes sind Angaben über eine bestimmte oder bestimmbare natürliche Person. Daten, die ausschließlich Informationen über juristische Personen beinhalten, sind keine personenbezogenen Daten. Auch diese Daten sollen gleichermaßen geschützt werden. Für besonders schutzbedürftige Daten gelten erhöhte Sorgfaltsanforderungen. Welche Daten besonders schutzbedürftig sind, ergibt sich dabei aus § 3 Abs. 9 BDSG, nämlich Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. 4.2 Betroffene sind die Personen, deren personenbezogene Daten im Unternehmen erhoben, gespeichert oder verarbeitet werden. 432
|
Meyer
Vertragstext
Rz. 7 Teil 4 I
4.3 Dritter ist jede Stelle außerhalb des Unternehmens. Einzelne Stellen oder Abteilungen innerhalb des Unternehmens sind nicht Dritte, gleichwohl ist auch innerhalb des Unternehmens zu prüfen, inwieweit personenbezogene Daten unternehmensintern zur Verfügung gestellt werden müssen. Dienstleister, mit denen eine Vereinbarung zur Auftragsdatenverarbeitung besteht, gelten ebenfalls nicht als Dritte, da diese unter der Verantwortung des Unternehmens tätig werden. II. Grundsätze der Datenverarbeitung 5. Zulässigkeit der Datenverarbeitung 5.1 Bei jedem Vorgang der Datenverarbeitung ist zu prüfen, ob die beabsichtigte Erhebung, Speicherung oder Verarbeitung von Daten zulässig ist. Bestehen Zweifel an der Zulässigkeit, soll der Datenschutzbeauftragte kontaktiert werden. 5.2 Die Zulässigkeit der Datenverarbeitung kann sich aus verschiedenen Gesichtspunkten ergeben. Zunächst kann sich die Zulässigkeit daraus ergeben, dass der Betroffene in die Datenverarbeitung eingewilligt hat. Auch ohne Einwilligung des Betroffenen kann die Datenverarbeitung zulässig sein, wenn eine gesetzliche Ermächtigungsgrundlage einschlägig ist. Fehlt es an einer Einwilligung und einer gesetzlichen Ermächtigungsgrundlage, dann ist die Datenverarbeitung unzulässig. 5.3 Im Rahmen der Zulässigkeitsprüfung ist auch zu untersuchen, ob die Datenverarbeitung unter Berücksichtigung des Grundsatzes der Datensparsamkeit notwendig ist. 6. Gesetzliche Ermächtigungsgrundlagen 6.1 Die Erhebung, Speicherung und Verarbeitung personenbezogener Daten kann erforderlich sein für die Begründung, Durchführung oder Beendigung eines Vertrags mit dem Betroffenen. 6.2 Eine Notwendigkeit und Ermächtigung zur Datenverarbeitung kann sich ergeben aufgrund einer gesetzlichen Verpflichtung des Unternehmens oder einer verbindlichen behördlichen Entscheidung, bspw. einem Auskunftsersuchen von Ermittlungsbehörden. 6.3 Zulässig ist die Erhebung, Speicherung und Verarbeitung personenbezogener Daten auch, wenn sie zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche vor Gericht erforderlich ist. Gleiches gilt für die Wahrung lebenswichtiger Interessen des Betroffenen selbst. 6.4 Denkbar ist eine Datenverarbeitung schließlich in den Fällen, bei denen berechtigte Interessen des Unternehmens bestehen und gleichzeitig kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Datenverarbeitung überwiegt. Das Ergebnis einer solchen Interessenabwägung soll dabei schriftlich protokolliert werden. Meyer
|
433
Teil 4 I
Rz. 7
Unternehmensrichtlinie Datenschutz
7. Einwilligung und Protokollierung 7.1 Eine Einwilligung des Betroffenen ist als Grundlage für die Datenverarbeitung ausreichend, wenn der Betroffene zuvor ausreichend informiert wurde und seine Einwilligung anschließend freiwillig erteilt hat. 7.2 Von einer ausreichenden Information ist auszugehen, wenn die wesentlichen Abläufe der Datenverarbeitung erläutert werden und insbesondere erklärt wird, zu welchem Zweck die Daten erhoben, gespeichert und verwendet werden. Der Betroffene soll darauf hingewiesen werden, dass seine Einwilligung frei widerruflich ist. Außerdem ist darauf zu achten, dass Einwilligungserklärungen gegenüber anderen Erklärungen optisch hervorgehoben werden. 7.3 Eine Einwilligung kann nur dann freiwillig abgegeben werden, wenn der Betroffene im Falle einer Verweigerung der Einwilligung keine gravierenden Nachteile zu befürchten hat. Wird die Inanspruchnahme oder Erbringung von Leistungen von einer Einwilligung abhängig gemacht, ist die erteilte Einwilligung regelmäßig dann freiwillig, wenn sie der Vertragsbegründung oder Vertragserfüllung dient oder wenn die Inanspruchnahme von Leistungen auch in anderer zumutbarer Weise möglich wäre. 7.4 Die Einwilligungserklärung des Betroffenen soll grundsätzlich schriftlich eingeholt werden. Die entsprechenden Einwilligungserklärungen sind für den Fall einer späteren Überprüfung zu protokollieren. 7.5 Bei einer schriftlich erteilten Einwilligung kann es zulässig sein, die Erklärung einzuscannen und das Original anschließend zu vernichten. Sofern eine Einwilligung online eingeholt wird, ist darauf zu achten, dass eine Überprüfung erfolgt, bspw. über ein Double-Opt-in-Verfahren. 8. Zweckbindung 8.1 Personenbezogene Daten dürfen nur für den Zweck gespeichert und verarbeitet werden, für den sie ursprünglich erhoben wurden. Bei Einholung einer Einwilligung von dem Betroffenen ist auf den konkreten Zweck hinzuweisen. Es muss sich stets um einen rechtmäßigen Zweck der Datenverarbeitung handeln. 8.2 Wenn später eine Datenverarbeitung zu einem anderen Zweck erfolgen soll, dann muss auch hierfür eine Einwilligung eingeholt oder eine gesetzliche Ermächtigungsgrundlage vorliegen. 9. Verhältnismäßigkeit 9.1 Bei der Erhebung, Speicherung und Verarbeitung personenbezogener Daten ist der Grundsatz der Verhältnismäßigkeit zu beachten. Der Grundsatz der Verhältnismäßigkeit ist beachtet, wenn die Datenverarbeitung dazu geeignet ist, einen legitimen Zweck zu erreichen. Weiter darf kein milderes, gleichermaßen geeignetes Mittel zur Erreichung des vorgesehenen Zwecks zur Verfügung stehen. Schließlich ist zu prüfen, ob der 434
|
Meyer
Vertragstext
Rz. 7 Teil 4 I
Datenverarbeitung keine überwiegenden schutzwürdigen Interessen des Betroffenen entgegenstehen. 9.2 Als milderes Mittel kann bspw. die Erhebung, Speicherung und Verarbeitung von aggregierten Daten oder sonstigen Daten ohne Personenbezug in Betracht kommen. 9.3 Bei der Prüfung der Verhältnismäßigkeit kann insbesondere der Ursprung der personenbezogenen Daten (geschäftlich, privat oder intim) zu berücksichtigen sein. Weiter ist das mit der Datenverarbeitung verbundene Risiko einer Beeinträchtigung von Persönlichkeitsrechten abzuschätzen. 10. Datenvermeidung und Datensparsamkeit 10.1 Die Datenverarbeitung im Unternehmen ist so zu organisieren, dass so wenig personenbezogene Daten wie möglich erhoben, gespeichert und verarbeitet werden. Wenn personenbezogene Daten nicht mehr benötigt werden, sollen diese gelöscht werden. 10.2 Für die im Unternehmen gespeicherten Daten ist festzulegen, für welchen Zeitraum eine Aufbewahrung bzw. Speicherung zu erfolgen hat. Gesetzliche Aufbewahrungspflichten sind hierbei zu beachten. Nach Ablauf der Aufbewahrungsfrist bzw. Speicherdauer ist für eine Löschung der Daten zu sorgen, idealerweise durch ein automatisiertes Verfahren. 10.3 Im Rahmen der Datenverarbeitung ist immer zu überprüfen, ob es zur Erfüllung der vorgesehenen Zwecke ausreichend ist, personenbezogene Daten zu anonymisieren oder zu pseudonymisieren. Bei entsprechenden Maßnahmen ist darauf zu achten, dass bei den entsprechend bearbeiteten Daten für den Empfänger der Daten jedenfalls kein Personenbezug mehr hergestellt werden kann, jedenfalls nicht mit verhältnismäßigem Aufwand. 11. Direkterhebung und Information des Betroffenen 11.1 Personenbezogene Daten sind grundsätzlich bei dem Betroffenen direkt zu erheben. Eine Erhebung bei Dritten ist nur dann zulässig, wenn dies gesetzlich vorgesehen ist, das Vorgehen im Interesse des Betroffenen ist oder eine Direkterhebung nur mit unverhältnismäßigem Aufwand möglich wäre. 11.2 Der Betroffene ist grundsätzlich darüber zu informieren, wenn personenbezogene Daten über ihn erhoben, gespeichert oder verarbeitet werden. Eine gesonderte Information kann unterbleiben, wenn ihm die Datenverarbeitung bekannt ist. Hiervon ist bspw. auszugehen, wenn eine Einwilligung des Betroffenen eingeholt wurde und der Betroffene in diesem Zusammenhang vorab informiert wurde. 12. Datenqualität 12.1 Alle Mitarbeiter haben darauf zu achten, dass personenbezogene Daten richtig sind und auf dem neuesten Stand gehalten werden. Meyer
|
435
Teil 4 I
Rz. 7
Unternehmensrichtlinie Datenschutz
12.2 Unzutreffende oder unvollständige Daten sollen berichtigt oder gelöscht werden. 13. Datensicherheit 13.1 Für das Unternehmen ist von großer Bedeutung, dass die Sicherheit der Daten jederzeit gewährleistet ist. Vor diesem Hintergrund sind die Daten u.a. ausreichend gegen Verlust, gegen unbefugten Zugriff und vor anderen Gefahren zu schützen. 13.2 Es ist daher dafür zu sorgen, dass angemessene Maßnahmen getroffen werden um personenbezogene Daten zu schützen. Der Schutz hat durch technische und organisatorische Maßnahmen zu erfolgen. 13.3 Für die einzelnen Vorgänge der Datenverarbeitung sind die konkreten Schutzmaßnahmen zu dokumentieren und auf ihre Angemessenheit zu überprüfen. 13.4 Die IT-Abteilung kann weitergehende Vorgaben im Interesse der Datensicherheit erlassen, insbesondere in Bezug auf die Nutzung von IT-Systemen im Unternehmen. III. Spezielle Formen der Datenverarbeitung 14. Werbemaßnahmen 14.1 Im Vorfeld eines Vertrags ist es während der Phase der Vertragsanbahnung zulässig, Daten zur Erstellung von Angeboten, zur Vorbereitung von Vertragsunterlagen und zur Erfüllung sonstiger auf einen Vertragsabschluss gerichtete Wünsche zu verarbeiten. 14.2 Soweit potentielle Kunden eine Einwilligung erteilt haben, können sie auch unter Verwendung der Daten, die sie mitgeteilt haben, kontaktiert werden. Etwaige Einschränkungen des potentiellen Kunden sind hierbei zu beachten. 14.3 Für die Kommunikation während eines laufenden Vertragsverhältnisses mit einem Kunden ist dessen Einwilligung zur Datenverarbeitung nicht erforderlich, soweit die Datenverarbeitung zur Erfüllung der vertraglichen Verpflichtungen erforderlich ist. Soll der Kunde während eines laufenden Vertragsverhältnisses zu Werbezwecken kontaktiert werden, so soll vorher eine entsprechende Einwilligung des Kunden eingeholt werden, idealerweise bei Abschluss des Vertrags. 15. Erstellung von Nutzerprofilen 15.1 Nutzerprofile mit Personenbezug dürfen nur mit Einwilligung des Betroffenen oder bei Vorliegen einer gesetzlichen Ermächtigungsgrundlage erstellt werden. Andernfalls ist durch organisatorische und technische Maßnahmen sicherzustellen, dass Nutzerprofile nur ohne Personenbezug erstellt werden. 436
|
Meyer
Vertragstext
Rz. 7 Teil 4 I
15.2 Ohne Einwilligung des Betroffenen und ohne eine besondere Ermächtigungsgrundlage bleiben statistische Auswertungen und Untersuchungen auf Basis anonymisierter oder pseudonymisierter Daten möglich. Soweit jedoch pseudonymisierte Nutzerprofile angelegt werden, muss der Betroffene hierüber informiert werden und eine Widerspruchsmöglichkeit haben. 16. Auftragsdatenverarbeitung 16.1 Wenn Dienstleister des Unternehmens in dessen Auftrag personenbezogene Daten erheben, speichern oder verarbeiten, ist zu beachten, dass die gleichen Sorgfaltsanforderungen wie beim Unternehmen auch für den Dienstleister gelten. 16.2 Der Dienstleister wird im Auftrag und auch unter der Verantwortung des Unternehmens tätig. Trotz der Durchführung der Datenverarbeitung durch den Dienstleister bleibt das Unternehmen die verantwortliche Stelle, so dass der Dienstleister sorgfältig auszuwählen ist. 16.3 Spätestens mit Beginn der Tätigkeit für das Unternehmen ist dafür Sorge zu tragen, dass der Dienstleister einen gesonderten Vertrag zur Auftragsdatenverarbeitung unterzeichnet hat und die Einhaltung der Pflichten aus dem Vertrag zur Auftragsdatenverarbeitung kontrolliert wird. Abweichungen von dem Standardvertrag zur Auftragsdatenverarbeitung des Unternehmens sind mit dem Datenschutzbeauftragten abzustimmen. 17. Automatisierte Einzelentscheidungen 17.1 Entscheidungen, die für den Betroffenen negative rechtliche Folgen nach sich ziehen oder ihn erheblich beeinträchtigen können, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung von personenbezogenen Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dient, bspw. der beruflichen Leistungsfähigkeit. Die Datenverarbeitung darf nur als Hilfsmittel für die Entscheidung herangezogen werden, ohne dabei deren einzige Grundlage zu bilden. 17.2 Sofern im Einzelfall eine Notwendigkeit für automatisierte Einzelentscheidungen besteht, muss für den Betroffenen die Möglichkeit für eine Nachprüfung bestehen, wenn nicht eine automatisierte Einzelentscheidung gesetzlich zugelassen ist. 18. Übermittlung von Daten 18.1 Die Übermittlung personenbezogener Daten ist ein Fall der Verarbeitung von Daten im Sinne dieser Unternehmensrichtlinie und nach Maßgabe des Gesetzes. Auch die Übermittlung ist daher nur mit Einwilligung des Betroffenen oder aufgrund einer anderen gesetzlichen Ermächtigungsgrundlage zulässig. 18.2 Bei der Übermittlung in das Ausland ist zusätzlich zu prüfen, ob hierdurch die Interessen und Rechte des Betroffenen beeinträchtigt werden. Meyer
|
437
Teil 4 I
Rz. 7
Unternehmensrichtlinie Datenschutz
Unproblematisch ist insoweit die Übermittlung in einen Vertragsstaat des Europäischen Wirtschaftsraums (alle Mitgliedsländer der Europäischen Union, Island, Liechtenstein und Norwegen). Bei allen anderen Staaten ist vorab zu prüfen, ob ein vergleichbarer Datenschutzstandard besteht. Ein vergleichbarer Standard kann unter anderem durch den Abschluss zusätzlicher vertraglicher Vereinbarungen erreicht werden, etwa durch Nutzung der EU-Standardvertragsklauseln. Jede Übermittlung von personenbezogenen Daten in einen Staat außerhalb des Europäischen Wirtschaftsraumes ist mit dem Datenschutzbeauftragten abzustimmen. IV. Innerbetriebliche Prozesse 19. Anforderungen an Mitarbeiter 19.1 Alle Mitarbeiter des Unternehmens sind besonders auf das Datengeheimnis zu verpflichten. Sie sind darüber zu belehren, dass es untersagt ist, personenbezogene Daten für private Zwecke zu nutzen, an Unbefugte zu übermitteln oder sie Unbefugten zugänglich zu machen. Die Verpflichtung auf das Datengeheimnis soll mit Beginn der Tätigkeit für das Unternehmen erfolgen. Die Mitarbeiter sind darüber zu belehren, dass die Pflicht zur Wahrung der Vertraulichkeit über das Ende der Tätigkeit für das Unternehmen fortgilt. 19.2 Auch innerhalb des Unternehmens ist darauf zu achten, dass nur die Mitarbeiter Zugriff auf personenbezogene Daten erhalten, die sie zur Erledigung ihrer Aufgaben für das Unternehmen benötigen. 19.3 Alle Mitarbeiter sollen zu Beginn ihrer Tätigkeit und nachfolgend regelmäßig in Datenschutzthemen geschult werden. 20. Dokumentationspflichten 20.1 Das Unternehmen führt ein Verzeichnis über die Verfahren des Unternehmens zur Erhebung, Speicherung und Verarbeitung personenbezogener Daten (Verfahrensverzeichnis), das von dem Datenschutzbeauftragten verwaltet wird. 20.2 Um das Verfahrensverzeichnis vollständig und aktuell zu halten, haben die Mitarbeiter entsprechend den Vorgaben des Datenschutzbeauftragten alle Verfahren unter Nutzung entsprechender Vordrucke zu melden. 21. Einführung neuer Systeme zur Datenverarbeitung Die Einführung neuer Systeme zur Erhebung, Speicherung und Verarbeitung personenbezogener Daten ist dem Datenschutzbeauftragten vorab anzuzeigen, damit dieser die datenschutzrechtliche Zulässigkeit prüfen kann.
438
|
Meyer
Vertragstext
Rz. 7 Teil 4 I
V. Rechte der Betroffenen 22. Recht auf Auskunft 22.1 Auf Anfrage ist einem Betroffenen Auskunft über die zur Person des Betroffenen gespeicherten personenbezogenen Daten zu erteilen. Der Betroffene soll dabei die Art der Daten, zu denen er eine Auskunft wünscht, näher bezeichnen. 22.2 Die Auskunftserteilung soll schriftlich in einer für den Betroffenen verständlichen Form und Sprache erfolgen. Bei der Auskunftserteilung sind die vorhandenen personenbezogenen Daten und der Zweck der Speicherung mitzuteilen. Weiter soll, soweit verfügbar, die Herkunft der Daten erläutert werden. 22.3 Bei der Auskunftserteilung ist sicherzustellen, dass die Identität des Betroffenen verifiziert wird. 22.4 Über alle Anfragen auf Auskunftserteilung ist der Datenschutzbeauftragte zu informieren, damit dieser die weiteren Aktivitäten koordinieren oder übernehmen kann. Soweit der Datenschutzbeauftragte nicht ausdrücklich die Bearbeitung übernimmt, bleibt die jeweilige Fachabteilung für die Beantwortung der Anfrage zuständig. 22.5 Wenn eine Anfrage nicht umgehend beantwortet werden kann, ist dem Betroffenen zumindest eine Zwischeninformation zu übermitteln, in der die voraussichtliche Bearbeitungszeit mitgeteilt werden soll. 23. Recht auf Löschung und Sperrung 23.1 Bei berechtigtem Ersuchen eines Berechtigten sind die zu seiner Person gespeicherten personenbezogenen Daten zu löschen. Ein Ersuchen ist insbesondere berechtigt, wenn keine Grundlage für die Datenverarbeitung besteht oder die Grundlage zwischenzeitlich entfallen ist. 23.2 Soweit eine Löschung nicht in Betracht kommt, ist zu prüfen, inwieweit die personenbezogenen Daten gesperrt werden können. Wenn der Betroffene die weitere Nutzung seiner Daten nicht mehr wünscht, ist eine Sperrung in Erwägung zu ziehen, damit die Daten des Betroffenen im Falle einer neuen Datenerhebung nicht (wieder) genutzt werden. 24. Recht auf Berichtigung 24.1 Unvollständige oder unrichtige personenbezogene Daten sind auf Verlangen des Betroffenen zu korrigieren. Die Korrektur ist dabei auch im Interesse des Unternehmens, da der gesamte Datenbestand möglichst richtig und von hoher Qualität sein soll. 24.2 Soweit ein Mitarbeiter Kenntnis davon hat, dass bei dem Unternehmen gespeicherte Daten unvollständig und unrichtig sind, soll der Mitarbeiter die jeweilige Fachabteilung hierüber informieren, damit eine Korrektur veranlasst werden kann. Meyer
|
439
Teil 4 I
Rz. 7
Unternehmensrichtlinie Datenschutz
25. Recht auf Widerruf, Widerspruch und Beschwerde 25.1 Eine von einem Betroffenen erteilte Einwilligung in die Erhebung, Speicherung und Verarbeitung von Daten ist jederzeit frei widerruflich. Der Betroffene ist auf die Möglichkeit des Widerrufs hinzuweisen. Der Widerruf gilt mit Wirkung für die Zukunft. 25.2 Soweit die Erhebung, Speicherung und Verarbeitung von Daten auf Basis einer gesetzlichen Ermächtigungsgrundlage erfolgt, bedarf es keiner Einwilligung des Betroffenen. Widerspricht der Betroffene der Datenverarbeitung, ist zu prüfen, inwieweit auf die Datenverarbeitung zukünftig verzichtet werden kann. Ist dies nicht möglich, ist dem Betroffenen dies entsprechend zu erläutern. 25.3 Der Betroffene hat das Recht, sich über den Umgang mit seinen personenbezogenen Daten im Unternehmen zu beschweren. Die Beschwerde ist unverzüglich an den Datenschutzbeauftragten weiterzuleiten, sofern sie nicht an ihn direkt gerichtet war. Der Datenschutzbeauftragte wird die Beschwerde beantworten und ggf. angemessene Maßnahmen zur Verbesserung des Datenschutzniveaus vorschlagen. VI. Zuständigkeit 26. Verantwortung 26.1 In erster Linie sind diejenigen Mitarbeiter für die Einhaltung der Vorgaben dieser Unternehmensrichtlinie verantwortlich, die jeweils mit der Datenverarbeitung betraut sind. 26.2 Alle Mitarbeiter des Unternehmens haben auf die Einhaltung dieser Unternehmensrichtlinie zu achten und auf diese Weise dazu beizutragen, dass in dem gesamten Unternehmen einheitlich hohe Datenschutzstandards etabliert werden. 26.3 Die Führungskräfte des Unternehmens haben darauf zu achten, dass die Mitarbeiter über die Unternehmensrichtlinie informiert werden. Zu der Information gehört auch der Hinweis, dass Verstöße gegen die Vorgaben dieser Unternehmensrichtlinie straf-, haftungs- oder arbeitsrechtliche Konsequenzen nach sich ziehen können. 26.4 Das Unternehmen bleibt gegenüber den Betroffenen die verantwortliche Stelle im Sinne des Gesetzes. Der einzelne Mitarbeiter handelt daher für das Unternehmen und hat dessen Vorgaben zu beachten. 27. Datenschutzbeauftragter als Ansprechpartner 27.1 Fragen zu dieser Unternehmensrichtlinie oder dem richtigen Umgang mit personenbezogenen Daten können an den Datenschutzbeauftragten gerichtet werden. Die Kontaktdaten des Datenschutzbeauftragten sind im Intranet abrufbar und am schwarzen Brett ausgehängt. 27.2 Der Datenschutzbeauftragte koordiniert die datenschutzrechtlichen Aktivitäten des Unternehmens. Er ist u.a. Ansprechpartner für die Betroffe440
|
Meyer
Vertragstext
Rz. 7 Teil 4 I
nen, die mit der Datenverarbeitung betrauten Mitarbeiter und die Geschäftsführung. 27.3 Der Datenschutzbeauftragte ist auch befugt, die Einhaltung dieser Unternehmensrichtlinie zu prüfen und die Beachtung der gesetzlichen Bestimmungen des Datenschutzrechts zu überwachen. Die entsprechende Überwachungsbefugnis entbindet aber nicht den einzelnen Mitarbeiter von seiner Verantwortung. 27.4 Alle Mitarbeiter haben den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben und Aktivitäten zu unterstützen. 27.5 Bei Bedarf kann der Datenschutzbeauftragte in Ergänzung zu dieser Unternehmensrichtlinie Handlungsempfehlungen zu speziellen Themen herausgeben. 28. Meldung von Verstößen und Zusammenarbeit mit Aufsichtsbehörden 28.1 Die Mitarbeiter sollen dem Datenschutzbeauftragten unverzüglich Bericht erstatten, wenn sie Kenntnis von einem Verstoß gegen diese Unternehmensrichtlinie oder gesetzliche Bestimmungen haben, die sich auf den Schutz personenbezogener Daten beziehen. Der Datenschutzbeauftragte prüft ggf., inwieweit auch eine Informationspflicht gegenüber den Aufsichtsbehörden besteht. 28.2 Das Unternehmen arbeitet mit den zuständigen Aufsichtsbehörden kooperativ und vertrauensvoll zusammen. Im Falle einer gesetzlichen Auskunftsverpflichtung wird das Unternehmen die geforderten Auskünfte unverzüglich erteilen. Maßnahmen und Feststellungen der Aufsichtsbehörden werden von dem Unternehmen uneingeschränkt akzeptiert, soweit sie rechtmäßig sind. Die Kommunikation mit den Aufsichtsbehörden soll über den Datenschutzbeauftragten erfolgen. VII. Schlussbestimmungen 29. Publizität 29.1 Diese Unternehmensrichtlinie ist allen Mitarbeitern des Unternehmens in geeigneter Weise zugänglich zu machen, insbesondere über das Intranet. 29.2 Eine allgemeine Veröffentlichung dieser Unternehmensrichtlinie ist nicht vorgesehen, da es sich um eine interne Richtlinie des Unternehmens handelt. 30. Änderungen dieser Unternehmensrichtlinie 30.1 Das Unternehmen behält sich das Recht vor, diese Unternehmensrichtlinie bei Bedarf zu ändern. Eine Änderungen kann insbesondere erforderlich werden, um gesetzlichen Vorgaben, bindenden Verordnungen, Forderungen der Aufsichtsbehörden oder unternehmensinternen Verfahren zu entsprechen. Meyer
|
441
Teil 4 I
Rz. 8
Unternehmensrichtlinie Datenschutz
30.2 In regelmäßigen Abständen soll auch geprüft werden, inwieweit technologische Veränderungen eine Anpassung dieser Unternehmensrichtlinie erforderlich machen.
C. Erläuterungen I. Erläuterungen zu Ziffer 1 8
E 1. Einleitung 1.1 Die im Unternehmen vorhandenen Daten sind für das Unternehmen und die reibungslosen Abläufe im Unternehmen von großem Wert. Diese Daten sind daher gegen unbefugte Zugriffe und andere Gefährdungen zu schützen. 1.2 Gleichzeitig erwarten die Kunden, Partner und Mitarbeiter des Unternehmens, dass die dem Unternehmen anvertrauten Daten besonders geschützt werden und ein sorgsamer Umgang mit ihnen erfolgt. 1.3 Das Unternehmen bekennt sich auch im Rahmen seines gesellschaftlichen Engagements zu seiner Verantwortung für den sorgsamen Umgang mit personenbezogenen Daten.
9
Die Einleitung dient als Erklärung für den Leser, warum der Umgang mit personenbezogenen Daten in einer eigenen Unternehmensrichtlinie geregelt wurde.
1. Erläuterungen zu Ziffer 1.1 10
Im Rahmen der Einleitung wird zunächst die besondere Bedeutung der Daten für ein Unternehmen hervorgehoben. Der Schutz dieser Daten ist damit zumindest auch im eigenen Interesse des Unternehmens.
2. Erläuterungen zu Ziffer 1.2 11
Es wird aber auch klargestellt, dass die Vorgaben des Datenschutzes nicht nur im Interesse des Unternehmens zu beachten sind, sondern auf diese Weise vor allem die Interessen der Betroffenen geschützt werden. Letztlich ist die Berücksichtigung der Interessen der Betroffenen aber zugleich im Interesse des jeweiligen Unternehmens, da Vertrauen und Kundenzufriedenheit für die meisten Unternehmen von großer Bedeutung sind.
3. Erläuterungen zu Ziffer 1.3 12
Der Verweis auf das gesellschaftliche Engagement und eine allgemeine Verantwortung für einen datenschutzkonformen Umgang berücksichtigt die Tatsache, dass der Schutz personenbezogener Daten mittlerweile als gesellschaftliche Aufgabe angesehen wird, die nicht auf einzelne Personen oder Unternehmen beschränkt werden kann. 442
|
Meyer
Erläuterungen
Rz. 17 Teil 4 I
II. Erläuterungen zu Ziffer 2 13
E 2. Ziel der Unternehmensrichtlinie 2.1 Mit dieser Unternehmensrichtlinie sollen einheitliche Standards für den Datenschutz im Unternehmen geschaffen werden. 2.2 Durch die Einhaltung der in dieser Unternehmensrichtlinie definierten Standards kommt das Unternehmen seinen datenschutzrechtlichen Verpflichtungen nach und sorgt für eine ausreichende Berücksichtigung der Interessen sowie Rechte der Betroffenen. 2.3 Die Beachtung dieser Unternehmensrichtlinie ist Voraussetzung für den sicheren Austausch von personenbezogenen Daten innerhalb des Unternehmens. Eine Unternehmensrichtlinie soll einheitliche Vorgaben treffen, die unternehmensweit zu beachten sind. Der Vorteil einer Richtlinie liegt gerade darin, dass sie sich an alle Mitarbeiter richtet. Nach der allgemeinen Einleitung wird mit der Bestimmung des Ziels der Unternehmensrichtlinie ausdrücklich klargestellt, dass es darum geht, die gesetzlichen Anforderungen zu erfüllen (Compliance) und die Rechte der Betroffenen zu beachten.
14
1. Erläuterungen zu Ziffer 2.1 Unmittelbares Ziel der Unternehmensrichtlinie ist die Schaffung einheitlicher Datenschutzstandards, wobei damit kein Selbstzweck verfolgt wird. Der Nutzen für das Unternehmen ist bereits in der Einleitung des Musters erläutert (siehe Rz. 11).
15
2. Erläuterungen zu Ziffer 2.2 Die Regelung verweist darauf, dass das Unternehmen ohnehin verpflichtet ist, die gesetzlichen Bestimmungen zum Datenschutz einzuhalten. Die Unternehmensrichtlinie ist damit nur eine Umsetzung und Konkretisierung der gesetzlichen Anforderungen. Soweit die Betroffenenrechte im Muster explizit genannt sind, gehören diese auch zu den gesetzlichen Bestimmungen, die aber unter Berücksichtigung der Regelungen in der Einleitung besonders hervorgehoben werden (siehe Rz. 12).
16
3. Erläuterungen zu Ziffer 2.3 Der Hinweis auf den sicheren Austausch von Daten innerhalb des Unternehmens bezieht sich darauf, dass bei einheitlichen Standards im Unternehmen die interne Weitergabe von Daten mit keinen besonderen Risiken verbunden ist.
Meyer
|
443
17
Teil 4 I
Rz. 18
Unternehmensrichtlinie Datenschutz
III. Erläuterungen zu Ziffer 3 18
E 3. Anwendungsbereich der Unternehmensrichtlinie 3.1 Diese Unternehmensrichtlinie gilt für jegliche Erhebung, Speicherung und sonstige Verwendung personenbezogener Daten einschließlich der Weitergabe innerhalb des Unternehmens sowie die Übermittlung an Dritte. Sie regelt umfassend alle datenschutzrechtlichen Aspekte, die sich im Rahmen der Datenverarbeitung ergeben können. Sie findet Anwendung auf sämtliche Arten von personenbezogenen Daten, insbesondere Daten von Mitarbeitern, Kunden, Lieferanten und anderen Geschäftspartnern. 3.2 Auch für alle Tochterunternehmen des Unternehmens ist diese Unternehmensrichtlinie verbindlich. 3.3 Die Herkunft der Daten ist für die Anwendbarkeit dieser Unternehmensrichtlinie nicht maßgeblich; entscheidend ist die Verwendung der Daten im Unternehmen. 3.4 Bestehende gesetzliche Verpflichtungen werden von dieser Unternehmensrichtlinie nicht berührt und sind somit zu erfüllen. Es ist daher stets zu prüfen, welche gesetzlichen Regelungen einschlägig sind; deren Beachtung ist sicherzustellen. Sofern sich aus den gesetzlichen Bestimmungen geringere Anforderungen ergeben, gelten die Regelungen dieser Unternehmensrichtlinie.
19
Durch die Regelungen zum Anwendungsbereich wird der sachliche und räumliche Anwendungsbereich festgelegt; gleichzeitig erfolgt eine Klarstellung des Rangverhältnisses gegenüber gesetzlichen Bestimmungen.
1. Erläuterungen zu Ziffer 3.1 20
Die Bezugnahme auf die Erhebung, Speicherung und sonstige Verwendung personenbezogener Daten soll jegliche Vorgänge der Datenverarbeitung abdecken. Die einzelnen Phasen der Datenverarbeitung, auf die in der Unternehmensrichtlinie abgestellt wird, sind dabei weitgehend gem. § 3 BDSG gesetzlich definiert. Unter der Datenerhebung wird gem. § 3 Abs. 3 BDSG das Beschaffen von Daten verstanden, für das ein aktives Handeln des Unternehmens erforderlich ist1. Wenn dem Unternehmen personenbezogene Daten unaufgefordert offenbart oder zufällig bekannt werden, liegt keine Datenerhebung vor2. Soweit ohne Aufforderung übermittelte Informationen im Unternehmen gespeichert werden, ist aber der Anwendungsbereich des BDSG und der Unternehmensrichtlinie eröffnet. In der Praxis werden Daten zumeist in einem Zuge beschafft und gespeichert, so dass die Differenzierung ohne große Bedeutung ist3.
1 Simitis/Dammann, § 3 BDSG Rz. 103. 2 Gola/Schomerus, § 3 BDSG Rz. 24; Bergmann/Möhrle/Herb, § 3 BDSG Rz. 63. 3 Simitis/Dammann, § 3 BDSG Rz. 116.
444
|
Meyer
Erläuterungen
Rz. 25 Teil 4 I
Nach der gesetzlichen Definition des § 3 Abs. 4 BDSG ist die Speicherung von Daten ein Unterfall der Verarbeitung von Daten, der folglich nicht ausdrücklich genannt werden müsste. Unter dem Sammelbegriff „Verarbeitung“ werden Speicherung, Veränderung, Übermittlung, Sperrung und Löschung personenbezogener Daten zusammengefasst1. Die Speicherung der Daten ist jedoch ein zentraler Zwischenschritt im Rahmen der Datenverarbeitung2. Vor diesem Hintergrund ist es gerechtfertigt, die Speicherung ausdrücklich in der Unternehmensrichtlinie anzusprechen.
21
Alle weiteren Phasen der Datenverarbeitung werden dann in der Verwendung der personenbezogenen Daten zusammengefasst. In der Unternehmensrichtlinie muss von der sonstigen Verwendung gesprochen werden, weil die Speicherung als Unterfall bereits vorab genannt wurde. Es würde ansonsten auch ausreichen, ausschließlich von der Erhebung und Verwendung personenbezogener Daten zu sprechen. Der Begriff der Datenverwendung ist in § 3 BDSG nicht ausdrücklich definiert, allerdings ergibt sich aus der Regelung in § 3 Abs. 5 BDSG, dass die Verwendung als Oberbegriff anzusehen ist für die Verarbeitung i.S.v. § 3 Abs. 4 BDSG und die sonstige Nutzung von personenbezogenen Daten3. Da die Vorgaben der Unternehmensrichtlinie einheitlich für jegliche Verwendung gelten sollen, bietet es sich an, insoweit nicht zwischen der Verarbeitung und einer sonstigen Nutzung zu differenzieren4.
22
Alternativ kann zur Abdeckung aller Aspekte der Datenverarbeitung auch auf die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten abgestellt werden. Der Anwendungsbereich verändert sich durch die geänderte Aufzählung nicht; es wird lediglich eine etwas andere Akzentuierung der wesentlichen Aspekte der Datenverarbeitung gewählt.
23
Wegen der vorhandenen gesetzlichen Definitionen ist darauf verzichtet worden, die einzelnen Aspekte der Datenverarbeitung in der Unternehmensrichtlinie eigenständig zu definieren. Es kann aber überlegt werden, die zentralen Begriffe der Datenverarbeitung in der Unternehmensrichtlinie selbst zu definieren.
24
2. Erläuterungen zu Ziffer 3.2 Um die Unternehmensrichtlinie möglichst umfassend zur Anwendung kommen zu lassen, wird der Anwendungsbereich auch auf verbundene Gesellschaften ausgeweitet. Die Unternehmensrichtlinie spricht dabei ausschließlich von Tochterunternehmen und unterstellt dabei, dass die Unternehmensrichtlinie von der Obergesellschaft vorgegeben wird. Bei einer internationalen Konzernstruktur wird eine Unternehmensrichtlinie, die vornehmlich an den Vorgaben des BDSG ausgerichtet ist, nicht ausreichen, so dass hier die Verwendung von BCR zu prüfen ist5. 1 Bergmann/Möhrle/Herb, § 3 BDSG Rz. 71. 2 Simitis/Dammann, § 3 BDSG Rz. 114 verweist auf die häufige Verwendung des Fachbegriffs. 3 Gola/Schomerus, § 3 BDSG Rz. 25. 4 Simitis/Dammann, § 3 BDSG Rz. 193 zur Abgrenzung zwischen Verarbeitung und Nutzung. 5 Hierzu Teil 5 V.
Meyer
|
445
25
Teil 4 I
Rz. 26
Unternehmensrichtlinie Datenschutz
3. Erläuterungen zu Ziffer 3.3 26
Mit dem Hinweis auf die fehlende Relevanz der Herkunft der Daten soll eine Klarstellung bezweckt werden, dass bei jeglicher Verwendung der Daten die Vorgaben der Unternehmensrichtlinie zu beachten sind. Es kommt nicht darauf an, ob die Daten bspw. gezielt erhoben wurden oder ursprünglich von einem Tochterunternehmen stammen. Die Regelung hat nur eine klarstellende Bedeutung und könnte auch gestrichen werden.
4. Erläuterungen zu Ziffer 3.4 27
Durch die Unternehmensrichtlinie sollen weitgehend die gesetzlichen Anforderungen für das jeweilige Unternehmen konkretisiert werden. Es ist dabei denkbar, dass die Regelungen der Richtlinie über die gesetzlichen Mindeststandards hinausgehen. In diesem Fall beinhaltet die Richtlinie eine Selbstverpflichtung des Unternehmens, die auch dann zu beachten ist, wenn keine gesetzliche Notwendigkeit bestand. Umgekehrt können durch die Richtlinie keine Standards vorgegeben werden, die unter den Mindeststandards des Gesetzes liegen. Die entsprechende Regelung in der Richtlinie hat insoweit nur klarstellende Bedeutung.
IV. Erläuterungen zu Ziffer 4 28
E 4. Definitionen 4.1 Personenbezogene Daten im Sinne dieser Unternehmensrichtlinie und im Sinne des Gesetzes sind Angaben über eine bestimmte oder bestimmbare natürliche Person. Daten, die ausschließlich Informationen über juristische Personen beinhalten, sind keine personenbezogenen Daten. Auch diese Daten sollen gleichermaßen geschützt werden. Für besonders schutzbedürftige Daten gelten erhöhte Sorgfaltsanforderungen. Welche Daten besonders schutzbedürftig sind, ergibt sich dabei aus § 3 Abs. 9 BDSG, nämlich Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. 4.2 Betroffene sind die Personen, deren personenbezogene Daten im Unternehmen erhoben, gespeichert oder verarbeitet werden. 4.3 Dritter ist jede Stelle außerhalb des Unternehmens. Einzelne Stellen oder Abteilungen innerhalb des Unternehmens sind nicht Dritte, gleichwohl ist auch innerhalb des Unternehmens zu prüfen, inwieweit personenbezogene Daten unternehmensintern zur Verfügung gestellt werden müssen. Dienstleister, mit denen eine Vereinbarung zur Auftragsdatenverarbeitung besteht, gelten ebenfalls nicht als Dritte, da diese unter der Verantwortung des Unternehmens tätig werden.
29
Zu Beginn der Unternehmensrichtlinie werden wesentliche datenschutzrechtliche Begriffe definiert. Das Muster konzentriert sich auf wenige Begriffe, die 446
|
Meyer
Erläuterungen
Rz. 33 Teil 4 I
nachfolgend regelmäßig verwendet werden. Weitere Begriffe werden im Text innerhalb der Unternehmensrichtlinie definiert. Es können bei Bedarf auch noch weitere Begriffe wie die Erhebung, Speicherung und Verarbeitung von Daten definiert werden (siehe Rz. 24). Es kann insoweit auf die Begriffsbestimmungen des § 3 BDSG zurückgegriffen werden.
1. Erläuterungen zu Ziffer 4.1 Der Begriff der personenbezogenen Daten wird in Übereinstimmung mit § 3 Abs. 1 BDSG definiert. Klarstellend wird erläutert, dass nur Informationen über natürliche Personen als personenbezogene Daten anzusehen sind. Juristische Personen können sich zwar auf das allgemeine Persönlichkeitsrecht berufen, fallen aber nicht in den Anwendungsbereich des BDSG1. Die besonderen Arten personenbezogener Daten i.S.v. § 3 Abs. 9 BDSG sind im Muster nur kurz angesprochen. Soweit in einem Unternehmen im größeren Umfang mit derartigen Daten umgegangen wird, empfehlen sich hierzu ggf. weitere Regelungen. Dies gilt bspw. für Pharmaunternehmen oder Versicherungskonzerne.
30
Für Versicherungsunternehmen kann es bspw. notwendig sein, auch Gesundheitsdaten an Rückversicherer oder andere Konzernunternehmen zu übermitteln, um überhaupt eine Versicherung anbieten oder einen Versicherungsfall abwickeln zu können2. Pharmaunternehmen sind schon aufgrund der gesetzlichen Vorgaben zur Arzneimittelüberwachung verpflichtet, den Einsatz ihrer Medikamente im Hinblick auf Nebenwirkungen und sonstigen Wirkungen zu überwachen, wozu sie auch Daten mit anderen Einrichtungen austauschen müssen3. Aufgrund des erhöhten Schutzniveaus bei besonderen Arten personenbezogener Daten muss die Einhaltung aller datenschutzrechtlichen Bestimmungen sorgsam beachtet werden. Die Versicherungsunternehmen bedienen sich insoweit abgestimmter Einwilligungserklärungen, die von den Aufsichtsbehörden geprüft wurden4.
31
2. Erläuterungen zu Ziffer 4.2 Die Person des Betroffenen ist in § 3 Abs. 1 BDSG in der Weise definiert, dass die Person, der personenbezogene Daten zugewiesen sind, als Betroffener bezeichnet wird. Das Muster greift diesen Ansatz auf und definiert die Personen als Betroffene, über die Daten bei dem Unternehmen erhoben, gespeichert oder verarbeitet werden.
32
3. Erläuterungen zu Ziffer 4.3 Der Begriff des Dritten ist in § 3 Abs. 8 BDSG definiert. Die Definition grenzt lediglich negativ ab, dass jede Person oder Stelle außerhalb der verantwortlichen Stelle als Dritter anzusehen ist. Wichtig ist zunächst die Aussage, dass 1 2 3 4
Gola/Schomerus, § 3 BDSG Rz. 11 Jacobsen, ZfV 2010, 761. Graf von Kielmansegg, DÖV 2009, 522. Bürkle, Compliance in Versicherungsunternehmen, § 11 Rz. 22.
Meyer
|
447
33
Teil 4 I
Rz. 34
Unternehmensrichtlinie Datenschutz
innerhalb eines Unternehmens nicht weiter differenziert wird. Eine andere Abteilung ist niemals als Dritter im datenschutzrechtlichen Sinne anzusehen. Es ist aber dennoch dafür zu sorgen, dass innerhalb eines Unternehmens personenbezogene Daten nicht völlig frei verfügbar sind (siehe Rz. 117)1. 34
Bei einem Fall der Auftragsdatenverarbeitung ist der Dienstleister, der als Auftragsdatenverarbeiter tätig wird, ebenfalls nicht als Dritter anzusehen2. Dieses Ergebnis ergibt sich bei Berücksichtigung der gesetzlichen Bestimmung in § 3 Abs. 8 Satz 3 BDSG. Angesichts der Tatsache, dass aufgrund der gesetzlichen Fiktion die datenschutzrechtliche Definition deutlich von dem umgangssprachlichen Verständnis abweicht, sollte hierauf explizit hingewiesen werden3. Die Auftragsdatenverarbeitung ermöglicht also die Auslagerung von Datenverarbeitungsvorgängen ohne eine Übermittlung der Daten an einen Dritten, ist im Gegenzug aber an enge Voraussetzungen gebunden4.
35
Bei einem Konzernverbund sollte in der Unternehmensrichtlinie klargestellt werden, dass eine eigenständige juristische Person dagegen sehr wohl als Dritter angesehen wird. Ein Konzernprivileg kennt das Datenschutzrecht insoweit nicht5. Der Austausch von Daten zwischen zwei Konzerngesellschaften ist eine Übermittlung von Daten6. Für rechtlich unselbständige Zweigstellen wie Filialen gilt dies nicht, maßgeblich ist alleine die eigenständige Rechtspersönlichkeit7.
36
In einem Konzernverbund oder bei einem Unternehmen mit rechtlich unselbständigen Zweigstellen bietet es sich an, das Muster in einem solchen Fall ggf. zu erweitern und die Abgrenzung bezogen auf das jeweilige Unternehmen näher zu erläutern.
V. Erläuterungen zu Ziffer 5 37
E 5. Zulässigkeit der Datenverarbeitung 5.1 Bei jedem Vorgang der Datenverarbeitung ist zu prüfen, ob die beabsichtigte Erhebung, Speicherung oder Verarbeitung von Daten zulässig ist. Bestehen Zweifel an der Zulässigkeit, soll der Datenschutzbeauftragte kontaktiert werden. 5.2 Die Zulässigkeit der Datenverarbeitung kann sich aus verschiedenen Gesichtspunkten ergeben. Zunächst kann sich die Zulässigkeit daraus ergeben, dass der Betroffene in die Datenverarbeitung eingewilligt hat. Auch ohne Einwilligung des Betroffenen kann die Datenverarbeitung zulässig sein, wenn eine gesetzliche Ermächtigungsgrundlage einschlägig ist. Fehlt 1 2 3 4 5 6 7
Simitis/Dammann, § 3 BDSG Rz. 158. Gola/Schomerus, § 3 BDSG Rz. 50. Simitis/Dammann, § 3 BDSG Rz. 244. S. hierzu die Muster in Teil 2 I und 2 II. Kilian/Heussen/Polenz, Teil 13 Rz. 43; Trittin/Fischer, NZA 2009, 343 (346). Schulz, BB 2011, 2552. Simitis/Dammann, § 3 BDSG Rz. 232.
448
|
Meyer
Erläuterungen
Rz. 41 Teil 4 I
es an einer Einwilligung und einer gesetzlichen Ermächtigungsgrundlage, dann ist die Datenverarbeitung unzulässig. 5.3 Im Rahmen der Zulässigkeitsprüfung ist auch zu untersuchen, ob die Datenverarbeitung unter Berücksichtigung des Grundsatzes der Datensparsamkeit notwendig ist. Bei den Grundsätzen der Datenverarbeitung wird zunächst das grundlegende Prinzip des Verbots mit Erlaubnisvorbehalt im Datenschutzrecht wiedergegeben1. Aus diesem Prinzip lässt sich ableiten, dass die Erlaubnis zur Datenverarbeitung der Ausnahmefall ist, der besonders gerechtfertigt werden muss.
38
1. Erläuterungen zu Ziffer 5.1 Wegen des Verbots mit Erlaubnisvorbehalt ist es gerechtfertigt, in jedem Fall der Datenverarbeitung deren Zulässigkeit ausdrücklich prüfen zu lassen. Das Unternehmen und seine Mitarbeiter können sich nicht darauf verlassen, dass die Datenverarbeitung im Zweifelsfall zulässig sein wird. Gesetzliche Anknüpfung für die Regelung zur Zulässigkeit der Datenverarbeitung ist die Bestimmung des § 4 Abs. 1 BDSG, in dem der Grundsatz des Verbots mit Erlaubnisvorbehalt verankert ist.
39
2. Erläuterungen zu Ziffer 5.2 und 5.3 Die allgemeinen Ausführungen zur Zulässigkeit der Datenverarbeitung verweisen auf die Einwilligung des Betroffenen (siehe Rz. 48), die weiteren gesetzlichen Ermächtigungsgrundlagen (siehe Rz. 41) und das Prinzip der Datenvermeidung und Datensparsamkeit (siehe Rz. 69). Alle entsprechenden Punkte werden in den nachfolgenden Bestimmungen weiter ausgeführt.
40
VI. Erläuterungen zu Ziffer 6 E 6. Gesetzliche Ermächtigungsgrundlagen
41
6.1 Die Erhebung, Speicherung und Verarbeitung personenbezogener Daten kann erforderlich sein für die Begründung, Durchführung oder Beendigung eines Vertrags mit dem Betroffenen. 6.2 Eine Notwendigkeit und Ermächtigung zur Datenverarbeitung kann sich ergeben aufgrund einer gesetzlichen Verpflichtung des Unternehmens oder einer verbindlichen behördlichen Entscheidung, bspw. einem Auskunftsersuchen von Ermittlungsbehörden. 6.3 Zulässig ist die Erhebung, Speicherung und Verarbeitung personenbezogener Daten auch, wenn sie zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche vor Gericht erforderlich ist. Gleiches gilt für die Wahrung lebenswichtiger Interessen des Betroffenen selbst. 1 Plath/Plath, § 4 BDSG Rz 1.
Meyer
|
449
Teil 4 I
Rz. 42
Unternehmensrichtlinie Datenschutz
6.4 Denkbar ist eine Datenverarbeitung schließlich in den Fällen, bei denen berechtigte Interessen des Unternehmens bestehen und gleichzeitig kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Datenverarbeitung überwiegt. Das Ergebnis einer solchen Interessenabwägung soll dabei schriftlich protokolliert werden. 42
Unter dem Stichwort „gesetzliche Ermächtigungsgrundlagen“ werden wesentliche Fallgestaltungen erläutert, bei denen eine Erhebung, Speicherung und Verwendung personenbezogener Daten auch ohne Einwilligung des Betroffenen zulässig ist1. Die Regelung nimmt Bezug auf die Erlaubnistatbestände des § 28 BDSG bei der Datenverarbeitung für eigene Geschäftszwecke.
1. Erläuterungen zu Ziffer 6.1 43
Die erste Fallgestaltung bezieht sich auf die Datenverarbeitung im Rahmen eines bestehenden Vertragsverhältnisses. Die gesetzliche Bestimmung des § 28 Abs. 1 Nr. 1 BDSG umfasst darüber hinaus auch noch rechtsgeschäftsähnliche Schuldverhältnisse, wodurch insbesondere die Phase der Vertragsanbahnung mit abgedeckt ist2. In dem Muster ist eine gesonderte Regelung für die Vertragsanbahnung (siehe Rz. 87) vorgesehen, so dass dieser Aspekt hier nicht näher angesprochen wird.
2. Erläuterungen zu Ziffer 6.2 44
Durch die Regelung zur Erfüllung von Auskunftspflichten wird klargestellt, dass sich ein Unternehmen bestehenden Auskunftspflichten nicht durch eine Berufung auf datenschutzrechtliche Bedenken entziehen kann. Die Schwierigkeit besteht regelmäßig darin, dass geprüft werden muss, ob geltend gemachte Auskunftsansprüche tatsächlich bestehen. Sollte sich ein Unternehmen in einem größeren Umfang derartiger Auskunftsansprüche ausgesetzt sehen, empfiehlt es sich, den Umgang mit derartigen Anfragen ausführlicher zu regeln. Das Muster deckt im Wesentlichen nur Auskunftsverlangen der Aufsichtsbehörden und den Umgang hiermit ab.
3. Erläuterungen zu Ziffer 6.3 45
Die Datenverarbeitung zur Geltendmachung eigener Ansprüche ist in § 28 BDSG nicht ausdrücklich vorgesehen. Die Geltendmachung eigener Ansprüche ist jedoch bereits ein Unterfall des § 28 Abs. 1 Satz 1 Nr. 1 BDSG, wenn mit dem Betroffenen ein Vertragsverhältnis besteht. Soweit die Geltendmachung eigener Rechte nicht Bestandteil der Vertragsabwicklung ist, dürfte gleichwohl ein berechtigtes Interesse i.S.v. § 28 Abs. 1 Nr. 2 BDSG vorliegen. In diesem Fall bedarf es jedoch einer Interessenabwägung, die in der Richtlinie durch die Prüfung der Verhältnismäßigkeit gewährleistet ist. 1 Leupold/Glossner/Scheja/Haag, Teil 4 Rz. 100 ff. führen zahlreiche Erlaubnistatbestände im BDSG und in anderen Gesetzen auf. 2 Gola/Schomerus, § 28 BDSG Rz. 13.
450
|
Meyer
Erläuterungen
Rz. 48 Teil 4 I
Die in dem Muster angesprochene Datenverarbeitung zur Erfüllung lebenswichtiger Interessen des Betroffenen findet sich u.a. in § 28 Abs. 6 Nr. 1 BDSG. Es kann regelmäßig unterstellt werden, dass der Betroffene mit diesem Vorgehen einverstanden ist, jedenfalls keine schutzwürdigen Interessen des Betroffenen entgegenstehen, da letztlich in seinem Sinne gehandelt wird.
46
4. Erläuterungen zu Ziffer 6.4 Schließlich bezieht sich das Muster auf den sehr praxisrelevanten Tatbestand, dass die Datenverarbeitung zur Wahrnehmung berechtigter Interessen erforderlich ist. Das Kriterium des berechtigten Interesses i.S.v. § 28 Abs. 1 Nr. 2 BDSG wird nicht weiter erläutert, weil die Klausel die unterschiedlichsten Sachverhalte abdecken kann. Es ist aber denkbar, dass typische Fallgestaltungen exemplarisch aufgeführt werden. In diesem Fall würde es sich anbieten, derartige Fallgestaltungen unter „Spezielle Formen der Datenverarbeitung“ zu regeln. Zur Absicherung des Unternehmens wird von den Mitarbeitern verlangt, die ohnehin erforderliche Interessenabwägung zu protokollieren, damit später der Nachweis möglich ist, dass tatsächliche eine Abwägung stattgefunden hat.
47
VII. Erläuterungen zu Ziffer 7 48
E 7. Einwilligung und Protokollierung 7.1 Eine Einwilligung des Betroffenen ist als Grundlage für die Datenverarbeitung ausreichend, wenn der Betroffene zuvor ausreichend informiert wurde und seine Einwilligung anschließend freiwillig erteilt hat. 7.2 Von einer ausreichenden Information ist auszugehen, wenn die wesentlichen Abläufe der Datenverarbeitung erläutert werden und insbesondere erklärt wird, zu welchem Zweck die Daten erhoben, gespeichert und verwendet werden. Der Betroffene soll darauf hingewiesen werden, dass seine Einwilligung frei widerruflich ist. Außerdem ist darauf zu achten, dass Einwilligungserklärungen gegenüber anderen Erklärungen optisch hervorgehoben werden. 7.3 Eine Einwilligung kann nur dann freiwillig abgegeben werden, wenn der Betroffene im Falle einer Verweigerung der Einwilligung keine gravierenden Nachteile zu befürchten hat. Wird die Inanspruchnahme oder Erbringung von Leistungen von einer Einwilligung abhängig gemacht, ist die erteilte Einwilligung regelmäßig dann freiwillig, wenn sie der Vertragsbegründung oder Vertragserfüllung dient oder wenn die Inanspruchnahme von Leistungen auch in anderer zumutbarer Weise möglich wäre. 7.4 Die Einwilligungserklärung des Betroffenen soll grundsätzlich schriftlich eingeholt werden. Die entsprechenden Einwilligungserklärungen sind für den Fall einer späteren Überprüfung zu protokollieren. 7.5 Bei einer schriftlich erteilten Einwilligung kann es zulässig sein, die Erklärung einzuscannen und das Original anschließend zu vernichten. Sofern Meyer
|
451
Teil 4 I
Rz. 49
Unternehmensrichtlinie Datenschutz
eine Einwilligung online eingeholt wird, ist darauf zu achten, dass eine Überprüfung erfolgt, bspw. über ein Double-Opt-in-Verfahren. 49
Nach der gesetzlichen Konzeption soll die verantwortliche Stelle sich bemühen, die Daten bei dem Betroffenen mit dessen Einwilligung zu erheben1. Für die Wirksamkeit der Einwilligung des Betroffenen sind die Voraussetzungen des § 4a BDSG zu beachten. Das Gesetz verlangt eine freie Entscheidung des Betroffenen, was voraussetzt, dass dieser zuvor ausreichend informiert wurde, damit er sich frei entscheiden kann.
1. Erläuterungen zu Ziffer 7.1 50
In dem Muster wird einleitend zunächst auf die Informationspflicht abgestellt und danach auf die Freiwilligkeit der Einwilligung. Beide Aspekte werden in einzelnen Absätzen jeweils erläutert.
2. Erläuterungen zu Ziffer 7.2 51
Im Hinblick auf die Information des Betroffenen besagt § 4 Abs. 1 Satz 2 BDSG explizit nur, dass über den vorgesehenen Zweck der Datenverarbeitung zu informieren ist. Es ist aber anerkannt, dass sich die Informationspflicht auf die gesamte beabsichtigte Verwendung der Daten bezieht2. Es ist nicht ausreichend, alleine über den Verwendungszweck zu informieren3. Das Muster verlangt daher, dass neben der Information über den Verwendungszweck allgemein die wesentlichen Abläufe erläutert werden. Die Informationspflicht ist dabei immer vor dem Hintergrund zu sehen, dass der Betroffene in die Lage versetzt werden soll, unter Abwägung aller Argumente zu entscheiden, ob er eine Einwilligung erteilen soll4.
52
Die einmal erteilte Einwilligung ist generell frei widerruflich. Die entsprechende Klarstellung im Muster hat also nur deklaratorische Bedeutung, dient aber auch der Transparenz.
53
Soweit die Regelung des Musters vorgibt, dass die Einwilligung von anderen Erklärungen optisch zu trennen ist, entspricht dies der Vorgabe des § 4a Abs. 1 Satz 4 BDSG und den Anforderungen der Rechtsprechung5.
3. Erläuterungen zu Ziffer 7.3 54
Für eine Freiwilligkeit ist es erforderlich, dass die Einwilligung durch den Betroffenen ohne Zwang abgegeben wird und auch nicht erschlichen wurde6. Bedenken gegen die Freiwilligkeit einer Einwilligung können sich vor allem ergeben 1 Buchner, DuD 2010, 39 zum Einwilligungserfordernis. 2 Simitis/Dammann, § 4a BDSG Rz. 72. 3 Bergmann/Möhrle/Herb, § 4a BDSG Rz. 81; LG Halle v. 18.3.1996 – 8 O 103/95, CR 1998, 85. 4 Simitis/Dammann, § 4a BDSG Rz. 70. 5 BGH v. 16.7.2008 – VIII ZR 348/06 – Payback, BGHZ 177, 253 (260). 6 Plath/Plath, § 4a BDSG Rz. 23.
452
|
Meyer
Erläuterungen
Rz. 57 Teil 4 I
bei einem wirtschaftlichen Machtgefälle oder bei Bestehen eines Abhängigkeitsverhältnisses. Das typische Beispiel für ein Abhängigkeitsverhältnis ist dabei die Beziehung zwischen Arbeitgeber und Arbeitnehmer, wenn der Arbeitgeber bei einem bestehenden Arbeitsverhältnis eine Einwilligung eines Arbeitnehmers einholen möchte. Innerhalb des Arbeitsverhältnisses ist eine freiwillige Einwilligung nicht per se ausgeschlossen, allerdings hat eine sorgsame Einzelfallprüfung zu erfolgen1. Es ist davon auszugehen, dass ein Unternehmen diesen Aspekt in der Regel nicht explizit in seiner Unternehmensrichtlinie ansprechen möchte. Dennoch sollte überlegt werden, eine entsprechende Klarstellung in die Unternehmensrichtlinie aufzunehmen. Auf diese Weise wird möglicherweise verhindert, dass ein Arbeitgeber im Vertrauen auf eine vermeintlich ausreichende Einwilligung eine Datenverarbeitung vornimmt, die tatsächlich wegen fehlender Freiwilligkeit der Einwilligung unzulässig ist und zu den entsprechenden datenschutzrechtlichen Konsequenzen führen kann. Es ist jedenfalls angezeigt, vor allem auch die leitenden Mitarbeiter für diesen Bereich zu sensibilisieren. Wenn eine Klarstellung vor diesem Hintergrund in die Unternehmensrichtlinie aufgenommen werden soll, kann wie folgt formuliert werden: „Eine Einwilligung während eines bestehenden Arbeitsverhältnisses ist insoweit problematisch, insbesondere wenn sie sich auf die Datenverarbeitung während des Arbeitsverhältnisses bezieht.“
55
4. Erläuterungen zu Ziffer 7.4 Die Formvorschrift entspricht den Vorgaben des § 4a Abs. 1 Satz 3 BDSG, wonach grundsätzlich eine schriftliche Einwilligung erforderlich ist, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Für den Bereich der elektronischen Kommunikation ist in diesem Zusammenhang geregelt, dass auf eine schriftliche Einwilligung verzichtet werden kann. Es wird insoweit auf das Double-Opt-in-Verfahren verwiesen, das jedoch im Regelfall nicht zwingend vorgeschrieben ist2.
56
5. Erläuterungen zu Ziffer 7.5 In der Praxis stellt sich vielfach die Frage, ob eine ursprünglich schriftlich eingeholte Einwilligungserklärung im Original aufbewahrt werden muss. Auch wenn einem Scan des Originals, der elektronisch archiviert wird, nicht die gleiche Beweiskraft zukommt, ist es empfehlenswert diese Möglichkeit zuzulassen3.
1 Plath/Plath, § 4a BDSG Rz. 28. 2 Gola/Schomerus, § 4a BDSG Rz. 29. 3 Roßnagel/Wilke, NJW 2006, 2145 zur Beweiskraft gescannter Unterlagen.
Meyer
|
453
57
Teil 4 I
Rz. 58
Unternehmensrichtlinie Datenschutz
VIII. Erläuterungen zu Ziffer 8 58
E 8. Zweckbindung 8.1 Personenbezogene Daten dürfen nur für den Zweck gespeichert und verarbeitet werden, für den sie ursprünglich erhoben wurden. Bei Einholung einer Einwilligung von dem Betroffenen ist auf den konkreten Zweck hinzuweisen. Es muss sich stets um einen rechtmäßigen Zweck der Datenverarbeitung handeln. 8.2 Wenn später eine Datenverarbeitung zu einem anderen Zweck erfolgen soll, dann muss auch hierfür eine Einwilligung eingeholt oder eine gesetzliche Ermächtigungsgrundlage vorliegen.
1. Erläuterungen zu Ziffer 8.1 59
Die Zweckbindung ist einer der wesentlichen datenschutzrechtlichen Grundsätze, aber ausdrücklich an keiner Stelle definiert. Die Schwierigkeit besteht vor allem darin, die Anforderungen an die Bestimmung des vorgesehenen Zwecks richtig zu bestimmen. Wenn der Zweck zu eng gefasst wird, entsteht u.a. bei der Information des Betroffenen ein unverhältnismäßiger Aufwand1. Wird der Zweck zu allgemein festgelegt, ist für den Betroffenen auf der anderen Seite keine sinnvolle Prüfung möglich, inwieweit die vorgesehene Datenverarbeitung seine schutzwürdigen Interessen berühren kann2. Zumeist wird verlangt, den typischen Sachverhalt der Datenverarbeitung generalisiert darzustellen3. In diesem Zusammenhang macht es unter Umständen Sinn, in der Unternehmensrichtlinie ein typisches Beispiel aus dem jeweiligen Unternehmensalltag aufzuführen.
60
Eine Vielzahl von datenschutzrechtlichen Bestimmungen stellt darauf ab, dass die Datenverarbeitung nur für bestimmte, zuvor definierte Zwecke zulässig ist oder sich daran zu orientieren hat4. Auf diese Weise ist der Grundsatz der Zweckbindung umfassend im Datenschutzrecht verankert. Das Muster definiert den Grundsatz der Zweckbindung vor diesem Hintergrund ausdrücklich als zentrale Voraussetzung für die Zulässigkeit der Datenverarbeitung.
61
Eine Datenverarbeitung ist damit nicht zulässig, wenn es an einem Zweck fehlt, also Daten bspw. zunächst auf Vorrat gespeichert werden sollen. Insoweit wäre auch das Prinzip der Datensparsamkeit verletzt5. Die Datenverarbeitung ist auch unzulässig, wenn schon der hierfür vorgesehene Zweck rechtswidrig ist.
2. Erläuterungen zu Ziffer 8.2 62
Eine spätere Änderung der Zweckbindung führt zwangsläufig dazu, dass erneut geprüft werden muss, inwieweit die Datenverarbeitung auch unter dem ver1 2 3 4 5
Plath/Plath, § 28 BDSG Rz 89. Simitis/Simitis, § 28 BDSG Rz 42. Plath/Plath, § 28 BDSG Rz 89. Vgl. etwa §§ 3a, 4b Abs. 3, 6b Abs. 3, 28, 29 BDSG. Simitis/Scholz, § 3a BDSG Rz. 35; BVerfG v. 15.12.1983 – 1 BvR 209/83 u.a. – Volkszählung, BVerfGE 65, 1 (46).
454
|
Meyer
Erläuterungen
Rz. 66 Teil 4 I
änderten Zweck zulässig ist. Damit ist eine nachträgliche Zweckänderung nicht generell ausgeschlossen, aber an enge Voraussetzungen geknüpft. Systematisch handelt es sich bei der nachträglichen Zweckänderung um eine gesetzlich erlaubte Ausnahme vom Zweckbindungsgrundsatz1. Es ist daher gerechtfertigt, bei der Gestaltung des Musters zunächst den Grundsatz der Zweckbindung festzuschreiben, ohne hier bereits auf einzelne Ausnahme von diesem Grundsatz hinzuweisen.
IX. Erläuterungen zu Ziffer 9 63
E 9. Verhältnismäßigkeit 9.1 Bei der Erhebung, Speicherung und Verarbeitung personenbezogener Daten ist der Grundsatz der Verhältnismäßigkeit zu beachten. Der Grundsatz der Verhältnismäßigkeit ist beachtet, wenn die Datenverarbeitung dazu geeignet ist, einen legitimen Zweck zu erreichen. Weiter darf kein milderes, gleichermaßen geeignetes Mittel zur Erreichung des vorgesehenen Zwecks zur Verfügung stehen. Schließlich ist zu prüfen, ob der Datenverarbeitung keine überwiegenden schutzwürdigen Interessen des Betroffenen entgegenstehen. 9.2 Als milderes Mittel kann bspw. die Erhebung, Speicherung und Verarbeitung von aggregierten Daten oder sonstigen Daten ohne Personenbezug in Betracht kommen. 9.3 Bei der Prüfung der Verhältnismäßigkeit kann insbesondere der Ursprung der personenbezogenen Daten (geschäftlich, privat oder intim) zu berücksichtigen sein. Weiter ist das mit der Datenverarbeitung verbundene Risiko einer Beeinträchtigung von Persönlichkeitsrechten abzuschätzen. Der Grundsatz der Verhältnismäßigkeit wird als zentraler Prüfungsmaßstab in dem Muster definiert. Auf diese Weise soll erreicht werden, dass bei jedem Datenverarbeitungsvorgang dessen Notwendigkeit und Rechtfertigung geprüft wird2.
64
1. Erläuterungen zu Ziffer 9.1 Entsprechend des allgemeinen Aufbaus der Verhältnismäßigkeitsprüfung ist zunächst das Vorliegen eines legitimen Zwecks zu überprüfen. Fehlt es schon an einem solchen legitimen Zweck der Datenverarbeitung, so ist sie schon aus diesem Grund unzulässig.
65
Auf der zweiten Stufe ist die Geeignetheit zu überprüfen. Die Datenverarbeitung ist geeignet, wenn der legitime Zweck durch die Datenverarbeitung erreicht werden kann. Die Anforderungen bei der Geeignetheit sind nicht besonders hoch. Es geht vielmehr darum, die Plausibilität der vorgesehenen Daten-
66
1 Plath/Plath, § 28 BDSG Rz. 91. 2 Die Grundsätze der Datenvermeidung und Datensparsamkeit werden als Ausfluss des Grundsatzes der Verhältnismäßigkeit angesehen, vgl. Plath/Schreiber, § 3a BDSG Rz. 2.
Meyer
|
455
Teil 4 I
Rz. 67
Unternehmensrichtlinie Datenschutz
verarbeitung zu hinterfragen. Wenn personenbezogene Daten abgefragt werden, die überhaupt nicht für den vorgesehenen Zweck benötigt werden, fehlt es bereits an der Geeignetheit der vorgesehenen Datenerhebung. Oftmals scheitert die Prüfung der Verhältnismäßigkeit aber erst auf der nächsten Prüfungsstufe bei der Erforderlichkeit. Im Rahmen der Erforderlichkeit ist zu prüfen, ob es kein milderes, aber gleich geeignetes Mittel zur Zweckerfüllung gibt. Das Muster nennt als Beispiele angemessener Maßnahmen insbesondere die Möglichkeit der Datenverarbeitung ohne Personenbezug, etwa durch Nutzung aggregierter Daten oder anonymisierter Daten oder die Möglichkeit der Verwendung pseudonymisierter Daten. Im Gesetz wird dieser Aspekt auch unter dem Gesichtspunkt der Datensparsamkeit i.S.v. § 3a BDSG erfasst1. Schließlich sind bei der Prüfung der Angemessenheit, auch als Verhältnismäßigkeit im engeren Sinne bezeichnet, die Interessen des Unternehmens gegenüber den Interessen des Betroffenen abzuwägen. Das Gesetz verlangt in unterschiedlichen Abstufungen eine solche Interessenabwägung regelmäßig bei der Prüfung der Zulässigkeit der Datenverarbeitung.
2. Erläuterungen zu Ziffer 9.2 67
Im Muster sind beispielhaft Maßnahmen aufgeführt, die bei der Prüfung der Erforderlichkeit berücksichtigt werden können. Auf diese Weise sollen Anhaltspunkte gegeben werden, wie die zuvor definierte Prüfung erfolgen kann.
3. Erläuterungen zu Ziffer 9.3 68
Ähnlich wie bei der Prüfung der Erforderlichkeit nennt das Muster auch beispielhaft Aspekte, die bei der Interessenabwägung zu berücksichtigen sein können. Abhängig von den typischen Datenverarbeitungsvorgängen in einem Unternehmen können weitere Beispiele genannt werden.
X. Erläuterungen zu Ziffer 10 69
E 10. Datenvermeidung und Datensparsamkeit 10.1 Die Datenverarbeitung im Unternehmen ist so zu organisieren, dass so wenig personenbezogene Daten wie möglich erhoben, gespeichert und verarbeitet werden. Wenn personenbezogene Daten nicht mehr benötigt werden, sollen diese gelöscht werden. 10.2 Für die im Unternehmen gespeicherten Daten ist festzulegen, für welchen Zeitraum eine Aufbewahrung bzw. Speicherung zu erfolgen hat. Gesetzliche Aufbewahrungspflichten sind hierbei zu beachten. Nach Ablauf der Aufbewahrungsfrist bzw. Speicherdauer ist für eine Löschung der Daten zu sorgen, idealerweise durch ein automatisiertes Verfahren. 1 Die Regelung des § 3a BDSG konkretisiert letztlich den Grundsatz der Verhältnismäßigkeit, vgl. Plath/Schreiber, § 3a BDSG Rz. 2.
456
|
Meyer
Erläuterungen
Rz. 72 Teil 4 I
10.3 Im Rahmen der Datenverarbeitung ist immer zu überprüfen, ob es zur Erfüllung der vorgesehenen Zwecke ausreichend ist, personenbezogene Daten zu anonymisieren oder zu pseudonymisieren. Bei entsprechenden Maßnahmen ist darauf zu achten, dass bei den entsprechend bearbeiteten Daten für den Empfänger der Daten jedenfalls kein Personenbezug mehr hergestellt werden kann, zumindest nicht mit verhältnismäßigem Aufwand.
1. Erläuterungen zu Ziffer 10.1 Der Grundsatz der Datenvermeidung setzt typischerweise schon bei der Konzeption der Datenverarbeitungsvorgänge an1. Es soll dafür Sorge getragen werden, dass die Vorgänge möglichst so gestaltet werden, dass so wenig personenbezogene Daten wie möglich erhoben, gespeichert und verarbeitet werden. Die angemessene Konzeption der Datenverarbeitungsvorgänge unter Berücksichtigung des Grundsatzes der Datenvermeidung wird vielfach auch unter dem Stichwort „Privacy by Design“ (PbD) diskutiert2.
70
Die Datenvermeidung ist genau wie die Datensparsamkeit als Zielvorgabe in § 3a BDSG normiert3. Streng genommen handelt es sich jedoch um zwei Prüfungsschritte, die nacheinander vorzunehmen sind4. Im Muster wird auf eine deutliche Trennung verzichtet. In der praktischen Handhabung dürfte es Sinn machen, die Zielvorgaben als Bestandteil der Prüfung der Zulässigkeit der Datenverarbeitung zu berücksichtigen.
71
2. Erläuterungen zu Ziffer 10.2 Zur Datensparsamkeit gehört es auch, ursprünglich benötigte Daten zu löschen bzw. zu sperren, wenn die Notwendigkeit für eine weitere Aufbewahrung bzw. Speicherung entfällt. Die Vorgabe der Datensparsamkeit kann jedoch im Widerspruch stehen zu gesetzlichen Aufbewahrungspflichten, so dass hierauf im Muster ausdrücklich hingewiesen wird. Soweit keine Aufbewahrungspflichten bestehen, sollen personenbezogene Daten jedoch nach Ablauf der Aufbewahrungszeit bzw. Speicherdauer gelöscht werden. Um sicherzustellen, dass die personenbezogenen Daten tatsächlich nach Ablauf der Aufbewahrungsfrist gelöscht werden, sind nach Möglichkeit technisch gestützte Prüf- und Löschroutinen vorzusehen5. Ohne einen klar definierten Prozess besteht die Gefahr, dass Daten über die eigentlich vorgesehene Aufbewahrungszeiten verfügbar bleiben, obwohl allen Beteiligten klar ist, dass die Daten eigentlich zu löschen sind.
1 2 3 4 5
Gola/Schomerus, § 3a BDSG Rz. 4. Schulz, CR 2012, 204. Gola/Schomerus, § 3a BDSG Rz. 2. Gola/Schomerus, § 3a BDSG Rz. 5. Plath/Schreiber, § 3a BDSG Rz. 10; Simitis/Scholz, § 3a BDSG Rz. 36.
Meyer
|
457
72
Teil 4 I
Rz. 73
Unternehmensrichtlinie Datenschutz
3. Erläuterungen zu Ziffer 10.3 73
Auf die Möglichkeit einer anonymisierten und pseudonymisierten Erhebung, Speicherung und Verarbeitung von Daten wurde bereits im Rahmen der Verhältnismäßigkeitsprüfung hingewiesen (siehe Rz. 66). Auch bei Erläuterung der Zielvorgaben zur Datenvermeidung und Datensparsamkeit erfolgt nochmals ein entsprechender Hinweis. Gleichzeitig wird definiert, unter welchen Voraussetzungen von einer ausreichenden Anonymisierung und Pseudonymisierung auszugehen ist. Es wird insoweit auf die Definitionen des § 3 Abs. 6 und 6a BDSG zurückgegriffen1.
74
Bei der Anonymisierung wird der Personenbezug so entfernt, dass auch für die verarbeitende Stelle eine Reanonymisierung, also ein Wiederherstellen des Personenbezugs, unter normalen Bedingungen unmöglich ist2. Im Gegensatz dazu bleibt bei der Pseudonymisierung ein Personenbezug regelmäßig bestehen, jedenfalls bei der verarbeitenden Stelle3. Wenn die pseudonymisierten Daten allerdings weitergegeben werden, sollte zumindest für den Empfänger kein Personenbezug mehr herstellbar sein. Das Muster berücksichtigt diesen Unterschied, indem im Hinblick auf den Personenbezug auf den Empfänger der anonymisierten bzw. pseudonymisierten Daten abgestellt wird.
XI. Erläuterungen zu Ziffer 11 75
E 11. Direkterhebung und Information des Betroffenen 11.1 Personenbezogene Daten sind grundsätzlich bei dem Betroffenen direkt zu erheben. Eine Erhebung bei Dritten ist nur dann zulässig, wenn dies gesetzlich vorgesehen ist, das Vorgehen im Interesse des Betroffenen ist oder eine Direkterhebung nur mit unverhältnismäßigem Aufwand möglich wäre. 11.2 Der Betroffene ist grundsätzlich darüber zu informieren, wenn personenbezogene Daten über ihn erhoben, gespeichert oder verarbeitet werden. Eine gesonderte Information kann unterbleiben, wenn ihm die Datenverarbeitung bekannt ist. Hiervon ist bspw. auszugehen, wenn eine Einwilligung des Betroffenen eingeholt wurde und der Betroffene in diesem Zusammenhang vorab informiert wurde.
1. Erläuterungen zu Ziffer 11.1 76
Der Grundsatz der Direkterhebung ist gesetzlich in § 4 Abs. 2 Satz 1 BDSG normiert. In § 4 Abs. 2 Satz 2 BDSG werden Ausnahmen definiert, bei denen eine Erhebung auch bei einem Dritten erfolgen darf. In das Muster übernommen wurde die Ausnahmeregelung des § 4 Abs. 2 Satz 2 Nr. 2 Buchst. b BDSG, die eine Datenerhebung bei einem Dritten im Falle eines unverhältnismäßigen 1 Härting, NJW 2013, 2065 zur Anonymisierung und Pseudonymisierung. 2 Gola/Schomerus, § 3 BDSG Rz. 44. 3 Gola/Schomerus, § 3 BDSG Rz. 46.
458
|
Meyer
Erläuterungen
Rz. 81 Teil 4 I
Aufwandes für die Direkterhebung vorsieht. Außerdem ermöglicht das Muster Ausnahmen von der Direkterhebung in Übereinstimmung mit den gesetzlichen Bestimmungen oder im Interesse des Betroffenen. Die erstgenannte Alternative ist auch in § 4 Abs. 2 BDSG vorgesehen1; die zweite Alternative ist nicht ausdrücklich vorgesehen, allerdings dürften relevante Interessen des Betroffenen nicht entgegenstehen. Das Muster sieht ohnehin eine generelle Prüfung der Verhältnismäßigkeit vor, so dass etwaige Ausnahmen im Einzelfall so berücksichtigt werden können.
2. Erläuterungen zu Ziffer 11.2 Wenn grundsätzlich eine Direkterhebung erfolgt, dann dürfte dem Betroffenen die Erhebung, Speicherung und Verarbeitung seiner personenbezogenen Daten grundsätzlich bekannt sein. Unabhängig hiervon ist nach der gesetzlichen Konzeption wegen § 4 Abs. 3 BDSG zunächst eine Unterrichtung des Betroffenen erforderlich. Auf diese Weise soll der Betroffene überhaupt erst in die Lage versetzt werden, sich gegen die Datenverarbeitung zur Wehr zu setzen. Im Muster ist basierend auf den Ausnahmeregelungen des § 4 Abs. 3 BDSG ausdrücklich geregelt, dass eine separate Unterrichtung des Betroffenen dann nicht mehr erforderlich ist, wenn zuvor seine Einwilligung eingeholt wurde und er in diesem Zusammenhang ausführlich aufgeklärt wurde.
77
Die Regelung des § 4 Abs. 3 BDSG über die Information des Betroffenen gilt dem Wortlaut nach nur für den Fall der Direkterhebung. Wenn die Daten gerade nicht bei dem Betroffenen erhoben werden, findet die Regelung keine Anwendung. Es ergibt sich dann jedoch eine Informationspflicht aus § 33 BDSG2. Vor diesem Hintergrund sieht das Muster eine generelle Informationspflicht für beide Varianten vor.
78
XII. Erläuterungen zu Ziffer 12 E 12. Datenqualität
79
12.1 Alle Mitarbeiter haben darauf zu achten, dass personenbezogene Daten richtig sind und auf dem neuesten Stand gehalten werden. 12.2 Unzutreffende oder unvollständige Daten sollen berichtigt oder gelöscht werden. Betroffene haben gem. § 35 Abs. 1 BDSG einen Berichtigungsanspruch bei unzutreffenden Daten, der in dem Muster berücksichtigt ist.
80
1. Erläuterungen zu Ziffer 12.1 Der Anspruch auf Berichtigung der Daten eines Betroffenen ist zunächst im Zusammenhang mit den Auskunfts- und Korrekturrechten des Betroffenen zu 1 Simitis/Sokol, § 4 BDSG Rz. 26. 2 Simitis/Sokol, § 4 BDSG Rz. 38.
Meyer
|
459
81
Teil 4 I
Rz. 82
Unternehmensrichtlinie Datenschutz
sehen, die diesen schützen sollen1. Unabhängig hiervon hat auch das Unternehmen ein Interesse an einem richtigen und vollständigen Datenbestand. Die Anforderungen an die Datenqualität und die Anweisung an die Mitarbeiter zur Berichtigung oder Löschung unzutreffender oder unvollständiger Daten haben nicht primär einen datenschutzrechtlichen Hintergrund, aber zumindest eine datenschutzrechtliche Komponente.
2. Anmerkungen zu Ziffer 12.2 82
Durch die Vorgabe in dem Muster wird verhindert, dass unzutreffende oder unvollständige Daten über einen Betroffenen weiter gespeichert oder weiter verbreitet werden, wodurch die Rechte des Betroffenen beeinträchtigt würden. Dem Muster ist dabei zu entnehmen, dass eine Korrektur unabhängig von der Geltendmachung eines Berichtigungsanspruchs durch den Betroffenen erfolgen soll.
XIII. Erläuterungen zu Ziffer 13 83
E 13. Datensicherheit 13.1 Für das Unternehmen ist von großer Bedeutung, dass die Sicherheit der Daten jederzeit gewährleistet ist. Vor diesem Hintergrund sind die Daten u.a. ausreichend gegen Verlust, gegen unbefugten Zugriff und vor anderen Gefahren zu schützen. 13.2 Es ist daher dafür zu sorgen, dass angemessene Maßnahmen getroffen werden, um personenbezogene Daten zu schützen. Der Schutz hat durch technische und organisatorische Maßnahmen zu erfolgen. 13.3 Für die einzelnen Vorgänge der Datenverarbeitung sind die konkreten Schutzmaßnahmen zu dokumentieren und auf ihre Angemessenheit zu überprüfen. 13.4 Die IT-Abteilung kann weitergehende Vorgaben im Interesse der Datensicherheit erlassen, insbesondere in Bezug auf die Nutzung von IT-Systemen im Unternehmen.
84
Datensicherheit und Datenschutz hängen zwar zusammen, sind aber eigenständige Regelungsbereiche und haben eigene Zielrichtungen. Bei der Datensicherheit wird der Schwerpunkt auf die Verfügbarkeit, Authentizität und Integrität von Daten gelegt2.
1. Erläuterungen zu Ziffer 13.1 und 13.2 85
Vorkehrungen zur Datensicherheit sind zugleich Voraussetzung für die Akzeptanz der Datenverarbeitung, da auch hierdurch sichergestellt wird, dass die Interessen und Rechte der Betroffenen nicht über Gebühr beeinträchtigt werden. Die Datensicherheit wird durch technische und organisatorische Maßnahmen 1 Gola/Schomerus, § 35 BDSG Rz. 1. 2 Gola/Schomerus, § 9 BDSG Rz. 2.
460
|
Meyer
Erläuterungen
Rz. 89 Teil 4 I
gewährleistet. Anknüpfungspunkt in datenschutzrechtlicher Hinsicht sind insoweit § 9 BDSG und die Anlage zu § 9 BDSG.
2. Erläuterungen zu Ziffer 13.3 und 13.4 Mögliche Risiken in Bezug auf Datenschutz und Datensicherheit können nur dann schnell erkannt werden, wenn die Schutzmaßnahmen ausreichend dokumentiert sind. Das Muster sieht insoweit vor, dass die konkreten Schutzmaßnahmen dokumentiert werden sollen. Für konkrete Vorgaben zur Gewährleistung der Datensicherheit verweist das Muster auf andere Richtlinien, wobei die Regelungskompetenz auf die IT-Abteilung übertragen wird. Es ist auch denkbar, die Vorgaben zum Datenschutz und zur Datensicherheit in einer Richtlinie zu kombinieren.
86
XIV. Erläuterungen zu Ziffer 14 E 14. Werbemaßnahmen
87
14.1 Im Vorfeld eines Vertrags ist es während der Phase der Vertragsanbahnung zulässig, Daten zur Erstellung von Angeboten, zur Vorbereitung von Vertragsunterlagen und zur Erfüllung sonstiger auf einen Vertragsabschluss gerichtete Wünsche zu verarbeiten. 14.2 Soweit potentielle Kunden eine Einwilligung erteilt haben, können sie auch unter Verwendung der Daten, die sie mitgeteilt haben, kontaktiert werden. Etwaige Einschränkungen des potentiellen Kunden sind hierbei zu beachten. 14.3 Für die Kommunikation während eines laufenden Vertragsverhältnisses mit einem Kunden ist dessen Einwilligung zur Datenverarbeitung nicht erforderlich, soweit die Datenverarbeitung zur Erfüllung der vertraglichen Verpflichtungen erforderlich ist. Soll der Kunde während eines laufenden Vertragsverhältnisses zu Werbezwecken kontaktiert werden, so soll vorher eine entsprechende Einwilligung des Kunden eingeholt werden, idealerweise bei Abschluss des Vertrags. Personenbezogene Daten werden in einem Unternehmen insbesondere bei Werbe- und Marketingmaßnahmen verwendet. In dem Muster ist die Nutzung personenbezogener Daten zu diesen Zwecken daher unter den speziellen Formen der Datenverarbeitung ausführlicher geregelt.
88
1. Erläuterungen zu Ziffer 14.1 Bei der Vertragsanbahnung besteht üblicherweise ein rechtsgeschäftsähnliches Schuldverhältnis i.S.v. § 28 Abs. 1 Nr. 1 BDSG, so dass insoweit auch die Datenverarbeitung ohne ausdrückliche Einwilligung des Betroffenen möglich sein kann1. 1 Simitis/Simitis, § 28 BDSG Rz. 88.
Meyer
|
461
89
Teil 4 I
Rz. 90
Unternehmensrichtlinie Datenschutz
2. Erläuterungen zu Ziffer 14.2 90
Wenn eine Einwilligung des Betroffenen vorliegt, ist die Datenverarbeitung in dem Umfang zulässig, wie sie von der Einwilligung umfasst ist. Das Muster stellt insoweit nur klar, dass etwaige Einschränkungen des Betroffenen zu beachten sind. Der Betroffene hat die Möglichkeit, seine Einwilligung insgesamt zu widerrufen; er darf aber auch die Reichweite seiner Einwilligung beliebig beschränken.
3. Erläuterungen zu Ziffer 14.3 91
Mit Abschluss des Vertrags ist die Phase der Vertragsanbahnung abgeschlossen. Die weitergehende Verwendung der im Rahmen der Vertragsanbahnung erlangten Daten muss daher genau geprüft werden. Es sind insoweit datenschutzrechtliche und werberechtliche Vorgaben zu beachten, die sich teilweise ergänzen. Durch § 7 Abs. 3 UWG ist es einem Unternehmen bspw. gestattet, im Rahmen einer Vertragsabwicklung erlangte Daten auch für die Direktwerbung für eigene ähnliche Waren oder Dienstleistungen zu verwenden1.
92
Die sicherste Variante ist es jedoch, im Rahmen des Vertragsabschlusses zugleich die Einwilligung des Betroffenen für zukünftige Werbemaßnahmen einzuholen. Bei einer solchen Koppelung ist nur zu beachten, dass die Einwilligung weiterhin freiwillig erteilt wird, also bspw. die Einwilligung nicht zwingende Voraussetzung für den Vertragsabschluss ist. Es kann im Einzelfall bspw. bedenklich sein, wenn eine Ware nur bestellt werden kann, wenn der Kunde gleichzeitig zwingend die Einwilligung in den Erhalt weiterer Werbung erteilen muss2. In diesem Zusammenhang ist insbesondere die gesetzliche Vorgabe des § 28 Abs. 3b BDSG zu beachten, wonach die erteilte Einwilligung unwirksam ist, wenn der Betroffene keinen Zugang zu gleichwertigen vertraglichen Leistungen ohne Erklärung der Einwilligung hat. Unabhängig hiervon macht die zwangsweise Koppelung auch deshalb wenig Sinn, weil ohnehin nicht verhindert werden kann, dass der Betroffene nach der Bestellung die (zwangsweise) erteilte Einwilligung direkt widerruft. Die Einwilligung ist jederzeit frei widerruflich, ohne dass diese Möglichkeit ausgeschlossen werden könnte3.
XV. Erläuterungen zu Ziffer 15 93
E 15. Erstellung von Nutzerprofilen 15.1 Nutzerprofile mit Personenbezug dürfen nur mit Einwilligung des Betroffenen oder bei Vorliegen einer gesetzlichen Ermächtigungsgrundlage erstellt werden. Andernfalls ist durch organisatorische und technische Maßnahmen sicherzustellen, dass Nutzerprofile nur ohne Personenbezug erstellt werden. 1 Piper/Ohly/Sosnitza/Ohly, § 7 UWG Rz. 73 zu den Voraussetzungen der Werbung ohne Einwilligung. 2 Simitis/Simitis, § 4a BDSG Rz. 63. 3 Plath/Plath, § 4a BDSG Rz. 70.
462
|
Meyer
Erläuterungen
Rz. 98 Teil 4 I
15.2 Ohne Einwilligung des Betroffenen und ohne eine besondere Ermächtigungsgrundlage bleiben statistische Auswertungen und Untersuchungen auf Basis anonymisierter oder pseudonymisierter Daten möglich. Soweit jedoch pseudonymisierte Nutzerprofile angelegt werden, muss der Betroffene hierüber informiert werden und eine Widerspruchsmöglichkeit haben. Nutzerprofile können insbesondere im Online-Bereich erzeugt werden, bspw. bezüglich der Nutzung von Internetseiten und Online-Shops. Für diesen Bereich existieren gesetzliche Vorgaben in § 15 TMG, an denen sich die Vorgaben im Muster orientieren.
94
Nutzerprofile können aber auch außerhalb des Bereichs der Nutzung von Telemedien erstellt werden, bspw. über das Kaufverhalten von Kunden. Hierzu benötigt das Unternehmen jedoch eine Möglichkeit zur Identifizierung einzelner Kunden, bspw. durch Kunden- oder Rabattkarten. Da derartige Karten typischerweise personalisiert ausgegeben werden, ist eine Einwilligung des Betroffenen nach der Regelung im Muster erforderlich.
95
1. Erläuterungen zu Ziffer 15.1 Personalisierte Nutzungsprofile dürfen in jedem Fall mit Einwilligung des Betroffenen erstellt werden1. Das Muster sieht daher die Einholung der Einwilligung als Regelfall vor und definiert nachfolgend nur die Ausnahmen, bei denen eine Profilerstellung im Einzelfall ohne Einwilligung möglich sein kann.
96
2. Erläuterungen zu Ziffer 15.2 Für Nutzerprofile, die unter Nutzung von Pseudonymen erstellt werden, sieht § 15 Abs. 3 TMG eine Widerspruchsmöglichkeit vor und verlangt eine entsprechende Information des Betroffenen, damit dieser auch von der Widerspruchsmöglichkeit (Opt-out) Gebrauch machen kann2. Soweit eine Profilbildung ohne jeglichen Personenbezug erfolgt, also nur anonymisierte Nutzerprofile ausgewertet werden, bedarf es nicht einmal einer Widerspruchsmöglichkeit des Betroffenen.
97
XVI. Erläuterungen zu Ziffer 16 E 16. Auftragsdatenverarbeitung
98
16.1 Wenn Dienstleister des Unternehmens in dessen Auftrag personenbezogene Daten erheben, speichern oder verarbeiten, ist zu beachten, dass die gleichen Sorgfaltsanforderungen wie beim Unternehmen auch für den Dienstleister gelten. 16.2 Der Dienstleister wird im Auftrag und auch unter der Verantwortung des Unternehmens tätig. Trotz der Durchführung der Datenverarbeitung 1 Hoeren/Sieber/Schmitz, Teil 16.2 Rz. 216. 2 Härting, NJW 2013, 2065 (2067).
Meyer
|
463
Teil 4 I
Rz. 99
Unternehmensrichtlinie Datenschutz
durch den Dienstleister bleibt das Unternehmen die verantwortliche Stelle, so dass der Dienstleister sorgfältig auszuwählen ist. 16.3 Spätestens mit Beginn der Tätigkeit für das Unternehmen ist dafür Sorge zu tragen, dass der Dienstleister einen gesonderten Vertrag zur Auftragsdatenverarbeitung unterzeichnet hat und die Einhaltung der Pflichten aus dem Vertrag zur Auftragsdatenverarbeitung kontrolliert wird. Abweichungen von dem Standardvertrag zur Auftragsdatenverarbeitung des Unternehmens sind mit dem Datenschutzbeauftragten abzustimmen. 99
Im Rahmen der arbeitsteiligen Aufgabenerledigung ist es üblich, dass Unternehmen die Erledigung bestimmter Aufgaben an Dienstleister auslagern. Diese werden oftmals den Zugriff auf personenbezogene Daten des Unternehmens benötigen, damit sie die ihnen übertragenen Aufgaben erledigen können.
100
Erfolgt eine eigenverantwortliche Datenverarbeitung durch den Dienstleister zur Erfüllung seiner Aufgaben, liegt ein Fall der Funktionsübertragung vor1. Der Dienstleister ist für die Datenverarbeitung in seinem Bereich verantwortlich und das beauftragende Unternehmen muss sicherstellen, dass dem Dienstleister die personenbezogenen Daten zur eigenverantwortlichen Datenverarbeitung übertragen werden dürfen. Positiven Einfluss auf die Zulässigkeit kann dabei auch im Fall der Funktionsübertragung eine Datenschutzvereinbarung mit dem Dienstleister haben2. Ein Fall der Auftragsdatenverarbeitung liegt dann nicht vor3.
101
Ein Fall der Auftragsdatenverarbeitung i.S.v. § 11 BDSG ist gegeben, wenn zwar die Datenverarbeitung durch den Dienstleister erfolgt, dieser aber im Auftrag, nach Weisung und unter der Verantwortung des beauftragenden Unternehmens (Auftraggeber) tätig wird. Verantwortliche Stelle bleibt dann der Auftraggeber; rechtlich liegt kein Fall der Datenübermittlung vor, weil die Datenverarbeitung durch den Dienstleister für den Auftraggeber erfolgt. Für den Auftraggeber hat dies den Vorteil, dass nicht geprüft werden muss, inwieweit eine Datenübermittlung zulässig wäre. Es wird auch vertreten, dass die Auftragsdatenverarbeitung gegenüber dem Betroffenen nicht einmal offengelegt werden muss4. Aus Sicht des Unternehmens ist damit die Auftragsdatenverarbeitung ein privilegierter Vorgang der Datenverarbeitung. Im Gegenzug muss das Unternehmen jedoch dafür sorgen, dass alle gesetzlichen Vorgaben zur Auftragsdatenverarbeitung nach § 11 BDSG eingehalten werden. In der Praxis legt der Auftraggeber dem Dienstleister einen Mustervertrag zur Auftragsdatenverarbeitung vor, der den gesetzlichen Anforderungen entspricht5. Das Muster regelt insoweit nur, dass der entsprechende Standardvertrag zum Einsatz kommt. Es ist auch denkbar, dass der Mustervertrag zur Auftragsdatenverarbeitung von einem entsprechend spezialisierten Dienstleister vorgelegt wird, der dann zu1 2 3 4 5
Gola/Schomerus, § 11 BDSG Rz. 9. S. hierzu das Muster in Teil 6 I. Leupold/Glossner/Scheja/Haag, Teil 4 Rz. 255 zur Abgrenzung. Gola/Schomerus, § 4 BDSG Rz. 33. S. hierzu das Muster eines auftraggeberfreundlichen Auftragsdatenverarbeitungsvertrags in Teil 2 I.
464
|
Meyer
Erläuterungen
Rz. 105 Teil 4 I
meist eher auftragnehmerfreundlich ist1. Dieser Fall ist im Muster ebenfalls berücksichtigt. Um eine datenschutzrechtliche Prüfung zu gewährleisten, ist eine Abstimmungspflicht mit dem Datenschutzbeauftragten des Unternehmens vorgesehen.
1. Erläuterungen zu Ziffer 16.1 Im Muster wird auf eine Klarstellung verzichtet, dass die Auftragsdatenverarbeitung grundsätzlich möglich und zulässig ist, weil dies als selbstverständliche Notwendigkeit angesehen wird. Stattdessen erfolgt eine Klarstellung, dass die Nutzung der Auftragsdatenverarbeitung nicht zur Absenkung des Datenschutzniveaus führen darf, weswegen im Ergebnis auch die Auftragsdatenverarbeiter die gleiche Sorgfalt an den Tag legen und sich idealerweise ebenfalls den Regelungen der Unternehmensrichtlinie unterwerfen müssen.
102
2. Erläuterungen zu Ziffer 16.2 Die Regelung des Musters verweist auf die rechtlichen Konsequenzen der Auftragsdatenverarbeitung, und zwar die Verantwortung des Unternehmens für die auf den Auftragsdatenverarbeiter übertragenen Aktivitäten. Der Hinweis auf die Notwendigkeit einer sorgfältigen Auswahl greift die gesetzliche Regelung des § 11 Abs. 2 Satz 1 BDSG auf2.
103
3. Erläuterungen zu Ziffer 16.3 Die Kontrolle des Dienstleisters ist im Muster als besonders wichtiges Merkmal hervorgehoben, obwohl der Kontrollumfang ohnehin im Vertrag zur Auftragsdatenverarbeitung gem. § 11 Abs. 2 Nr. 7 BDSG geregelt sein muss3. Das Muster weist jedoch darauf hin, dass der Auftraggeber sich nicht nur Kontrollrechte vorbehalten muss, sondern eine konkrete Kontrolle erwartet wird. Bei Beauftragung neuer Dienstleister hat eine sorgfältige Auswahl zu erfolgen, ggf. ist vor der Auftragserteilung eine Überprüfung des Dienstleisters vorzunehmen.
104
XVII. Erläuterungen zu Ziffer 17 E 17. Automatisierte Einzelentscheidungen
105
17.1 Entscheidungen, die für den Betroffenen negative rechtliche Folgen nach sich ziehen oder ihn erheblich beeinträchtigen können, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung von personenbezogenen Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dient, bspw. der beruflichen Leistungsfähigkeit. Die Datenverarbeitung darf nur als Hilfsmittel für die Entscheidung herangezogen werden, ohne dabei deren einzige Grundlage zu bilden. 1 S. hierzu das Muster eines auftragnehmerfreundlichen Auftragsdatenverarbeitungsvertrags in Teil 2 II. 2 Plath/Plath, § 11 BDSG Rz. 90. 3 Plath/Plath, § 11 BDSG Rz. 108.
Meyer
|
465
Teil 4 I
Rz. 106
Unternehmensrichtlinie Datenschutz
17.2 Sofern im Einzelfall eine Notwendigkeit für automatisierte Einzelentscheidungen besteht, muss für den Betroffenen die Möglichkeit für eine Nachprüfung bestehen, wenn nicht eine automatisierte Einzelentscheidung gesetzlich zugelassen ist. 106
Für automatisierte Einzelentscheidungen gelten besondere gesetzliche Vorgaben gem. § 6a BDSG. Hintergrund dieser gesetzlichen Regelung ist die Überlegung, dass wesentliche Entscheidungen, die für den Betroffenen gravierende Folgen haben können, nicht automatisiert ohne menschliche Eingriffsmöglichkeit erfolgen dürfen1. Anwendbar sind die gesetzliche Regelung und die Bestimmungen des Musters aber nur, wenn eine Bewertung bzw. Auswertung von Persönlichkeitsmerkmalen erfolgt. Für biometrische Zugangsverfahren gelten die Regelungen daher bspw. nicht, wohl aber für vollelektronische Auswahlprozesse2.
107
Die praktische Relevanz automatisierter Einzelentscheidungen im nicht-öffentlichen Bereich ist eher gering, gleichwohl ist es üblich, eine Regelung zu diesem Bereich in eine Unternehmensrichtlinie aufzunehmen.
1. Erläuterungen zu Ziffer 17.1 108
Die Regelung greift zunächst die gesetzlichen Vorgaben des § 6a Abs. 1 BDSG auf, die um konkrete Beispielfälle ergänzt wird.
2. Erläuterungen zu Ziffer 17.2 109
Aus der Formulierung im Muster wird deutlich, dass eine automatisierte Einzelentscheidung als Ausnahme angesehen wird, die – wenn überhaupt – nur nach einer sorgsamen Prüfung der Notwendigkeit stattfinden soll. Für diesen Fall soll eine Nachprüfungsmöglichkeit bestehen, so dass immer eine menschliche Letztentscheidung erfolgt. Auch wenn eine erneute Überprüfung nach § 6a BDSG nicht mehr ausdrücklich verlangt wird, ist ein solches Vorgehen empfehlenswert3.
XVIII. Erläuterungen zu Ziffer 18 110
E 18. Übermittlung von Daten 18.1 Die Übermittlung personenbezogener Daten ist ein Fall der Verarbeitung von Daten im Sinne dieser Unternehmensrichtlinie und nach Maßgabe des Gesetzes. Auch die Übermittlung ist daher nur mit Einwilligung des Betroffenen oder aufgrund einer anderen gesetzlichen Ermächtigungsgrundlage zulässig. 18.2 Bei der Übermittlung in das Ausland ist zusätzlich zu prüfen, ob hierdurch die Interessen und Rechte des Betroffenen beeinträchtigt werden. 1 Simitis/Scholz, § 6a BDSG Rz. 3. 2 Gola/Schomerus, § 6a BDSG Rz. 8. 3 Gola/Schomerus, § 6a BDSG Rz. 14b.
466
|
Meyer
Erläuterungen
Rz. 114 Teil 4 I
Unproblematisch ist insoweit die Übermittlung in einen Vertragsstaat des Europäischen Wirtschaftsraums (alle Mitgliedsländer der Europäischen Union, Island, Liechtenstein und Norwegen). Bei allen anderen Staaten ist vorab zu prüfen, ob ein vergleichbarer Datenschutzstandard besteht. Ein vergleichbarer Standard kann unter anderem durch den Abschluss zusätzlicher vertraglicher Vereinbarungen erreicht werden, etwa durch Nutzung der EU-Standardvertragsklauseln. Jede Übermittlung von personenbezogenen Daten in einen Staat außerhalb des Europäischen Wirtschaftsraumes ist mit dem Datenschutzbeauftragten abzustimmen. Die Datenübermittlung ist ein Unterfall der Verarbeitung von Daten, was sich ausdrücklich aus der Definition des § 3 Abs. 4 Satz 1 BDSG ergibt. Wegen der verschiedenen Konstellationen bei der Datenübermittlung bietet es sich an, alle Aspekte in einer Regelung zu adressieren.
111
1. Erläuterungen zu Ziffer 18.1 Für die Datenübermittlung im Inland gelten grundsätzlich keine anderen Vorgaben als bei anderen Fällen der Datenverarbeitung, was durch die Regelung im Muster lediglich klargestellt wird.
112
2. Erläuterungen zu Ziffer 18.2 Besondere Anforderungen können jedoch bei der Datenübermittlung in das Ausland gem. § 4b BDSG bestehen, wobei unterschieden wird zwischen einer Übermittlung in einen Staat des EWR und eine Übermittlung in andere Staaten (Drittstaaten). Wegen der vergleichbaren datenschutzrechtlichen Rahmenbedingungen innerhalb des EWR werden keine besonderen Voraussetzungen für eine derartige Datenübermittlung verlangt. Praktisch relevant ist daher die Frage, unter welchen Voraussetzungen eine Datenübermittlung in Drittstaaten erfolgen kann. In einem ersten Schritt muss zunächst geprüft werden, ob in dem Drittstaat ein angemessenes Datenschutzniveau besteht. Ist dies nicht der Fall, muss ein solches für die konkrete Datenübermittlung hergestellt werden, wofür verschiedene Möglichkeiten bestehen. Das Muster spricht den Einsatz der EU-Standardvertragsklauseln1 an und verweist ansonsten auf das Erfordernis der Abstimmung mit dem Datenschutzbeauftragten.
113
XIX. Erläuterungen zu Ziffer 19 E 19. Anforderungen an Mitarbeiter
114
19.1 Alle Mitarbeiter des Unternehmens sind besonders auf das Datengeheimnis zu verpflichten. Sie sind darüber zu belehren, dass es untersagt ist, personenbezogene Daten für private Zwecke zu nutzen, an Unbefugte zu übermitteln oder sie Unbefugten zugänglich zu machen. Die Verpflichtung auf das Datengeheimnis soll mit Beginn der Tätigkeit für das 1 S. hierzu die Muster in Teil 5 I und 5 II sowie in Teil 5 III.
Meyer
|
467
Teil 4 I
Rz. 115
Unternehmensrichtlinie Datenschutz
Unternehmen erfolgen. Die Mitarbeiter sind darüber zu belehren, dass die Pflicht zur Wahrung der Vertraulichkeit über das Ende der Tätigkeit für das Unternehmen fortgilt. 19.2 Auch innerhalb des Unternehmens ist darauf zu achten, dass nur die Mitarbeiter Zugriff auf personenbezogene Daten erhalten, die sie zur Erledigung ihrer Aufgaben für das Unternehmen benötigen. 19.3 Alle Mitarbeiter sollen zu Beginn ihrer Tätigkeit und nachfolgend regelmäßig in Datenschutzthemen geschult werden. 115
Unter dem Stichwort „Anforderungen an Mitarbeiter“ werden verschiedene rechtliche Aspekte zusammengefasst, u.a. die Verpflichtung auf das Datengeheimnis, die Beschränkung des Zugriffs auf personenbezogene Daten innerhalb des Unternehmens sowie die Schulung der eigenen Mitarbeiter.
1. Erläuterungen zu Ziffer 19.1 116
Die Verpflichtung auf das Datengeheimnis ist gesetzlich in § 5 BDSG geregelt. Unabhängig von einer förmlichen Verpflichtung sind die Mitarbeiter eines Unternehmens schon aufgrund der gesetzlichen Bestimmungen zur Wahrung des Datengeheimnisses verpflichtet. Durch die vom Gesetz verlangte Verpflichtung soll eine persönliche Belehrung der Mitarbeiter erreicht werden. Denkbar ist eine Verpflichtung durch eine entsprechende Regelung im Arbeitsvertrag oder gesonderte Merkblätter1. Auf eine konkrete Anweisung zur Handhabung wurde im Muster verzichtet. Der Hinweis auf die Fortgeltung der Verpflichtung auf das Datengeheimnis entspricht der Regelung des § 5 Satz 3 BDSG.
2. Erläuterungen zu Ziffer 19.2 117
Auch wenn ein Unternehmen einheitlich als verantwortliche Stelle anzusehen ist, wird aus Gründen des Datenschutzes und der Datensicherheit gefordert, dass auch innerhalb des Unternehmens nur Personen Zugriff auf personenbezogene Daten haben, die diese für ihre Aufgabenwahrnehmung benötigen.
3. Erläuterungen zu Ziffer 19.3 118
Schließlich normiert die Regelung im Muster eine Verpflichtung zur regelmäßigen Schulung in Datenschutzthemen, die gesetzlich für die Mitarbeiter nicht zwingend vorgesehen ist. Lediglich den betrieblichen Datenschutzbeauftragten trifft die Pflicht, sich regelmäßig fortzubilden2. Darüber hinaus ist der Datenschutzbeauftragte dafür verantwortlich, die mit der Datenverarbeitung befassten Mitarbeiter gem. § 4g Abs. 1 Satz 4 Nr. 2 BDSG mit dem Ziel und Inhalt des Datenschutzes vertraut zu machen3. Durch regelmäßige Schulungen soll in diesem Zusammenhang erreicht werden, dass alle Mitarbeiter sensibili1 Gola/Schomerus, § 5 BDSG Rz. 12. 2 Simitis/Simitis, § 4f BDSG Rz. 87; Münch, RDV 1993, 161. 3 Gola/Schomerus, § 4g BDSG Rz. 20.
468
|
Meyer
Erläuterungen
Rz. 123 Teil 4 I
siert werden. Es bietet sich insoweit an, die genaue Ausgestaltung mit dem Datenschutzbeauftragten abzustimmen.
XX. Erläuterungen zu Ziffer 20 119
E 20. Dokumentationspflichten 20.1 Das Unternehmen führt ein Verzeichnis über die Verfahren des Unternehmens zur Erhebung, Speicherung und Verarbeitung personenbezogener Daten (Verfahrensverzeichnis), das von dem Datenschutzbeauftragten verwaltet wird. 20.2 Um das Verfahrensverzeichnis vollständig und aktuell zu halten, haben die Mitarbeiter entsprechend den Vorgaben des Datenschutzbeauftragten alle Verfahren unter Nutzung entsprechender Vordrucke zu melden. Von jedem Unternehmen ist ein Verfahrensverzeichnis zu führen, in dem alle Verfahren der automatisierten Datenverarbeitung erfasst sind, so dass diese Verpflichtung in dem Muster aufgegriffen wird.
120
1. Erläuterungen zu Ziffer 20.1 Die Erstellung dieses Verfahrensverzeichnisses ist nicht Aufgabe des Datenschutzbeauftragten, vielmehr ist diesem das Verfahrensverzeichnis zur Verfügung zu stellen1. Die gesetzliche Grundlage hierfür ergibt sich aus § 4g Abs. 2 BDSG über den Verweis auf § 4e BDSG.
121
In der Praxis bietet es sich an, den Datenschutzbeauftragten mit der Pflege des Verfahrensverzeichnisses zu betrauen. Dafür ist es jedoch erforderlich, dass der Datenschutzbeauftragte die zur Anfertigung und Aktualisierung notwendigen Informationen erhält.
122
2. Erläuterungen zu Ziffer 20.2 Die Regelung im Muster enthält keine genaueren Bestimmungen zur praktischen Erarbeitung des Verfahrensverzeichnisses, vielmehr wird auf die Vorgaben des Datenschutzbeauftragten abgestellt. Wenn der Datenschutzbeauftragte schon die Erstellung des Verfahrensverzeichnisses übernehmen soll, wird auch das Meldeverfahren mit ihm abzustimmen sein. Um Mehrfachmeldungen für einzelne Verfahren zu vermeiden, bietet es sich an, dass die jeweiligen Fachabteilungen ihre Verfahren mit Hilfe eines Formulars dem Datenschutzbeauftragten zu melden haben.
1 Gola/Schomerus, § 4g BDSG Rz. 23.
Meyer
|
469
123
Teil 4 I
Rz. 124
Unternehmensrichtlinie Datenschutz
XXI. Erläuterungen zu Ziffer 21 124
E 21. Einführung neuer Systeme zur Datenverarbeitung Die Einführung neuer Systeme zur Erhebung, Speicherung und Verarbeitung personenbezogener Daten ist dem Datenschutzbeauftragten vorab anzuzeigen, damit dieser die datenschutzrechtliche Zulässigkeit prüfen kann.
125
Durch die Pflicht zur Meldung aller Verfahren an den Datenschutzbeauftragten erhält dieser einen Überblick über die aktuell eingesetzten Systeme. Zusätzlich ist jedoch dafür zu sorgen, dass der Datenschutzbeauftragte bei der Konzeption neuer Systeme möglichst frühzeitig einbezogen wird, damit dieser neue Systeme datenschutzrechtlich bewerten kann. Vor diesem Hintergrund ist im Muster explizit geregelt, dass der Datenschutzbeauftragte entsprechend informiert werden soll.
126
In der Regel ist zu erwarten, dass die Einbeziehung des Datenschutzbeauftragten entweder durch die IT-Abteilung erfolgt, die mit der Einführung der neuen Systeme betraut ist, oder durch die Fachabteilung, von der die fachlichen Anforderungen ausgehen, die zur Einführung neuer IT-Systeme führen. Im Muster wird bewusst auf eine genauere Definition verzichtet, durch wen die Meldung zu erfolgen hat. Hierdurch mag die Gefahr bestehen, dass der Datenschutzbeauftragte mehrfach über neue IT-Systeme informiert wird. Andererseits ist der Datenschutzbeauftragte aber nicht von einer einzigen Stelle abhängig, die eine entsprechende Meldung ggf. auch einmal versäumen kann.
127
Hinsichtlich des Zeitpunktes der Information bietet sich eine möglichst frühzeitige Einbindung des Datenschutzbeauftragten an, damit dieser im Idealfall schon bei der Konzeption datenschutzrechtliche Aspekte einbringen kann. Eine genauere Definition des richtigen Zeitpunktes wird kaum möglich sein. Aus dem Wortlaut des Musters ergibt sich insoweit nur, dass die Einbeziehung jedenfalls vor der Einführung zu erfolgen hat. Bei Bedarf kann die zeitliche Komponente durch den Zusatz „möglichst frühzeitig“ noch stärker betont werden.
XXII. Erläuterungen zu Ziffer 22 128
E 22. Recht auf Auskunft 22.1 Auf Anfrage ist einem Betroffenen Auskunft über die zur Person des Betroffenen gespeicherten personenbezogenen Daten zu erteilen. Der Betroffene soll dabei die Art der Daten, zu denen er eine Auskunft wünscht, näher bezeichnen. 22.2 Die Auskunftserteilung soll schriftlich in einer für den Betroffenen verständlichen Form und Sprache erfolgen. Bei der Auskunftserteilung sind die vorhandenen personenbezogenen Daten und der Zweck der Speicherung mitzuteilen. Weiter soll, soweit verfügbar, die Herkunft der Daten erläutert werden. 22.3 Bei der Auskunftserteilung ist sicherzustellen, dass die Identität des Betroffenen verifiziert wird. 470
|
Meyer
Erläuterungen
Rz. 133 Teil 4 I
22.4 Über alle Anfragen auf Auskunftserteilung ist der Datenschutzbeauftragte zu informieren, damit dieser die weiteren Aktivitäten koordinieren oder übernehmen kann. Soweit der Datenschutzbeauftragte nicht ausdrücklich die Bearbeitung übernimmt, bleibt die jeweilige Fachabteilung für die Beantwortung der Anfrage zuständig. 22.5 Wenn eine Anfrage nicht umgehend beantwortet werden kann, ist dem Betroffenen zumindest eine Zwischeninformation zu übermitteln, in der die voraussichtliche Bearbeitungszeit mitgeteilt werden soll. Nach § 34 Abs. 1 BDSG steht dem Betroffenen ein Auskunftsanspruch zu. Das Muster präzisiert den Umfang des Auskunftsanspruchs sowie die Abwicklung der Auskunftserteilung.
129
1. Erläuterungen zu Ziffer 22.1 Das Gesetz geht davon aus, dass der Betroffene nicht zwangsläufig eine generelle Auskunft wünscht, sondern sein Auskunftsbegehren auf bestimmte Arten von Daten beschränken kann. Schon nach dem Wortlaut des § 34 Abs. 1 Satz 2 BDSG ist eine Präzisierung des Auskunftsersuchens nicht erforderlich1. Wie im Gesetz ist im Muster die Präzisierung nur als Soll-Vorschrift ausgestaltet.
130
2. Erläuterungen zu Ziffer 22.2 Hinsichtlich der Art und Weise der Auskunftserteilung gibt § 34 Abs. 6 BDSG nur vor, dass die Auskunft grundsätzlich in Textform zu erteilen ist. Im Muster wird das Formerfordernis auf Schriftform erhöht, da die Übermittlung per E-Mail zu größeren Risiken bezüglich einer unbeabsichtigten Offenlegung führen kann. Zusätzlich ist noch klargestellt, dass die Auskunft in verständlicher Form erfolgen soll.
131
Der Inhalt der Auskunft richtet sich nach dem Inhalt des Auskunftsverlangens. Generell sind dem Betroffenen die zu seiner Person gespeicherten Daten mitzuteilen. Von der Reichweite des Auskunftsanspruchs ist auch die Erläuterung der Herkunft der Daten erfasst. Eine solche Auskunft lässt sich aus tatsächlichen Gründen nur erteilen, wenn die Herkunft erfasst wird, so dass eine entsprechende Einschränkung in dem Muster vorgenommen wurde.
132
3. Erläuterungen zu Ziffer 22.3 Um zu vermeiden, dass im Rahmen der Auskunftserteilung personenbezogene Daten an einen unbefugten Dritten offenbart werden, muss sich das Unternehmen davon überzeugen, dass das Auskunftsverlangen vom Betroffenen stammt und dieser die Antwort erhält. Das Muster spricht lediglich davon, dass die Identität des Betroffenen verifiziert werden muss. Da das Auskunftsverlangen auf verschiedene Weise vorgebracht werden kann, gibt es auch unterschiedliche Möglichkeiten zur Identifizierung des Betroffenen. 1 Gola/Schomerus, § 34 BDSG Rz. 5.
Meyer
|
471
133
Teil 4 I
Rz. 134
Unternehmensrichtlinie Datenschutz
4. Erläuterungen zu Ziffer 22.4 134
Die Auskunftserteilung hat durch die verantwortliche Stelle zu erfolgen. Wer unternehmensintern für die Bearbeitung von Auskunftsverlangen zuständig ist, kann innerhalb des Unternehmens frei festgelegt werden. Es ist sinnvoll, den Datenschutzbeauftragten in die Abläufe einzubeziehen. Oftmals sind die für die Auskunftserteilung erforderlichen Informationen von den betroffenen Fachabteilungen zur Verfügung zu stellen, so dass der Datenschutzbeauftragte nur eine koordinierende Aufgabe übernehmen kann. Vor diesem Hintergrund sieht das Muster vor, dass der Datenschutzbeauftragte zunächst nur zu informieren ist und er nach eigenem Ermessen die Angelegenheit an sich ziehen kann. Dies dürfte vor allem dann in Betracht kommen, wenn eine umfassende Auskunft verlangt wird und hierfür die Antworten verschiedener Fachabteilungen eingeholt werden müssen.
5. Erläuterungen zu Ziffer 22.5 135
Es entspricht den üblichen Gepflogenheiten im Geschäftsverkehr, dem Betroffenen eine Zwischennachricht im Falle einer längeren Bearbeitungszeit zukommen zu lassen. Auf diese Weise soll auch verhindert werden, dass der Betroffene sich noch vor Erhalt der Auskunft an die Aufsichtsbehörde wendet oder seine Ansprüche gerichtlich durchsetzt. Eine besondere Frist für die Auskunftserteilung gilt nicht, allerdings ist von einer Pflicht zur unverzüglichen Auskunftserteilung auszugehen. Eine Bearbeitungszeit von zwei Wochen dürfte noch ausreichend sein, wenn die Daten nicht zentral gespeichert sind und erst Recherchen im Unternehmen erfolgen müssen1.
136
Auf die Frage der Kosten der Auskunftserteilung geht das Muster nicht ein, da die Auskunft schon wegen § 34 Abs. 8 Satz 1 BDSG grundsätzlich kostenlos zu erteilen ist. Sofern ein Unternehmen häufiger Adressat von Auskunftsverlangen ist, kann überlegt werden, im Einzelfall eine Kostenerstattung vorzusehen, soweit das Gesetz dies zulässt.
137
Da die Auskunftserteilung unter Einbeziehung des Datenschutzbeauftragten erfolgen soll, wurde auch auf einen klarstellenden Hinweis verzichtet, dass durch die Auskunftserteilung die schutzwürdigen Interessen des Unternehmens und Dritter beachtet werden müssen. Es kann daher im Einzelfall geboten sein, im Rahmen der Auskunftserteilung bestimmte Informationen gegenüber dem Betroffenen nicht offenzulegen.
XXIII. Erläuterungen zu Ziffer 23 138
E 23. Recht auf Löschung und Sperrung 23.1 Bei berechtigtem Ersuchen eines Berechtigten sind die zu seiner Person gespeicherten personenbezogenen Daten zu löschen. Ein Ersuchen ist insbesondere berechtigt, wenn keine Grundlage für die Datenverarbeitung besteht oder die Grundlage zwischenzeitlich entfallen ist. 1 Gola/Schomerus, § 34 BDSG Rz. 16.
472
|
Meyer
Erläuterungen
Rz. 141 Teil 4 I
23.2 Soweit eine Löschung nicht in Betracht kommt, ist zu prüfen, inwieweit die personenbezogenen Daten gesperrt werden können. Wenn der Betroffene die weitere Nutzung seiner Daten nicht mehr wünscht, ist eine Sperrung in Erwägung zu ziehen, damit die Daten des Betroffenen im Falle einer neuen Datenerhebung nicht (wieder) genutzt werden. Nach der gesetzlichen Konzeption dient das Auskunftsrecht des Betroffenen vornehmlich zur Prüfung, welche Daten über den Betroffenen gespeichert sind. Basierend auf den Auskünften des Unternehmens soll der Betroffene dann entscheiden können, inwieweit er die weitere Speicherung und Verwendung seiner Daten gestattet1. Der Auskunftsanspruch und der Löschungsanspruch stehen damit in einem engen inhaltlichen Zusammenhang.
139
1. Erläuterungen zu Ziffer 23.1 Das Gesetz sieht in § 35 BDSG eine Vielzahl von Konstellationen vor, in denen personenbezogene Daten zu löschen sind. Ein wesentlicher Aspekt für die Pflicht zur Löschung von Daten ist die entsprechende Aufforderung des Betroffenen. Das Verlangen des Betroffenen führt jedoch nicht automatisch dazu, dass seine Daten zwangsläufig zu löschen sind. Das Verlangen kann bspw. unerheblich sein, weil die Datenspeicherung nicht auf seiner Einwilligung basiert, sondern auf einer anderen Ermächtigungsgrundlage. Das Muster sieht daher eine Prüfung vor, ob das Ersuchen zur Löschung von Daten berechtigt ist. Beispielhaft ist aufgeführt, dass eine Löschung zu erfolgen hat, wenn keine Grundlage für die Datenverarbeitung besteht oder diese zwischenzeitlich entfallen ist. Bei der ersten Alternative wäre die Datenverarbeitung von Beginn an unzulässig gewesen, weswegen eine Pflicht zur Löschung gem. § 35 Abs. 2 Nr. 1 BDSG besteht. Bei der zweiten Alternative ergibt sich schon aus dem Grundsatz der Datensparsamkeit eine Verpflichtung zur Löschung, wobei dieser Fall auch durch die Regelung in § 35 Abs. 2 Nr. 3 BDSG erfasst ist.
140
2. Erläuterungen zu Ziffer 23.2 Das Muster berücksichtigt weiter, dass dem Betroffenen mit der tatsächlichen Löschung seiner Daten oftmals nicht geholfen ist, sondern die Sperrung seiner Daten für ihn sinnvoller ist. Wenn der Betroffene sich bspw. gegen den Erhalt von Werbung durch das Unternehmen wendet, würde die Löschung seiner Daten zwar dazu führen, dass er zukünftig keine Werbung mehr erhält. Bei einer erneuten Datenverarbeitung wäre aber nicht ausgeschlossen, dass er wieder in den Verteiler für Werbung aufgenommen wird, weil es an einem entsprechenden Sperrvermerk fehlt. Das Muster weist daher ausdrücklich darauf hin, dass zu prüfen ist, inwieweit eine Sperrung der Daten statt ihrer Löschung in Betracht kommt. Durch die Regelung des § 35 Abs. 8 BDSG zum Umgang mit gesperrten Daten ist dabei ein ausreichender Schutz der Interessen des Betroffenen sichergestellt.
1 Plath/Kamlah, § 35 BDSG Rz. 1.
Meyer
|
473
141
Teil 4 I
Rz. 142
Unternehmensrichtlinie Datenschutz
XXIV. Erläuterungen zu Ziffer 24 142
E 24. Recht auf Berichtigung 24.1 Unvollständige oder unrichtige personenbezogene Daten sind auf Verlangen des Betroffenen zu korrigieren. Die Korrektur ist dabei auch im Interesse des Unternehmens, da der gesamte Datenbestand möglichst richtig und von hoher Qualität sein soll. 24.2 Soweit ein Mitarbeiter Kenntnis davon hat, dass bei dem Unternehmen gespeicherte Daten unvollständig und unrichtig sind, soll der Mitarbeiter die jeweilige Fachabteilung hierüber informieren, damit eine Korrektur veranlasst werden kann.
143
Ebenso wie das Recht auf Löschung bzw. Sperrung gehört das Recht auf Berichtigung zu den Korrekturrechten des Betroffenen1. In dem Muster sind Löschung und Sperrung entgegen der Reihenfolge in § 35 BDSG zuvor geregelt, da die Berichtigung auf Verlangen des Betroffenen in der Praxis der seltenere Fall sein dürfte.
1. Erläuterungen zu Ziffer 24.1 144
Die Berichtigung unvollständiger und unrichtiger Daten erfolgt zumeist schon im Interesse des Unternehmens, da diesem nicht daran gelegen sein kann, falsche Daten zu speichern. Die Berichtigung der Daten hat gem. § 35 Abs. 1 BDSG unabhängig von einem entsprechenden Verlangen des Betroffenen zu erfolgen. Auf Verlangen des Betroffenen ist die Berichtigung dann aber erst recht vorzunehmen. Typischerweise erfährt das Unternehmen erst durch ein entsprechendes Verlangen des Betroffenen von der Unrichtigkeit.
2. Erläuterungen zu Ziffer 24.2 145
Im Muster ist zusätzlich auch der Fall berücksichtigt, dass das Unternehmen selbständig Kenntnis von der Unrichtigkeit der Daten erwirbt. In diesem Fall ist im Interesse des Unternehmens geregelt, dass diese Information an die richtige Stelle im Unternehmen weitergegeben wird.
XXV. Erläuterungen zu Ziffer 25 146
E 25. Recht auf Widerruf, Widerspruch und Beschwerde 25.1 Eine von einem Betroffenen erteilte Einwilligung in die Erhebung, Speicherung und Verarbeitung von Daten ist jederzeit frei widerruflich. Der Betroffene ist auf die Möglichkeit des Widerrufs hinzuweisen. Der Widerruf gilt mit Wirkung für die Zukunft. 25.2 Soweit die Erhebung, Speicherung und Verarbeitung von Daten auf Basis einer gesetzlichen Ermächtigungsgrundlage erfolgt, bedarf es keiner 1 Gola/Schomerus, § 35 BDSG Rz. 1.
474
|
Meyer
Erläuterungen
Rz. 149 Teil 4 I
Einwilligung des Betroffenen. Widerspricht der Betroffene der Datenverarbeitung, ist zu prüfen, inwieweit auf die Datenverarbeitung zukünftig verzichtet werden kann. Ist dies nicht möglich, ist dem Betroffenen dies entsprechend zu erläutern. 25.3 Der Betroffene hat das Recht, sich über den Umgang mit seinen personenbezogenen Daten im Unternehmen zu beschweren. Die Beschwerde ist unverzüglich an den Datenschutzbeauftragten weiterzuleiten, sofern sie nicht an ihn direkt gerichtet war. Der Datenschutzbeauftragte wird die Beschwerde beantworten und ggf. angemessene Maßnahmen zur Verbesserung des Datenschutzniveaus vorschlagen. Das Muster fasst unter dem „Recht auf Widerruf, Widerspruch und Beschwerde“ verschiedene Fallgestaltungen zusammen, u.a. den Widerruf einer ursprünglich erteilten Einwilligung, den Widerspruch gegen eine ohne Einwilligung vorgenommene Datenverarbeitung und die Beschwerde gegen den Datenumgang durch das Unternehmen.
147
1. Erläuterungen zu Ziffer 25.1 Der Widerruf bezieht sich auf eine ursprünglich erteilte Einwilligung des Betroffenen. Diese kann grundsätzlich jederzeit zurückgenommen werden, wobei damit die Einwilligung als Grundlage für die Datenverarbeitung mit Wirkung ex nunc wegfällt1. Da eine Unwiderruflichkeit nur in seltenen Ausnahmefällen in Betracht kommt, ist dieser Aspekt im Muster nicht ausdrücklich angesprochen2. Für das Unternehmen bedeutet dies aber gleichzeitig, dass bei einem Rückgriff auf eine Einwilligung immer zu prüfen ist, inwieweit ein späterer Widerruf der Einwilligung auch tatsächlich berücksichtigt werden kann. Eine Alternative zu diesem Vorgehen dürfte es nicht geben, da es insbesondere nicht möglich ist, den Betroffenen wirksam und mit Bindungswirkung auf sein Widerrufsrecht verzichten zu lassen3. Soweit bei der Datenverarbeitung im Unternehmen tatsächlich Sachverhalte bekannt sind, bei denen ausnahmsweise kein Widerruf möglich sein sollte oder dieser nur eine eingeschränkte Wirkung hat, ist zu überlegen, hierauf explizit hinzuweisen. Ohne entsprechende Klarstellung besteht die Gefahr, dass die Regelung der Unternehmensrichtlinie über die gesetzliche Regelung hinausgeht und sich das Unternehmen dann nicht auf eine etwaige Ausnahme berufen kann.
148
2. Erläuterungen zu Ziffer 25.2 Ist eine Datenverarbeitung auch ohne Einwilligung des Betroffenen möglich, kommt ein Widerruf nicht in Betracht. Der Betroffene kann sich dann im Rahmen eines Widerspruchs gegen die Datenverarbeitung wenden4. Dieser Widerspruch ist im Rahmen der Interessenabwägung zu berücksichtigen, da der Be1 2 3 4
Gola/Schomerus, § 4a BDSG Rz. 18. Simitis/Simitis, § 4a BDSG Rz. 95. Simitis/Simitis, § 4a BDSG Rz. 95. Simitis/Simitis, § 4a BDSG Rz. 95 zur Abgrenzung zwischen Widerruf und Widerspruch.
Meyer
|
475
149
Teil 4 I
Rz. 150
Unternehmensrichtlinie Datenschutz
troffene hierdurch zu erkennen gibt, dass er sich in seinen schutzwürdigen Interessen beeinträchtigt sieht. Anders als der Widerruf der Einwilligung führt der Widerspruch aber nicht automatisch dazu, dass die weitere Datenverarbeitung in der Zukunft unzulässig wird. Selbst soweit gesetzlich ausdrücklich ein Widerspruchsrecht wie bei § 35 Abs. 5 BDSG vorgesehen ist, bedarf es noch einer Interessenabwägung1. Das Muster sieht vor diesem Hintergrund nur eine Pflicht des Unternehmens zur erneuten Prüfung der Datenverarbeitung vor. Soll es bei der Datenverarbeitung bleiben, ist der Betroffene zumindest entsprechend zu informieren. Soweit dem Widerspruch entsprochen wird, entspricht es den Gepflogenheiten, hierüber ebenfalls zu informieren, auch wenn dies nicht ausdrücklich im Muster erwähnt ist.
3. Erläuterungen zu Ziffer 25.3 150
Wenn dem Widerspruch nicht entsprochen wird, gewährt die Richtlinie das Recht zur Beschwerde. Das Muster sieht darüber hinaus vor, dass auch andere Entscheidungen im Zusammenhang mit der Datenverarbeitung und jeder vermeintlich nicht ordnungsgemäße Umgang mit personenbezogenen Daten zum Gegenstand einer Beschwerde gemacht werden können.
151
Einen Rechtsbehelf, über den innerbetrieblich entschieden wird, sieht das Gesetz nicht zwingend vor. Die Schaffung einer entsprechenden Eskalationsstufe kann jedoch unter Umständen die Einschaltung externer Instanzen wie Aufsichtsbehörden und Gerichte vermeiden. Das Recht des Betroffenen, sich jederzeit an die Aufsichtsbehörden zu wenden, kann auf diese Weise jedoch nicht eingeschränkt werden2. Der Betroffene sieht aber möglicherweise freiwillig von einer entsprechenden Beschwerde bei der Aufsichtsbehörde ab, wenn er auf andere Weise eine Überprüfung erreichen kann. Dies setzt allerdings voraus, dass die Hürden für den Betroffenen bei einer innerbetrieblichen Prüfung möglichst gering sind.
152
Im Muster soll die Beschwerde durch den Datenschutzbeauftragten beschieden werden. Dieser hat jedoch innerhalb des Unternehmens keine Entscheidungsbefugnis3, kann aber die Empfehlung aussprechen, der Beschwerde des Betroffenen zu entsprechen. Weitere Verfahrensabläufe regelt das Muster nicht, diese können aber bei Bedarf ergänzt werden.
XXVI. Erläuterungen zu Ziffer 26 153
E 26. Verantwortung 26.1 In erster Linie sind diejenigen Mitarbeiter für die Einhaltung der Vorgaben dieser Unternehmensrichtlinie verantwortlich, die jeweils mit der Datenverarbeitung betraut sind. 1 Simitis/Simitis, § 35 BDSG Rz. 56. 2 Plath/Plath, § 38 BDSG Rz. 35. 3 Zur Übertragung von Zuständigkeiten an den Datenschutzbeauftragten siehe auch die Erläuterungen zu dem Vertragsmuster zur Bestellung eines externen Datenschutzbeauftragten in Teil 1 II Rz. 32.
476
|
Meyer
Erläuterungen
Rz. 156 Teil 4 I
26.2 Alle Mitarbeiter des Unternehmens haben auf die Einhaltung dieser Unternehmensrichtlinie zu achten und auf diese Weise dazu beizutragen, dass in dem gesamten Unternehmen einheitlich hohe Datenschutzstandards etabliert werden. 26.3 Die Führungskräfte des Unternehmens haben darauf zu achten, dass die Mitarbeiter über die Unternehmensrichtlinie informiert werden. Zu der Information gehört auch der Hinweis, dass Verstöße gegen die Vorgaben dieser Unternehmensrichtlinie straf-, haftungs- oder arbeitsrechtliche Konsequenzen nach sich ziehen können. 26.4 Das Unternehmen bleibt gegenüber den Betroffenen die verantwortliche Stelle im Sinne des Gesetzes. Der einzelne Mitarbeiter handelt daher für das Unternehmen und hat dessen Vorgaben zu beachten. Im Datenschutzrecht sind keine besonderen Regelungen zur Zuständigkeit für datenschutzrechtliche Fragestellungen vorgesehen, da dies zu weit in betriebsinterne Entscheidungen eingreifen würde. In letzter Konsequenz ist die jeweilige Geschäftsleitung des Unternehmens für die Beachtung der datenschutzrechtlichen Bestimmungen verantwortlich1. Unter den Voraussetzungen des § 4f BDSG ist zudem ein Beauftragter für den Datenschutz zu bestellen. Die Einhaltung der datenschutzrechtlichen Bestimmungen einschließlich der Vorgaben einer Unternehmensrichtlinie für den Datenschutz kann jedoch nicht alleine in die Hände eines Datenschutzbeauftragten gelegt werden. Aufgrund der lediglich beratenden Stellung des Datenschutzbeauftragten bleibt die Letztverantwortung für Entscheidungen mit datenschutzrechtlicher Relevanz immer bei der Geschäftsleitung2. Deutlich wird dies u.a. im Rahmen von Bußgeldverfahren. Gegen Unternehmen als solche kann das Bußgeldverfahren nicht durchgeführt werden3. Zwar kann unter Rückgriff auf § 30 OWiG die Geldbuße gegen das Unternehmen festgesetzt werden, Anknüpfungspunkt bleibt aber eine Pflichtverletzung einer natürlichen Person, im Zweifel der Geschäftsleitung des Unternehmens.
154
1. Erläuterungen zu Ziffer 26.1 Soweit eine Aufgabe klar einer bestimmten Person zugeordnet ist, hat diese Person zugleich die Verantwortung für den ordnungsgemäßen Umgang mit personenbezogenen Daten im Rahmen der Aufgabenerfüllung sicherzustellen, was auch in dem Muster klargestellt wird. Zu der Pflicht der einzelnen Mitarbeiter kann es dabei auch gehören, Entscheidungen von Vorgesetzten insoweit ggf. kritisch zu hinterfragen und in Zweifelsfällen den Datenschutzbeauftragten einzuschalten.
155
2. Erläuterungen zu Ziffer 26.2 Das Muster beinhaltet weiter einen Appell an alle Mitarbeiter, auf die Einhaltung der Unternehmensrichtlinie zu achten. Durch diesen Appell soll erreicht 1 Hauschka/Neundorf, Corporate Compliance, § 30 Rz. 1. 2 Gola/Schomerus, § 4f BDSG Rz. 48; Simitis/Ehmann, § 43 BDSG Rz. 25. 3 Simitis/Ehmann, § 43 BDSG Rz. 24.
Meyer
|
477
156
Teil 4 I
Rz. 157
Unternehmensrichtlinie Datenschutz
werden, dass Mitarbeiter sich um die Einhaltung der datenschutzrechtlichen Vorgaben nicht ausschließlich in ihrem eigenen Zuständigkeitsbereich kümmern, sondern generell auf eine rechtskonforme Datenverarbeitung achten. Damit wird die Zielvorgabe der Unternehmensrichtlinie zur Schaffung eines einheitlichen Standards wieder aufgegriffen (siehe Rz. 15).
3. Erläuterungen zu Ziffer 26.3 157
Die Führungskräfte eines Unternehmens trifft die besondere Pflicht, auch im Rahmen der arbeitsrechtlichen Hierarchien für die Einhaltung der datenschutzrechtlichen Vorgaben zu sorgen. Dies kann u.a. dadurch erfolgen, dass den untergeordneten Mitarbeitern die Bedeutung des Datenschutzes und die Folgen eines Verstoßes gegen die Richtlinien vor Augen geführt werden. Die Konsequenzen können dabei sowohl das Unternehmen wie auch den einzelnen Mitarbeiter treffen. Ähnlich wie bei der Verpflichtung auf das Datengeheimnis ist es daher empfehlenswert, die Mitarbeiter auf die Einhaltung der Richtlinie zu verpflichten.
4. Erläuterungen zu Ziffer 26.4 158
Abschließend wird nochmals klargestellt, dass im Außenverhältnis das Unternehmen verantwortlich bleibt, diese Verantwortung aber von jedem Mitarbeiter beachtet werden muss.
XXVII. Erläuterungen zu Ziffer 27 159
E 27. Datenschutzbeauftragter als Ansprechpartner 27.1 Fragen zu dieser Unternehmensrichtlinie oder dem richtigen Umgang mit personenbezogenen Daten können an den Datenschutzbeauftragten gerichtet werden. Die Kontaktdaten des Datenschutzbeauftragten sind im Intranet abrufbar und am schwarzen Brett ausgehängt. 27.2 Der Datenschutzbeauftragte koordiniert die datenschutzrechtlichen Aktivitäten des Unternehmens. Er ist u.a. Ansprechpartner für die Betroffenen, die mit der Datenverarbeitung betrauten Mitarbeiter und die Geschäftsführung. 27.3 Der Datenschutzbeauftragte ist auch befugt, die Einhaltung dieser Unternehmensrichtlinie zu prüfen und die Beachtung der gesetzlichen Bestimmungen des Datenschutzrechts zu überwachen. Die entsprechende Überwachungsbefugnis entbindet aber nicht den einzelnen Mitarbeiter von seiner Verantwortung. 27.4 Alle Mitarbeiter haben den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben und Aktivitäten zu unterstützen. 27.5 Bei Bedarf kann der Datenschutzbeauftragte in Ergänzung zu dieser Unternehmensrichtlinie Handlungsempfehlungen zu speziellen Themen herausgeben. 478
|
Meyer
Erläuterungen
Rz. 163 Teil 4 I
Die Anforderungen, die hinsichtlich der Person des Datenschutzbeauftragten gestellt werden, sind gesetzlich genau definiert. Hinsichtlich der Aufgaben des Datenschutzbeauftragten besagt § 4f Abs. 5 Satz 2 BDSG, dass sich Betroffene jederzeit an den Datenschutzbeauftragten wenden können. Eine Übersicht über alle Aufgaben des Datenschutzbeauftragten findet sich dann in § 4g BDSG1. Auch diese Regelung besagt jedoch nicht, wie der Datenschutzbeauftragte sein Amt ausübt und die ihm übertragenen Aufgaben erfüllt. Das Muster legt daher einen Schwerpunkt auf die Beschreibung der Zusammenarbeit des Datenschutzbeauftragten mit den übrigen Mitarbeitern.
160
1. Erläuterungen zu Ziffer 27.1 Es entspricht dem Berufsbild und dem Selbstverständnis eines Datenschutzbeauftragten, dass er sein Unternehmen in datenschutzrechtlichen Belangen berät. Um diese Beratungsfunktion effektiv wahrnehmen zu können, muss der Datenschutzbeauftragte auch für die einzelnen Mitarbeiter erreichbar sein. Es bietet sich daher an, den Datenschutzbeauftragten unternehmensintern bekanntzumachen. Das Muster verweist hierfür auf das Intranet und das schwarze Brett. Dieser Punkt ist ggf. entsprechend der Möglichkeiten im Unternehmen anzupassen.
161
2. Erläuterungen zu Ziffer 27.2 Neben der reinen Beratung von Geschäftsleitung und Belegschaft sieht das Muster den Datenschutzbeauftragten auch als Koordinator für verschiedene Aktivitäten an, was nochmals klargestellt wird. Weiter erfolgt eine Klarstellung dahingehend, dass der Datenschutzbeauftragte als Ansprechpartner für alle Beteiligten zur Verfügung steht. Dies betrifft sowohl den Betroffenen als auch die Mitarbeiter und die Geschäftsleitung. Das Anrufungsrecht des Betroffenen ergibt sich dabei bereits aus § 4f Abs. 5 Satz 2 BDSG und wird von der Unternehmensrichtlinie nur aufgegriffen2. Für die Kontaktaufnahme zu den Mitarbeitern ist vor allem die Bekanntgabe der Kontaktdaten vorgesehen (siehe Rz. 161). Im Hinblick auf die Beratung der Geschäftsleitung wird dem Datenschutzbeauftragten ein direktes Vortragsrecht zugesprochen3. Das Muster erwähnt dieses Recht nicht ausdrücklich, sondern unterstellt im Rahmen der Unternehmensrichtlinie, dass die Geschäftsleitung ohnehin ein offenes Ohr für Datenschutzthemen hat.
162
3. Erläuterungen zu Ziffer 27.3 Eine unmittelbare Entscheidungskompetenz steht dem Datenschutzbeauftragten nicht zu, da er nur beratend tätig wird. Ohne entsprechende Regelung in der Unternehmensrichtlinie ist der Datenschutzbeauftragte zwar zur Prüfung der Datenverarbeitung im Unternehmen verpflichtet, der Umfang der eigenen 1 Wybitul, MMR 2011, 372 (374). 2 Simitis/Simitis, § 4f BDSG Rz. 155. 3 Gola/Schomerus, § 4f BDSG Rz. 47.
Meyer
|
479
163
Teil 4 I
Rz. 164
Unternehmensrichtlinie Datenschutz
Prüfungs- und Überwachungskompetenz bliebe aber unklar. Auch ohne ausdrückliche Regelung dürfte von einem unbegrenzten Kontroll- und Einsichtsrecht des Datenschutzbeauftragten auszugehen sein1. Das Muster gewährt dem Datenschutzbeauftragten ausdrücklich die erforderlichen Kompetenzen, die für eine ordnungsgemäße Aufgabenwahrnehmung notwendig sind. Es ist vor allem gegenüber den übrigen Mitarbeitern sinnvoll und interessengerecht, auf diese Weise die Stellung des Datenschutzbeauftragten zu stärken. Gleichzeitig sollte dann aber auch klargestellt werden, dass die Tätigkeit des Datenschutzbeauftragten nicht dazu führen darf, dass sich alle übrigen Mitarbeiter alleine auf dessen Tätigkeit verlassen.
4. Erläuterungen zu Ziffer 27.4 164
Eine allgemeine Verpflichtung zur Unterstützung des Datenschutzbeauftragten ergibt sich bereits aus § 4f Abs. 5 Satz 1 BDSG2. Adressat der gesetzlichen Regelung ist zunächst das Unternehmen selbst, dass diese Unterstützungspflicht durch die Regelung in der Unternehmensrichtlinie an die einzelnen Mitarbeiter weiterreicht.
5. Erläuterungen zu Ziffer 27.5 165
Schließlich enthält das Muster noch eine Kompetenzübertragung zugunsten des Datenschutzbeauftragten für den Erlass von Handlungsempfehlungen. Aufgrund seiner Stellung im Unternehmen kann der Datenschutzbeauftragte keine verbindlichen Anweisungen erteilen, da dies der Geschäftsleitung vorbehalten ist. Im Muster wird dem Datenschutzbeauftragten gleichwohl eine relativ starke Stellung eingeräumt, indem er die Möglichkeit hat, Handlungsempfehlungen zu erlassen. Nach dem Wortlaut haben die Empfehlungen keinen verpflichtenden Charakter, dennoch können sich Handlungsempfehlungen als Ergänzung zu der verpflichtenden Unternehmensrichtlinie anbieten.
XXVIII. Erläuterungen zu Ziffer 28 166
E 28. Meldung von Verstößen und Zusammenarbeit mit Aufsichtsbehörden 28.1 Die Mitarbeiter sollen dem Datenschutzbeauftragten unverzüglich Bericht erstatten, wenn sie Kenntnis von einem Verstoß gegen diese Unternehmensrichtlinie oder gesetzliche Bestimmungen haben, die sich auf den Schutz personenbezogener Daten beziehen. Der Datenschutzbeauftragte prüft ggf., inwieweit auch eine Informationspflicht gegenüber den Aufsichtsbehörden besteht. 28.2 Das Unternehmen arbeitet mit den zuständigen Aufsichtsbehörden kooperativ und vertrauensvoll zusammen. Im Falle einer gesetzlichen Auskunftsverpflichtung wird das Unternehmen die geforderten Auskünfte unverzüglich erteilen. Maßnahmen und Feststellungen der Aufsichts1 Wybitul, MMR 2011, 372 (376). 2 Gola/Schomerus, § 4f BDSG Rz. 54.
480
|
Meyer
Erläuterungen
Rz. 170 Teil 4 I
behörden werden von dem Unternehmen uneingeschränkt akzeptiert, soweit sie rechtmäßig sind. Die Kommunikation mit den Aufsichtsbehörden soll über den Datenschutzbeauftragten erfolgen. Die Bestimmung regelt sowohl die interne Kommunikation bei Datenschutzverstößen als auch die externe Kommunikation mit der Aufsichtsbehörde. Aufgrund der zentralen Position des Datenschutzbeauftragten bietet es sich an, diesen die Koordinierung übernehmen zu lassen, zumal er ohnehin als zentraler Ansprechpartner für alle Fragen des Datenschutzes dienen soll.
167
1. Erläuterungen zu Ziffer 28.1 Durch die Normierung einer Berichtspflicht der Mitarbeiter gegenüber dem Datenschutzbeauftragten soll sichergestellt werden, dass der Datenschutzbeauftragte seinen gesetzlichen Verpflichtungen nachkommen kann. Er kann die ihm durch Gesetz und unternehmensinterne Regelwerke zugewiesenen Aufgaben nur dann sinnvoll wahrnehmen, wenn er auch bei tatsächlichen oder vermeintlichen Datenschutzverstößen umfassend informiert wird.
168
Unter bestimmten Voraussetzungen besteht auch eine Informationspflicht nach § 42a BDSG gegenüber der Aufsichtsbehörde1. Um dieser Informationspflicht nachzukommen, ist unternehmensintern sicherzustellen, dass die Informationen bei der hierfür zuständigen Stelle eingehen. Idealerweise wird wie im Muster der Datenschutzbeauftragte mit dieser Aufgabe betraut, da er am ehesten in der Lage ist, die Relevanz eines Datenschutzverstoßes abzuschätzen2.
169
2. Erläuterungen zu Ziffer 28.2 Unabhängig von dem Bestehen einer Informationspflicht bei einem Datenschutzverstoß ist in der Richtlinie die vertrauensvolle Zusammenarbeit mit der Aufsichtsbehörde geregelt. Die Kompetenzen der Aufsichtsbehörde gegenüber dem Unternehmen ergeben sich aus § 38 BDSG. Das Unternehmen hat u.a. Untersuchungen und Kontrollen der Aufsichtsbehörde gem. § 38 Abs. 4 Satz 4 BDSG zu dulden und Anordnungen der Aufsichtsbehörde gem. § 38 Abs. 5 BDSG Folge zu leisten. Im Muster wird die Bereitschaft zur Unterstützung der Arbeit der Aufsichtsbehörde bekräftigt, allerdings mit der Einschränkung, dass sich das Unternehmen die Möglichkeit vorbehält, Aktivitäten der Behörde als unrechtmäßig anzusehen. Die Formulierung im Muster ist dabei so zu verstehen, dass der Vorbehalt sich sowohl auf die formelle Rechtmäßigkeit als auch auf eine materielle Überprüfung bezieht. Wird die Rechtmäßigkeit von dem Unternehmen angezweifelt, ist ggf. eine gerichtliche Klärung herbeizuführen3.
1 Scheuring, NVwZ 2010, 809 (811). 2 Gola/Schomerus, § 42a BDSG Rz. 10. 3 Zur Überprüfung aufsichtsbehördlicher Maßnahmen vgl. bspw. OVG Schleswig-Holstein v. 22.4.2013 – 4 MB 11/13, K&R 2013, 523 m. Anm. Meyer.
Meyer
|
481
170
Teil 4 I 171
Rz. 171
Unternehmensrichtlinie Datenschutz
Das Muster geht davon aus, dass auch die Kommunikation mit der Aufsichtsbehörde durch den Datenschutzbeauftragten geführt wird. Da im Einzelfall denkbar ist, dass die Aufsichtsbehörde eine direkte Klärung mit der Geschäftsleitung erwartet, ist die Regelung lediglich aus Sollvorschrift ausgestaltet. Abhängig von dem Gegenstand der Aktivitäten der Aufsichtsbehörde ist ohnehin davon auszugehen, dass der Datenschutzbeauftragte sich mit der Geschäftsleitung abstimmt.
XXIX. Erläuterungen zu Ziffer 29 172
E 29. Publizität 29.1 Diese Unternehmensrichtlinie ist allen Mitarbeitern des Unternehmens in geeigneter Weise zugänglich zu machen, insbesondere über das Intranet. 29.2 Eine allgemeine Veröffentlichung dieser Unternehmensrichtlinie ist nicht vorgesehen, da es sich um eine interne Richtlinie des Unternehmens handelt.
173
Die Bestimmung regelt die Veröffentlichung der Unternehmensrichtlinie, wobei einer rein unternehmensinternen Veröffentlichung der Vorzug gegenüber einer allgemeinen Veröffentlichung gegeben wird.
1. Erläuterungen zu Ziffer 29.1 174
Bei der Richtlinie handelt es sich grundsätzlich um ein unternehmensinternes Dokument. Damit die Mitarbeiter sich an den Vorgaben der Richtlinie orientieren können, ist sicherzustellen, dass alle Mitarbeiter Zugriff auf die Richtlinie haben. Eine einfache Möglichkeit der Bereitstellung der Richtlinie ist die Veröffentlichung im Intranet. Auf diese Weise ist es auch möglich, immer die aktuelle Fassung der Richtlinie zur Verfügung zu stellen. Soweit ein eigenes Intranet nicht zur Verfügung steht, sind andere Möglichkeiten zu nutzen, um die jederzeitige Zugriffsmöglichkeit auf die Richtlinie zu gewährleisten. Denkbar ist bspw. die Speicherung einer elektronischen Fassung auf einem allgemein verfügbaren Laufwerk.
175
Soweit vorgesehen ist, dass die Unternehmensrichtlinie auch für Tochtergesellschaften des Unternehmens gelten soll, ist daran zu denken, dass die dortigen Mitarbeiter Zugriff auf die Unternehmensrichtlinie haben und über diese informiert werden (siehe Rz. 25).
2. Erläuterungen zu Ziffer 29.2 176
Die Richtlinie enthält keine vertraulichen Informationen oder besonders schützenswerte Daten. Insoweit erfolgt lediglich die Klarstellung, dass eine allgemeine Veröffentlichung der Richtlinie nicht vorgesehen ist. Es entspricht der Praxis, dass entsprechende Richtlinien zumeist nicht veröffentlicht werden, sondern nur unternehmensweit verfügbar sind.
482
|
Meyer
Erläuterungen
Rz. 180 Teil 4 I
XXX. Erläuterungen zu Ziffer 30 177
E 30. Änderungen dieser Unternehmensrichtlinie 30.1 Das Unternehmen behält sich das Recht vor, diese Unternehmensrichtlinie bei Bedarf zu ändern. Eine Änderungen kann insbesondere erforderlich werden, um gesetzlichen Vorgaben, bindenden Verordnungen, Forderungen der Aufsichtsbehörden oder unternehmensinternen Verfahren zu entsprechen. 30.2 In regelmäßigen Abständen soll auch geprüft werden, inwieweit technologische Veränderungen eine Anpassung dieser Unternehmensrichtlinie erforderlich machen. Angesichts regelmäßiger gesetzlicher und technischer Veränderungen ist davon auszugehen, dass bezüglich der Richtlinie Änderungsbedarf in der Zukunft entstehen wird. Vor diesem Hintergrund sollte bereits bei Erlass der Richtlinie definiert werden, unter welchen Umständen eine Änderung der Richtlinie erfolgen kann.
178
1. Erläuterungen zu Ziffer 30.1 Die Entscheidung über die Änderung der Richtlinie wird von dem Unternehmen getroffen, das auch die Richtlinie ursprünglich erlassen hat. Grundsätzlich bedarf es keines konkreten Anlasses für eine Änderung oder Anpassung, daher stellt das Muster allgemein auf einen Änderungsbedarf ab. Nachfolgend sind nur beispielhaft Anlässe aufgeführt, aus denen sich der Änderungsbedarf ergeben kann. Gesetzesänderungen können u.a. zu einer Verschärfung der datenschutzrechtlichen Vorschriften führen, die dann auch in der Richtlinie berücksichtigt werden sollten. Auch eine geänderte Interpretation gesetzlicher Vorschriften kann zu dem gleichen Ergebnis führen, ebenso Entscheidungen der Aufsichtsbehörde. Auch rein interne Veränderungen bei den Vorgaben und Abläufen des Unternehmens können einen Änderungsbedarf erzeugen.
179
2. Erläuterungen zu Ziffer 30.2 Wegen der schnellen technologischen Entwicklung ist ausdrücklich auch ein Hinweis aufgenommen worden, dass der Inhalt der Richtlinie regelmäßig vor diesem Hintergrund rechtlich geprüft werden soll.
Meyer
|
483
180
II. Betriebsvereinbarung zur Videoüberwachung Literaturverzeichnis: Bauer/Schansker, (Heimliche) Videoüberwachung durch den Arbeitgeber, NJW 2012, 3537; Bergwitz, Verdeckte Videoüberwachung weiterhin zulässig, NZA 2012, 1205; Burgartz/Röhrig, Information Security Management, Stand 38. Ergänzungslieferung 2013; Däubler/Klebe/Wedde/Weichert, Bundesdatenschutzgesetz, 3. Aufl. 2010; Gola/Schomerus, BDSG, 11. Aufl. 2012; Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, 6. Aufl. 2013; Der Landesbeauftragte für den Datenschutz Baden-Württemberg, Videoüberwachung durch nicht-öffentliche Stellen, 2012; Lang, Private Videoüberwachung im öffentlichen Raum, 2008; Lang, Videotechnik, Ortungssysteme und biometrische Verfahren – Mitarbeiterüberwachung, in: Datenschutz im Unternehmen, AuA Sonderausgabe 2010, 26; Lang, Videoüberwachung am Arbeitsplatz (Besprechung von BAG 26.08.2008 – 1 ABR 16/07), AuA 2009, 374; Lang, Verdeckte Videoüberwachung von Arbeitnehmern (Besprechung von BAG 21.6.2012 – 2 AZR 153/11), AuA 2013, 551; Müller-Glöge/Preis/Schmidt, Erfurter Kommentar zum Arbeitsrecht, 13. Aufl. 2013; Plath, BDSG, 2013; Seiffert, Datenschutzprüfung durch die Aufsichtsbehörden, 2. Aufl., 2009; Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2011; Taeger/Gabel, Kommentar zum BDSG, 2010; Thüsing, Arbeitnehmerdatenschutz und Compliance, 2010; Schaffland/Wiltfang, BDSG, Stand Lieferung 5/12 2012.
A. Einleitung I. Tatsächliche Rahmenbedingungen für Videoüberwachung am Arbeitsplatz 1
Videoüberwachung am Arbeitsplatz erfolgt zu vielfältigen Zwecken präventiver und repressiver Art. Hierzu zählen z.B. die Erkennung und Lokalisierung von Gefahren zum Objekt- und Personenschutz, die Verhinderung von Straftaten durch Mitarbeiter oder andere Personen und die Beweissicherung.
2
Die rechtlichen Vorgaben für eine Videoüberwachung (am Arbeitsplatz) hängen nicht nur vom konkreten Zweck, den erfassten Bereichen und den betroffenen Personen ab, sondern auch von der Einsatzform der Videotechnik. Die Einsatzform bestimmt sich danach, ob bestimmte Komponenten der Videotechnik vorhanden sind bzw. ob und wie diese Komponenten genutzt werden. Folgende Basis-Einsatzformen lassen sich unterscheiden: Geräte der Videotechnik sind entweder mit oder ohne akustisch-elektronische Komponenten ausgestattet und entsprechend einsetzbar. Dieser Einsatz kann – wiederum technisch bedingt – in zwei verschiedenen Formen erfolgen. Das sind zum einen das Beobachten und ggf. Abhören, wodurch nur der Augenblick erfasst wird und eine Reproduktion ausgeschlossen ist (sog. Kamera-Monitor-Prinzip). Die zweite Form bildet die Aufzeichnung der Bild- und ggf. Toninformation auf einem Speichermedium. Weiterhin ist Videoüberwachung offen1 und verdeckt möglich. Schließlich kann Videotechnik mobil oder stationär eingesetzt werden2. 1 Offen im Sinne von bekannt gemacht oder zumindest erkennbar. Zu den Termini „offen“ einerseits und „verdeckt“, „versteckt“ sowie „heimlich“ andererseits und deren zuweilen unpräzisen Verwendung in der Rechtsprechung s. Lang, S. 97. 2 Zu den verschiedenen Einsatzformen von Videotechnik zu Überwachungszwecken und deren grundlegenden Funktionsweisen, Möglichkeiten und Grenzen s. Lang, S. 8 und 37 ff.
484
|
Lang
Betriebsvereinbarung zur Videoüberwachung
Rz. 6 Teil 4 II
II. Rechtsgrundlagen für Videoüberwachung am Arbeitsplatz Bei einer Videoüberwachung am Arbeitsplatz können zum einen Beschäftigte der überwachenden Stelle und zum anderen deren Kunden, Lieferanten, Besucher und sonstige Personen betroffen sein. Insoweit kommen unterschiedliche Rechtsgrundlagen zum Tragen. Im Hinblick auf die Personen, die keine Beschäftigten der überwachenden Stelle sind, gelten die allgemeinen rechtlichen Vorgaben für eine Videoüberwachung an öffentlich bzw. nicht öffentlich zugänglichen Orten1.
3
Für eine Videoüberwachung von Beschäftigten am Arbeitsplatz sind je nach Fallkonstellation die Vorschrift zur Videoüberwachung im öffentlich zugänglichen Raum (§ 6b BDSG) und die Vorschrift zur Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses (§ 32 BDSG) zu beachten. Daneben kommen als Rechtsgrundlage für eine Videoüberwachung am Arbeitsplatz grundsätzlich auch eine Einwilligung der betroffenen Beschäftigten, § 28 Abs. 1 Satz 1 Nr. 2 BDSG und in Betrieben mit Betriebsrat Betriebsvereinbarungen in Betracht (zur Betriebsvereinbarung als Rechtsgrundlage von Videoüberwachungen am Arbeitsplatz siehe Rz. 22).
4
Es existieren bislang keine spezifischen rechtlichen Regelungen für eine Videoüberwachung am Arbeitsplatz. Zwar enthielt der mehrmals überarbeitete Gesetzentwurf der Bundesregierung zum Beschäftigtendatenschutz2 auch in der zuletzt diskutierten Fassung mit § 32f eine Regelung des Einsatzes von Videoüberwachung und Attrappen in nicht öffentlich zugänglichen Betriebsbereichen3. Allerdings wurde das seit langem geplante und immer wieder in Angriff genommene Gesetz zum Beschäftigtendatenschutz nicht verabschiedet4.
5
1. Einwilligung Eine Videoüberwachung kann gem. § 4 Abs. 1 BDSG zwar grundsätzlich auf Basis einer Einwilligung der betroffenen Beschäftigten erfolgen5. Allerdings ist diese Rechtsgrundlage in mehrfacher Hinsicht mit Unsicherheit belastet. Zum einen ist unklar, ob das BAG eine Einwilligung in eine Videoüberwachung im nicht öffentlich zugänglichen Raum für zulässig erachtet6. Zum anderen ist die für eine wirksame Einwilligung gem. § 4a Abs. 1 BDSG erforderliche Freiwilligkeit und damit die Einwilligung als Grundlage für Überwachungsmaßnahmen im Arbeitsverhältnis grundsätzlich umstritten7. Schließlich kann eine Einwilligung grundsätzlich jederzeit widerrufen werden. Vor diesem Hintergrund ist 1 2 3 4 5 6
Vgl. dazu Lang, S. 241 ff. BT-Drucks. 17/4230. Vgl. dazu Lang, AuA Sonderausgabe 2010, 26 (26 f.). Vgl. Simitis/Seifert, § 32 BDSG Rz. 1 f. So auch Thüsing, Rz. 344. Vgl. BAG v. 29.6.2004 – 1 ABR 21/03, NZA 2004, 1278 (1281, 1282 f.) und BAG v. 14.12.2004 – 1 ABR 34/03, NJOZ 2005, 2709 (2713, 2714), wenngleich in beiden Entscheidungen die Ausführungen zum Hausrecht eine ablehnende Auffassung des BAG vermuten lassen. 7 Vgl. zum Ganzen Thüsing, Rz. 127 ff.; Taeger/Gabel/Taeger, § 4a BDSG Rz. 58 ff.
Lang
|
485
6
Teil 4 II Rz. 7
Betriebsvereinbarung zur Videoüberwachung
eine Einwilligung in eine Videoüberwachungsmaßnahme, die regelmäßig eine Vielzahl von Personen betrifft, nicht zielführend. Der Widerruf der Einwilligung eines einzigen Arbeitnehmers führt dazu, dass ungeachtet der noch vorliegenden Einwilligungen der anderen Beschäftigten die Videoüberwachung als ganzheitliche Maßnahme nicht mehr auf die Rechtsgrundlage der Einwilligung gestützt werden kann.
2. Vorschriften des BDSG a) Differenzierung: Öffentlich und nicht öffentlich zugängliche Bereiche 7
Die datenschutzrechtliche Zulässigkeit einer Videoüberwachung am Arbeitsplatz auf Basis der gesetzlichen Erlaubnisvorschriften bestimmt sich zunächst danach, ob öffentlich zugängliche Bereiche betroffen sind.
8
Öffentlich zugänglich sind Bereiche, die von einem unbestimmten oder nur nach allgemeinen Merkmalen bestimmten Personenkreis betreten und genutzt werden können und ihrem Zweck nach dazu auch bestimmt sind1. Hierzu zählen auch die für Publikumsverkehr geöffneten Bereiche, z.B. ein gemeinsamer Beschäftigten- und Besucherparkplatz oder Verkaufsräume in Geschäften, Einkaufspassagen oder Bahnhöfen.
9
Nicht öffentlich zugänglich sind dagegen Bereiche, soweit sie ausschließlich den dort Beschäftigten vorbehalten und nicht Kunden, Besuchern oder sonstigen Dritten allgemein zugänglich gemacht werden, z.B. Produktionsbereiche, Lager- und Personalräume, Büros, Kassen- und Schalterbereiche2.
b) Videoüberwachung öffentlich zugänglicher Arbeitsplätze aa) Rechtsgrundlage § 6b Abs. 1 Nr. 3 BDSG 10
Die Zulässigkeit einer Videoüberwachung am Arbeitsplatz, der in einem öffentlich zugänglichen Bereich belegen ist, richtet sich nach § 6b Abs. 1 Nr. 3 BDSG. Diese Norm regelt zwar anders als § 32 BDSG nicht speziell die Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten, enthält aber eine spezielle Regelung für die Videoüberwachung im öffentlichen Raum und verdrängt insoweit § 32 Abs. 1 BDSG auch in Bezug auf die vom Videoeinsatz betroffenen Beschäftigten3.
11
Eine Videoüberwachung in Form des Kamera-Monitor-Prinzips, also lediglich im Wege einer Beobachtung mit Hilfe von Videotechnik, ist gem. § 6b Abs. 1 1 Lang, S. 241 f.; Simitis/Scholz, § 6b BDSG Rz. 42 ff. jeweils mit weiteren Hinweisen zu den Detailfragen. 2 Lang, S. 243; Simitis/Scholz, § 6b BDSG Rz. 48, 51. 3 Simitis/Seifert, § 32 BDSG Rz. 79; Däubler/Klebe/Wedde/Weichert/Wedde, § 6b BDSG Rz. 24 und § 32 BDSG Rz. 95; a.A. Bauer/Schansker, NJW 2012, 3537 (3539) für eine verdeckte Videoüberwachung zur Aufklärung von Straftaten. Das BAG hat in seiner bisherigen Rechtsprechung zwar die Anwendbarkeit von § 6b BDSG bejaht, aber noch keine Aussage zum Verhältnis zu § 32 BDSG getroffen (zuletzt BAG v. 21.6.2012 – 2 AZR 152/11, NZA 2012, 1025 (1027 f.)).
486
|
Lang
Betriebsvereinbarung zur Videoüberwachung
Rz. 14 Teil 4 II
Nr. 3 BDSG zulässig, soweit sie zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Der besondere Zulässigkeitstatbestand der Wahrnehmung des Hausrechts gem. § 6b Abs. 1 Nr. 2 BDSG kann vom Arbeitgeber zwar gegenüber betriebsfremden Dritten, nicht aber (zugleich) gegenüber Beschäftigten herangezogen werden1. Beschäftigte haben die Pflicht, sich an dem vom Arbeitgeber bestimmten Ort aufzuhalten, um dort ihre geschuldete Arbeitsleistung zu erbringen. Sie haben im Gegensatz zu Dritten keine Möglichkeit, sich der Videoüberwachung im öffentlich zugänglichen Raum durch Verlassen des betroffenen Bereiches zu entziehen2. Das Hausrecht kann jedoch in konkretisierter Form im Rahmen der Abwägung der widerstreitenden Rechtspositionen Berücksichtigung finden3. Für eine Speicherung, Übermittlung oder sonstige Verarbeitung oder eine Nutzung der durch Videoüberwachung auf Grundlage von § 6b Abs. 1 BDSG erhobenen personenbezogenen Daten, also letztlich für die Aufzeichnung bzw. Speicherung und Auswertung der Bilder, sind die Zulässigkeitsvoraussetzungen in einem eigenen Prüfschritt gesondert festzustellen. Es ist gem. § 6b Abs. 3 BDSG zu prüfen, ob die Speicherung, sonstige Verarbeitung oder Nutzung für die mit der Überwachungsmaßnahme verfolgten Zwecke nach § 6b Abs. 1 BDSG erforderlich sind und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.
12
Die aus einer Beobachtung gewonnenen Daten dürfen grundsätzlich nur zu dem originären Zweck der Beobachtung verarbeitet und genutzt werden. § 6b Abs. 3 Satz 2 BDSG ermöglicht eine Durchbrechung der Zweckbindung, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist. Die Regelung orientiert sich an den Voraussetzungen des § 28 Abs. 2 Nr. 2 BDSG und besitzt beim privaten Videoeinsatz ihre wesentliche Bedeutung für eine Datenübermittlung an die zuständigen Behörden, wenn z.B. ein Überfall in einem videoüberwachten Supermarkt stattgefunden hat. Die Regelung zur Zweckänderung in § 6b Abs. 3 BDSG ist abschließend. Ein Rückgriff auf § 28 Abs. 3 Nr. 1 und 3 BDSG ist nach dem Willen des Gesetzgebers ausgeschlossen4.
13
bb) Hinweispflicht gem. § 6b Abs. 2 BDSG § 6b Abs. 2 BDSG enthält das Gebot, den Umstand der Videoüberwachung im öffentlich zugänglichen Raum und die verantwortliche Stelle erkennbar zu machen. Es handelt sich aber lediglich um eine Verfahrenssicherung. Die Einhaltung des Hinweisgebots nach § 6b Abs. 2 BDSG ist keine Voraussetzung für die materiell-rechtliche Zulässigkeit eines Einsatzes von Videotechnik im öffentlich 1 Zutreffend Gola/Wronka, Rz. 1045; Thüsing, Rz. 354; so auch BAG v. 29.6.2004 – 1 ABR 21/03, NZA 2004, 1278 (1283); BAG v. 14.12.2004 – 1 ABR 34/03, NJOZ 2005, 2709 (2714); anders aber BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 (1193) ohne Bezugnahme auf vorstehend genannte Entscheidungen. 2 BAG v. 29.6.2004 – 1 ABR 21/03, NZA 2004, 1278 (1283). 3 Burgartz/Röhrig/Lang, Kap. 07330, S. 60 f. 4 Begründung zur Beschlussempfehlung des Innenausschusses, BT-Drucks. 14/5793, 62.
Lang
|
487
14
Teil 4 II Rz. 15
Betriebsvereinbarung zur Videoüberwachung
zugänglichen Raum1. Das gilt auch für die Verarbeitung und Nutzung personenbezogener Daten, die im Rahmen eines Einsatzes von Videoüberwachungstechnik nach § 6b Abs. 1 BDSG erhoben worden sind (§ 6b Abs. 3 BDSG). 15
Allein aus dem Umstand, dass Videoaufzeichnungen im Wege einer verdeckten, also den Betroffenen nicht bekannten und nicht erkennbaren Überwachung im öffentlich zugänglichen Raum gewonnen wurden und dem damit verbundenen Verstoß gegen die Hinweispflicht gem. § 6b Abs. 2 BDSG folgt keine Unzulässigkeit des Videoeinsatzes und damit auch kein Beweisverwertungsverbot. Das BAG geht zutreffend davon aus, dass eine verdeckte Videoüberwachung im öffentlich zugänglichen Raum im Einzelfall zulässig sein kann, wenn der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers besteht, die verdeckte Überwachung praktisch das einzig verbleibende Mittel darstellt, insbesondere weil weniger einschneidende Mittel zur Aufklärung ergebnislos ausgeschöpft worden sind, und die Videoüberwachung insgesamt nicht unverhältnismäßig ist2. In dieser besonderen Fallkonstellation ist § 6b Abs. 2 BDSG entsprechend verfassungskonform auszulegen. Daher bedarf es keines Rückgriffs auf andere Rechtsgrundlagen (davon zu unterscheiden ist die Diskussion, ob spezifische Regelungen zum Beschäftigtendatenschutz erforderlich sind, vgl. dazu Rz. 5). Das gilt insbesondere in Bezug auf § 32 Abs. 1 Satz 2 BDSG für verdeckte Videoüberwachung im öffentlich zugänglichen Bereich zur Aufklärung von Straftaten3. In dieser Konstellation ist eine Anwendung von § 32 Abs. 1 Satz 2 BDSG bereits aus systematischen Gründen abzulehnen. § 6b BDSG enthält eine spezielle Regelung für die Videoüberwachung im öffentlichen Raum und verdrängt insoweit § 32 Abs. 1 BDSG auch wenn Beschäftigte betroffen sind (siehe Rz. 10).
c) Videoüberwachung nicht öffentlich zugänglicher Arbeitsplätze aa) Rechtsgrundlage § 32 Abs. 1 BDSG 16
Die Zulässigkeit einer Videoüberwachung am Arbeitsplatz, der in einem nicht öffentlich zugänglichen Bereich belegen ist, bestimmt sich anhand des konkret verfolgten Zwecks der Überwachungsmaßnahme4. Es ist danach zu unterscheiden, ob die Videoüberwachung zur Aufdeckung von Straftaten oder zu anderen Zwecken erfolgt.
17
Zur Aufdeckung von Straftaten richtet sich die Zulässigkeit einer Videoüberwachung nach § 32 Abs. 1 Satz 2 BDSG. Danach dürfen personenbezogene Daten im Wege einer Videoüberwachung erhoben, verarbeitet und genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht be1 Lang, S. 311 f.; so auch BAG v. 21.6.2012 – 2 AZR 152/11, NZA 2012, 1025 (1029) für den Fall einer verdeckten Videoüberwachung von Beschäftigten im öffentlich zugänglichen Bereich; a.A. Simitis/Scholz, § 6b BDSG Rz. 110 m.w.N. 2 BAG v. 21.6.2012 – 2 AZR 152/11, NZA 2012, 1025 (1028 f.); vgl. Besprechung bei Lang, AuA 2013, 551. 3 A.A. Bauer/Schansker, NJW 2012, 3537 (3539). 4 So auch Thüsing, Rz. 348.
488
|
Lang
Betriebsvereinbarung zur Videoüberwachung
Rz. 19 Teil 4 II
gründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, dieses Vorgehen zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung und Nutzung der Daten nicht überwiegt, insbesondere Art und Ausmaß des Datenumgangs im Hinblick auf den Anlass nicht unverhältnismäßig sind. Zu anderen Zwecken als zur Aufdeckung von Straftaten darf Videoüberwachung gem. § 32 Abs. 1 Satz 1 BDSG nur eingesetzt werden, wenn die mit ihr verbundene Erhebung, Verarbeitung oder Nutzung personenbezogener Daten für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Davon umfasst sein können auch Verhaltens- und Leistungskontrollen von Beschäftigten einschließlich Maßnahmen zur Verhinderung von Straftraten oder sonstigen Rechtsverstößen durch Beschäftigte1. Darüber hinaus sind ungeachtet des Wortlauts von § 32 Abs. 1 Satz 1 BDSG auch hier die widerstreitenden Rechtspositionen nach dem Grundsatz der Verhältnismäßigkeit abzuwägen. Das wird überwiegend – mit unterschiedlichen Schwerpunkten und in unterschiedlicher Klarheit – aus dem gesetzgeberischen Willen und der Rechtsprechung der Arbeitsgerichte hergeleitet, auf die in den Gesetzesmaterialien verwiesen wird2. Der Gesetzgeber wollte mit § 32 BDSG die bisherige Rechtsprechung der Arbeitsgerichte zum Datenschutz im Beschäftigtenverhältnis lediglich kodifizieren3. Nach Maßgabe der – in den Gesetzesmaterialien lediglich beispielhaft genannten – Entscheidungen des BAG kommt der Grundsatz der Verhältnismäßigkeit zum Tragen, in dessen Rahmen eine Abwägung der Interessen des Arbeitgebers und der Beschäftigten zu erfolgen hat.
18
bb) Rechtsgrundlage § 28 Abs. 1 Satz 1 Nr. 2 BDSG § 32 Abs. 1 BDSG ist eine Spezialregelung zu § 28 Abs. 1 BDSG4, dessen Regelungen im Hinblick auf die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verdrängt werden. Für andere Zwecke als das Beschäftigungsverhältnis bleiben die allgemeinen Vorschriften auch im Verhältnis von Arbeitgeber und Beschäftigten, insbesondere auch die Rechtsgrundlage § 28 Abs. 1 Satz 1 Nr. 2 BDSG (Wahrung berechtigter Interessen) anwendbar5. Der Anwendungsbereich von § 28 Abs. 1 Satz 1 Nr. 2 BDSG kann eröffnet sein, wenn ein Datenumgang im Zusammenhang mit dem Beschäftigungsverhältnis steht, ohne dessen Durchführung, also ohne einem aus dem Beschäftigungsvertrag folgenden Recht oder einer korrespondierenden Pflicht zu dienen. Es muss sich um Fälle handeln, 1 Begründung zur Beschlussempfehlung des Innenausschusses, BT-Drucks. 16/13657, 21; vgl. Beispiele bei Gola/Wronka, Rz. 1066. 2 Vgl. nur Schaffland/Wiltfang, § 32 BDSG Rz. 2; Taeger/Gabel/Zöll, § 32 BDSG Rz. 16; Plath/Stamer/Kuhnke, § 32 BDSG Rz. 16 ff.; Gola/Schomerus, § 32 BDSG Rz. 19a und 19c für Videoüberwachung. 3 Begründung zur Beschlussempfehlung des Innenausschusses, BT-Drucks. 16/13657, 20. 4 Begründung zur Beschlussempfehlung des Innenausschusses, BT-Drucks. 16/13657, 20. 5 Begründung zur Beschlussempfehlung des Innenausschusses, BT-Drucks. 16/13657, 20 f.
Lang
|
489
19
Teil 4 II Rz. 20
Betriebsvereinbarung zur Videoüberwachung
die zwar mit dem Beschäftigungsverhältnis in einem gewissen Zusammenhang stehen, jedoch nach vorstehender Interpretation nicht mehr der Zweckbestimmung des Beschäftigtenvertragsverhältnisses zuzuordnen sind. Ein irgendwie gearteter Bezug zum Beschäftigtenverhältnis reicht für die Anwendbarkeit von § 32 Abs. 1 BDSG nicht aus1. 20
Für Videoüberwachungsmaßnahmen gegenüber Beschäftigten sind kaum Konstellationen denkbar, die auf der allgemeinen Erlaubnisnorm § 28 Abs. 1 Satz 1 Nr. 2 BDSG basieren können2. Insbesondere für Videoüberwachungsmaßnahmen im nicht öffentlichen Raum zur Verhinderung von Straftraten oder sonstigen Rechtsverstößen, die im Zusammenhang mit dem Beschäftigungsverhältnis stehen, ist § 32 Abs. 1 Satz 1 BDSG heranzuziehen3. Es kann regelmäßig davon ausgegangen werden, dass der Zweck dieser Überwachungsmaßnahmen, also die Verhinderung von Straftaten oder sonstigen Rechtsverstößen gegen den Arbeitgeber, zumindest auch der Durchführung des Beschäftigungsverhältnisses dient. Das gilt auch in Fällen, in denen sich diese Maßnahme nicht ausschließlich oder nicht in erster Linie gegen die Beschäftigten, sondern gegen Dritte, z.B. Kunden oder Besucher, richtet. In Bezug auf die betroffenen Nichtbeschäftigten ist freilich § 28 Abs. 1 Satz 1 Nr. 2 BDSG als Rechtsgrundlage heranzuziehen. Das gilt allerdings – nicht anders als für die Beschäftigten – nur für den nicht öffentlich zugänglichen Bereich, da im Übrigen § 6b BDSG greift4.
21
Das BAG stellt § 28 BDSG als Rechtsgrundlage für eine Videoüberwachung grundsätzlich in Frage, trifft aber insoweit keine Entscheidung5. Das Gericht musste zudem noch nicht über die Anwendbarkeit von § 32 BDSG und dessen Verhältnis zu §§ 6b und 28 BDSG entscheiden6.
3. Betriebsvereinbarung als Rechtsgrundlage und Zulässigkeitsgrenze 22
Eine Betriebsvereinbarung kann für die mit einer Videoüberwachung einhergehende Erhebung, Verarbeitung und Nutzung personenbezogener Daten vorrangige Rechtsgrundlage i.S.d. § 4 Abs. 1 BDSG sein7. Die Regelungen der Betriebsparteien müssen jedoch mit – soweit einschlägig – höherrangigem Recht vereinbar sein und machen das Vorliegen der entsprechenden Zulässigkeits1 Gola/Schomerus, § 32 BDSG Rz. 33; Taeger/Gabel/Zöll, § 32 BDSG Rz. 6, jeweils mit Beispielen. 2 So auch Thüsing, Rz. 348. 3 Begründung zur Beschlussempfehlung des Innenausschusses, BT-Drucks. 16/13657, 21. 4 Lang, S. 285, 289 ff., 332. Zu den allgemeinen Vorschriften des Zivilrechts, die bei privater Videoüberwachung Anwendung finden können s. Lang, S. 343 ff. 5 BAG v. 29.6.2004 – 1 ABR 21/03, NZA 2004, 1278 (1282); anders dagegen Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, 17. Datenschutzbericht 2005, S. 45, die eine Videoüberwachung eines Toilettenvorraums in einem Unternehmen nach den Vorgaben von § 28 Abs. 1 Satz 1 Nr. 2 BDSG beurteilt. Der Landesbeauftragte für den Datenschutz Baden-Württemberg, S. 14, geht dagegen davon aus, dass das BDSG für eine Videoüberwachung von Mitarbeitern in nicht öffentlich zugänglichen Bereichen keine Regelung enthält. 6 Vgl. zuletzt BAG v. 21.6.2012 – 2 AZR 152/11, NZA 2012, 1025 (1027 f.). 7 Taeger/Gabel/Taeger, § 4 BDSG Rz. 22/39; Gola/Schomerus, § 4 BDSG Rz. 10 f.
490
|
Lang
Rz. 23 Teil 4 II
Vertragstext
voraussetzungen nicht entbehrlich. Das gilt unabhängig von der Diskussion, ob Betriebsvereinbarungen die im BDSG verankerten Betroffenenrechte, z.B. auf Auskunft, einschränken können1. Die Betriebsparteien haben mit Blick auf § 75 Abs. 2 Satz 1 BetrVG höherrangiges Recht, insbesondere das allgemeine Persönlichkeitsrecht der Arbeitnehmer zu beachten und können in diesem Rahmen die Grenzen eines rechtlich zulässigen Eingriffs nicht zulasten der Arbeitnehmer verschieben2. Die den Betriebsparteien auferlegte Schutzpflicht gem. § 75 Abs. 2 BetrVG wird durch den Grundsatz der Verhältnismäßigkeit konkretisiert. Die Überwachungsmaßnahme und die korrespondierenden Bestimmungen einer Betriebsvereinbarung müssen geeignet, erforderlich und angemessen sein3.
B. Muster E Betriebsvereinbarung zur Videoüberwachung
23
zwischen [Unternehmen] – nachfolgend Arbeitgeber – vertreten durch […], und dem Betriebsrat der [Unternehmen], – nachfolgend Betriebsrat – vertreten durch […] Präambel Die Anzahl von Sachbeschädigungen an der Außenumgrenzung und auf dem Außengelände der [Unternehmen] ist in den letzten zwölf Monaten stark gestiegen. 48 Vorfällen stehen zwei Vorfälle im davor liegenden Vergleichszeitraum von zwölf Monaten gegenüber. Die [Unternehmen] muss sich gegen die Sachbeschädigungen und den damit einhergehenden Zutritt unbefugter Personen stärker schützen. Das kann und soll – nachdem andere Maßnahmen wie die Verstärkung von Kontrollgängen sowie die Verbesserung der Einsehbarkeit und Beleuchtung der betroffenen Bereiche die Situation nicht verbessert haben – im Wege einer offenen Videoüberwachung erfolgen, deren Einführung und Betrieb Gegenstand dieser Betriebsvereinbarung ist. 1 Zu dieser Diskussion s. Taeger/Gabel/Taeger, § 4 BDSG Rz. 34 ff.; Simitis/Sokol, § 4 BDSG Rz. 16 f. 2 BAG v. 21.6.2012 – 2 AZR 153/11, NZA 2012, 1025 (1028); BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 (1190); Taeger/Gabel/Taeger, § 4 BDSG Rz. 34 ff.; Gola/Wronka, Rz. 1884 f. 3 BAG v. 29.6.2004 – 1 ABR 21/03, NZA 2004, 1278 (1280); BAG v. 14.12.2004 – 1 ABR 34/03, NJOZ 2005, 2709 (2711).
Lang
|
491
Teil 4 II Rz. 23
Betriebsvereinbarung zur Videoüberwachung
Diese Betriebsvereinbarung soll den Einsatz der Videoüberwachungstechnik in transparenter Weise regeln und die Interessen der Arbeitnehmer und des Arbeitgebers angemessen in Ausgleich bringen. 1. Geltungsbereich Diese Betriebsvereinbarung gilt für alle bei [Unternehmen] beschäftigten Arbeitnehmer gem. § 5 Abs. 1 BetrVG; sie gilt nicht für leitende Angestellte gem. § 5 Abs. 3 und 4 BetrVG. 2. Zweck der Videoüberwachung 2.1 Die Videoüberwachungsanlage wird ausschließlich zu Zwecken der Sicherung der Außenumgrenzung des Betriebsgeländes einschließlich der Zufahrten und Zugänge sowie zu repressiven Zwecken hinsichtlich rechtlich relevanter Vorfälle genutzt. Es sollen ein unbefugtes Betreten oder Befahren des Betriebsgeländes sowie Sachbeschädigungen an der Außenumgrenzung und auf dem Außenbetriebsgelände verhindert und ggf. mit Videoaufzeichnungen als Beweismittel auf dem Rechtsweg verfolgt werden. 2.2 Die Videoüberwachungsanlage wird nicht zu Zwecken der Leistungskontrolle, des Leistungsvergleichs oder der Leistungsbemessung der Arbeitnehmer eingerichtet oder genutzt. 2.3 Eine Anwesenheits- und Verhaltenskontrolle, die über den Zweck nach Ziffer 2.1 dieser Betriebsvereinbarung hinausgeht, findet nicht statt. 3. Erfasste Bereiche, Einsatzform und Kenntlichmachung 3.1 Das Videoüberwachungssystem wird ausschließlich im Außenbereich des Betriebsgeländes eingesetzt. Erfasst sind der gesamte Zutritts- und Zufahrtsbereich, die zum öffentlich zugänglichen Bereich liegende Außenfassade des Hauptgebäudes und die Außenumgrenzung gemäß der Dokumentation in Ziffer 4 dieser Betriebsvereinbarung. Büros, Büroflure, sonstige Arbeitsplätze, Betriebs- und Aufenthaltsräume werden nicht erfasst. 3.2 Die Bilder der Videoüberwachung werden gem. Ziffer 5 dieser Betriebsvereinbarung auf Monitore übertragen und gem. Ziffer 6 dieser Betriebsvereinbarung aufgezeichnet. Es erfolgt keine akustische Überwachung durch Aufnahme, Übertragung und Aufzeichnung von Audiosignalen mit Hilfe der Videotechnik, was durch geeignete technische und bzw. oder organisatorische Maßnahmen sichergestellt wird. 3.3 Die Videoüberwachung wird offen durchgeführt, d.h. sie ist wie folgt kenntlich zu machen. Auf die erfassten Bereiche ist durch Beschilderung so hinzuweisen, dass die Mitarbeiter bereits vor Betreten dieser Bereiche von dem Umstand der Überwachung Kenntnis nehmen können. Die Orte und Größe der Beschilderung sowie eine Beispielabbildung enthält Anlage 2 zu dieser Betriebsvereinbarung. 492
|
Lang
Vertragstext
Rz. 23 Teil 4 II
4. Dokumentation Das Videoüberwachungssystem ist in den Anlagen 1 bis 3 zu dieser Betriebsvereinbarung dokumentiert. Die Dokumentation besteht aus: – der Systembeschreibung (Anlage 1) mit – Angaben zur technischen Ausstattung des Gesamtsystems (Systemarchitektur einschließlich Schnittstellen und Systemfunktionen) und – Angaben zu den einzelnen Systemkomponenten einschließlich Anzahl der Kameras und Monitore, – dem Lageplan, in dem die jeweiligen Standorte und Erfassungsbereiche der Kameras eingetragen sind (Anlage 2), – dem Berechtigungskonzept, das die Berechtigungen in Bezug auf das Videoüberwachungssystem, insbesondere auch für Zugriffe auf die übertragenen und aufgezeichneten Bilder regelt (Anlage 3). 5. Übermittlung der Bilder und Schnittstellen 5.1 Die Bilder der Videoüberwachung werden auf Monitore übertragen, die sich gem. dem Lageplan in Anlage 2 zu dieser Betriebsvereinbarung in den Räumen des Pförtnerbereichs befinden. 5.2 Die Bilder der Videoüberwachung werden gemäß der Systembeschreibung in Anlage 1 zu dieser Betriebsvereinbarung ausschließlich in einem abgeschlossenen System verarbeitet, das mit keinem anderen Datenerhebungsund Datenverarbeitungssystem verbunden ist. Eine Übermittlung an andere Datenerhebungs- und Datenverarbeitungssysteme findet nicht statt. 5.3 Eine Übermittlung an Dritte im Sinne des Bundesdatenschutzgesetzes findet nicht statt. Etwas anderes gilt, wenn staatliche Ermittlungsbehörden bei Straftaten oder einem entsprechenden Verdacht eingeschaltet werden. In diesem Fall sind die gesetzlichen Vorschriften zu beachten. 6. Aufzeichnung und Speicherung von Bildern 6.1 Eine Bildaufzeichnung im Rahmen der Überwachung des Zutritts- und Zufahrtsbereiches erfolgt nur außerhalb der regelmäßigen Betriebszeiten und Betriebszugangszeiten, d.h. an Werktagen von 0.00–6.00 Uhr und 20.00–24.00 Uhr, an Wochenenden und Feiertagen von 0.00–24.00 Uhr, auf einer Festplatte in einer sog. Black Box. Eine Bildaufzeichnung im Rahmen der Überwachung der Außenfassade des Hauptgebäudes und der Außenumgrenzung gem. der Dokumentation im Lageplan in Anlage 2 zu dieser Betriebsvereinbarung erfolgt durchgehend auf einer Festplatte in einer sog. Black Box. Das Videoüberwachungssystem ist gem. der Systembeschreibung in Anlage 1 zu dieser Betriebsvereinbarung so ausgestattet und eingestellt, dass die Aufzeichnung auf einem sog. Ringspeicher erfolgt, bei dem die aufgezeichneten Bilder nach 72 Stunden automatisch überschrieben werden. Lang
|
493
Teil 4 II Rz. 23
Betriebsvereinbarung zur Videoüberwachung
6.2 Eine längere Speicherung ist zulässig, soweit es im Rahmen der Zweckbestimmung gem. Ziffer 2 dieser Betriebsvereinbarung zur Rechtsverfolgung durch die [Unternehmen] oder zum Zweck der Herausgabe an staatliche Ermittlungsbehörden erforderlich ist. Diese Aufzeichnungen sind zu sperren i.S.v. § 3 Abs. 4 Satz 2 Nr. 4 BDSG und nach Abschluss der entsprechenden Verfahren unverzüglich, spätestens aber drei Arbeitstage nach Abschluss dieser Verfahren zu löschen. 6.3 Sicherungskopien dürfen im Rahmen der Zweckbestimmung gem. Ziffer 2 dieser Betriebsvereinbarung nur zur Rechtsverfolgung durch die [Unternehmen] oder zur Herausgabe an staatliche Ermittlungsbehörden angefertigt und herausgegeben werden. Die Regelung in Ziffer 6.2 Satz 2 dieser Betriebsvereinbarung gilt entsprechend. 7. Zugriff auf Aufzeichnungen und Auswertung 7.1 Zugriffe auf die Aufzeichnungen und Auswertungen werden vom Videoüberwachungssystem gem. Systembeschreibung in Anlage 1 zu dieser Betriebsvereinbarung protokolliert. Sie sind ausschließlich im Rahmen der Zweckbestimmung gem. Ziffer 2 dieser Betriebsvereinbarung zulässig. Ein Zugriff erfolgt im Wege des Vier-Augen-Prinzips in Abstimmung mit dem Betriebsrat und unter Hinzuziehung des betrieblichen Datenschutzbeauftragten. Der Betriebsrat und der Datenschutzbeauftragte sind vorab zu informieren, wenn ein Zugriff auf Aufzeichnungen oder eine Auswertung erfolgen soll. 7.2 Bei einem Zugriff und einer Auswertung ist ein Protokoll mit folgendem Inhalt zu erstellen: – anwesende Personen und deren Funktion, – Datum und Uhrzeit, – Anlass und Ziel des Zugriffs/der Auswertung, – Ergebnis des Zugriffs/der Auswertung und – weitere geplante Schritte. Das Protokoll ist von den gem. Ziffer 7.3 dieser Betriebsvereinbarung bestimmten Personen zu unterzeichnen. Eine Kopie des Protokolls ist dem Betriebsrat und dem betrieblichen Datenschutzbeauftragten zuzuleiten. 7.3 Der Arbeitgeber und der Betriebsrat bestimmen jeweils drei Personen, von denen im Fall eines Zugriffs oder einer Auswertung jeweils mindestens eine Person hinzuzuziehen ist. Diese Personen sind in Anlage 4 dieser Betriebsvereinbarung aufgeführt. 8. Rechte der Arbeitnehmer 8.1 Die Arbeitnehmer werden vom Arbeitgeber vier Wochen vor Inbetriebnahme des Videoüberwachungssystems über dessen Einsatz, Zweck, Umfang und die Regelungen dieser Betriebsvereinbarung in geeigneter Weise 494
|
Lang
Rz. 23 Teil 4 II
Vertragstext
informiert. Arbeitnehmer, die neu eingestellt werden, sind spätestens zum Zeitpunkt ihres Eintritts entsprechend Satz 1 dieser Ziffer 8.1 zu informieren. 8.2 Rechte der Arbeitnehmer, die sich aus gesetzlichen Vorschriften, insbesondere aus dem Bundesdatenschutzgesetz ergeben, bleiben unberührt. 9. Zutritt zu Räumen mit Komponenten des Videoüberwachungssystems 9.1 Zutritt zu den Räumen, in denen die Komponenten des Videoüberwachungssystems vorgehalten werden, haben ausschließlich Beschäftigte des Bereichs [Fachbereich/Abteilung]. 9.2 Das in Bezug auf das Videoüberwachungssystem mit Wartungs- und Serviceaufgaben betraute Personal sowie das Reinigungspersonal erhalten nur im Rahmen ihrer Aufgaben und nur in Anwesenheit eines Beschäftigten des Bereichs [Fachbereich/Abteilung] Zutritt zu den genannten Räumen. 9.3 Die gesetzlichen Rechte und Pflichten des betrieblichen Datenschutzbeauftragten und des Betriebsrats bleiben unberührt. 10. Änderungen am Videoüberwachungssystem 10.1 Änderungen, insbesondere Erweiterungen, des Videoüberwachungssystems einschließlich des Erfassungsbereichs der Videoüberwachung sind nur mit Zustimmung des Betriebsrats bzw. mit Ersetzung der Zustimmung durch die Einigungsstelle zulässig. 10.2 Der Arbeitgeber wird den Betriebsrat über geplante Änderungen oder Erweiterungen rechtzeitig informieren und diese mit dem Betriebsrat beraten. 11. Schlussbestimmungen 11.1 Diese Betriebsvereinbarung tritt mit Unterzeichnung in Kraft und ist auf unbestimmte Zeit geschlossen. 11.2 Eine Kündigung kann durch beide Vertragsparteien mit einer Frist von […] Monaten zum Ende eines Quartals, erstmals zum […] erfolgen. Eine Teilkündigung ist möglich. 11.3 Die Regelungen dieser Betriebsvereinbarung gelten auch nach ihrer Beendigung fort, bis sie durch eine andere Abmachung ersetzt wurden. 11.4 Zur Beilegung von Meinungsverschiedenheiten im Zusammenhang mit dieser Betriebsvereinbarung sind der Arbeitgeber und der Betriebsrat unter den gesetzlichen Voraussetzungen des § 76 BetrVG berechtigt, die Einigungsstelle anzurufen. … Ort, Datum
… Ort, Datum
… Arbeitgeber
… Betriebsrat Lang
|
495
Teil 4 II Rz. 24
Betriebsvereinbarung zur Videoüberwachung
Anlage 1 (Systembeschreibung gem. Ziffer 4 der Betriebsvereinbarung zur Videoüberwachung) […] Anlage 2 (Lageplan gem. Ziffer 4 und Ziffer 3.3 Satz 3 der Betriebsvereinbarung zur Videoüberwachung) […] Anlage 3 (Berechtigungskonzept gem. Ziffer 4 der Betriebsvereinbarung zur Videoüberwachung) […] Anlage 4 (Durch Arbeitgeber und Betriebsrat zu benennende Personen gem. Ziffer 7.3 der Betriebsvereinbarung zur Videoüberwachung) […]
C. Erläuterungen I. Vorbemerkung 24
Das Muster der Betriebsvereinbarung betrifft eine Videoüberwachung der Außenumgrenzung eines Betriebsgeländes sowie der Zufahrten und Zugänge zur Verhinderung und Verfolgung von Diebstahl, Sachbeschädigung und Hausfriedensbruch. Dieses Beispiel kann mit den Erläuterungen lediglich eine erste Orientierung bieten. Bereits die (zulässigen) Gründe für eine betriebliche Videoüberwachung sind vielfältig. Allerdings muss auch in gleichgelagerten oder ähnlichen Konstellationen immer geprüft werden, ob und in welchem Umfang Anpassungen erforderlich sind. Dabei sind die Besonderheiten zu beachten, die sich zum einen aus den rechtlichen Vorgaben für Videoüberwachung am Arbeitsplatz und zum anderen aus den konkreten Umständen des Einzelfalls, z.B. betroffener Bereich, technische und organisatorische Umsetzung, ergeben (zu den tatsächlichen Rahmenbedingungen siehe Rz. 1 f., zu den rechtlichen Rahmenbedingungen siehe Rz. 3 ff. und 59 ff.).
496
|
Lang
Erläuterungen
Rz. 26 Teil 4 II
II. Erläuterung der einzelnen Klauseln 1. Erläuterungen zur Bezeichnung der Vertragsparteien und zur Präambel E Betriebsvereinbarung zur Videoüberwachung
25
zwischen [Unternehmen] – nachfolgend Arbeitgeber – vertreten durch […], und dem Betriebsrat der [Unternehmen], – nachfolgend Betriebsrat – vertreten durch […] Präambel Die Anzahl von Sachbeschädigungen an der Außenumgrenzung und auf dem Außengelände der [Unternehmen] ist in den letzten zwölf Monaten stark gestiegen. 48 Vorfällen stehen zwei Vorfälle im davor liegenden Vergleichszeitraum von zwölf Monaten gegenüber. Die [Unternehmen] muss sich gegen die Sachbeschädigungen und den damit einhergehenden Zutritt unbefugter Personen stärker schützen. Das kann und soll – nachdem andere Maßnahmen wie die Verstärkung von Kontrollgängen sowie die Verbesserung der Einsehbarkeit und Beleuchtung der betroffenen Bereiche die Situation nicht verbessert haben – im Wege einer offenen Videoüberwachung erfolgen, deren Einführung und Betrieb Gegenstand dieser Betriebsvereinbarung ist. Diese Betriebsvereinbarung soll den Einsatz der Videoüberwachungstechnik in transparenter Weise regeln und die Interessen der Arbeitnehmer und des Arbeitgebers angemessen in Ausgleich bringen.
a) Mitbestimmung bei Videoüberwachung am Arbeitsplatz Arbeitgeber und Betriebsrat sind grundsätzlich befugt, eine Videoüberwachung im Betrieb einzuführen. Unter die umfassende Kompetenz zur Regelung materieller und formeller Arbeitsbedingungen sowie von Fragen der Ordnung des Betriebs fällt auch die Einführung und der Betrieb von Videoüberwachungstechnik am Arbeitsplatz1. Die Mitbestimmungspflicht folgt regelmäßig aus § 87 Abs. 1 Nr. 6 BetrVG. Entsprechendes gilt im Bereich des Personalvertretungsrechts gem. § 75 Abs. 3 Nr. 17 BPersVG und den entsprechenden Landesvorschriften. Videoüberwachungstechnik ist eine technische Einrichtung, die dazu bestimmt ist, das Verhalten oder die Leistung der Arbeitnehmer zu über1 BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 (1189); BAG v. 29.6.2004 – 1 ABR 21/03, NZA 2004, 1278 (1279).
Lang
|
497
26
Teil 4 II Rz. 27
Betriebsvereinbarung zur Videoüberwachung
wachen, da sie hierzu objektiv geeignet ist; auf eine Absicht zur Überwachung kommt es nicht an1. Allerdings sind eine lediglich abstrakte Eignung und damit die bloße Existenz und Funktionsweise einer Videoüberwachungsanlage nicht ausreichend. Vielmehr müssen nach der „objektiv-finalen Betrachtungsweise“ neben der konkreten Funktionsweise und den objektiven Einsatzbedingungen auch der betroffene Arbeitsplatz und die entsprechenden Tätigkeitsbereiche berücksichtigt werden2. 27
Daher scheidet Mitbestimmung aus, wenn eine Videokamera derart installiert und eingesetzt wird, dass Beschäftigte überhaupt nicht erfasst werden können. Umgekehrt kommt das Mitbestimmungsrecht auch dann zum Tragen, wenn eine Videoüberwachung ausschließlich der Überwachung eines Produktionsbereiches dient, wo sich zwar regelmäßig keine Beschäftigten aufhalten, aber ein Betreten dieses Bereiches grundsätzlich möglich ist, im Einzelfall erforderlich sein kann und die Beschäftigten dabei in den Erfassungsbereich der Kameras gelangen können. In diesen und vergleichbaren Konstellationen, z.B. bei einer Videoüberwachung von Kassenbereichen in Kreditinstituten aufgrund von § 6 UVV Kassen (BGV C9)3, kommt es nicht darauf an, dass eine Mitarbeiterüberwachung nur ungewollter Nebeneffekt ist4.
b) Vertragsparteien 28
Die Vertragsparteien der Betriebsvereinbarung sind auf der einen Seite der Arbeitgeber und auf der anderen Seite die Arbeitnehmervertretung. Letztere kann entweder der örtliche Betriebsrat, der Gesamtbetriebsrat oder der Konzernbetriebsrat sein.
29
Die Zuständigkeit für die Mitbestimmung bei technischen Überwachungseinrichtungen gem. § 87 Abs. 1 Nr. 6 BetrVG und damit auch für den Abschluss entsprechender Betriebsvereinbarungen liegt grundsätzlich bei den örtlichen Betriebsräten in den einzelnen Betrieben. Sie kann gem. § 50 Abs. 1 Satz 1 Halbs. 1 BetrVG bzw. § 58 Abs. 1 Satz 1 Halbs. 1 BetrVG ausnahmsweise originär bei dem Gesamtbetriebsrat bzw. Konzernbetriebsrat liegen, wenn es sich bei objektiver Betrachtung um eine überbetriebliche bzw. unternehmensübergreifende Angelegenheit handelt, die eine einheitliche Regelung erfordert5.
30
Die örtlichen Betriebsräte können den Gesamtbetriebsrat bzw. den Konzernbetriebsrat gem. § 50 Abs. 2 BetrVG bzw. § 58 Abs. 2 BetrVG mit der Verhand1 BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 (1189); BAG v. 29.6.2004 – 1 ABR 21/03, NZA 2004, 1278 (1279); BVerwG v. 16.9.2006 – 6 PB 10/06, BeckRS 2006, 26441, Rz. 4. 2 Vgl. nur BAG v. 14.11.2006 – ABR 4/06, NZA 2007, 399 (401 f.); BVerwG v. 23.9.1992 – 6 P 26/90, NVwZ-RR 1993, 559 (560); BVerwG v. 16.9.2006 – 6 PB 10/06, BeckRS 2006, 26441, Rz. 5 ff.; vgl. auch Gola/Wronka, Rz. 1831 ff. und 1843 ff. 3 Unfallverhütungsvorschrift Kassen BGV C9 v. 1.10.1988 i.d.F. v. 1.1.1997 (Unfallverhütungsvorschrift i.S.d. § 15 SGB VII). 4 So auch Gola/Wronka, Rz. 1845. 5 Erfurter Kommentar zum Arbeitsrecht/Koch, § 50 BetrVG Rz. 2 und § 58 BetrVG Rz. 2. Zu den Einzelheiten vgl. Teil 4 III Rz. 5 ff.
498
|
Lang
Erläuterungen
Rz. 34 Teil 4 II
lung und dem Abschluss der Betriebsvereinbarung beauftragen. Diese Beauftragung sollte aus Gründen der Rechtssicherheit in der Betriebsvereinbarung dokumentiert und die betreffenden Beschlüsse der örtlichen Betriebsräte bzw. Gesamtbetriebsräte als Anlagen beigefügt werden1. Auf Arbeitgeberseite sind bei einer Gesellschaft die gesetzlichen Organe zu benennen, die die Gesellschaft vertreten, z.B. Vorstand oder Geschäftsführung.
31
c) Präambel In der Präambel werden der Gegenstand der Betriebsvereinbarung, die Gründe für die Einführung der Videoüberwachung und die zugrunde liegende Historie dargestellt. Diese Punkte können bei Streitigkeiten über die Auslegung einzelner Bestimmungen der Betriebsvereinbarung durch die Vertragsparteien oder ein Gericht herangezogen werden, sofern sie hinreichend konkret umschrieben sind. Auf eine Präambel mit lediglich allgemeinen Formulierungen sollte verzichtet werden. Allerdings ist es auch möglich, den Inhalt der Präambel in Ziffer 2 der Betriebsvereinbarung (Zweck der Videoüberwachung) zu integrieren und die Präambel zu streichen.
32
Im Muster sind zwei für die Zulässigkeit einer Videoüberwachung von Beschäftigten wesentliche Punkte dokumentiert. Das sind zum einen der Grund und Zweck der Überwachungsmaßnahme, nämlich eine starke Zunahme von Sachbeschädigungen u.a. an der Außenumgrenzung und damit einhergehenden Zutritten unbefugter Personen, vor denen sich das Unternehmen besser schützen will. Dieser Zweck, der vom Unternehmen als verantwortliche Stelle festzulegen ist, wird in Ziffer 2 der Betriebsvereinbarung präzisiert. Zum anderen enthält Satz 4 der Präambel wesentliche Aussagen zur Erforderlichkeit der Videoüberwachung. Es wird festgehalten, dass bereits andere, weniger eingriffsintensive Maßnahmen wie verstärkte Kontrollgänge ergriffen wurden, diese aber erfolglos geblieben sind (zur Festlegung des Zwecks einer Videoüberwachung am Arbeitsplatz und zur Erforderlichkeit als Rechtmäßigkeitsvoraussetzungen siehe Rz. 41 ff. [Zweck] und Rz. 60 f., 42 f. [Erforderlichkeit]).
33
Die Ausführungen in der Betriebsvereinbarung können und sollen nicht die Dokumentation der tatsächlichen Feststellungen ersetzen, die zur Beurteilung der Rechtmäßigkeit der Videoüberwachung relevant sind, z.B. Feststellungen zur Erforderlichkeit der Videoüberwachung oder zu Tatsachen, auf die sich ein konkreter Verdacht gründet. Diese Aspekte sind schon aus Gründen der Nachweisbarkeit detailliert zu dokumentieren. In jedem Fall werden entsprechende Feststellungen nicht dadurch entbehrlich, dass der Betriebsrat eingebunden wird und die Betriebsparteien die Rechtmäßigkeitsvoraussetzungen mit Abschluss der Betriebsvereinbarung als gegeben ansehen.
34
1 Vgl. Teil 4 III Rz. 9 f.
Lang
|
499
Teil 4 II Rz. 35
Betriebsvereinbarung zur Videoüberwachung
2. Erläuterungen zu Ziffer 1 35
E 1. Geltungsbereich Diese Betriebsvereinbarung gilt für alle bei [Unternehmen] beschäftigten Arbeitnehmer gem. § 5 Abs. 1 BetrVG; sie gilt nicht für leitende Angestellte gem. § 5 Abs. 3 und 4 BetrVG.
36
Die Regelung zum Geltungsbereich der Betriebsvereinbarung enthält eine personelle und eine räumliche Komponente.
37
In personeller Hinsicht ist der Geltungsbereich entsprechend der gesetzlich vorgegebenen Regelungskompetenz des Betriebrats auf Arbeitnehmer i.S.d. § 5 Abs. 1 BetrVG begrenzt1. Damit werden nicht alle Beschäftigte i.S.d. § 3 Abs. 11 BDSG erfasst. In Bezug auf den nicht erfassten Personenkreis gelten lediglich die allgemeinen Rechtmäßigkeitsvoraussetzungen für eine Videoüberwachung.
38
Weitere Einschränkungen des personellen Geltungsbereichs in Ziffer 1 sind nicht angezeigt, da die Videoüberwachung im Beispiel einen Bereich betrifft, der grundsätzlich von allen Arbeitnehmern betreten werden kann.
39
In räumlicher Hinsicht kann eine weitere Präzisierung erforderlich sein, wenn mehrere Betriebe einen gemeinsamen Betriebsrat haben, aber nicht alle Betriebe bzw. deren Arbeitnehmer von der Videoüberwachungsmaßnahme betroffen sind.
3. Erläuterungen zu Ziffer 2 40
E 2. Zweck der Videoüberwachung 2.1 Die Videoüberwachungsanlage wird ausschließlich zu Zwecken der Sicherung der Außenumgrenzung des Betriebsgeländes einschließlich der Zufahrten und Zugänge sowie zu repressiven Zwecken hinsichtlich rechtlich relevanter Vorfälle genutzt. Es sollen ein unbefugtes Betreten oder Befahren des Betriebsgeländes sowie Sachbeschädigungen an der Außenumgrenzung und auf dem Außenbetriebsgelände verhindert und ggf. mit Videoaufzeichnungen als Beweismittel auf dem Rechtsweg verfolgt werden. 2.2 Die Videoüberwachungsanlage wird nicht zu Zwecken der Leistungskontrolle, des Leistungsvergleichs oder der Leistungsbemessung der Arbeitnehmer eingerichtet oder genutzt. 2.3 Eine Anwesenheits- und Verhaltenskontrolle, die über den Zweck nach Ziffer 2.1 dieser Betriebsvereinbarung hinausgeht, findet nicht statt.
41
In Ziffer 2 sind die Zwecke der Videoüberwachung und die Zweckbindung geregelt. Die – rechtlich zulässigen – Zwecke müssen konkret und abschließend festgelegt werden. Sie bilden ein wesentliches Element der Vereinbarung zwischen Arbeitgeber und Betriebsrat und sind ein entscheidendes Kriterium für 1 Details in Erfurter Kommentar zum Arbeitsrecht/Kania, § 77 BetrVG Rz. 34. Zu den Begrenzungen der Regelungen des Geltungsbereichs aufgrund der Regelungskompetenzen des Betriebsrats insgesamt s. Rz. 29 f. und Teil 4 VII Rz. 5 ff.
500
|
Lang
Erläuterungen
Rz. 45 Teil 4 II
die rechtliche Zulässigkeit der Videoüberwachung. Zum einen richtet sich die maßgebliche Rechtsgrundlage auch nach dem mit der Videoüberwachung verfolgten Zweck (vgl. Rz. 11–13 und Rz. 16 ff.). Zum anderen können die Geeignetheit und Erforderlichkeit einer Videoüberwachung nur anhand des konkret verfolgten Zweckes beurteilt werden1. Statt einer Videoüberwachung von Mitarbeitern können – je nach Einzelfall – möglicherweise gleich geeignete, aber weniger eingriffsintensive Maßnahmen in Betracht kommen. Die Betriebsparteien haben bei der Beurteilung der Erforderlichkeit einen Entscheidungsspielraum2. In einem Beschluss über die Wirksamkeit eines Spruchs der Einigungsstelle zur Einführung einer betrieblichen Videoüberwachung im Innen- und Außenbereich eines Briefverteilzentrums hat das BAG bspw. einen Videoeinsatz zur Ergreifung und Überführung von Dieben sowie zur Verhinderung weiterer Diebstähle – entsprechend der Einschätzung der Betriebsparteien – als geeignet und erforderlich beurteilt, da Taschen- und Personenkontrollen in diesem Fall kein in gleicher Weise wirksames, das Persönlichkeitsrecht der Arbeitnehmer weniger einschränkendes Mittel waren3.
42
Im Sachverhalt, der dem Muster der Betriebsvereinbarung zugrunde liegt, sind weniger eingriffsintensive Maßnahmen wie verstärkte Kontrollgänge bereits vor der geplanten Videoüberwachung ergriffen worden, aber erfolglos geblieben (vgl. Satz 4 der Präambel).
43
Die Zwecke der Überwachungsmaßnahme müssen vor deren Beginn konkret festgelegt werden. Das folgt bereits aus den Vorgaben der jeweils einschlägigen Rechtsgrundlage und soll die Nachprüfung der Erforderlichkeit erleichtern4. Zwar verlangen die gesetzlichen Regelungen keine schriftliche Fixierung5. Eine nachträgliche Kontrolle – sowohl durch das Unternehmen als datenschutzrechtlich verantwortliche Stelle als auch durch beide Betriebsparteien im Rahmen der Mitbestimmung – gestaltet sich jedoch einfacher, wenn die Zwecke dokumentiert sind. Zudem verringert eine Dokumentation die Gefahr, dass eine Zweckbestimmung nachträglich an den Ergebnissen der Maßnahme ausgerichtet oder an diese angepasst wird. Schließlich trägt das Unternehmen als datenschutzrechtlich verantwortliche Stelle die Beweislast dafür, dass der Zweck der Videoüberwachung vor Beginn eines Einsatzes festgelegt wurde. Kann der Nachweis nicht geführt werden, ist die Beobachtung unzulässig6.
44
Ziffer 2.2 verdeutlicht, dass die Videotechnik nicht zu Zwecken der Leistungskontrolle, des Leistungsvergleichs oder der Leistungsbemessung der Beschäftigten eingerichtet oder genutzt wird.
45
1 Zur Eignung und Erforderlichkeit einer Videoüberwachung s. Lang, S. 75 ff. 2 BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 (1190, 1191); BAG v. 29.6.2004 – 1 ABR 21/03, NZA 2004, 1278 (1283); BAG v. 14.12.2004 – 1 ABR 34/03, NJOZ 2005, 2709 (2715). 3 BAG 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 (1189); vgl. Besprechung bei Lang, AuA 2009, 374 (374 f.). 4 Vgl. Begründung zur Beschlussempfehlung des Innenausschusses, BT-Drucks. 14/5793, 61 zu § 6b BDSG; Thüsing, Rz. 348, 360 zu § 32 Abs. 1 BDSG. 5 Lang, S. 294; a.A. Simitis/Scholz, § 6b BDSG Rz. 84 f. jeweils m.w.N. 6 Lang, S. 295; Simitis/Scholz, § 6b BDSG Rz. 84 f.
Lang
|
501
Teil 4 II Rz. 46 46
Betriebsvereinbarung zur Videoüberwachung
Ziffer 2.3 stellt klar, dass eine Anwesenheits- und Verhaltenskontrolle zwar im Rahmen der Zweckbestimmung von Ziffer 2.1 der Betriebsvereinbarung (unweigerlich) erfolgt, aber darüber hinaus nicht stattfindet.
4. Erläuterungen zu Ziffer 3 47
E 3. Erfasste Bereiche, Einsatzform und Kenntlichmachung 3.1 Das Videoüberwachungssystem wird ausschließlich im Außenbereich des Betriebsgeländes eingesetzt. Erfasst sind der gesamte Zutritts- und Zufahrtsbereich, die zum öffentlich zugänglichen Bereich liegende Außenfassade des Hauptgebäudes und die Außenumgrenzung gemäß der Dokumentation in Ziffer 4 dieser Betriebsvereinbarung. Büros, Büroflure, sonstige Arbeitsplätze, Betriebs- und Aufenthaltsräume werden nicht erfasst. 3.2 Die Bilder der Videoüberwachung werden gem. Ziffer 5 dieser Betriebsvereinbarung auf Monitore übertragen und gem. Ziffer 6 dieser Betriebsvereinbarung aufgezeichnet. Es erfolgt keine akustische Überwachung durch Aufnahme, Übertragung und Aufzeichnung von Audiosignalen mit Hilfe der Videotechnik, was durch geeignete technische und bzw. oder organisatorische Maßnahmen sichergestellt wird. 3.3 Die Videoüberwachung wird offen durchgeführt, d.h. sie ist wie folgt kenntlich zu machen. Auf die erfassten Bereiche ist durch Beschilderung so hinzuweisen, dass die Mitarbeiter bereits vor Betreten dieser Bereiche von dem Umstand der Überwachung Kenntnis nehmen können. Die Orte und Größe der Beschilderung sowie eine Beispielabbildung enthält Anlage 2 zu dieser Betriebsvereinbarung.
a) Erläuterungen zu Ziffer 3.1 48
In Ziffer 3.1 werden die von der Videoüberwachung erfassten Bereiche definiert. Diese Konkretisierung ist in mehrfacher Hinsicht relevant. Zum einen ist die Art der betroffenen Bereiche für die einschlägige Rechtsgrundlage und im Rahmen der weiteren Rechtmäßigkeitsprüfung auch für die Angemessenheit des Videoeinsatzes entscheidend. Zum anderen dürfen über den räumlichen Geltungsbereich der Betriebsvereinbarung keine Unklarheiten bestehen, um insoweit Regelungslücken zu vermeiden. Dieser Aspekt ist insbesondere bei Unternehmen mit mehreren Betrieben und Standorten zu beachten. Es sind die konkret betroffenen Betriebe oder Standorte eines Unternehmens und die dort jeweils zu überwachenden Bereiche, z.B. Außenanlage, Parkplatz, Zugangsbereich, Lagerhalle, so konkret wie möglich zu bezeichnen.
49
Zur Klarstellung und aus Gründen der Rechtssicherheit wird in Ziffer 3.1 Satz 3 explizit darauf hingewiesen, dass andere als die in Ziffer 3.1 Satz 1 und 2 der Betriebsvereinbarung aufgeführten Bereiche wie z.B. Büros und andere Betriebs- und Aufenthaltsräume von der Überwachung ausgenommen sind. Grundsätzlich gilt: Eine Überwachung von Bereichen, die dem Privat- und Intimbereich zuzuordnen sind, z.B. Umkleide- und Sanitärräume, greift zu stark 502
|
Lang
Erläuterungen
Rz. 53 Teil 4 II
in die Persönlichkeitsrechte der Betroffenen ein und ist in jedem Fall unzulässig1.
b) Erläuterungen zu Ziffer 3.2 und 3.3 Die Einsatzform der Videotechnik ist ebenso wie der erfasste Bereich entscheidend für die Beurteilung der Erforderlichkeit und Angemessenheit der Überwachungsmaßnahme. Sie sind in einer Betriebsvereinbarung festzulegen. Ziffer 3.2 i.V.m. Ziffern 5 und 6 sowie Ziffer 3.3 des Musters enthalten die entsprechenden Regelungen.
50
aa) Kamera-Monitor-Prinzip und Aufzeichnung Die Videoüberwachung kommt nach Ziffer 3.2 sowohl im Kamera-MonitorPrinzip als auch im Aufzeichnungsmodus zum Einsatz. Die Bilder werden zum einen auf Monitore im Pförtnerbereich übertragen und dort live angezeigt und zum anderen aufgezeichnet. Diese Unterscheidung zwischen Übertragung und Anzeige der Bilder (Kamera-Monitor-Prinzip) einerseits und Bildaufzeichnung andererseits ist für die Rechtmäßigkeit einer Videoüberwachung wesentlich und bei der Prüfung der Erforderlichkeit und Angemessenheit der Überwachungsmaßnahme zu berücksichtigen (siehe Rz. 60 und 64).
51
Eine Videoaufzeichnung ist grundsätzlich nur zulässig, wenn mit der Überwachungsmaßnahme repressive Ziele verfolgt werden (siehe Rz. 64 mit einer möglichen Ausnahme). Allerdings muss die Erforderlichkeit auch für repressive Zwecke geprüft werden, was aber hinsichtlich des Aspekts der Nachweisbarkeit regelmäßig zu einem positiven Ergebnis führen wird. So hat das BAG in der bereits zitierten Entscheidung über die Wirksamkeit eines Spruchs der Einigungsstelle zur Einführung betrieblicher Videoüberwachung im Innen- und Außenbereich eines Briefverteilzentrums eine reine Bildübertragung (KameraMonitor-Prinzip) für die Aufklärung von Diebstählen weniger effizient als eine Videoaufzeichnung bewertet (siehe Rz. 42)2.
52
Nach dem Muster der Betriebsvereinbarung werden sowohl präventive als auch repressive Zwecke verfolgt. Zur Erreichung dieser Zwecke sind beide Modi – in der differenzierten Ausgestaltung gem. Ziffer 5 und 6 der Betriebsvereinbarung – erforderlich und angemessen. Die im Verhältnis zum KameraMonitor-Prinzip grundsätzlich größere Eingriffsintensität der dauerhaften Aufzeichnung wird aufgrund des im Beispiel eingesetzten sog. Black Box-Verfahrens minimiert (siehe dazu Rz. 80).
53
1 Vgl. nur Der Landesbeauftragte für den Datenschutz Baden-Württemberg, S. 15, für Videoüberwachung am Arbeitsplatz; Lang, S. 305, 357, 396 für private Videoüberwachung insgesamt. 2 BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 (1189); vgl. Besprechung bei Lang, AuA 2009, 374 (374 f.).
Lang
|
503
Teil 4 II Rz. 54
Betriebsvereinbarung zur Videoüberwachung
bb) Keine Audioüberwachung 54
In Ziffer 3.2 Satz 2 wird eine Audioüberwachung explizit ausgeschlossen, da sie für den Zweck gem. Ziffer 2 der Betriebsvereinbarung nicht erforderlich ist und aus diesem Grund auch unzulässig wäre. Für die Erfassung, Übertragung und Speicherung des gesprochenen Wortes bestehen besondere Zulässigkeitsvoraussetzungen, die nur in ganz besonders gelagerten Ausnahmefällen vorliegen können1.
55
Es sollte bereits bei der Planung und Umsetzung der Videoüberwachung beachtet werden, dass Videotechnik häufig über eine Audioausstattung verfügt, mit der Tonaufnahmen erfasst, übertragen und aufgezeichnet werden können. Vor diesem Hintergrund sind vielfach technische und organisatorische Maßnahmen erforderlich, um eine technisch grundsätzlich realisierbare Audioüberwachung zu unterbinden; eine entsprechende Regelung enthält der zweite Halbsatz in Ziffer 3.2 Satz 2 der Betriebsvereinbarung. Die einfachste Form, das Verbot einer Audioüberwachung umzusetzen, ist jedoch der Einsatz einer technischen Ausstattung ohne Audiofunktion.
cc) Offene und verdeckte Videoüberwachung 56
In Ziffer 3.3 Satz 1 wird eindeutig festgelegt, dass der Videoeinsatz offen und nicht verdeckt bzw. heimlich erfolgen soll. Von einer offenen Anwendung sollen die Betroffenen Kenntnis nehmen. Zu diesem Zweck kommen sichtbare Hinweisschilder oder entsprechend genutzte Kameras zum Einsatz. Auf die Sichtbarkeit der Kameras allein kommt es nicht an, wenn auf die Videoüberwachung durch Schilder hingewiesen oder deren Existenz anderweitig bekannt gemacht wird. Daher kann ein offener Einsatz von Videotechnik letztlich auch vorliegen, wenn nicht erkennbare oder verdeckte Kameras genutzt werden2.
57
Eine heimliche, den Beschäftigten nicht bekannte und nicht erkennbare Videoüberwachung ist nur ausnahmsweise und unter ganz besonders engen Voraussetzungen zulässig, wenn der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers besteht, weniger einschneidende Mittel zur Aufklärung des Verdachts ausgeschöpft sind, die heimliche Videoüberwachung praktisch das einzig verbleibende Mittel darstellt und insgesamt nicht unverhältnismäßig ist (siehe Rz. 67)3.
dd) Kenntlichmachung 58
Die Kenntlichmachung einer offenen Videoüberwachung sollte aus Gründen der Rechtssicherheit konkret vereinbart werden (Ziffer 3.3 Satz 2 und 3). Die Angaben zur Form (Text und/oder Piktogramm), zur Größe und zu den Orten der Beschilderung werden durch Beispielabbildungen und einen Eintrag im Lageplan ergänzt (vgl. Ziffer 3.3 Satz 3 i.V.m. Anlage 2 (Lageplan)). Diese Aspekte 1 Vgl. Gola/Wronka, Rz. 26 ff., 770 ff.; Lang, S. 127 ff., 355 f., 382, 391 ff. 2 Lang, S. 8, 97. 3 BAG v. 21.6.2012 – 2 AZR 152/11, NZA 2012, 1025 (1028 f.) und BAG v. 27.3.2003 – 2 AZR 51/02, NZA 2003, 1193 (1195).
504
|
Lang
Erläuterungen
Rz. 61 Teil 4 II
sind erfahrungsgemäß häufig Streitpunkte bei der Durchführung einer Videoüberwachung, wenn keine entsprechende Regelung getroffen wurde. Zudem sollten diese Punkte bei der Vorabkontrolle gem. § 4d Abs. 5 BDSG Berücksichtigung finden, der eine Videoüberwachung am Arbeitsplatz in der Regel unterliegen wird1. Schließlich werden die Informationen über Orte, Art und Größe der Beschilderung von den Datenschutzaufsichtsbehörden im Rahmen ihrer Aufsichtstätigkeit nach § 38 BDSG abgefragt2.
c) Zulässigkeit einer Videoüberwachung – Eckpunkte der Erforderlichkeit und der Interessenabwägung Die Zulässigkeit des mit einer Videoüberwachung verbundenen Eingriffs in die Persönlichkeitsrechte von Beschäftigten, insbesondere das Recht auf informationelle Selbstbestimmung und das Recht am eigenen Bild3, hängt ungeachtet der im Einzelfall einschlägigen Rechtsgrundlage (siehe Rz. 3 ff.) im Wesentlichen davon ab, ob die Maßnahme bzw. die auf diese Weise durchgeführte Erhebung, Verarbeitung und Nutzung personenbezogener Daten erforderlich ist und keine schutzwürdigen Interessen der betroffenen Beschäftigten überwiegen bzw. keine entsprechenden Anhaltspunkte bestehen. Es ist eine am Verhältnismäßigkeitsgrundsatz ausgerichtete Abwägung zwischen den durch die Zwecke der Videoüberwachung bestimmten Interessen des Arbeitgebers und den insbesondere aus den Persönlichkeitsrechten erwachsenen schutzwürdigen Interessen der betroffenen Beschäftigten vorzunehmen.
59
Die Videoüberwachung muss im Hinblick auf den legitimen Zweck (siehe Rz. 11–13 und Rz. 16 ff.) zunächst geeignet und erforderlich sein. Im Rahmen der Erforderlichkeit ist zu prüfen, ob statt einer Videoüberwachung von Beschäftigten gleich geeignete, aber weniger eingriffsintensive Maßnahmen in Betracht kommen. Die Prüfung muss sich am konkreten Einsatzzweck orientieren. Gleich wirksame, aber das allgemeine Persönlichkeitsrecht und dessen Konkretisierungen weniger einschränkende Mittel können bspw. – je nach Einzelfall – Innenrevisionen oder Inventuren, stichprobenartige oder umfassende Kontrollen der Warenlieferungen, stichprobenartige Kontrollen der Beschäftigten beim Verlassen des Betriebes, Testkäufe oder Testretouren sein. Kommt keine Alternative zur Videoüberwachung in Betracht, ist schließlich die Kontrollfrage zu stellen, ob die weniger eingriffsintensive Beobachtung ohne Bildaufzeichnung ausreicht. Das BAG gesteht den Betriebsparteien bei der Beurteilung der Erforderlichkeit einen – zuweilen weiten – Spielraum zu4.
60
Eine Videoüberwachung, die geeignet und erforderlich ist, muss schließlich angemessen sein. Es dürfen keine schutzwürdigen Interessen der betroffenen Be-
61
1 Zur Frage der Vorabkontrolle bei Videoüberwachung s. Lang, S. 338 ff.; Simitis/Scholz, § 6b BDSG Rz. 149. 2 Beispiele mit Fragebögen der Datenschutzaufsichtsbehörden bei Seiffert, Mustertexte (Fragebogen zur Vorbereitung). 3 Zu den betroffenen Inhalten des allgemeinen Persönlichkeitsrechts s. Lang, S. 344 ff. 4 Vgl. BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 (1190, 1191), Besprechung bei Lang, AuA 2009, 374 (374 f.); BAG v. 29.6.2004 – 1 ABR 21/03, NZA 2004, 1278 (1283); BAG v. 14.12.2004 – 1 ABR 34/03, NJOZ 2005, 2709 (2715).
Lang
|
505
Teil 4 II Rz. 62
Betriebsvereinbarung zur Videoüberwachung
schäftigten überwiegen bzw. keine entsprechenden Anhaltspunkte bestehen. Für diese Feststellung bedarf es einer einzelfallbezogenen Gesamtabwägung der Intensität des Eingriffs in das allgemeine Persönlichkeitsrecht der betroffenen Beschäftigten und der den Eingriff rechtfertigenden Gründe auf Seiten des Arbeitgebers. Dabei sind die im Wesentlichen vom BAG entwickelten, wohl überwiegend von der Literatur und den Datenschutzaufsichtsbehörden befürworteten1 und im Folgenden zusammengefassten „Leitlinien“ zu berücksichtigen. 62
– Der Einsatz muss – zumindest in nicht öffentlich zugänglichen Bereichen – grundsätzlich an den konkreten Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers geknüpft sein. Eine verdachtsunabhängige Videoüberwachung wird in den genannten Bereichen regelmäßig unzulässig sein2.
63
– Der räumliche und zeitliche Umfang einer Videoüberwachung sowie die Zahl der betroffenen Beschäftigten müssen soweit wie möglich und dem Zweck der Überwachungsmaßnahme entsprechend begrenzt sein3. Hinsichtlich der Intensität des Eingriffs in das allgemeine Persönlichkeitsrecht ist zu berücksichtigen, dass Beschäftigte aufgrund ihrer Pflicht, sich an dem vom Arbeitgeber bestimmten Ort der Leistungserbringung aufzuhalten, einem erhöhten Überwachungsdruck ausgesetzt sind. Beschäftigte können sich der Videoüberwachung im Gegensatz zu Dritten regelmäßig nicht durch Verlassen des betroffenen Bereiches entziehen. Dieser Umstand ist mit Blick auf den örtlichen und zeitlichen Umfang des Videoeinsatzes zu beachten. Eine räumliche und zeitliche Ausdehnung der Videoüberwachung allein aufgrund von Erfolglosigkeit im Rahmen des gewählten Überwachungsumfangs ist unzulässig4.
64
– Eine Videoaufzeichnung soll nach Auffassung des BAG nur zulässig sein, wenn mit der Überwachungsmaßnahme repressive Ziele verfolgt werden5. Hierbei handelt es sich in erster Linie um eine Frage der Erforderlichkeit. Prävention erfordert im Gegensatz zur Verfolgung repressiver Ziele regelmäßig keine Bildspeicherung. Allerdings sind Konstellationen denkbar, in denen zumindest eine kurzzeitige Speicherung auch zum Zweck der Gefahrenabwehr erforderlich ist, um die für ein sofortiges Eingreifen notwendige Information vermitteln zu können. In diesen Fällen ist der Aspekt der Aufzeichnung im Rahmen der Interessenabwägung erneut aufzugreifen, da sich die Verhältnismäßigkeit einer Videoüberwachung auch nach der Einsatz1 Vgl. nur Der Landesbeauftragte für den Datenschutz Niedersachsen, XV. Tätigkeitsbericht, Abschn. 34.2; Der Landesbeauftragte für den Datenschutz Baden-Württemberg, S. 14; Gola/Wronka, Rz. 1050 ff.; Däubler/Klebe/Wedde/Weichert/Wedde, § 6b BDSG Rz. 24 und § 32 BDSG Rz. 95 alle m.w.N. 2 BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 (1191); vgl. Besprechung bei Lang, AuA 2009, 374 (374 f.). 3 BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 (1190); BAG v. 14.12.2004 – 1 ABR 34/03, NJOZ 2005, 2709 (2712, 2716); BAG v. 29.6.2004 – 1 ABR 21/03, NZA 2004, 1278 (1284); BAG v. 27.3.2003 – 2 AZR 51/02, NZA 2003, 1193 (1195). 4 BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 (1192). 5 BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 (1191).
506
|
Lang
Erläuterungen
Rz. 69 Teil 4 II
form der Videotechnik bestimmt (zu den Basis-Einsatzformen der Videotechnik siehe Rz. 2). Die Eingriffsintensität lässt sich durch technische und organisatorische Maßnahmen verringern, z.B. durch Nutzung eines selbstüberschreibenden Ringspeichers, der eine kurze Speicherdauer hat und in einer sog. Black Box besonderen Zugriffssicherungen unterliegt1. – Im Fall einer Videoaufzeichnung bedarf es restriktiver Regeln für den Zugriff auf die Speichermedien und die Bilder. Weiterhin müssen Videoaufzeichnungen grundsätzlich unverzüglich nach ihrer Auswertung gelöscht werden, sofern sie nicht zur Zweckerfüllung weiter benötigt werden, z.B. zum Tatnachweis gegenüber dem Täter2.
65
– Es müssen technische und organisatorische Maßnahmen einschließlich Löschungsregeln für den Fall einer Videoaufzeichnung getroffen werden, um die in Rz. 65 aufgezeigten Begrenzungen sicherzustellen und auf diese Weise die Eingriffe in die Persönlichkeitsrechte der betroffenen Beschäftigten so gering wie möglich zu halten3.
66
– Eine verdeckte, also den Betroffenen nicht bekannte Überwachung darf nur als Ultima Ratio in eng begrenzten Ausnahmefällen eingesetzt werden, wenn der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers besteht, alle weniger einschneidenden Mittel zur Aufklärung ergebnislos ausgeschöpft sind und die Maßnahme insgesamt nicht unverhältnismäßig ist. Dabei ist es nicht notwendig, dass sich der Verdacht gegen einen einzelnen, bestimmten Arbeitnehmer richtet. Vielmehr bedarf es eines zumindest – räumlich und funktional – abgrenzbaren Kreises von Verdächtigen4.
67
– Schließlich ist der Betriebsrat bei der Einführung und Durchführung der Videoüberwachung zu beteiligen. Das entbindet aber weder den Arbeitgeber noch den Betriebsrat von einer Prüfung der Rechtmäßigkeitsvoraussetzungen. Allein die Beteiligung und Einbindung des Betriebsrats kann auch im Rahmen der Interessenabwägung keine Zulässigkeit eines Eingriffs begründen5.
68
5. Erläuterungen zu Ziffer 4 E 4. Dokumentation
69
Das Videoüberwachungssystem ist in den Anlagen 1 bis 3 zu dieser Betriebsvereinbarung dokumentiert. Die Dokumentation besteht aus: 1 Vgl. Lang, S. 322 ff. mit Beispielen für die private Videoüberwachung im öffentlichen Raum. Zum Black Box-Verfahren s. Rz. 80. 2 BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 (1191 f.). 3 BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 (1191). 4 BAG v. 21.6.2012 – 2 AZR 152/11, NZA 2012, 1025 (1028 f.); BAG v. 27.3.2003 – 2 AZR 51/02, NZA 2003, 1193 (1195). Zur entsprechenden Geltung dieser Grundsätze für eine verdeckte Videoüberwachung nicht öffentlich zugänglicher Arbeitsplätze vgl. Bergwitz, NZA 2012, 1205 (1208). 5 BAG v. 21.6.2012 – 2 AZR 152/11, NZA 2012, 1025 (1028 f.); BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 (1191, 1192).
Lang
|
507
Teil 4 II Rz. 70
Betriebsvereinbarung zur Videoüberwachung
– der Systembeschreibung (Anlage 1) mit – Angaben zur technischen Ausstattung des Gesamtsystems (Systemarchitektur einschließlich Schnittstellen und Systemfunktionen) und – Angaben zu den einzelnen Systemkomponenten einschließlich Anzahl der Kameras und Monitore, – dem Lageplan, in dem die jeweiligen Standorte und Erfassungsbereiche der Kameras eingetragen sind (Anlage 2), – dem Berechtigungskonzept, das die Berechtigungen in Bezug auf das Videoüberwachungssystem, insbesondere auch für Zugriffe auf die übertragenen und aufgezeichneten Bilder regelt (Anlage 3). 70
In Ziffer 4 werden die Anlagen zur Betriebsvereinbarung aufgelistet, in denen die Kernpunkte der Videoüberwachung konkretisiert werden. Hierzu zählen die Systembeschreibung, der Lageplan und das Berechtigungskonzept. Diese Angaben dienen nicht nur der Konkretisierung des Inhalts der Betriebsvereinbarung, sondern sind auch wesentlich für die Frage der Erforderlichkeit und Angemessenheit des Videoeinsatzes (vgl. Rz. 2, 62 ff.) sowie für die Vorabkontrolle gem. § 4d Abs. 5 BDSG, der eine Videoüberwachung am Arbeitsplatz in der Regel unterliegen wird1. Schließlich werden auch diese Informationen – in unterschiedlichem Umfang – von den Datenschutzaufsichtsbehörden im Rahmen ihrer Aufsichtstätigkeit nach § 38 BDSG abgefragt2.
71
Die Systembeschreibung (Anlage 1) sollte zum einen Angaben zur technischen Ausstattung der Videoüberwachungsanlage in ihrer Gesamtheit enthalten. Das sind insbesondere übergreifende Informationen zur Systemarchitektur einschließlich Schnittstellen und Systemfunktionen wie z.B. die Aufzeichnung. Zum anderen sollten die Angaben zu den einzelnen Systemkomponenten der Videoüberwachungsanlage konkretisiert werden. Hierzu zählen die Aufnahmetechnik einschließlich der Anzahl der Kameras, die Übertragungstechnik, die Wiedergabetechnik einschließlich Anzahl und Ort der Monitore sowie die Aufzeichnungs- und Speicherungstechnik. Es ist bspw. bei der Aufnahme- bzw. Kameratechnik insbesondere auf folgende Punkte einzugehen: (Auto-)Dome oder Schwenk-Neige-Mechanismus, digital/analog, Dual-Mode mit Infrarotlicht, Audio, Zoom und Schwenkbarkeit (maximale Reichweite und maximaler Erfassungsbereich), sog. intelligente Bildinterpretation bzw. Alarmverwaltung, automatische Kameranachführung3.
72
Der Lageplan (Anlage 2) sollte neben dem Aufbewahrungsort für die Wiedergabe- und Aufzeichnungstechnik die Standorte der Kameras und Hinweisschilder sowie die von den Kameras erfassten Bereiche ausweisen. Dazu sind für jede Kamera die Ausrichtung (Winkel) und die Reichweite anzugeben.
1 Zur Frage der Vorabkontrolle bei Videoüberwachung s. Lang, S. 338 ff. 2 Beispiele mit Fragebögen der Datenschutzaufsichtsbehörden bei Seiffert, Mustertexte (Fragebogen zur Vorbereitung). 3 Zur Technik der Systemkomponenten einer Videoüberwachung s. Lang, S. 37 ff.
508
|
Lang
Erläuterungen
Rz. 77 Teil 4 II
Im Berechtigungskonzept (Anlage 3) sind die Berechtigungen für das Videoüberwachungssystem zu regeln. Dabei sind insbesondere die Rechte für Zugriffe auf die (live) übertragenen Bilder einerseits und die gespeicherten Videoaufzeichnungen andererseits differenziert zu gestalten.
73
6. Erläuterungen zu Ziffer 5 74
E 5. Übermittlung der Bilder und Schnittstellen 5.1 Die Bilder der Videoüberwachung werden auf Monitore übertragen, die sich gem. dem Lageplan in Anlage 2 zu dieser Betriebsvereinbarung in den Räumen des Pförtnerbereichs befinden. 5.2 Die Bilder der Videoüberwachung werden gemäß der Systembeschreibung in Anlage 1 zu dieser Betriebsvereinbarung ausschließlich in einem abgeschlossenen System verarbeitet, das mit keinem anderen Datenerhebungsund Datenverarbeitungssystem verbunden ist. Eine Übermittlung an andere Datenerhebungs- und Datenverarbeitungssysteme findet nicht statt. 5.3 Eine Übermittlung an Dritte im Sinne des Bundesdatenschutzgesetzes findet nicht statt. Etwas anderes gilt, wenn staatliche Ermittlungsbehörden bei Straftaten oder einem entsprechenden Verdacht eingeschaltet werden. In diesem Fall sind die gesetzlichen Vorschriften zu beachten. Die Regelung in Ziffer 5 konkretisiert i.V.m. Ziffer 3.2 Satz 1 die Einsatzform der Videotechnik und enthält Details zur Bildübermittlung und zu Schnittstellen des Videoüberwachungssystems. Die strikten Vorgaben zur Umsetzung der Bildübertragung in Ziffer 5.1 sichern einen insoweit verhältnismäßigen Einsatz. Das gilt auch für den Betrieb der Videoüberwachungsanlage als ein geschlossenes System ohne Schnittstellen zu anderen Datenerhebungs- und Datenverarbeitungssystemen (Ziffer 5.2). Diese Einschränkung ist zugleich eine technische Maßnahme zur Gewährleistung der datenschutzrechtlichen Vorgaben nach § 9 Satz 1 BDSG.
75
In Ziffer 5.3 wird eine Datenübermittlung an Dritte i.S.d. § 3 Abs. 8 Satz 2 und 3 BDSG ausgeschlossen, sofern nicht staatliche Ermittlungsbehörden eingeschaltet werden. Die Ausnahme bei Einschaltung staatlicher Ermittlungsbehörden ist angelehnt an die Regelungen der Zweckdurchbrechung gem. § 6b Abs. 3 Satz 2 und § 28 Abs. 2 Nr. 2 BDSG (siehe Rz. 13). Die Vorgabe, dass in diesem Fall die gesetzlichen Vorgaben einzuhalten sind (Satz 3) hat lediglich deklaratorischen Charakter.
76
7. Erläuterungen zu Ziffer 6 77
E 6. Aufzeichnung und Speicherung von Bildern 6.1 Eine Bildaufzeichnung im Rahmen der Überwachung des Zutritts- und Zufahrtsbereiches erfolgt nur außerhalb der regelmäßigen Betriebszeiten und Betriebszugangszeiten, d.h. an Werktagen von 0.00–6.00 Uhr und 20.00–24.00 Uhr, an Wochenenden und Feiertagen von 0.00–24.00 Uhr, auf einer Festplatte in einer sog. Black Box. Eine Bildaufzeichnung im Lang
|
509
Teil 4 II Rz. 78
Betriebsvereinbarung zur Videoüberwachung
Rahmen der Überwachung der Außenfassade des Hauptgebäudes und der Außenumgrenzung gem. der Dokumentation im Lageplan in Anlage 2 zu dieser Betriebsvereinbarung erfolgt durchgehend auf einer Festplatte in einer sog. Black Box. Das Videoüberwachungssystem ist gem. der Systembeschreibung in Anlage 1 zu dieser Betriebsvereinbarung so ausgestattet und eingestellt, dass die Aufzeichnung auf einem sog. Ringspeicher erfolgt, bei dem die aufgezeichneten Bilder nach 72 Stunden automatisch überschrieben werden. 6.2 Eine längere Speicherung ist zulässig, soweit es im Rahmen der Zweckbestimmung gem. Ziffer 2 dieser Betriebsvereinbarung zur Rechtsverfolgung durch die [Unternehmen] oder zum Zweck der Herausgabe an staatliche Ermittlungsbehörden erforderlich ist. Diese Aufzeichnungen sind zu sperren i.S.v. § 3 Abs. 4 Satz 2 Nr. 4 BDSG und nach Abschluss der entsprechenden Verfahren unverzüglich, spätestens aber drei Arbeitstage nach Abschluss dieser Verfahren zu löschen. 6.3 Sicherungskopien dürfen im Rahmen der Zweckbestimmung gem. Ziffer 2 dieser Betriebsvereinbarung nur zur Rechtsverfolgung durch die [Unternehmen] oder zur Herausgabe an staatliche Ermittlungsbehörden angefertigt und herausgegeben werden. Die Regelung in Ziffer 6.2 Satz 2 dieser Betriebsvereinbarung gilt entsprechend. 78
Die Regelung in Ziffer 6 enthält die Einzelheiten zur Bildaufzeichnung und Bildspeicherung. Diese Vorgaben und die korrespondierenden technischen und organisatorischen Maßnahmen stehen im Einklang mit der Rechtsprechung des BAG. Danach bedarf es restriktiver Regeln, um den Eingriff in die Persönlichkeitsrechte der Betroffenen so gering wie möglich zu halten (siehe Rz. 65 f.)1. Ein Fehlen jeglicher räumlicher, zeitlicher oder personeller Begrenzung wird regelmäßig zur Unwirksamkeit der Videoüberwachung und der zugrunde liegenden Betriebsvereinbarung führen (siehe Rz. 63)2.
79
Gemäß Ziffer 6.1 Satz 1 und 2 erfolgt die Videoaufzeichnung nicht durchgehend einheitlich, sondern differenziert nach den betroffenen Bereichen. Bilder des werktags von 6.00 – 20.00 Uhr durch Personal kontrollierten Zutrittsund Zufahrtsbereichs werden lediglich außerhalb der regelmäßigen Betriebsund Betriebszugangszeiten aufgezeichnet, also zu Zeiten, in denen die Arbeitnehmer diesen Bereich regelmäßig nicht passieren.
80
Die Videobilder werden auf einer Festplatte in einer Black Box gespeichert. Auf diese Weise wird die Eingriffsintensität der Videoüberwachung verringert. Im Black Box-Verfahren erfolgt die Speicherung technisch und organisatorisch derart gesichert, dass ein Zugriff nur bestimmten Personen unter zuvor festgelegten Bedingungen möglich ist. Die besonderen Zugriffsvoraussetzungen sind in Ziffer 7 der Betriebsvereinbarung geregelt (siehe Rz. 87 ff.).
81
Die Speicherdauer ist auf 72 Stunden begrenzt, was durch technische Maßnahmen sichergestellt wird. Es kommt ein selbstüberschreibender Ringspeicher 1 Vgl. BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 (1191 f.). 2 Vgl. BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 (1192).
510
|
Lang
Erläuterungen
Rz. 84 Teil 4 II
mit entsprechender Voreinstellung zum Einsatz, wodurch die Aufzeichnungen grundsätzlich nach 72 Stunden automatisch überspielt werden. (Ziffer 6.1 Satz 3). Eine Speicherdauer von 72 Stunden ist mit Blick auf den Sachverhalt, der dem Muster zugrunde liegt, insgesamt erforderlich und angemessen. Das gilt nicht zuletzt vor dem Hintergrund, dass auch bei Schäden, die an Wochenenden verursacht, aber aufgrund der organisatorischen Gegebenheiten grundsätzlich erst am Wochenanfang entdeckt werden können, ein Rückgriff auf die Aufzeichnungen möglich sein muss. Die Speicherdauer steht nicht außer Verhältnis zu vergleichbaren bzw. ähnlichen Fallkonstellationen, in denen die Datenschutzaufsichtsbehörden einen entsprechenden Zeitraum für zulässig erachtet haben1. Der dem Muster der Betriebsvereinbarung zugrunde liegende Sachverhalt enthält allerdings auch keine besonderen Anhaltspunkte, die für eine längere Speicherdauer sprechen könnten. Das gilt insbesondere auch mit Blick auf die überwachten Bereiche, die nicht zuletzt aufgrund der im Vorfeld der Videoüberwachung durchgeführten Maßnahmen grundsätzlich einsehbar und damit etwaige Sachbeschädigungen zeitnah feststellbar sind (vgl. Präambel der Betriebsvereinbarung).
82
Das BAG hat in der bereits mehrfach erwähnten Entscheidung über die Wirksamkeit eines Spruchs der Einigungsstelle zur Einführung betrieblicher Videoüberwachung im Innen- und Außenbereich eines Briefverteilzentrums eine Regelung – gemessen an § 6b Abs. 5 BDSG – für zulässig erachtet, wonach Videoaufzeichnungen unverzüglich nach ihrer Auswertung, spätestens jedoch nach 60 Tagen vorbehaltlich längerer gesetzlicher Aufbewahrungspflichten oder einer Verwendung zur Beweissicherung gelöscht werden2. Insoweit kann der Beschluss des BAG nicht überzeugen. Zwar bestimmt § 6b Abs. 5 BDSG keine konkrete zeitliche Grenze, wenngleich in der Gesetzesbegründung von regelmäßig ein bis zwei Arbeitstagen ausgegangen wird3. Die zulässige maximale Speicherdauer bestimmt sich jedoch gem. § 6b Abs. 5 BDSG zum einen nach der Erforderlichkeit bezüglich des Aufzeichnungszwecks und zum anderen unter Berücksichtigung der Interessen des Betroffenen an der Verhältnismäßigkeit im engeren Sinn. Allerdings führt das BAG in seiner Entscheidung nicht aus, warum es eine maximale Speicherdauer von 60 Tagen für zulässig erachtet. Entsprechende Anhaltspunkte können auch nicht den Entscheidungsgründen entnommen werden.
83
Die zulässige Speicherdauer kann aufgrund der möglichen Konstellationen sehr unterschiedlich sein und daher nur im Einzelfall beurteilt werden. Das zeigen auch die von den Aufsichtsbehörden bewerteten Fälle, in denen allerdings – in unterschiedlichen Konstellationen – regelmäßig deutlich kürzere Fristen als 60 Tage für unzulässig erachtet wurden. Lediglich für eine Videoaufzeichnung bei Geldausgabeautomaten wird mit Blick auf die Widerspruchsfrist
84
1 Verschiedene von Datenschutzaufsichtsbehörden beurteilte Fallbeispiele für Videoüberwachung im öffentlich zugänglichen Bereich bei Lang, S. 330 f. 2 BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 (1189). 3 BT-Drucks. 14/5793, 63.
Lang
|
511
Teil 4 II Rz. 85
Betriebsvereinbarung zur Videoüberwachung
der Kunden eine Speicherung von mehreren Wochen bzw. Monaten akzeptiert1. In jedem Fall ist die für Videoaufzeichnungen geplante – maximale – Speicherdauer auf ihre Erforderlichkeit und Angemessenheit konkret zu prüfen. Diese Prüfung sollte aus Gründen der Rechtssicherheit dokumentiert werden. 85
Ziffer 6.2 der Betriebsvereinbarung gestattet eine längere Speicherdauer zur Rechtsverfolgung oder Herausgabe an staatliche Ermittlungsbehörden. In diesem Fall sind die Aufzeichnungen zu sperren i.S.v. § 3 Abs. 4 Satz 2 Nr. 4 BDSG (Ziffer 6.2 Satz 2). Auf diese Weise sollen im Sinne der Angemessenheit ein Zugriff und eine Nutzung der Aufzeichnungen bzw. Daten zu anderen Zwecken verhindert werden. Die Regelung, dass die Aufzeichnungen und damit die Daten nach Abschluss der Verfahren zu löschen sind, ist lediglich klarstellender Art. Die Pflicht zum Löschen folgt bereits aus § 35 Abs. 2 Satz 2 Nr. 1 BDSG. Die Konkretisierung der zeitlichen Komponente mit einer Frist von höchstens drei Arbeitstagen sollte als organisatorische Maßnahme implementiert werden.
86
Ziffer 6.4 der Betriebsvereinbarung regelt eine weitere Stufe der Datenverarbeitung und beschränkt die Anfertigung und Herausgabe von Sicherungskopien im Rahmen der Zweckbestimmung gem. Ziffer 2 der Betriebsvereinbarung auf die Rechtsverfolgung durch das Unternehmen und die Herausgabe an staatliche Ermittlungsbehörden. Die Regelungen zur Sperrung und Löschung in Ziffer 6.2 gelten für Sicherungskopien entsprechend (Ziffer 6.4 Satz 2).
8. Erläuterungen zu Ziffer 7 87
E 7. Zugriff auf Aufzeichnungen und Auswertung 7.1 Zugriffe auf die Aufzeichnungen und Auswertungen werden vom Videoüberwachungssystem gem. Systembeschreibung in Anlage 1 zu dieser Betriebsvereinbarung protokolliert. Sie sind ausschließlich im Rahmen der Zweckbestimmung gem. Ziffer 2 dieser Betriebsvereinbarung zulässig. Ein Zugriff erfolgt im Wege des Vier-Augen-Prinzips in Abstimmung mit dem Betriebsrat und unter Hinzuziehung des betrieblichen Datenschutzbeauftragten. Der Betriebsrat und der Datenschutzbeauftragte sind vorab zu informieren, wenn ein Zugriff auf Aufzeichnungen oder eine Auswertung erfolgen soll. 7.2 Bei einem Zugriff und einer Auswertung ist ein Protokoll mit folgendem Inhalt zu erstellen: – anwesende Personen und deren Funktion, – Datum und Uhrzeit, – Anlass und Ziel des Zugriffs/der Auswertung, – Ergebnis des Zugriffs/der Auswertung und – weitere geplante Schritte. 1 Vgl. Lang, S. 330 f. mit einer zusammenfassenden Darstellung und Nachweisen der von den Datenschutzaufsichtsbehörden beurteilten Fallbeispiele für Videoüberwachung im öffentlich zugänglichen Bereich.
512
|
Lang
Erläuterungen
Rz. 92 Teil 4 II
Das Protokoll ist von den gem. Ziffer 7.3 dieser Betriebsvereinbarung bestimmten Personen zu unterzeichnen. Eine Kopie des Protokolls ist dem Betriebsrat und dem betrieblichen Datenschutzbeauftragten zuzuleiten. 7.3 Der Arbeitgeber und der Betriebsrat bestimmen jeweils drei Personen, von denen im Fall eines Zugriffs oder einer Auswertung jeweils mindestens eine Person hinzuzuziehen ist. Diese Personen sind in Anlage 4 dieser Betriebsvereinbarung aufgeführt. Ziffer 7 der Betriebsvereinbarung enthält restriktive Regeln mit vorab festgelegten Kriterien für den Zugriff auf die Videoaufzeichnungen und deren Auswertung. Die Anforderung des BAG, auf diese Weise den Eingriff in die Persönlichkeitsrechte der betroffenen Arbeitnehmer so gering wie möglich zu halten (siehe Rz. 65 f.)1, kann mit den technischen und organisatorischen Maßnahmen sowie den sonstigen Vorgaben in Ziffer 7 erfüllt werden: Protokollierung von Zugriffen und Auswertungen, strikte Bindung an die Zweckbestimmung gem. Ziffer 2 der Betriebsvereinbarung, Vorgabe des Vier-Augen-Prinzips, Abstimmen mit bzw. Hinzuziehen des Betriebsrats und des Datenschutzbeauftragten sowie deren Vorab-Information.
88
Die Einbindung des Betriebsrats bei der Durchführung der Videoüberwachung kann – auch im Rahmen der Abwägung der Rechte und Interessen des Arbeitgebers und der betroffenen Beschäftigten – allein keine Zulässigkeit eines Eingriffs begründen (siehe Rz. 68)2.
89
Die Protokollierung von Zugriffen und Auswertungen erfolgt zum einen technisch durch das Videoüberwachungssystem (Ziffer 7.1 Satz 1), was eine Nachvollziehbarkeit etwaiger Zugriffe auf das System gewährleisten soll. Zum anderen ist bei Zugriffen und Auswertungen gem. Ziffer 7.2 eine Niederschrift mit dem in dieser Regelung festgelegten Inhalt zu fertigen. Dieses Protokoll ist dem Betriebsrat sowie dem Datenschutzbeauftragten zuzuleiten (Ziffer 7.2 Satz 3), was die Transparenz erhöht.
90
Die Regelung in Ziffer 7.3 der Betriebsvereinbarung stellt eine weitere verfahrensrechtliche Sicherung dar. Beide Betriebsparteien haben Personen zu bestimmen, die im Falle eines Zugriffs und einer Auswertung von Videoaufzeichnungen heranzuziehen sind. Diese Personen sind in Anlage 4 der Betriebsvereinbarung aufzuführen.
91
9. Erläuterungen zu Ziffer 8 E 8. Rechte der Arbeitnehmer
92
8.1 Die Arbeitnehmer werden vom Arbeitgeber vier Wochen vor Inbetriebnahme des Videoüberwachungssystems über dessen Einsatz, Zweck, Umfang und die Regelungen dieser Betriebsvereinbarung in geeigneter Weise informiert. Arbeitnehmer, die neu eingestellt werden, sind spätestens 1 Vgl. BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 (1191 f.). 2 Vgl. BAG v. 21.6.2012 – 2 AZR 152/11, NZA 2012, 1025 (1028 f.); BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 (1191, 1192).
Lang
|
513
Teil 4 II Rz. 93
Betriebsvereinbarung zur Videoüberwachung
zum Zeitpunkt ihres Eintritts entsprechend Satz 1 dieser Ziffer 8.1 zu informieren. 8.2 Rechte der Arbeitnehmer, die sich aus gesetzlichen Vorschriften, insbesondere aus dem Bundesdatenschutzgesetz ergeben, bleiben unberührt. 93
Ziffer 8.1 dient lediglich der Klarstellung, dass der Arbeitgeber die Arbeitnehmer zu informieren hat. Die Pflicht zur Information ergibt sich bereits aus § 77 Abs. 2 Satz 3 BetrVG, wonach die Betriebsvereinbarung vom Arbeitgeber an geeigneter Stelle im Betrieb auszulegen ist. In Ziffer 8.1 wird jedoch der Zeitpunkt für die Information konkretisiert.
94
Die gesetzlichen Rechte der Arbeitnehmer, insbesondere die Rechte auf Auskunft, Berichtigung, Löschung oder Sperrung gem. §§ 34 und 35 BDSG bleiben von der Betriebsvereinbarung gem. Ziffer 8.2 unberührt. Diese Regelung schafft Rechtssicherheit hinsichtlich der Diskussion, ob Betriebsvereinbarungen die im BDSG verankerten Betroffenenrechte einschränken können1.
10. Erläuterungen zu Ziffer 9 95
E 9. Zutritt zu Räumen mit Komponenten des Videoüberwachungssystems 9.1 Zutritt zu den Räumen, in denen die Komponenten des Videoüberwachungssystems vorgehalten werden, haben ausschließlich Beschäftigte des Bereichs [Fachbereich/Abteilung]. 9.2 Das in Bezug auf das Videoüberwachungssystem mit Wartungs- und Serviceaufgaben betraute Personal sowie das Reinigungspersonal erhalten nur im Rahmen ihrer Aufgaben und nur in Anwesenheit eines Beschäftigten des Bereichs [Fachbereich/Abteilung] Zutritt zu den genannten Räumen. 9.3 Die gesetzlichen Rechte und Pflichten des betrieblichen Datenschutzbeauftragten und des Betriebsrats bleiben unberührt.
96
Die Regelungen in den Ziffern 9.1 und 9.2 sollen verhindern, dass Unbefugte unkontrolliert in die Nähe der Komponenten des Videoüberwachungssystems gelangen. Insoweit bilden diese Regelungen einen (kleinen) Teil der organisatorischen Maßnahmen gem. Ziffer 1 der Anlage zu § 9 Satz 1 BDSG ab, die im Vorfeld des Einsatzes von Videotechnik zu Überwachungszwecken zu treffen sind. Die Vorgaben gem. Ziffer 9.1 und Ziffer 9.2 der Betriebsvereinbarung sind durch entsprechende Maßnahmen wie technische und organisatorische Zutrittssicherungen umzusetzen und sicherzustellen.
97
Zuweilen wird von Arbeitnehmervertretern gefordert, nicht nur den Zutritt i.S.d. Ziffer 1 der Anlage 1 zu § 9 Satz 1 BDSG, sondern auch den Zugang und Zugriff i.S.d. Ziffern 2 und 3 der Anlage 1 zu § 9 Satz 1 BDSG zu regeln. Das gilt insbesondere, wenn Wartungs- und Serviceaufgaben von einem externen Auftragnehmer wahrgenommen werden. Eine entsprechende Regelung kann lauten: 1 Zu dieser Diskussion s. Taeger/Gabel/Taeger, § 4 BDSG Rz. 34 ff.; Simitis/Sokol, § 4 BDSG Rz. 16 f.; s. auch Rz. 22 zur Betriebsvereinbarung als Rechtsgrundlage.
514
|
Lang
Erläuterungen
Rz. 101 Teil 4 II
E Die Mitarbeiter der mit der Wartung des Videoüberwachungssystems beauftragten Firma [Auftragnehmer] dürfen die übertragenen und gespeicherten Bilder nur zur Kenntnis nehmen, soweit es im Rahmen der Wartungsarbeiten erforderlich ist oder sich nicht vermeiden lässt. Die vorstehende oder eine entsprechende Regelung kann sinnvoll sein, wenn bei den Betriebsparteien Unklarheit oder Rechtsunsicherheit hinsichtlich des Einsatzes externer Dienstleister besteht. Allerdings hat der Gesetzgeber den Umstand, dass ein Zugriff auf personenbezogene Daten durch Wartungs- und Serviceunternehmen bei ihrer Tätigkeit nicht ausgeschlossen werden kann, bereits berücksichtigt. Zwischen Auftraggeber und Wartungs-/Serviceunternehmen müssen schriftliche Festlegungen gem. § 11 Abs. 5 BDSG getroffen werden, die einer Vereinbarung zur Auftragsdatenverarbeitung1 entsprechen.
98
Von einer Beauftragung mit Wartungs- und Serviceaufgaben zu trennen ist die mehr oder weniger vollständige Übertragung der Videoüberwachung auf einen Dienstleister. Eine entsprechende Übertragung ist grundsätzlich möglich, ändert aber nichts an der Mitbestimmungspflichtigkeit der Einrichtung und des Einsatzes eines Videoüberwachungssystems. Bei der Vertragsgestaltung mit dem Auftragnehmer ist darauf zu achten, dass eine ordnungsgemäße Wahrnehmung des Mitbestimmungsrechts gewährleistet ist2.
99
Die Zutrittsregeln gem. Ziffer 9.1 und Ziffer 9.2 können und dürfen die gesetzlichen Kontrollrechte und Überwachungspflichten des betrieblichen Datenschutzbeauftragten gem. § 4g Abs. 1 Satz 1 und 4 Nr. 1 BDSG und des Betriebsrats gem. § 80 Abs. 1 Nr. 1 BetrVG nicht beschneiden. Das wird mit Ziffer 9.3 der Betriebsvereinbarung klargestellt. Im Rahmen der Wahrnehmung ihrer Aufgaben und unter Wahrung des Grundsatzes der Erforderlichkeit ist dem betrieblichen Datenschutzbeauftragten und dem Betriebsrat Zutritt zu den Räumen mit Komponenten des Videoüberwachungssystems zu gewähren. Der Betriebsrat hat bei seinen Kontrollhandlungen die Vorgaben und Grenzen von §§ 2 Abs. 1 und 77 Abs. 1 Satz 2 BetrVG zu beachten.
100
11. Erläuterungen zu Ziffer 10 E 10. Änderungen am Videoüberwachungssystem
101
10.1 Änderungen, insbesondere Erweiterungen, des Videoüberwachungssystems einschließlich des Erfassungsbereichs der Videoüberwachung sind nur mit Zustimmung des Betriebsrats bzw. mit Ersetzung der Zustimmung durch die Einigungsstelle zulässig. 10.2 Der Arbeitgeber wird den Betriebsrat über geplante Änderungen oder Erweiterungen rechtzeitig informieren und diese mit dem Betriebsrat beraten. 1 Zur Vereinbarung einer Auftragsdatenverarbeitung s. die Muster in Teil 2 I und 2 II. 2 Vgl. BAG v. 18.4.2000 – 1 ABR 22/99, NZA 2000, 1176 (1177). Zur Frage, ob der Auftragnehmer im Rahmen einer Auftragsdatenverarbeitung oder Funktionsübertragung eingeschaltet werden kann vgl. Gola/Schomerus, § 6b BDSG Rz. 16; Lang, S. 257 f., 286.
Lang
|
515
Teil 4 II Rz. 102
Betriebsvereinbarung zur Videoüberwachung
102
Ziffer 10.1 der Betriebsvereinbarung hat lediglich klarstellende Funktion. Im Fall einer Änderung des Videoüberwachungssystems im Sinne einer qualitativen oder quantitativen Erweiterung der Überwachungsmöglichkeit hat der Betriebsrat grundsätzlich erneut ein Mitbestimmungsrecht gem. § 87 Abs. 1 Nr. 6 BetrVG; der bloße Austausch einer defekten Systemkomponente wird nicht erfasst1.
103
Die in Ziffer 10.2 explizit verankerten Unterrichtungs- und Beratungsrechte des Betriebsrats ergeben sich bereits aus § 90 Abs. 1 Nr. 2 und Abs. 2 BetrVG und aus § 80 Abs. 2 i.V.m. § 80 Abs. 1 Nr. 1 BetrVG.
12. Erläuterungen zu Ziffer 11 104
E 11. Schlussbestimmungen 11.1 Diese Betriebsvereinbarung tritt mit Unterzeichnung in Kraft und ist auf unbestimmte Zeit geschlossen. 11.2 Eine Kündigung kann durch beide Vertragsparteien mit einer Frist von […] Monaten zum Ende eines Quartals, erstmals zum […] erfolgen. Eine Teilkündigung ist möglich. 11.3 Die Regelungen dieser Betriebsvereinbarung gelten auch nach ihrer Beendigung fort, bis sie durch eine andere Abmachung ersetzt wurden. 11.4 Zur Beilegung von Meinungsverschiedenheiten im Zusammenhang mit dieser Betriebsvereinbarung sind der Arbeitgeber und der Betriebsrat unter den gesetzlichen Voraussetzungen des § 76 BetrVG berechtigt, die Einigungsstelle anzurufen.
105
Ziffer 11 hat lediglich klarstellende Bedeutung. Mit Blick auf die Ziffern 11.1 und 11.2 gilt, dass eine Betriebsvereinbarung grundsätzlich mit ihrer Unterzeichnung durch die Vertragsparteien in Kraft tritt2 und gem. § 77 Abs. 5 BetrVG mit einer Frist von drei Monaten ordentlich gekündigt werden kann, soweit nichts anderes vereinbart ist. Die Vertragsparteien können insbesondere einen abweichenden Beginn bestimmen, die Betriebsvereinbarung befristen und andere Kündigungsfristen vorsehen3.
106
Der deklaratorische Charakter von Ziffer 11.3 ergibt sich daraus, dass die Regelungen der Betriebsvereinbarung einen Bereich der zwingenden Mitbestimmung gem. § 87 Abs. 1 Nr. 6 BetrVG betreffen und daher bereits gem. § 77 Abs. 6 BetrVG fortgelten, bis sie durch eine andere Abmachung ersetzt werden. Allerdings kann die Nachwirkung durch eine ausdrückliche Regelung ausgeschlossen oder zeitlich begrenzt werden4. Das ist bspw. mit folgender Regelung möglich:
1 2 3 4
Erfurter Kommentar zum Arbeitsrecht/Kania, § Erfurter Kommentar zum Arbeitsrecht/Kania, § Erfurter Kommentar zum Arbeitsrecht/Kania, § Erfurter Kommentar zum Arbeitsrecht/Kania, §
516
|
Lang
87 BetrVG, Rz. 59. 77 BetrVG Rz. 35. 77 BetrVG Rz. 35, 89, 94. 77 BetrVG Rz. 103.
Erläuterungen
Rz. 108 Teil 4 II
E Die Regelungen dieser Betriebsvereinbarung gelten weiter bis zum Abschluss einer neuen oder überarbeiteten Betriebsvereinbarung, längstens jedoch bis zu drei Monate nach Wirksamwerden der Kündigung dieser Betriebsvereinbarung. In diesem Fall wäre die Videoüberwachung mit Beendigung der Betriebsvereinbarung einzustellen. Dieser vom Zweck der Überwachungsmaßnahme losgelöste Automatismus ist regelmäßig nicht sinnvoll. Können sich die Betriebsparteien ungeachtet dessen nicht auf die gesetzlich vorgesehene Nachwirkung einigen, sollten die möglichen Auswirkungen eines Ausschlusses der Nachwirkung durch eine Regelung abgemildert werden, die zumindest zu einer Neuverhandlung führen kann, z.B.:
107
E Die kündigende Vertragspartei ist berechtigt und auf Verlangen der anderen Vertragspartei verpflichtet, innerhalb von sechs Wochen nach Zugang der Kündigung den Entwurf einer neuen Vereinbarung vorzulegen. Die Vertragsparteien verpflichten sich, in der Zeit vom Zugang der Kündigung bis zum Auslaufen dieser Betriebsvereinbarung intensiv mit dem Ziel zu verhandeln, eine für beide Seiten akzeptable Neuregelung zu erreichen. Schließlich hat auch Ziffer 11.4 der Betriebsvereinbarung klarstellende Bedeutung. In erzwingbaren Mitbestimmungsangelegenheiten, wie sie im Fall von Videoüberwachung am Arbeitsplatz regelmäßig gem. § 87 Abs. 1 Nr. 6 BetrVG vorliegt (siehe Rz. 26), können Arbeitgeber und Betriebsrat die Einigungsstelle im Rahmen von §§ 76, 87 Abs. 2 BetrVG zur Beilegung von Meinungsverschiedenheiten anrufen.
Lang
|
517
108
III. Betriebsvereinbarung zur Mitarbeiterortung Literaturverzeichnis: Beck’scher TKG-Kommentar, 3. Aufl. 2006; Beckschulze, Internet- und E-Mail-Einsatz am Arbeitsplatz, DB 2009, 2097; Deiters, Betriebsvereinbarung Kommunikation – Beschäftigteninteressen und Compliance bei privater Nutzung von Kommunikationsmitteln im Unternehmen, ZD 2012, 109; Forst, Social Media Guidelines – Regelung durch Betriebsvereinbarung?, ZD 2012, 251; Fülbier/Splittgerber, Keine (Fernmelde-)Geheimnisse vor dem Arbeitgeber?, NJW 2012, 1995; Gola, Datenschutz bei der Kontrolle „mobiler“ Arbeitnehmer – Zulässigkeit und Transparenz, NZA 2007, 1139; Gola, Die Ortung externer Beschäftigter – Abwägung zwischen Überwachungsinteresse und schutzwürdigen Arbeitnehmerinteressen, ZD 2012, 308; Gola/Schomerus, BDSG, 11. Aufl. 2012; Jandt, Datenschutz bei Location Based Services – Voraussetzungen und Grenzen der rechtmäßigen Verwendung von Positionsdaten, MMR 2007, 74; Kiesche/ Wilke, GPS, digitales Flottenmanagement und Telematik – der Chef fährt mit!, CuA 7/2009, 5; Müller-Glöge/Preis/Schmidt, Erfurter Kommentar zum Arbeitsrecht, 13. Aufl. 2013; Oberwetter, Arbeitnehmerrechte bei Lidl, Aldi & Co., NZA 2008, 609; Plath, BDSG, 2013; Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2011; Spindler/Schuster, Recht der elektronischen Medien, 2. Aufl. 2011; Steindle, Datenschutz bei Nutzung von Location Based Services in Unternehmen, MMR 2009, 167; Wellhöner/Byers, Datenschutz im Betrieb – Alltägliche Herausforderung für den Arbeitgeber?!, BB 2009, 2310; Wybitul, Neue Spielregeln bei E-Mail-Kontrollen durch den Arbeitgeber – Überblick über den aktuellen Meinungsstand und die Folgen für die Praxis, ZD 2011, 69.
A. Einleitung I. Die Mitarbeiterortung in der betrieblichen Praxis 1
Für technische Einrichtungen, die eine Ortung von Arbeitnehmern ermöglichen, sind vielfältige Anwendungsbereiche denkbar. Besonders von Interesse sind derartige Einrichtungen im Zusammenhang mit auswärtigen Tätigkeiten von Arbeitnehmern. So können etwa über die GPS-Ortung von Fahrzeugen auswärtige Einsätze im Rahmen von Logistik-, Transport- und technischen Servicedienstleistungen koordiniert und die Abrechnung von Fahrten gegenüber Kunden erleichtert werden. Auf externen Baustellen abgestellte Baumaschinen können im Falle eines Diebstahls durch GPS-Überwachung wieder aufgespürt werden. Auswärtig tätige Arbeitnehmer können durch Handy-Ortung nach einem Autounfall oder in anderen Notfällen ihren Standort bestimmen lassen. Aber auch innerhalb der Betriebsstätte existieren mögliche Anwendungsfelder für die Ortung von Arbeitnehmern. Ein Beispiel ist der Einsatz von RFID-Transpondern in Hausausweisen zur Zugangskontrolle oder zur Kontrolle des Anlaufens bestimmter Wegmarken bei nächtlichen Kontrollgängen des betrieblichen Wachdiensts.
II. Betriebsvereinbarungen zur Mitarbeiterortung 1. Mitbestimmungsrechte des Betriebsrats 2
Existiert im Unternehmen ein Betriebsrat, erfordern die Einführung und der Betrieb einer technischen Ortungseinrichtung in aller Regel den Abschluss einer Betriebsvereinbarung. Der Betriebsrat hat insbesondere ein Mitbestimmungs518
|
Weberndörfer/Zieger
Betriebsvereinbarung zur Mitarbeiterortung
Rz. 7 Teil 4 III
recht gem. § 87 Abs. 1 Nr. 6 BetrVG. Hierfür genügt, dass die Einrichtung zur Erhebung und Verarbeitung personenbezogener bzw. -beziehbarer Verhaltensbzw. Leistungsdaten geeignet ist; es kommt nicht darauf an, inwieweit diese Daten tatsächlich ausgewertet werden sollen1. Ohne entsprechende vorherige Vereinbarung zwischen Arbeitgeber und Betriebsrat sind die Einführung und der Betrieb einer technischen Ortungseinrichtung unzulässig. Es bedarf insoweit nicht zwingend einer „förmlichen“ Betriebsvereinbarung; ausreichend ist ebenso der Abschluss einer bloßen Regelungsabrede2. Allerdings können im Rahmen des Mitbestimmungsrechts gem. § 87 Abs. 1 Nr. 6 BetrVG Betriebsrat und Arbeitgeber den Abschluss einer Betriebsvereinbarung verlangen3.
3
Scheitert eine Einigung, kann gem. § 76 BetrVG eine Regelung durch den Arbeitgeber oder den Betriebsrat im Einigungsstellenverfahren erzwungen werden.
2. Zuständigkeiten Die Mitbestimmung bei technischen Überwachungseinrichtungen gem. § 87 Abs. 1 Nr. 6 BetrVG üben grundsätzlich die in den einzelnen Betrieben des Arbeitgebers bestehenden örtlichen Betriebsräte aus. Diese sind auch für den Abschluss einer entsprechenden Betriebsvereinbarung mit dem Arbeitgeber zuständig.
4
Die Zuständigkeit kann gem. § 50 Abs. 1 Satz 1 Halbs. 1 BetrVG ausnahmsweise originär bei dem Gesamtbetriebsrat liegen. Voraussetzung ist eine überbetriebliche Angelegenheit, die nicht durch die örtlichen Betriebsräte geregelt werden kann. Das Verlangen des Arbeitgebers nach einer einheitlichen Regelung genügt nicht; die einheitliche Regelung muss vielmehr objektiv notwendig sein4.
5
Nach der Rechtsprechung des BAG5 ist dies bspw. dann der Fall, wenn im Wege der elektronischen Datenverarbeitung in mehreren Betrieben Daten erhoben und verarbeitet werden, die auch zur Weiterverwendung in anderen Betrieben bestimmt sind. In diesem Fall ist eine unterschiedliche Ausgestaltung des elektronischen Datenverarbeitungssystems in den einzelnen Betrieben mit dessen einheitlicher Funktion nicht vereinbar.
6
Hiernach ließe sich bspw. bei einer zur Einsatzkoordinierung und Abrechnung vorgesehenen Ortungseinrichtung die Zuständigkeit des Gesamtbetriebsrats dann annehmen, wenn diese Aufgaben im Unternehmen zentralisiert erfüllt werden. Geht es um den Einsatz einer Ortungseinrichtung zur Zugangskontrolle in den einzelnen Betrieben des Arbeitgebers, ließe sich eine einheitliche Regelungsnotwendigkeit dagegen nur schwer begründen.
7
1 Ständige Rechtsprechung des BAG, vgl. etwa BAG v. 14.11.2006 – 1 ABR 4/06, AP BetrVG 1972 § 87 Überwachung Nr. 43; vgl. auch Oberwetter, NZA 2008, 609 (612). 2 BAG v. 14.8.2001 – 1 AZR 744/00, NZA 2002, 342 (345) m.w.N. 3 BAG v. 8.8.1989 – 1 ABR 62/88, NZA 1990, 322 (324). 4 BAG v. 14.11.2006 – 1 ABR 4/06, AP BetrVG 1972 § 87 Überwachung Nr. 43. 5 BAG v. 14.11.2006 – 1 ABR 4/06, AP BetrVG 1972 § 87 Überwachung Nr. 43.
Weberndörfer/Zieger
|
519
Teil 4 III
Rz. 8
Betriebsvereinbarung zur Mitarbeiterortung
8
Ausnahmsweise ist gem. § 58 Abs. 1 Satz 1 Halbs. 1 BetrVG auch eine originäre Zuständigkeit des Konzernbetriebsrats denkbar1. Erforderlich ist eine unternehmensübergreifende Angelegenheit, die nicht durch die einzelnen Gesamtbetriebsräte geregelt werden kann. Auch insoweit muss eine einheitliche Regelung objektiv notwendig sein; es sind entsprechend die Maßstäbe anzusetzen, die bei der Bewertung der originären Zuständigkeit des Gesamtbetriebsrats gelten2.
9
Bei fehlender originärer Zuständigkeit können die örtlichen Betriebsräte den Gesamtbetriebsrat gem. § 50 Abs. 2 BetrVG mit der Verhandlung und dem Abschluss der Betriebsvereinbarung auch beauftragen. Entsprechend können bei fehlender originärer Zuständigkeit gem. § 58 Abs. 2 BetrVG die Gesamtbetriebsräte den Konzernbetriebsrat beauftragen. In Zweifelsfällen bietet sich eine vorsorgliche Beauftragung an.
10
Die Beauftragungen des Gesamt- bzw. Konzernbetriebsrats können aus Gründen der Rechtssicherheit in der Betriebsvereinbarung dokumentiert und die betreffenden Beschlüsse der örtlichen Betriebsräte bzw. Gesamtbetriebsräte als Anlagen beigefügt werden.
III. Inhaltliche Grenzen der Betriebsvereinbarung 11
Der Betrieb der Ortungseinrichtung muss sich inhaltlich im Rahmen der Regelungskompetenzen der Betriebspartner halten. Diese sind hinsichtlich der Verwendung personenbezogener Daten insbesondere durch höherrangige datenschutzrechtliche Vorgaben begrenzt.
1. Datenschutzrechtliche Vorgaben des TKG 12
Häufig erfolgt eine Ortung durch Lokalisierung eines Mobilfunkendgeräts über ein Mobilfunknetz. Die Verwendung personenbezogener Daten bei einer solchen netzwerkbasierten Ortung ist grundsätzlich an den Vorgaben der §§ 91 ff. TKG zu messen. Diese gehen gem. § 1 Abs. 3 BDSG in ihrem Anwendungsbereich den Vorgaben des BDSG vor3. Im Verhältnis zwischen Arbeitgeber und Arbeitnehmer sind die Vorgaben der §§ 91 ff. TKG bei dem Betrieb einer Ortungseinrichtung aber regelmäßig nicht anwendbar.
13
Verpflichteter der §§ 91 ff. TKG ist der Diensteanbieter i.S.d. § 3 Nr. 6 TKG4. Der Arbeitgeber ist im Verhältnis zu seinen Arbeitnehmern aber regelmäßig bereits deshalb nicht als Diensteanbieter zu qualifizieren, weil spezifisch für Ortungszwecke eingesetzte Mobilfunkendgeräte in der Praxis im Regelfall ausschließlich zur dienstlichen Nutzung zur Verfügung gestellt werden5. Im Falle 1 Vgl. etwa zum konzernweiten Austausch von Mitarbeiterdaten BAG v. 20.12.1995 – 7 ABR 8/95, AP BetrVG 1972 § 58 Nr. 1. 2 Erfurter Kommentar zum Arbeitsrecht/Koch, § 58 BetrVG Rz. 2. 3 Plath/Jenny, § 91 TKG Rz. 12. 4 Plath/Jenny, § 88 TKG Rz. 15, § 91 TKG Rz. 4. 5 So wohl auch Steindle, MMR 2009, 167 (169).
520
|
Weberndörfer/Zieger
Betriebsvereinbarung zur Mitarbeiterortung
Rz. 16 Teil 4 III
der ausschließlich dienstlichen Nutzung erbringt der Arbeitgeber aber nach einhelliger Auffassung keine geschäftsmäßigen Telekommunikationsdienste gegenüber einem Dritten i.S.d. § 3 Nr. 10 TKG. Hierzu müsste der Arbeitgeber dem Arbeitnehmer jedenfalls die Privatnutzung des Mobilfunkendgeräts gestatten1. Im Falle der erlaubten Privatnutzung des Diensthandys ist der Arbeitgeber hingegen nach wohl noch vorherrschender Ansicht2 als Diensteanbieter i.S.d. § 3 Nr. 6 TKG zu qualifizieren3. Hiernach wären auch im Verhältnis zwischen dem Arbeitgeber und dem Arbeitnehmer die §§ 91 ff. TKG anzuwenden. Die arbeitsgerichtliche Instanzrechtsprechung und die Literatur stellen diese Auffassung jüngst aber zunehmend, nach diesseitiger Auffassung zurecht, in Frage4.
14
Ist der Arbeitgeber gegenüber seinem Arbeitnehmer nicht als Diensteanbieter i.S.d. § 3 Nr. 6 TKG zu qualifizieren, trifft ihn telekommunikationsrechtlich allenfalls eine Informationspflicht. Eine netzwerkbasierte Ortung unter Verwendung von Standortdaten ist gem. § 98 Abs. 1 Satz 1 TKG zwar grundsätzlich nur mit Einwilligung des Mobilfunkteilnehmers zulässig. Dieser ist gem. § 3 Nr. 20 TKG aber nur der Arbeitgeber als Vertragspartner des Mobilfunkanbieters; eine Einwilligung des Arbeitnehmers als bloßer Nutzer des Mobilfunkendgeräts i.S.d. § 3 Nr. 14 TKG ist dagegen nicht erforderlich5. Erteilt der Arbeitgeber seine Einwilligung, muss er den Arbeitnehmer allerdings gem. § 98 Abs. 1 Satz 7 TKG informieren. Zudem erfolgt im Falle der Ortung gem. § 98 Abs. 1 Satz 2 TKG eine Information durch Textmitteilung des Mobilfunkanbieters auf das betreffende Mobilfunkendgerät.
15
2. Datenschutzrechtliche Vorgaben des TMG Technische Ortungseinrichtungen werden vielfach durch Telemediendienste gestützt. So erfolgt bspw. die Nutzung der Funktionen gängiger Flottenmanagementsysteme über webbasierte Portale. Die Verwendung personenbezogener Daten der Nutzer von Telemedien wäre daher im Grunde an den §§ 11 ff. TMG zu messen. Auch diese gehen gem. § 1 Abs. 3 BDSG in ihrem Anwendungsbereich den Vorschriften des BDSG vor6. Die Anwendung der §§ 11 ff. TMG ist im Verhältnis zwischen Arbeitgeber und 1 Plath/Jenny, § 88 TKG Rz. 15, § 91 TKG Rz. 4; Spindler/Schuster/Eckhardt, § 88 TKG Rz. 18, § 91 TKG Rz. 8. 2 Vgl. bspw. OLG Karlsruhe v. 10.1.2005 – 1 Ws 152/04, MMR 2005, 178 (179 f.); Plath/ Jenny, § 88 TKG Rz. 15, § 91 TKG Rz. 4; Spindler/Schuster/Eckhardt, § 88 TKG Rz. 18, § 91 TKG Rz. 8; Beck’scher TKG-Kommentar/Bock, § 88 TKG Rz. 24; Wellhöner/Byers, NZA 2009, 2310 (2310 ff.). 3 S. hierzu auch die Erläuterungen zum Muster einer Betriebsvereinbarung zur Internetund E-Mail-Nutzung in Teil 4 V Rz. 6 ff. 4 LAG Berlin-Brandenburg v. 16.2.2011 – 4 Sa 2132/10, NZA-RR 2011, 342 (343); LAG Niedersachsen v. 31.5.2010 – 12 Sa 875/09, NZA-RR 2010, 406 (408); Fülbier/Splittgerber, NJW 2012, 1995 (1999); Deiters, ZD 2012, 109 (110); Wybitul, ZD 2011, 69 (73). 5 Plath/Jenny, § 98 TKG Rz. 7; Gola, ZD 2012, 308 (309); Gola, NZA 2007, 1139 (1143); Oberwetter, NZA 2008, 609 (612), vgl. ausführlich Steindle, MMR 2009, 167; Jandt, MMR 2007, 74. 6 Plath/Hullen/Roggenkamp, § 11 TMG Rz. 10.
Weberndörfer/Zieger
|
521
16
Teil 4 III
Rz. 17
Betriebsvereinbarung zur Mitarbeiterortung
Arbeitnehmer bei dem Betrieb der Ortungseinrichtung aber regelmäßig gem. § 11 Abs. 1 Nr. 1 TMG ausgeschlossen, weil die insoweit eingesetzten Telemedien ausschließlich dienstlich genutzt werden1. So sind für eine private Nutzung etwa eines webbasierten Portals eines Flottenmanagementsystems praktisch keine Anwendungsfälle denkbar.
3. Allgemeine datenschutzrechtliche Vorgaben des BDSG 17
Die Verwendung personenbezogener Daten bei dem Betrieb der Ortungseinrichtung richtet sich im Verhältnis zwischen Arbeitgeber und Arbeitnehmer somit regelmäßig allein nach dem BDSG. Eine Verwendung personenbezogener Daten ist gem. § 4 Abs. 1 BDSG nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat.
a) Datenschutzrechtliche Einwilligung 18
Die Verwendung personenbezogener Daten bei dem Betrieb der Ortungseinrichtung lässt sich im Regelfall nicht rechtssicher auf eine Einwilligung des Arbeitnehmers gem. § 4a BDSG stützen. Die Einwilligung müsste gem. § 4a Abs. 1 Satz 1 BDSG auf einer freien Entscheidung des Arbeitnehmers beruhen. Dies ist im Arbeitsverhältnis nicht ausgeschlossen, kann aber in vielen Fällen problematisch sein2. Jedenfalls liegt in der bloßen Hinnahme der Überwachung durch den Arbeitnehmer keine wirksame Einwilligung3, auch weil es insoweit an der erforderlichen Schriftform fehlt.
b) Die Erlaubnistatbestände der §§ 32 und 28 Abs. 1 Satz 1 Nr. 2 BDSG 19
Als Erlaubnis für die Verwendung personenbezogener Daten bei dem Betrieb der Ortungseinrichtung kommen innerhalb des BDSG insbesondere die §§ 32 und 28 Abs. 1 Satz 1 Nr. 2 BDSG in Betracht. Hiernach sind im Ergebnis die Interessen des Arbeitgebers an der Datenverwendung mit den entgegenstehenden Interessen des Beschäftigten abzuwägen.
20
§ 32 Abs. 1 Satz 1 BDSG gestattet die Verwendung personenbezogener Beschäftigtendaten für Zwecke des Beschäftigtenverhältnisses, soweit dies für dessen Begründung, Durchführung oder Beendigung erforderlich ist. Im Rahmen der Erforderlichkeitsprüfung ist letztlich eine Abwägung der gegenläufigen Interessen von Arbeitgeber und Beschäftigtem hinsichtlich der Datenverwendung vorzunehmen4.
21
Personenbezogene Beschäftigtendaten dürfen zudem gem. § 32 Abs. 1 Satz 2 BDSG zur Aufdeckung von Straftaten verwendet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Datenverwen1 Plath/Hullen/Roggenkamp, § 11 TMG Rz. 18; Steindle, MMR 2009, 167 (170). 2 Simitis/Simitis, § 4a BDSG Rz. 62; Gola/Schomerus, § 4a BDSG Rz. 22; Plath/Plath, § 4a BDSG Rz. 27, § 32 BDSG Rz. 12, 87; vgl. dazu auch Teil 4 V Rz. 127 ff. 3 Gola, ZD 2012, 308 (309). 4 Plath/Stamer/Kuhnke, § 32 BDSG Rz. 16 ff.; Simitis/Seifert, § 32 BDSG Rz. 11.
522
|
Weberndörfer/Zieger
Rz. 25 Teil 4 III
Betriebsvereinbarung zur Mitarbeiterortung
dung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Datenverwendung nicht überwiegt. Ferner ist gem. § 28 Abs. 1 Satz 1 Nr. 2 BDSG zur Erfüllung eigener Geschäftszwecke des Arbeitgebers eine Verwendung personenbezogener Beschäftigtendaten zulässig, soweit dies zur Wahrung berechtigter Interessen des Arbeitgebers erforderlich ist und kein Grund zur Annahme besteht, dass schutzwürdige Interessen des Betroffenen an dem Ausschluss der Datenverwendung überwiegen. § 28 Abs. 1 Satz 1 Nr. 2 BDSG bleibt außerhalb des Regelungsbereichs des § 32 BDSG grundsätzlich anwendbar1.
22
c) Die Betriebvereinbarung als „andere Rechtsvorschrift“ Als „andere Rechtsvorschrift“ i.S.d. § 4 Abs. 1 BDSG kann insbesondere eine Betriebsvereinbarung die Verwendung personenbezogener Daten bei dem Betrieb der Ortungseinrichtung erlauben2.
23
Dabei ist allerdings umstritten, ob eine Betriebsvereinbarung eine Unterschreitung des Schutzniveaus des BDSG rechfertigen kann. Dies wird vielfach für unzulässig gehalten3; hiernach wären lediglich Konkretisierungen der gesetzlichen Regelung und Abweichungen zugunsten der Arbeitnehmer erlaubt. Das BAG4 ist dieser Ansicht zutreffenderweise5 nicht gefolgt. § 4 Abs. 1 BDSG erlaubt gerade eine Abweichung von den Vorschriften des BDSG durch die Betriebsvereinbarung. Diese ist daher inhaltlich nicht an den Vorschriften des BDSG zu messen. Der Vorrang der Betriebsvereinbarung gilt aber natürlich nur, soweit diese eine Regelung trifft. Soweit sie keine Regelungen enthält, bleibt es bei den allgemeinen Bestimmungen des BDSG.
24
4. „Arbeitsrechtlicher Datenschutz“ – Schutz von Persönlichkeitsrechten gem. § 75 BetrVG Misst man eine Betriebsvereinbarung richtigerweise nicht an den Vorgaben des BDSG, so ist der Arbeitnehmer hinsichtlich der Verwendung personenbezogener Daten bei dem Betrieb der Ortungseinrichtung gleichwohl nicht schutzlos. In der Betriebsvereinbarung sind gem. § 75 Abs. 2 Satz 1 BetrVG insbesondere die Persönlichkeitsrechte der Arbeitnehmer zu wahren6. Das BAG7 wägt insoweit das Interesse des Arbeitgebers an der Datenverwendung gegen die entgegenstehenden Interessen des Arbeitnehmers ab. Im Ergebnis sind daher wohl 1 Plath/Stamer/Kuhnke, § 32 BDSG Rz. 8 f.; Gola/Schomerus, § 32 BDSG Rz. 33; enger Simitis/Seifert, § 32 BDSG Rz. 17, nach dem § 28 Abs. 1 Nr. 2 BDSG wohl nur in Bezug auf beschäftigungsfremde Zwecke anwendbar sein soll. 2 H.M. vgl. nur Gola/Schomerus, § 4 BDSG Rz. 10. 3 Simitis/Sokol, § 4 BDSG Rz. 17; Gola/Schomerus, § 4 BDSG Rz. 10 f.; jeweils m.w.N. 4 BAG v. 27.5.1986 – 1 ABR 48/84, NZA 1986, 643 (646). 5 Zustimmend auch Plath/Stamer/Kuhnke, § 32 BDSG Rz. 85; Erfurter Kommentar zum Arbeitsrecht/Kania, § 87 BetrVG Rz. 61. 6 Erfurter Kommentar zum Arbeitsrecht/Kania, § 77 BetrVG Rz. 38, § 87 BetrVG Rz. 61; Plath/Stamer/Kuhnke, § 32 BDSG Rz. 86. 7 BAG v. 27.5.1986 – 1 ABR 48/84, NZA 1986, 643 (647).
Weberndörfer/Zieger
|
523
25
Teil 4 III
Rz. 26
Betriebsvereinbarung zur Mitarbeiterortung
nur wenige Fälle vorstellbar, in denen eine nach dem BDSG unzulässige Datenverarbeitung aufgrund einer Betriebsvereinbarung erlaubt sein könnte1.
B. Muster 26
E Betriebsvereinbarung zur Mitarbeiterortung zwischen der […] – Arbeitgeber – und dem Betriebsrat des Betriebs […] der […] – Betriebsrat – 1. Gegenstand und Zweck der Betriebsvereinbarung 1.1 Gegenstand dieser Betriebsvereinbarung ist die Einführung und der Betrieb einer Ortungseinrichtung zur Überwachung der Einsatzfahrzeuge der Servicetechniker des Arbeitgebers zum Zwecke der – Koordinierung der Außeneinsätze der Servicetechniker; – Abrechnung der Fahrten von Servicetechnikern gegenüber Kunden; und – Aufklärung strafbarer Handlungen und anderer schwerer Verfehlungen. 1.2 Mit dem Betrieb der Ortungseinrichtung geht eine Verwendung personenbezogener Daten der Servicetechniker einher. Die Betriebsvereinbarung soll die Verwendung dieser Daten in transparenter Weise regeln. Dabei soll sie die Interessen der Servicetechniker und des Arbeitgebers angemessen in Ausgleich bringen. Sie dient mithin dem Schutz von Persönlichkeitsrechten. 2. Anwendungsbereich Diese Betriebsvereinbarung gilt für die im Betrieb […] des Arbeitgebers beschäftigten Arbeitnehmer i.S.v. § 5 Abs. 1 BetrVG. Sie gilt nicht für leitende Angestellte i.S.v. § 5 Abs. 3 und 4 BetrVG. 3. Einführung einer Ortungseinrichtung 3.1 Der Arbeitgeber führt eine Ortungseinrichtung mit den folgenden Funktionen ein: 1 Erfurter Kommentar zum Arbeitsrecht/Kania, § 87 BetrVG Rz. 61; Plath/Stamer/ Kuhnke, § 32 BDSG Rz. 86; Gola/Schomerus, § 4 BDSG Rz. 10.
524
|
Weberndörfer/Zieger
Rz. 26 Teil 4 III
Vertragstext
– Life-Ortung: Ermittlung der jeweils aktuellen Position der Einsatzfahrzeuge; – Elektronisches Fahrtenbuch: Erfassung von Datum, Uhrzeit, Position und Kilometerstand zu Beginn und Ende jeder Einzelfahrt; – Streckenverfolgung: Detailaufzeichnung der mit den Einsatzfahrzeugen zurückgelegten Fahrstrecken. 3.2 Einzelheiten zu Ausstattung, Funktionsweise und Funktionsumfang der Ortungseinrichtung sowie zu der damit verbundenen Verwendung personenbezogener Daten ergeben sich aus Anlage 1 (Ortungseinrichtung). 4. Nutzung der Ortungseinrichtung 4.1 Life-Ortung Der Arbeitgeber ist zur Nutzung der Life-Ortungs-Funktion berechtigt, soweit dies zur Koordinierung der Einsätze der Servicetechniker erforderlich ist. 4.2 Elektronisches Fahrtenbuch Der Arbeitgeber ist zur Nutzung der Elektronischen Fahrtenbuch-Funktion berechtigt, soweit dies zur Abrechnung von Fahrten gegenüber Kunden erforderlich ist. 4.3 Missbrauchskontrolle 4.3.1 Im Übrigen ist der Arbeitgeber – auch ohne Kenntnis des betroffenen Arbeitnehmers – zur Nutzung der Funktionen der Ortungseinrichtung berechtigt, soweit – tatsächliche Anhaltspunkte den konkreten Verdacht begründen, dass ein Arbeitnehmer eine strafbare Handlung oder eine andere schwere Verfehlung begangen hat oder begehen wird; – die Aufklärung des Verdachts durch mildere, aber gleich geeignete Mittel keinen Erfolg verspricht; und – die Nutzung unter Abwägung der beiderseitigen Interessen des Arbeitnehmers und des Arbeitgebers insgesamt nicht unverhältnismäßig ist. Die den Verdacht begründenden Tatsachen sind von dem Arbeitgeber zu dokumentieren. Die im Rahmen des Einsatzes anfallenden Daten sind unverzüglich auszuwerten. 4.3.2 Der Betriebsrat und der Datenschutzbeauftragte sind vor einem solchen Einsatz unter Angabe der vorliegenden Verdachtsmomente und Art, Ort und Dauer des vorgesehenen Einsatzes durch den Arbeitgeber zu unterrichten. Der Einsatz ist durch den Betriebsrat und den Datenschutzbeauftragten zu überwachen. Sollte eine vorherige Unterrichtung ausnahmsweise nicht möglich sein, z.B. in Eilfällen, bei Krankheit oder bei Urlaubsabwesenheit, Weberndörfer/Zieger
|
525
Teil 4 III
Rz. 26
Betriebsvereinbarung zur Mitarbeiterortung
ist sie unverzüglich nachzuholen. Sollte eine Überwachung des Einsatzes ausnahmsweise nicht möglich sein, ist der Betriebsrat bzw. der Datenschutzbeauftragte unverzüglich über den Einsatzverlauf zu unterrichten. 4.4 Zugriffsberechtigungen Die im Rahmen der Nutzung der Ortungseinrichtung nach Ziffern 4.1 bis 4.3 zugriffsberechtigten Personen ergeben sich aus Anlage 2 (Zugriffsberechtigungen). 4.5 Umfang der Nutzung Die Nutzung der Ortungseinrichtung ist ausschließlich in dem unter Ziffern 4.1 bis 4.4 bestimmten Umfang zulässig. Jede darüber hinausgehende Nutzung, insbesondere zu einer über die dort genannten Zwecke hinausgehenden Leistungs- oder Verhaltenskontrolle, ist untersagt. 5. Speicherung, Löschung und Sperrung von Daten 5.1 Bei der Nutzung der Life-Ortungs-Funktion nach Ziffer 4.1 anfallende Daten werden nicht gespeichert. 5.2 Im Übrigen sind die bei dem Betrieb der Ortungseinrichtung anfallenden Daten unverzüglich nach deren Auswertung, spätestens aber nach Ablauf von 90 Tagen zu löschen. 5.3 Werden Daten darüber hinaus zum Zweck der Beweissicherung (z.B. im Zusammenhang mit einem Gerichtsverfahren) benötigt, sind sie unverzüglich nach Wegfall des Beweissicherungszwecks zu löschen. 5.4 Im Falle von längeren gesetzlichen Aufbewahrungsfristen tritt anstelle der Löschung die Sperrung gem. § 3 Abs. 4 Nr. 4 BDSG. 6. Änderungen und Erweiterungen der Ortungseinrichtung 6.1 Änderungen und Erweiterungen der Ortungseinrichtung bedürfen der Zustimmung des Betriebsrats bzw. der Ersetzung der Zustimmung durch die Einigungsstelle. 6.2 Der Arbeitgeber wird den Betriebsrat über geplante Änderungen oder Erweiterungen rechtzeitig informieren und diese mit dem Betriebsrat beraten. 7. Information der Arbeitnehmer; Ansprechpartner 7.1 Die Arbeitnehmer sind vom Arbeitgeber über die Inhalte dieser Betriebsvereinbarung zu informieren. 7.2 Gesetzliche Auskunftsansprüche der Arbeitnehmer oder Informationspflichten gegenüber den Arbeitnehmern bleiben unberührt. 7.3 Ansprechpartner des Arbeitgebers in allen Fragen zu dieser Betriebsvereinbarung ist: 526
|
Weberndörfer/Zieger
Rz. 28 Teil 4 III
Erläuterungen
[…] Eine Änderung des Ansprechpartners wird der Arbeitgeber in geeigneter Weise im Betrieb bekannt geben. 8. Meinungsverschiedenheiten Die Parteien sind unter den gesetzlichen Voraussetzungen des § 76 BetrVG berechtigt, zur Beilegung von Meinungsverschiedenheiten im Zusammenhang mit dieser Betriebsvereinbarung die Einigungsstelle anzurufen. 9. Beginn, Laufzeit und Beendigung 9.1 Diese Betriebsvereinbarung tritt mit ihrer Unterzeichnung in Kraft und ist auf unbestimmte Zeit geschlossen. 9.2 Sie kann beiderseits mit einer Frist von drei Monaten gekündigt werden. 9.3 Die Regelungen dieser Betriebsvereinbarung gelten auch nach ihrer Beendigung fort, bis sie durch eine andere Abmachung ersetzt wurden. … Ort, Datum
… Ort, Datum
[…]
Betriebsrat des Betriebs […] der […] Anlage 1 (Ortungseinrichtung)
[…] Anlage 2 (Zugriffsberechtigungen) […]
C. Erläuterungen I. Vorbemerkung Das Muster behandelt die Einführung einer Ortungseinrichtung zur Überwachung von Einsatzfahrzeugen von Servicetechnikern zu Koordinierungs- und Abrechnungszwecken. Es kann insoweit nur als Leitfaden dienen. Insbesondere aufgrund der Vielzahl denkbarer technischer Gestaltungen bedarf das Muster stets einer umfassenden Anpassung auf den Einzelfall. Dies gilt entsprechend in Bezug auf andere technische Einrichtungen zur Mitarbeiterortung.
27
Die im Muster vorgesehenen Datenverarbeitungen sollten grundsätzlich bereits durch die allgemeinen datenschutzrechtlichen Erlaubnisvorschriften der §§ 32 und 28 Abs. 1 Satz 1 Nr. 2 BDSG gerechtfertigt sein (vgl. hierzu schon Rz. 19 ff.). Daher dient die Betriebsvereinbarung lediglich als zusätzliche Ab-
28
Weberndörfer/Zieger
|
527
Teil 4 III
Rz. 29
Betriebsvereinbarung zur Mitarbeiterortung
sicherung, um die Datenverarbeitungen jedenfalls als andere Rechtsvorschrift i.S.d. § 4 Abs. 1 BDSG zu erlauben (vgl. hierzu schon Rz. 23 ff.).
II. Erläuterung der einzelnen Klauseln 1. Erläuterungen zu Ziffer 1 29
E 1. Gegenstand und Zweck der Betriebsvereinbarung 1.1 Gegenstand dieser Betriebsvereinbarung ist die Einführung und der Betrieb einer Ortungseinrichtung zur Überwachung der Einsatzfahrzeuge der Servicetechniker des Arbeitgebers zum Zwecke der – Koordinierung der Außeneinsätze der Servicetechniker; – Abrechnung der Fahrten von Servicetechnikern gegenüber Kunden; und – Aufklärung strafbarer Handlungen und anderer schwerer Verfehlungen. 1.2 Mit dem Betrieb der Ortungseinrichtung geht eine Verwendung personenbezogener Daten der Servicetechniker einher. Die Betriebsvereinbarung soll die Verwendung dieser Daten in transparenter Weise regeln. Dabei soll sie die Interessen der Servicetechniker und des Arbeitgebers angemessen in Ausgleich bringen. Sie dient mithin dem Schutz von Persönlichkeitsrechten.
30
Ziffer 1 soll primär im Falle von Streitigkeiten über die Betriebsvereinbarung als Auslegungshilfe dienen. Die Bestimmung sollte den Regelungsgegenstand und die Zielsetzung der Betriebsvereinbarung daher möglichst präzise wiedergeben. Dabei verweist Ziffer 1.1 auf die Einführung und die Zwecke der Ortungseinrichtung. Ziffer 1.2 stellt klar, dass die Betriebsvereinbarung als andere Rechtsvorschrift i.S.d. § 4 Abs. 1 BDSG die Verarbeitung personenbezogener Daten regelt. Sie verweist zudem auf das im Datenschutzrecht geltende Transparenzgebot (vgl. etwa §§ 4 Abs. 3, 33 und 34 BDSG) und die sowohl im Rahmen der §§ 32 und 28 Abs. 1 Satz 1 Nr. 1 BDSG, als auch bei § 75 Abs. 2 Satz 1 BetrVG vorzunehmende Abwägung der Interessen für und gegen die Datenverarbeitung (vgl. hierzu schon Rz. 19 ff. und 25).
2. Erläuterungen zu Ziffer 2 31
E 2. Anwendungsbereich Diese Betriebsvereinbarung gilt für die im Betrieb […] des Arbeitgebers beschäftigten Arbeitnehmer i.S.v. § 5 Abs. 1 BetrVG. Sie gilt nicht für leitende Angestellte i.S.v. § 5 Abs. 3 und 4 BetrVG.
32
Eine Betriebsvereinbarung kann, wie in Ziffer 2 geschehen, ihren Anwendungsbereich in personeller und „räumlicher“ Hinsicht bestimmen, wobei insbeson528
|
Weberndörfer/Zieger
Erläuterungen
Rz. 38 Teil 4 III
dere das Gleichbehandlungsgebot gem. § 75 BetrVG zu beachten ist1. Der Anwendungsbereich darf aber nicht über die Regelungskompetenzen des Betriebsrats in personeller und „räumlicher“ Hinsicht hinaus ausgeweitet werden. In personeller Hinsicht beschränkt sich die Regelungskompetenz des Betriebsrats auf Arbeitnehmer i.S.d. § 5 Abs. 1 BetrVG. Arbeitnehmer in diesem Sinne sind insbesondere auch Auszubildende, Teilzeitarbeitnehmer, geringfügig Beschäftigte und Aushilfen. Leitende Angestellte i.S.d. § 5 Abs. 3 und 4 BetrVG sind von der Regelungskompetenz ausgenommen. Gleiches gilt für ehemalige Arbeitnehmer, wie etwa Betriebsrentner, und grundsätzlich auch für Bewerber2. Die Regelungskompetenz erfasst somit nicht alle Beschäftigten i.S.d. § 3 Abs. 11 BDSG.
33
Die Regelungskompetenz des örtlichen Betriebsrats in „räumlicher“ Hinsicht ist auf den Betrieb begrenzt, für den er gewählt ist. Die Regelungszuständigkeit ist insoweit allerdings nicht geografisch auf die Betriebsstätte beschränkt. Der Betriebsbegriff ist funktional zu verstehen, auch für Auswärtstätigkeiten der dem betreffenden Betrieb zuzuordnenden Arbeitnehmer können daher Regelungen getroffen werden3.
34
Im Rahmen seiner originären Zuständigkeit gem. § 50 Abs. 1 Satz 1 Halbs. 1 BetrVG erstreckt sich die Regelungskompetenz des Gesamtbetriebsrats in „räumlicher“ Hinsicht auf alle Betriebe des Unternehmens. Dies gilt gem. § 50 Abs. 1 Satz 1 Halbs. 2 BetrVG unabhängig davon, ob im Betrieb ein örtlicher Betriebsrat existiert.
35
Die Regelungskompetenz des Konzernbetriebsrats in „räumlicher“ Hinsicht erstreckt sich im Rahmen seiner originären Zuständigkeit gem. § 58 Abs. 1 Satz 1 Halbs. 1 BetrVG auf alle Betriebe aller Konzernunternehmen. Ob in dem Unternehmen ein Gesamtbetriebsrat oder in dem Betrieb ein örtlicher Betriebsrat existiert, ist gem. § 58 Abs. 1 Satz 1 Halbs. 2 BetrVG irrelevant.
36
Wird der Gesamt- oder Konzernbetriebsrat aufgrund einer Beauftragung i.S.d. § 50 Abs. 2 bzw. § 58 Abs. 2 BetrVG tätig, richten sich die Regelungsbefugnisse in „räumlicher“ Hinsicht nach den Kompetenzen der ihn beauftragenden Mitarbeitervertretungen.
37
3. Erläuterungen zu Ziffer 3 E 3. Einführung einer Ortungseinrichtung
38
3.1 Der Arbeitgeber führt eine Ortungseinrichtung mit den folgenden Funktionen ein: – Life-Ortung: Ermittlung der jeweils aktuellen Position der Einsatzfahrzeuge; 1 Erfurter Kommentar zum Arbeitsrecht/Kania, § 77 BetrVG Rz. 33. 2 BAG v. 13.5.1997 – 1 AZR 75/97, NZA 1998, 160; Erfurter Kommentar zum Arbeitsrecht/Kania, § 77 BetrVG Rz. 34; umstritten, vgl. Forst, ZD 2012, 251 (253), m.w.N. 3 BAG v. 22.7.2008 – 1 ABR 40/07, NZA 2008, 1248.
Weberndörfer/Zieger
|
529
Teil 4 III
Rz. 39
Betriebsvereinbarung zur Mitarbeiterortung
– Elektronisches Fahrtenbuch: Erfassung von Datum, Uhrzeit, Position und Kilometerstand zu Beginn und Ende jeder Einzelfahrt; – Streckenverfolgung: Detailaufzeichnung der mit den Einsatzfahrzeugen zurückgelegten Fahrstrecken. 3.2 Einzelheiten zu Ausstattung, Funktionsweise und Funktionsumfang der Ortungseinrichtung sowie zu der damit verbundenen Verwendung personenbezogener Daten ergeben sich aus Anlage 1 (Ortungseinrichtung). 39
Ziffer 3 beschreibt zusammen mit Anlage 1 (Ortungseinrichtung) die Details der einzuführenden Ortungseinrichtung. Der Mitbestimmung des Betriebsrats gem. § 87 Abs. 1 Nr. 6 BetrVG unterliegt nicht nur das „Ob“ der Einführung der Ortungseinrichtung, sondern gerade auch das „Wie“, d.h. die konkrete Ausgestaltung (Anbieter, Modell, Komponenten etc.)1. Die Ortungseinrichtung sollte in der Betriebsvereinbarung daher möglichst genau beschrieben werden, um Streitigkeiten über den Umfang der erlaubten Einführung vorzubeugen. Aufgenommen werden sollten Einzelheiten zu Ausstattung, Funktionsweise und Funktionsumfang der Ortungseinrichtung. Um die Betriebsvereinbarung nicht zu überfrachten, bietet sich der Verweis auf eine Anlage an.
40
Daneben sollte in der Anlage aber auch die Verwendung personenbezogener Daten durch die Einrichtung umfassend beschrieben werden. Dies schafft zunächst Klarheit darüber, inwieweit die Betriebsvereinbarung als andere Rechtsvorschrift i.S.d. § 4 Abs. 1 BDSG die Datenverarbeitung erlaubt und insoweit Vorrang gegenüber dem BDSG genießt. Nach der wohl vorherrschenden Auffassung in der Literatur2 kann eine Betriebsvereinbarung zudem nur dann als andere Rechtsvorschrift i.S.d. § 4 Abs. 1 BDSG eine Datenverarbeitung rechtfertigen, wenn sie zumindest die zu verarbeitenden Daten und den Zweck der Verarbeitung benennt. Die Aufsichtsbehörden3 fordern teilweise als Mindestkatalog insbesondere nähere Angaben zu – Gegenstand der Datenverarbeitung – Zweckbindung – Datenvermeidung und Datensparsamkeit – Art und Umfang der verarbeiteten Daten – Empfänger der Daten – Rechte der Betroffenen – Löschfristen und – technische und organisatorische Maßnahmen, wie bspw. das Berechtigungskonzept. 1 Erfurter Kommentar zum Arbeitsrecht/Kania, § 87 BetrVG Rz. 58. 2 Gola/Schomerus, § 4 BDSG Rz. 7 f.; Simitis/Sokol, § 4 BDSG Rz. 13; Simitis/Simitis, § 1 BDSG Rz. 100. 3 Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit (HmbBfDI), 22. Tätigkeitsbericht, Ziff. 9.3, abrufbar unter http://www.thm.de/zaftda/tb-bundes laender/cat_view/25-tb-bundeslaender/11-hamburg-.
530
|
Weberndörfer/Zieger
Rz. 41 Teil 4 III
Erläuterungen
Nach den Vorgaben des BVerfG im Volkszählungsurteil1 müssen das informationelle Selbstbestimmungsrecht einschränkende Rechtsnormen u.a. das Gebot der Normenklarheit einhalten. Ein Gesetz ist dabei hinreichend bestimmt, „wenn sein Zweck aus dem Gesetzestext in Verbindung mit den Materialien deutlich wird […]; dabei reicht es aus, wenn sich der Gesetzeszweck aus dem Zusammenhang ergibt, in dem der Text des Gesetzes zu dem zu regelnden Lebensbereich steht.“ Weitergehende formale Anforderungen sind auch an eine Betriebsvereinbarung als andere Rechtsvorschrift i.S.d. § 4 Abs. 1 BDSG nicht zu stellen.
4. Erläuterungen zu Ziffer 4 41
E 4. Nutzung der Ortungseinrichtung 4.1 Life-Ortung Der Arbeitgeber ist zur Nutzung der Life-Ortungs-Funktion berechtigt, soweit dies zur Koordinierung der Einsätze der Servicetechniker erforderlich ist. 4.2 Elektronisches Fahrtenbuch Der Arbeitgeber ist zur Nutzung der Elektronischen Fahrtenbuch-Funktion berechtigt, soweit dies zur Abrechnung von Fahrten gegenüber Kunden erforderlich ist. 4.3 Missbrauchskontrolle 4.3.1 Im Übrigen ist der Arbeitgeber – auch ohne Kenntnis des betroffenen Arbeitnehmers – zur Nutzung der Funktionen der Ortungseinrichtung berechtigt, soweit – tatsächliche Anhaltspunkte den konkreten Verdacht begründen, dass ein Arbeitnehmer eine strafbare Handlung oder eine andere schwere Verfehlung begangen hat oder begehen wird; – die Aufklärung des Verdachts durch mildere, aber gleich geeignete Mittel keinen Erfolg verspricht; und – die Nutzung unter Abwägung der beiderseitigen Interessen des Arbeitnehmers und des Arbeitgebers insgesamt nicht unverhältnismäßig ist. Die den Verdacht begründenden Tatsachen sind von dem Arbeitgeber zu dokumentieren. Die im Rahmen des Einsatzes anfallenden Daten sind unverzüglich auszuwerten. 4.3.2 Der Betriebsrat und der Datenschutzbeauftragte sind vor einem solchen Einsatz unter Angabe der vorliegenden Verdachtsmomente und Art, Ort und Dauer des vorgesehenen Einsatzes durch den Arbeitgeber zu unterrichten. Der Einsatz ist durch den Betriebsrat und den Datenschutzbeauftragten zu überwachen. 1 BVerfG v. 15.12.1983 – 1 BvR 209/83 u.a., NJW 1984, 419 (424).
Weberndörfer/Zieger
|
531
Teil 4 III
Rz. 42
Betriebsvereinbarung zur Mitarbeiterortung
Sollte eine vorherige Unterrichtung ausnahmsweise nicht möglich sein, z.B. in Eilfällen, bei Krankheit oder bei Urlaubsabwesenheit, ist sie unverzüglich nachzuholen. Sollte eine Überwachung des Einsatzes ausnahmsweise nicht möglich sein, ist der Betriebsrat bzw. der Datenschutzbeauftragte unverzüglich über den Einsatzverlauf zu unterrichten. 4.4 Zugriffsberechtigungen Die im Rahmen der Nutzung der Ortungseinrichtung nach Ziffern 4.1 bis 4.3 zugriffsberechtigten Personen ergeben sich aus Anlage 2 (Zugriffsberechtigungen). 4.5 Umfang der Nutzung Die Nutzung der Ortungseinrichtung ist ausschließlich in dem unter Ziffern 4.1 bis 4.4 bestimmten Umfang zulässig. Jede darüber hinausgehende Nutzung, insbesondere zu einer über die dort genannten Zwecke hinausgehenden Leistungs- oder Verhaltenskontrolle, ist untersagt.
a) Erläuterungen zu Ziffer 4.1 42
Ziffer 4.1 erlaubt eine Nutzung der Life-Ortungs-Funktion der Ortungseinrichtung, soweit dies zur Einsatzkoordinierung erforderlich ist. Eine solche Nutzung der Ortungseinrichtung ist grundsätzlich zulässig1. Insbesondere führt die Life-Ortung zu keiner im Grundsatz unzulässigen2 Rundumüberwachung des Arbeitnehmers.
43
Zwar hält das BAG3 die dauerhafte Videoüberwachung von Arbeitnehmern in nicht öffentlich zugänglichen Betriebsräumen für unzulässig. Der Arbeitnehmer steht hierbei bei jeder Bewegung unter dem Druck, sich möglichst unauffällig zu benehmen. Er muss ständig damit rechnen, dass seine gesamte Verhaltensweise aufgezeichnet und später kontrolliert wird.
44
Im Rahmen der Life-Ortung ist für den Arbeitgeber aber nur die Position des Arbeitnehmers ersichtlich. Darüber hinausgehend kann das Verhalten des Arbeitnehmers durch den Arbeitgeber nicht beobachtet werden. Ein mit einer Videoaufzeichnung vergleichbarer Überwachungsdruck entsteht daher in diesem Fall nicht4.
1 Gola, ZD 2012, 308 (310); Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg 2010/2011, S. 150; a.A. wohl Simitis/Seifert, § 32 BDSG Rz. 82 ff., der eine Ortung jedenfalls auf Grundlage des § 32 BDSG nur dann für zulässig hält, wenn die Ortung zur Sicherheit der Beschäftigten oder für den Schutz „äußerst wertvoller“ Gegenstände des Arbeitgebers erfolgt. 2 Plath/Stamer/Kuhnke, § 32 BDSG Rz. 130; Gola, ZD 2012, 308 (310); Gola, NZA 2007, 1139 (1142, 1144); Wellhöner/Byers, BB 2009, 2310 (2312); Kiesche/Wilke, CuA 7/2009, 5 (7); Oberwetter, NZA 2008, 609 (612). 3 BAG v. 29.6.2004 – 1 ABR 21/03, NZA 2004, 1278 (1281); hierzu im Detail auch Teil 4 II Rz. 61 ff. 4 Beckschulze, DB 2009, 2097 (2099); a.A. wohl Gola/Schomerus, § 32 BDSG Rz. 19c.
532
|
Weberndörfer/Zieger
Erläuterungen
Rz. 50 Teil 4 III
Ist dem Arbeitnehmer auch eine private Nutzung des Einsatzfahrzeugs gestattet, müsste er allerdings die Möglichkeit haben, die Ortungsfunktion abzuschalten1. Der private Lebensbereich des Arbeitnehmers darf mit der Ortungseinrichtung nicht kontrolliert werden2.
45
b) Erläuterungen zu Ziffer 4.2 Ziffer 4.2 erlaubt die Nutzung der Elektronischen Fahrtenbuch-Funktion, soweit dies zur Abrechnung von Fahrten gegenüber Kunden erforderlich ist. Die Erfassung von Datum, Uhrzeit, Position und Kilometerstand zu Beginn und Ende jeder Einzelfahrt mit dem Einsatzfahrzeug und die Nutzung dieser Daten zu Abrechnungszwecken ist grundsätzlich zulässig3.
46
c) Erläuterungen zu Ziffer 4.3 Ziffer 4.3 gestattet in Ausnahmefällen die (ggf. auch) heimliche Nutzung der Funktionen der Ortungseinrichtung zur Verfolgung von Straftaten und anderen schweren Pflichtverletzungen. Eine heimliche Ortung von Mitarbeitern kann allenfalls als ultima ratio zulässig sein4. Die Regelung orientiert sich an § 32 Abs. 1 Satz 2 BDSG und den Vorgaben des BAG5 zur verdeckten Videoüberwachung.
47
d) Erläuterungen zu Ziffer 4.4 Ziffer 4.4 bestimmt die im Rahmen der Nutzung der Ortungseinrichtung nach Ziffern 4.1 bis 4.3 zugriffsberechtigten Personen. Diese sind in der Anlage 2 (Zugriffsberechtigungen) allgemein mit ihrer Position zu beschreiben. Bei einer namentlichen Bezeichnung wäre bei jeder personellen Veränderung auch eine Änderung der Betriebsvereinbarung erforderlich.
48
Der Zugriff ist auf diejenigen Personen zu beschränken, für die ein Zugriff im Rahmen des jeweiligen Nutzungszwecks erforderlich ist. So dürfen Disponenten auf die Life-Ortungs-Funktion zur Einsatzkoordinierung und Buchhaltungsmitarbeiter auf Einträge im elektronischen Fahrtenbuch zu Abrechnungszwecken zugreifen. Ein Zugriff etwa von Betriebsratsmitgliedern außerhalb dieser Positionen kommt dagegen nicht in Betracht.
49
e) Erläuterungen zu Ziffer 4.5 Ziffer 4.5 stellt klar, dass jegliche über die Ziffern 4.1 bis 4.4 hinausgehende Nutzung der Ortungseinrichtung untersagt ist. 1 Gola, ZD 2012, 308 (310). 2 Gola, ZD 2012, 308 (310); Gola, NZA 2007, 1139 (1144); Wellhöner/Byers, BB 2009, 2310 (2312); Beckschulze, DB 2009, 2097 (2099). 3 Gola, ZD 2012, 308 (310); Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg 2010/2011, S. 150. 4 Gola, ZD 2012, 308 (310); Oberwetter, NZA 2008, 609 (612). 5 BAG v. 27.3.2003 – 2 AZR 51/02, NZA 2003, 1193 (1195).
Weberndörfer/Zieger
|
533
50
Teil 4 III
Rz. 51
Betriebsvereinbarung zur Mitarbeiterortung
5. Erläuterungen zu Ziffer 5 51
E 5. Speicherung, Löschung und Sperrung von Daten 5.1 Bei der Nutzung der Life-Ortungs-Funktion nach Ziffer 4.1 anfallende Daten werden nicht gespeichert. 5.2 Im Übrigen sind die bei dem Betrieb der Ortungseinrichtung anfallenden Daten unverzüglich nach deren Auswertung, spätestens aber nach Ablauf von 90 Tagen zu löschen. 5.3 Werden Daten darüber hinaus zum Zweck der Beweissicherung (z.B. im Zusammenhang mit einem Gerichtsverfahren) benötigt, sind sie unverzüglich nach Wegfall des Beweissicherungszwecks zu löschen. 5.4 Im Falle von längeren gesetzlichen Aufbewahrungsfristen tritt anstelle der Löschung die Sperrung gem. § 3 Abs. 4 Nr. 4 BDSG.
52
Ziffer 5 trifft Regelungen zur Speicherung der bei dem Betrieb der Ortungseinrichtung anfallenden Daten. Ziffer 5.1 schließt dabei eine Speicherung der Daten aus der Nutzung der Life-Ortungs-Funktion zur Einsatzkoordinierung aus. Eine solche Speicherung ist für die Koordinierung laufender Einsätze nicht erforderlich1.
53
Nach Ziffer 5.2 sind die Daten aus dem Betrieb der Ortungseinrichtung grundsätzlich unverzüglich nach deren Auswertung, spätestens aber nach 90 Tagen zu löschen. Die Einträge in dem elektronischen Fahrtenbuch sind hiernach grundsätzlich spätestens nach 90 Tagen zu löschen. Speicherfristen von bis zu 90 Tagen wurden von den Aufsichtsbehörden insoweit teils als noch angemessen angesehen2. Die bei der Ortung zur Aufklärung von Straftaten und anderen schweren Verfehlungen anfallenden Daten sind grundsätzlich unverzüglich nach der nach Ziffer 4.3.2 ebenfalls unverzüglich vorzunehmenden Auswertung zu löschen.
54
Sind die angefallenen Daten darüber hinausgehend zur Beweissicherung erforderlich, etwa weil eine Meinungsverschiedenheit mit dem Kunden über die Abrechnung entsteht oder sich ein Verdacht gegen den Arbeitnehmer bestätigt, so sind sie nach Ziffer 5.3 unverzüglich nach dem Wegfall des Beweissicherungszwecks zu löschen.
6. Erläuterungen zu Ziffer 6 55
E 6. Änderungen und Erweiterungen der Ortungseinrichtung 6.1 Änderungen und Erweiterungen der Ortungseinrichtung bedürfen der Zustimmung des Betriebsrats bzw. der Ersetzung der Zustimmung durch die Einigungsstelle.
1 Gola, ZD 2012, 308 (310); Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg 2010/2011, S. 150. 2 Gola, ZD 2012, 308 (310); Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg 2010/2011, S. 150.
534
|
Weberndörfer/Zieger
Rz. 61 Teil 4 III
Erläuterungen
6.2 Der Arbeitgeber wird den Betriebsrat über geplante Änderungen oder Erweiterungen rechtzeitig informieren und diese mit dem Betriebsrat beraten. Änderungen und Erweiterungen der Ortungseinrichtung lösen grundsätzlich erneut die Mitbestimmung des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG aus1. Diesbezügliche Unterrichtungs- und Beratungsrechte des Betriebsrats folgen insbesondere aus § 90 Abs. 1 Nr. 2 und Abs. 2 BetrVG2 und aus § 80 Abs. 1 Nr. 1 und Abs. 2 BetrVG. Insoweit ist Ziffer 6 nur klarstellender Natur.
56
7. Erläuterungen zu Ziffer 7 E 7. Information der Arbeitnehmer; Ansprechpartner
57
7.1 Die Arbeitnehmer sind vom Arbeitgeber über die Inhalte dieser Betriebsvereinbarung zu informieren. 7.2 Gesetzliche Auskunftsansprüche der Arbeitnehmer oder Informationspflichten gegenüber den Arbeitnehmern bleiben unberührt. 7.3 Ansprechpartner des Arbeitgebers in allen Fragen zu dieser Betriebsvereinbarung ist: […] Eine Änderung des Ansprechpartners wird der Arbeitgeber in geeigneter Weise im Betrieb bekannt geben. Ziffer 7.1 dient lediglich der Klarstellung. Die Betriebsvereinbarung ist gem. § 77 Abs. 2 Satz 3 BetrVG durch den Arbeitgeber an geeigneter Stelle im Betrieb auszulegen. Hierdurch werden die Arbeitnehmer über den Inhalt der Betriebsvereinbarung informiert.
58
Gesetzliche Auskunftsrechte der Arbeitnehmer bzw. Informationspflichten gegenüber Arbeitnehmern bleiben gem. Ziffer 7.2 von der Betriebsvereinbarung unberührt. Solche Rechte bzw. Pflichten können insbesondere aus §§ 4 Abs. 3, 6c, 33, 34 BDSG und § 98 Abs. 1 Satz 7 TKG folgen.
59
Die Benennung eines Ansprechpartners auf der Seite des Arbeitgebers für Fragen zu der Betriebsvereinbarung ist in der Regel sinnvoll.
60
8. Erläuterungen zu Ziffer 8 E 8. Meinungsverschiedenheiten
61
Die Parteien sind unter den gesetzlichen Voraussetzungen des § 76 BetrVG berechtigt, zur Beilegung von Meinungsverschiedenheiten im Zusammenhang mit dieser Betriebsvereinbarung die Einigungsstelle anzurufen.
1 Erfurter Kommentar zum Arbeitsrecht/Kania, § 87 BetrVG, Rz. 87. 2 Erfurter Kommentar zum Arbeitsrecht/Kania, § 90 BetrVG, Rz. 2.
Weberndörfer/Zieger
|
535
Teil 4 III 62
Rz. 62
Betriebsvereinbarung zur Mitarbeiterortung
Die Betriebsvereinbarung regelt Angelegenheiten im Bereich der zwingenden Mitbestimmung des Betriebsrats gem. § 87 Abs. 1 Nr. 6 BetrVG. Insoweit kann unter den gesetzlichen Voraussetzungen des § 76 BetrVG jeder der beiden Betriebspartner zur Beilegung von Meinungsverschiedenheiten die Einigungsstelle anrufen. Ziffer 8 greift diese gesetzliche Regelung klarstellend auf.
9. Erläuterungen zu Ziffer 9 63
E 9. Beginn, Laufzeit und Beendigung 9.1 Diese Betriebsvereinbarung tritt mit ihrer Unterzeichnung in Kraft und ist auf unbestimmte Zeit geschlossen. 9.2 Sie kann beiderseits mit einer Frist von drei Monaten gekündigt werden. 9.3 Die Regelungen dieser Betriebsvereinbarung gelten auch nach ihrer Beendigung fort, bis sie durch eine andere Abmachung ersetzt wurden.
64
Ziffer 9 hat lediglich klarstellende Bedeutung. Eine Betriebsvereinbarung tritt grundsätzlich mit ihrer Unterzeichnung durch die Betriebspartner in Kraft1. Sie kann gem. § 77 Abs. 5 BetrVG von beiden Betriebspartnern mit einer Frist von drei Monaten ordentlich gekündigt werden. Die Betriebspartner können hiervon abweichende Regelungen treffen. Insbesondere können sie einen abweichenden Beginn bestimmen, die Betriebsvereinbarung befristen und andere Kündigungsfristen vorsehen2.
65
Die Betriebsvereinbarung regelt Angelegenheiten im Bereich der zwingenden Mitbestimmung des Betriebsrats gem. § 87 Abs. 1 Nr. 6 BetrVG. Insoweit gelten ihre Regelungen gem. § 77 Abs. 6 BetrVG fort, bis sie durch eine andere Abmachung ersetzt werden. Die Nachwirkung kann durch eine ausdrückliche Regelung ausgeschlossen oder zeitlich begrenzt werden3. In diesem Fall wäre die Nutzung der Ortungseinrichtung mit Beendigung der Betriebsvereinbarung einzustellen. Ein Ausschluss der Nachwirkung ist daher im Regelfall nicht zweckmäßig.
1 Erfurter Kommentar zum Arbeitsrecht/Kania, § 77 BetrVG Rz. 35. 2 Erfurter Kommentar zum Arbeitsrecht/Kania, § 77 BetrVG Rz. 35, 89, 94. 3 Erfurter Kommentar zum Arbeitsrecht/Kania, § 77 BetrVG Rz. 103.
536
|
Weberndörfer/Zieger
IV. Whistleblowing-Richtlinie Literaturverzeichnis: Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Beschäftigtendaten-
schutz“ des Düsseldorfer Kreises: „Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz“, abrufbar unter: http://www.datenschutz-hamburg.de/ uploads/media/Handreichung–Whistleblowing-Hotlines.pdf; Breinlinger/Krader, Whistleblowing – Chancen und Risiken bei der Umsetzung von anonym nutzbaren Hinweisgebersystemen im Rahmen des Compliance-Managements von Unternehmen, RDV 2006, 60; Briegel, Einrichtung und Ausgestaltung unternehmensinterner Whistleblowing-Systeme, 2009; Bürkle, Weitergabe von Informationen über Fehlverhalten in Unternehmen (Whistleblowing) und Steuerung auftretender Probleme durch ein Compliance-System, DB 2004, 2158; Fahrig, Die Zulässigkeit von Wistleblowing aus arbeits- und datenschutzrechtlicher Sicht, NZA 2010, 1223; Fahrig, Verhaltenskodex und Whistleblowing im Arbeitsrecht, NJOZ 2010, 975; Fleischer/Schmolke, Whistleblowing und Corporate Governance – Zur Hinweisgeberverantwortung von Vorstandsmitgliedern und Wirtschaftsanwälten, WM 2012, 1013; Göpfert/Landauer, Arbeitsstrafrecht und die Bedeutung von ComplianceSystemen: Straftaten „für“ das Unternehmen, NZA-Beilage 2011, 16; Görling/Inderst/ Bannenberg, Compliance, 2010; Gola/Schomerus, BDSG, 11. Aufl. 2012; Gola/Wronka, Handbuch des Arbeitnehmerdatenschutzrechts, 5. Aufl. 2010; Grobys/Panzer-Heemeier, StichwortKommentar Arbeitsrecht, 1. Aufl., 4. Edition 2012; Herbert/Oberath, Schweigen ist Gold? Rechtliche Vorgaben für den Umgang des Arbeitnehmers mit seiner Kenntnis über Rechtsverstöße im Betrieb, NZA 2005, 193; Klasen/Schaefer, Whistleblower, Zeuge und „Beschuldigter“ – Informationsweitergabe im Spannungsfeld grundrechtlicher Positionen, BB 2012, 641; Lassmann, Whistleblowing – Möglichkeiten bei Ausgestaltung und Durchführung von Hinweisgebersystemen, AiB 2010, 447; Mengel, Arbeitsrechtliche Besonderheiten der Implementierung von Compliance-Programmen in internationalen Konzernen, CCZ 2008, 85; Mengel, Der Gesetzentwurf der SPD-Fraktion zum Whistleblowing, CCZ 2012, 146; Mengel/Hagemeister, Compliance und arbeitsrechtliche Implementierung im Unternehmen – Fortsetzung des Beitrags „Compliance und Arbeitsrecht“, BB 2006, 2466, BB 2007, 1386; Miceli/Near, Journal of Business Ethics, Vol. 4, 1995; Neumann, Whistleblowing und die Frage nach dem rechtspolitischen Erfordernis einer gesetzlichen Schutzregelung, 2010 (zit.: „Whistleblowing“); Schemmel/Ruhmannseder/ Witzigmann, Hinweisgebersysteme, 2012 (zit.: Schemmel/Ruhmannseder/Witzigmann); Schulz, Compliance, Internes Whistleblowing, BB 2011, 629; Schuster/Darsow, Einführung von Ethikrichtlinien durch Direktionsrecht, NZA 2005, 273; Simon/Schilling, Kündigung wegen Whistleblowing?, BB 2011, 2421; Stellungnahme 1/2006 der Article 29 Data Protection Working Party zum Whistleblowing, WP 117 vom 1.6.2002, abrufbar unter: www.ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp117_en.pdf; Thüsing, Arbeitnehmerdatenschutz und Compliance, 2010; Voigt, Auftragsdatenverarbeitung mit ausländischen Auftragnehmern – Geringere Anforderungen an die Vertragsausgestaltung als im Inland?, ZD 2012, 546; von Zimmermann, Whistleblowing – Anforderungen des Sarbanes Oxley-Acts, WM 2007, 1060; Wisskirchen/Glaser, Unternehmensinterne Untersuchungen (Teil I), DB 2011, 1392; Wybitul, Whistleblowing“ – datenschutzkonformer Einsatz von Hinweisgebersystemen? Für und Wider zum rechtskonformen Betrieb, ZD 2011, 118.
A. Einleitung Der Begriff „Whistleblowing“ leitet sich aus der englischen Sprache ab und bedeutet – einfach ausgedrückt – in die Pfeife blasen oder genauer „jemanden verpfeifen“. Whistleblowing wird wie folgt definiert: Es soll immer dann vorliegen, wenn ein ehemaliges oder aktuelles Mitglied einer Organisation Kenntnis Bauer
|
537
1
Teil 4 IV
Rz. 2
Whistleblowing-Richtlinie
von illegalen, unmoralischen oder illegitimen Verhaltensweisen hat, die im Verantwortungsbereich der Organisationsführung liegen und dieses Fehlverhalten mangels Möglichkeiten, es selbst zu beheben, gegenüber Personen oder Organisationen aufdeckt, die Handlungsmöglichkeiten besitzen1. 2
Whistleblowing ist in den meisten anglo-amerikanischen Ländern seit vielen Jahren weit verbreitet und wird dort von der Gesellschaft akzeptiert. Es ist ein fester Bestandteil der Kultur und auch des Rechtskreises. Sog. „WhistleblowingHotlines“ oder auf Deutsch „Hinweisgebersysteme“, mittels derer Missstände über spezielle Internet-Seiten oder über Telefon-Hotlines gemeldet werden können, gehören zum Unternehmensalltag und müssen aufgrund gesetzlicher Vorgaben, wie dem Sarbanes Oxley Act, zwingend von börsennotierten Unternehmen in den USA eingeführt werden.
3
Anders in europäischen Ländern: Hier werden Menschen, die Missstände anprangern, häufig als Denunzianten bezeichnet. Das Misstrauen gegen diese Menschen und auch gegen Unternehmen, die von ihren Mitarbeitern die Anzeige von Missständen verlangen, sitzt tief. Entsprechend finden sich bislang auch keine gesetzlichen Regelungen. Gleichwohl gehört Whistleblowing auch hier inzwischen zu unserer Realität2. International agierende Unternehmen werden durch andere Gesetzgebungen gezwungen, entsprechende Systeme einzuführen; daneben wird die Einrichtung entsprechender Berichtslinien immer wieder aus Gründen der Corporate Governance und der Notwendigkeit der Einführung entsprechender Compliance-Strukturen empfohlen.
4
Einen extrem kritischen Themenkomplex bei der Einführung von Hinweisgebersystemen stellt regelmäßig das Datenschutzrecht dar: Die Anzeige von Missständen setzt stets voraus, dass der Hinweisgeber den Namen etc. des möglichen Täters nennt. Dies hat naturgemäß erhebliche Auswirkungen für den vermeintlichen Täter. Im Dilemma befindet sich auch der Hinweisgeber: Benennt er seinen Namen und hat er den angezeigten Täter falsch beschuldigt, kann er selbst Sanktionen ausgesetzt sein. Daneben muss er Reaktionen des angezeigten Täters befürchten, sofern sein Name nicht vertraulich behandelt wird.
5
Die europäischen und auch die deutschen Datenschutzaufsichtsbehörden verlangen daher bei der Implementierung von Hinweisgebersystemen klare Anweisungen des Unternehmens gegenüber den Nutzern der Systeme sowie Transparenz. Eine Whistleblowing-Richtlinie konkretisiert diese Anweisungen und informiert über die Rechte, Pflichten und Risiken, die sich für die einzelnen Beteiligten ergeben können. 1 Vgl. Miceli/Near, Journal of Business Ethics, 1995, Vol. 4, No. 1, S. 1; Briegel, Whistleblowing-Systeme, S. 14 ff.; Schulz, BB 2011, 629 (630). 2 Einer aktuellen Studie von Kroll Advisory Solutions zufolge steigt die Zahl der Whistleblowing-Fälle seit der Finanzkrise dramatisch an. In Großbritannien registrierte die Financial Services Authority (FSA) zwischen Juni 2011 und Mai 2012 insgesamt 3 733 Anrufe auf ihrer Whistleblowing Hotline, während vier Jahre zuvor lediglich 994 Anrufe registriert wurden. Jede fünfte interne Untersuchung basiert auf Whistleblowing-Anzeigen, wobei sich in 60 % dieser Fälle der Anfangsverdacht als richtig erwies. Quelle: Compliance Magazin, November 2012, S. 8 (abrufbar unter www.com pliance-plattform.de)
538
|
Bauer
Rz. 6 Teil 4 IV
Vertragstext
B. Muster E Whistleblowing-Richtlinie
6
1. Einleitung In unserem Verhaltenskodex haben wir unsere Werte, Grundsätze und Richtlinien für die gesamte Konzerngruppe in Bezug auf den Umgang mit Kunden, Geschäftspartnern, Lieferanten, Mitarbeitern, etc. definiert und festgelegt. Im Umgang miteinander ist uns Offenheit und Integrität sehr wichtig. Wir sehen uns der Einhaltung hoher ethischer Standards verpflichtet. Die Begehung von Straftaten etc. in unserer Unternehmensgruppe oder aus unserer Unternehmensgruppe heraus wird unter keinen Umständen geduldet. Die nachfolgenden Regeln sollen unsere Mitarbeiter und auch die Unternehmensleitung darin unterstützen, eventuelle Missstände zu erkennen, zu melden und zu beseitigen. Alternative: Die nachfolgenden Regeln sollen sowohl unsere Mitarbeiter, die Unternehmensleitung als auch unsere Geschäftspartner, Kunden, Lieferanten etc. unterstützen, eventuelle Missstände zu erkennen, zu melden und zu beseitigen. Daneben werden Verbesserungsvorschläge gefördert, die dazu beitragen, unsere Werte noch besser umzusetzen. Diese Richtlinie zeigt Ihnen auf, in welchen Fällen und auf welche Weise Sie mögliche Missstände melden können. Daneben stellt diese Richtlinie klar, wie wir mit entsprechenden Hinweisen umgehen. Hinweisgeber müssen keinesfalls befürchten, wegen eines gutgläubigen Hinweises sanktioniert zu werden. Daneben sichern wir Hinweisgebern maximale Vertraulichkeit zu. Mit der Richtlinie möchten wir Vertrauen schaffen und Sie zur Mitwirkung ermutigen. Damit leisten Sie einen wertvollen Beitrag dazu, dass wir gemeinsam unsere hohen Anforderungen an uns selbst erfüllen können. 2. Begriffsbestimmungen 2.1 Whistleblowing Whistleblowing ist die Weitergabe von Informationen über illegale, unmoralische oder illegitime Verhaltensweisen am Arbeitsplatz an vom Unternehmen benannte Ansprechpartner durch einen Hinweisgeber (Whistleblower). Whistleblowing ist unabhängig von Beschwerdeverfahren im üblichen Sinne. 2.2 Whistleblower/Hinweisgeber Whistleblower sind Hinweisgeber, die unserem Unternehmen angehören oder angehörten und die Kenntnis von einem Fehlverhalten innerhalb unserer Unternehmensgruppe erlangt haben. Mangels Möglichkeiten, das Fehlverhalten selbst zu beheben, melden sie dies an vom UnternehBauer
|
539
Teil 4 IV
Rz. 6
Whistleblowing-Richtlinie
men benannte Ansprechpartner, die entsprechende Handlungsmöglichkeiten besitzen. Alternative: Whistleblower sind Hinweisgeber, die Kenntnis von einem Fehlverhalten innerhalb unserer Unternehmensgruppe erlangt haben. Mangels Möglichkeiten, das Fehlverhalten selbst zu beheben, melden sie dies an vom Unternehmen benannte Ansprechpartner, die entsprechende Handlungsmöglichkeiten besitzen. 2.3 Ansprechpartner/Entscheidungsberechtigte Ansprechpartner sind die vom Unternehmen benannten Personen, die Hinweise entgegen nehmen. Dabei kann es sich um interne Mitarbeiter handeln oder auch vom Unternehmen eingesetzte externe Dienstleister. Entscheidungsberechtigte sind Personen, die im Unternehmen Handlungsmöglichkeiten zur Verfolgung, Ahndung etc. von Missständen haben. 2.4 Gutgläubigkeit Gutgläubig sind Hinweise, wenn der Hinweisgeber einen vernünftigen Grund zur Annahme hat, dass die von ihm zu meldenden Tatsachen korrekt sind, seinem eignen Kenntnisstand nicht widersprechen und nach seiner auf dieser Grundlage gebildeten Überzeugung einen Umstand darstellen, der unmittelbar oder mittelbar zu einem Schaden oder anderweitigen Nachteil für das Unternehmen, die Konzerngruppe, die Mitarbeiter, Geschäftspartner, Kunden etc. führen kann. Sofern den Hinweisgeber selbst eine Pflicht trifft, vorab Tatsachenaufklärung zu betreiben, muss er dies mit seiner Mitteilung offenlegen. 2.5 Benachteiligung Benachteiligung des Hinweisgebers ist jedes Verhalten, das dazu geeignet ist, den Hinweisgeber schlechter zu stellen oder herabzuwürdigen. Dazu zählt auch Verhalten, das den Hinweisgeber von einer Meldung abhalten soll. 3. Grundsätze 3.1 Zweck der Richtlinie Ziel dieser Richtlinie ist die Einrichtung eines Hinweisgebersystems, das der Aufdeckung und Aufklärung von betrieblichen Missständen, unternehmensschädigendem Verhalten, Wirtschaftskriminalität u.ä. sowie dem Schutz unserer Mitarbeiter, Geschäftspartner, Kunden etc. dient. 3.2 Meldeberechtigte Personen Meldeberechtigt sind sämtliche aktuellen Mitarbeiter bzw. Führungskräfte unserer Unternehmensgruppe. Alternative 1: Meldeberechtigt sind sämtliche Mitarbeiter der Fachbereiche Einkauf, Buchhaltung, (…). 540
|
Bauer
Vertragstext
Rz. 6 Teil 4 IV
Alternative 2: Meldeberechtigt sind sämtliche Mitarbeiter der mittleren und oberen Führungsebene. Alternative 3: Meldeberechtigt sind sämtliche aktuellen oder ehemaligen Mitarbeiter bzw. Führungskräfte unserer Unternehmensgruppe, unsere Geschäftspartner, Kunden, Lieferanten etc. oder auch die interessierte Öffentlichkeit. 3.3 Potentiell betroffene Personen Es können alle Mitarbeiter, Führungskräfte etc. gemeldet werden, die im Verdacht stehen, einen meldepflichtigen Vorfall verschuldet zu haben. Gleiches gilt auch, wenn ein Dritter eine Handlung vornimmt, die sich gegen unser Unternehmen richtet. Alternative 1: Die Meldungen sind auf solche Mitarbeiter etc. zu beschränken, die in einer verantwortlichen Position beschäftigt sind, insbesondere der mittleren und oberen Führungsebene angehören. Damit wird sichergestellt, dass nur Verstöße der jeweils verantwortlich Handelnden gemeldet werden. Alternative 2: Die Meldungen sind auf solche Mitarbeiter etc. zu beschränken, die in den Fachbereichen Einkauf, Finanzwesen, Recht, Unternehmensführung (…) beschäftigt sind. Damit wird sichergestellt, dass nur Verstöße gemeldet werden, die geeignet sind, das Unternehmen nachhaltig wirtschaftlich zu schädigen. 3.4 Gegenstand der Meldung Die Meldung von Fehlverhalten etc. hat sich grundsätzlich auf Verhaltensweisen zu beschränken, die einen sich gegen das Unternehmensinteresse richtenden Straftatbestand erfüllen bzw. ein schweres Vergehen darstellen. Dies gilt insbesondere für folgende Delikte: – Betrug und Fehlverhalten in Bezug auf die Rechnungslegung bzw. interne Rechnungslegungskontrollen, – Wirtschaftsprüfungsdelikte, – Korruption, – Banken- und Finanzkriminalität, – Geldwäsche, Finanzierung terroristischer Aktivitäten, – Verbotene Insidergeschäfte, – Verstöße gegen das Kartellrecht, – Verstöße gegen das Wettbewerbsrecht, – Bestechung, Amtsmissbrauch, – Geheimnisverrat, Bauer
|
541
Teil 4 IV
Rz. 6
Whistleblowing-Richtlinie
– Fälschung von Verträgen, Berichten oder Aufzeichnungen, – Missbrauch von Unternehmensgütern, Diebstahl oder Veruntreuung, – Umweltgefährdungen, Gemeingefahren, Gefahren für die Gesundheit bzw. Sicherheit unserer Mitarbeiter und ähnliche Fälle. Weitere Informationen zu diesen Kategorien entnehmen Sie bitte dem Anhang. 3.5 Pflicht zur Meldung Soweit meldeberechtigte Mitarbeiter Anlass zu der Annahme haben, dass der ggf. zu meldende Sachverhalt im sachlichen, räumlichen oder personalbezogenen Zurechnungszusammenhang mit dem Unternehmen steht, eine Straftat darstellt oder geeignet ist, zu schweren Schäden für das Unternehmen oder für Dritte zu führen, besteht eine Hinweispflicht. Diese Hinweispflicht entfällt, sofern der Sachverhalt den Entscheidungsberechtigten im Unternehmen bereits für den meldenden Mitarbeiter erkennbar bekannt ist oder sofern nach der Strafprozessordnung keine Zeugnispflicht bestünde. Im Übrigen werden Meldeberechtigte ermutigt, Beobachtungen grober Missstände, Sicherheitsmängel, ernsthafter Gefahren und Risiken zu melden, soweit die zu meldenden Umstände im Zusammenhang mit dem Betrieb des Unternehmens stehen. Das Hinweissystem ist im Übrigen nicht als ein System zur Einreichung von Beschwerden über andere Mitarbeiter anzusehen. Dazu sind die ortsüblichen Berichtslinien einzuhalten. 4. Meldeverfahren 4.1 Voraussetzungen der Meldung 4.1.1 Offene und direkte Meldung Alle Meldeberechtigten werden ermutigt, ihnen bekannte Missstände, Fehlverhalten, Gefährdungen etc. im Sinne dieser Richtlinie offen und direkt unter Angabe ihrer Kontaktdaten zu melden. Interne Risikokommunikation sollte nicht anonym erfolgen, da dann keine Rückfragen möglich sind und das Vertrauen beeinträchtigt werden kann. Nur in den Fällen, in denen dem Hinweisgeber eine ihm zurechenbare Meldung unzumutbar erscheint, darf er auch anonyme Hinweise geben. 4.1.2 Externe Meldungen Sofern externe Meldungen bei dem Unternehmen eingehen, kann dies erhebliche Auswirkungen auf den betrieblichen Ablauf haben. Sie sind daher sorgfältig zu prüfen. 4.1.3 Begründeter Verdacht Der Hinweisgeber sollte nur solche Fälle melden, bei denen er einen begründeten Verdacht hat, dass ein nach dieser Richtlinie rele542
|
Bauer
Rz. 6 Teil 4 IV
Vertragstext
vanter Vorfall vorliegt. Er sollte sich bei seinen Meldungen immer auf die Richtlinie beziehen. Nicht in allen Fällen wird für den Hinweisgeber klar erkennbar sein, ob eine bestimmte Handlung oder ein bestimmtes Verhalten entsprechend den Grundsätzen dieser Richtlinie gemeldet werden muss bzw. sollte. Der Hinweisgeber sollte dies vor seiner Meldung sorgfältig prüfen. Gleichwohl ist es vorzugswürdig, Verdachtsfälle gutgläubig zu melden, anstatt sie zu verschweigen. Im Zweifelsfall empfehlen wir, zunächst mit Ihrem lokalen Ansprechpartner oder dem für die Richtlinie zuständigen Ansprechpartner gem. Ziffer 12.2 den Fall abzustimmen, ohne dass der Name des Verdächtigen benannt wird. 4.1.4 Konkret und schlüssig Jeder Hinweis sollte so konkret wie möglich erfolgen. Der Hinweisgeber sollte dem Empfänger möglichst detaillierte Informationen über den zu meldenden Sachverhalt vorlegen, so dass dieser die Angelegenheit richtig einschätzen kann. In diesem Zusammenhang sollten die Hintergründe, der Tathergang und der Grund der Meldung sowie Namen, Daten, Orte und sonstige Informationen benannt werden. Sofern vorhanden, sollten Dokumente vorgelegt werden. Persönliche Erfahrungen, mögliche Vorurteile oder subjektive Auffassungen sollten als solche kenntlich gemacht werden. Der Hinweisgeber ist grundsätzlich nicht zu eigenen Ermittlungen verpflichtet; eine Ausnahme kann gelten, wenn er dazu arbeitsvertraglich verpflichtet ist. 4.2 Verfahrensregeln Den Hinweisgebern stehen verschiedene Möglichkeiten zur Verfügung, einen Hinweis effektiv und zuverlässig zu melden. Insbesondere kann die Meldung intern kommuniziert werden oder über das extern betriebene Hinweisgebersystem erfolgen. Eine Einschaltung anderer externer Dritter, wie bspw. der Polizei, sollte nur in Ausnahmefällen und nach Abstimmung mit dem zuständigen Ansprechpartner erfolgen. Es empfiehlt sich, unter Abwägung der eigenen und der betroffenen Interessen der beteiligten Personen und des Unternehmens das nachfolgend beschriebene Meldeverfahren gemäß seinen Abstufungen angemessen in Anspruch zu nehmen. 4.2.1 Interne Meldungen (a) Stufe eins – Vorgesetzte Erster Ansprechpartner sollte immer der Vorgesetzte oder die unmittelbar sachlich zuständige Person sein. Dies ist in der Regel der einfachste Weg, um ein Problem, das sich auf das Arbeitsumfeld bezieht, anzusprechen, Missverständnisse aufzuklären und ein gutes und offenes Arbeitsklima sicherzustelBauer
|
543
Teil 4 IV
Rz. 6
Whistleblowing-Richtlinie
len. Ist die Angelegenheit begründet, so wird der Ansprechpartner die weiteren Schritte einleiten. (b) Stufe zwei – Abteilung Interne Revision Erscheint es aus sachlichen oder persönlichen Gründen unzumutbar oder nicht zweckmäßig, dass der Hinweis gegenüber dem Vorgesetzten/sachlich Zuständigen erfolgt, kann sich der Hinweisgeber auch direkt an die Abteilung Interne Revision als seinen Ansprechpartner wenden. Gleiches gilt, wenn der Vorgesetzte/sachlich Zuständige den Hinweis nach Ansicht des Mitarbeiters nicht ordnungsgemäß verfolgt. Alternative: (b) Stufe zwei – Personalabteilung Erscheint es aus sachlichen oder persönlichen Gründen unzumutbar oder nicht zweckmäßig, dass der Hinweis gegenüber dem Vorgesetzten/sachlich Zuständigen erfolgt, kann sich der Hinweisgeber auch direkt an die lokale Personalabteilung als seinen Ansprechpartner wenden. Gleiches gilt, wenn der Vorgesetzte/sachlich Zuständige den Hinweis nach Ansicht des Mitarbeiters nicht ordnungsgemäß verfolgt. (c) Stufe drei – Geschäftsführung Erscheint es aus sachlichen oder persönlichen Gründen erforderlich, dass der Hinweis direkt gegenüber der Geschäftsführung erfolgt, kann sich der Hinweisgeber auch unmittelbar an diese als seinen Ansprechpartner wenden. Dies gilt insbesondere, wenn der Hinweis nach Ansicht des Mitarbeiters nicht sachgemäß durch den Vorgesetzten/sachlich Zuständigen oder die zuständige Abteilung verfolgt wird. Erforderlich ist eine direkte Kommunikation insbesondere dann, wenn zu befürchten ist, dass der Vorgesetzte/sachlich Zuständige oder der Ansprechpartner der zuständigen Abteilung an dem Sachverhalt beteiligt ist oder wenn der Hinweisgeber schwerwiegende persönliche Benachteiligungen zu befürchten hat. Alternative bzw. Zusatz: (c) Stufe drei – Ombudsmann Erscheint es aus sachlichen oder persönlichen Gründen erforderlich, dass der Hinweis nicht gegenüber den Vorgesetzten/ sachlich Zuständigen oder der zuständigen Abteilung erfolgt, kann sich der Hinweisgeber auch an den von unserer Unternehmensgruppe eingesetzten Ombudsmann als seinen Ansprechpartner wenden. Der Ombudsmann ist zur Vertraulichkeit verpflichtet und prüft als unabhängige Instanz die eingehenden Meldungen.
544
|
Bauer
Vertragstext
Rz. 6 Teil 4 IV
4.2.2 Meldung an das Hinweisgebersystem Hinweisgeber haben weiterhin die Möglichkeit, eine externe, unabhängige und vertrauliche Whistleblowing-Hotline bzw. eine vertrauliche Internetseite zu nutzen, um einen Missstand oder ein Problem zu melden. Eine Meldung an das Hinweisgebersystem sollte nur dann erfolgen, wenn eine interne Kommunikation unzumutbar erscheint oder der Hinweisgeber davon ausgeht, dass seine Meldung intern nicht ordnungsgemäß behandelt wird. (a) Whistleblowing Hotline Hinweisgeber haben die Möglichkeit, sich telefonisch an eine Whistleblowing-Hotline zu wenden und dort gegenüber dem jeweiligen Ansprechpartner ihre Meldung abzugeben. Die Hotline wird von … betrieben, einem externen und unabhängigen Unternehmen. Die Angestellten des Betreibers der Hotline sind zur Vertraulichkeit verpflichtet und nicht mit unserer Unternehmensgruppe verbunden. Sie sind speziell für den Umgang mit Hinweisgebern und deren Angelegenheiten ausgebildet und können auf entsprechende professionelle Erfahrung zurückgreifen. Die Hotline ist 24 Stunden erreichbar. Es stehen Ansprechpartner für jedes Land zur Verfügung, so dass Sie Meldungen in Ihrer Muttersprache abgeben können. Bitte nutzen Sie die folgenden gebührenfreien Telefonnummern: Deutschland: … Großbritannien: … … Weitere Informationen über die Hotline stehen Ihnen unter www… zur Verfügung. (b) Whistleblowing Webseite Hinweisgeber haben auch die Möglichkeit, Hinweise auf unserer Whistleblowing-Webseite zu hinterlassen. Die Webseite ist unter … in der jeweiligen Landessprache erreichbar und wird von … betrieben, einem externen und unabhängigen Unternehmen, das sich auf den Umgang mit Hinweisen spezialisiert hat. Die Hinweise werden vertraulich behandelt. Weitere Informationen über die Whistleblowing Webseite stehen unter www… zur Verfügung. 4.2.3 Hinweise an Dritte Sollte der Hinweisgeber nach sorgfältiger Abwägung aller Informationen der Auffassung sein, dass weder die ihm intern zur Verfügung stehenden Meldeverfahren noch eine Meldung über das externe Hinweisgebersystem zielführend sind, kann der Hinweisgeber erwägen, den Verstoß einem anderen Dritten, wie bspw. Bauer
|
545
Teil 4 IV
Rz. 6
Whistleblowing-Richtlinie
den Strafverfolgungs-, Ordnungs-, Finanz-, Gesundheits- oder Datenschutzaufsichtsbehörden, zu melden. Ein solcher Hinweis kann insbesondere dann erfolgen, wenn dies gesetzlich vorgeschrieben ist, ein gewichtiges öffentliches Interesse vorliegt oder Gefahr im Verzug besteht. Bei akuter Gefahr sollten vorrangig Behörden mit Eilbefugnis (Polizei, Feuerwehr etc.) informiert werden. Das Instrument einer externen Meldung muss nach Urteil des Hinweisgebers im Vergleich zu anderen Alternativen das mildeste Mittel sein. Der Hinweisgeber muss dafür Sorge tragen, die möglichen negativen Konsequenzen der externen Meldung für das Unternehmen sowie für die beteiligten Personen auf ein Minimum zu beschränken. Die Instanz außerhalb des Unternehmens, an die die Informationen weitergeleitet werden, muss in der Lage sein, auf effektive Weise Schritte gegen den vermuteten Verstoß zu unternehmen. Bevor der Hinweisgeber nach außen aktiv wird, sollten die internen Ansprechpartner, wie bspw. eine lokale Vertrauensperson, der Ombudsmann, die Geschäftsführung oder ein anderer im Rahmen des externen Hinweisgebersystems benannter Ansprechpartner über die beabsichtigte Meldung an eine Stelle außerhalb des Unternehmens informiert werden. Falsche Verdächtigungen können im Übrigen zu straf- oder zivilrechtlichen Folgen sowie Disziplinarmaßnahmen führen. 5. Verfahrensablauf nach Meldung Jede Meldung wird vertraulich und unter Berücksichtigung der geltenden Datenschutzgesetze behandelt. Nach dem Eingang einer Meldung erfolgt durch die Stelle, die die Meldung entgegennimmt, eine erste Überprüfung der Hinweise, insbesondere, ob Beweise vorliegen, die die übermittelten Informationen bekräftigen oder widerlegen. Ist die entgegennehmende Stelle der Auffassung, dass weitere Ermittlungen erfolgen sollten, dokumentiert sie dies und leitet die Informationen an die im Unternehmen zuständige Stelle weiter. Diese führt im Anschluss die internen Ermittlungen durch. Alternative 1: Hat der Ombudsmann die Meldung entgegengenommen und ist er der Auffassung, dass weitere Ermittlungen erfolgen sollten, wird er dies dokumentieren und dem Hinweisgeber mitteilen. Er wird die Informationen an die im Unternehmen zuständige Stelle weiterleiten, die im Anschluss die internen Ermittlungen durchführt. Den Namen des Hinweisgebers wird er nur dann dem Unternehmen mitteilen, wenn dieser seine vorherige Freigabe erteilt hat. Alternative 2: Hat der Ombudsmann die Meldung entgegengenommen und ist er der Auffassung, dass weitere Ermittlungen erfolgen sollten, wird er dies dokumentie546
|
Bauer
Vertragstext
Rz. 6 Teil 4 IV
ren und dem Hinweisgeber mitteilen. Er wird nach entsprechender vorheriger Freigabe durch den Hinweisgeber die Informationen an die im Unternehmen zuständige Stelle weiterleiten, die im Anschluss die internen Ermittlungen durchführt. Den Namen des Hinweisgebers wird er ebenfalls nur nach dessen entsprechender Freigabe gegenüber dem Unternehmen offenlegen. Mitarbeiter sind verpflichtet, die für die Untersuchung zuständige Stelle bei ihren Ermittlungen zu unterstützen und nach bestem Gewissen an der Aufklärung des Verdachts mitzuwirken. Sie sind zur Vertraulichkeit verpflichtet. Die ermittelten Informationen werden dokumentiert, wobei nur die erforderlichen Daten erhoben und verarbeitet werden. Soweit aufgrund der ermittelten Ergebnisse erforderlich, werden die weiteren zuständigen Stellen, die Entscheidungsberechtigten sowie im Anschluss ggf. die Behörden eingeschaltet und die entsprechenden Daten an diese übermittelt. Die Untersuchung wird zeitlich so schnell wie im angemessenen Rahmen möglich durchgeführt. Der Hinweisgeber wird von der für die Untersuchung zuständigen Stelle über den Fortlauf des Verfahrens informiert. Stellt sich eine Meldung als falsch heraus oder kann sie nicht ausreichend mit Fakten belegt werden, wird dies entsprechend dokumentiert und das Verfahren unverzüglich eingestellt. Für den betroffenen Mitarbeiter dürfen keine Konsequenzen entstehen, insbesondere wird der Vorgang nicht in der Personalakte dokumentiert. Das Unternehmen wird sich im Übrigen bemühen, die Ergebnisse und Vorschläge einer jeden Untersuchung so zu nutzen, dass ein Fehlverhalten, soweit dies nach den bestehenden Umständen möglich ist, korrigiert werden kann. 6. Schutz des Hinweisgebers und der bei der Aufklärung mitwirkenden Personen 6.1 Vertraulichkeit und Verschwiegenheit Der Schutz eines Hinweisgebers wird durch die vertrauliche Behandlung seiner Identität gewährleistet. Sofern er seine Kontaktdaten mitteilt, werden diese unter Berücksichtigung der datenschutzrechtlichen Vorgaben gespeichert und genutzt. Ihm werden bei einer Erhebung seiner Daten sowohl die Zwecke der Datenspeicherung als auch -nutzung mitgeteilt. Gleiches gilt, wenn seine Daten an andere Stellen übermittelt werden sollen. Grundsätzlich wird sein Name nicht bekannt gegeben; abweichendes kann gelten, wenn der Hinweisgeber die Offenlegung seiner Identität gestattet oder eine entsprechende Rechtspflicht besteht. Dies gilt insbesondere dann, wenn die Offenlegung unerlässlich ist, damit die von der Meldung betroffenen Personen ihr Recht auf Anhörung wahrnehmen können. Der Hinweisgeber wird in jedem Fall vorab von der Offenlegung seiner Identität unterrichtet. Gleiches gilt für Personen, die an der Aufklärung des Verdachts mitgewirkt haben.
Bauer
|
547
Teil 4 IV
Rz. 6
Whistleblowing-Richtlinie
6.2 Schutz vor Repressalien Jede Person, die eine Meldung in gutem Glauben abgibt oder an der Aufklärung eines entsprechenden Verdachts mitwirkt, muss nicht aufgrund der Meldung bzw. der Mitwirkung mit negativen Konsequenzen rechnen (z.B. Abstufung oder Entlassung). Abweichendes kann gelten, wenn die Person in den aufzuklärenden Vorfall verwickelt ist. Sollte ein Hinweisgeber oder eine Person, die an der Aufklärung eines Verdachts mitwirkt, der Auffassung sein, dass er deshalb benachteiligt, diskriminiert, belästigt oder ähnliches wurde, hat er dies seinem jeweiligen Vorgesetzten mitzuteilen. Alternativ kann ein solcher Vorfall entsprechend Ziffer 4.2 über die dort vorgesehenen Meldewege mitgeteilt werden. Jegliche Benachteiligung, Diskriminierung, Belästigung oder ähnliches des Hinweisgebers oder einer mitwirkenden Person wird seitens des Unternehmens nicht geduldet. Das Unternehmen prüft die Umstände des jeweiligen Falles und kann vorübergehende oder dauerhafte Maßnahmen ergreifen, um den Hinweisgeber bzw. die mitwirkende Person zu schützen und die Interessen des Unternehmens zu wahren. Das Unternehmen informiert die Betroffenen schriftlich über das Ergebnis der jeweiligen Untersuchung. Jeder Mitarbeiter oder Vorgesetzte, der einen Hinweisgeber oder eine Person, die an der Aufklärung eines entsprechenden Verdachts mitwirkt, aufgrund der Meldung oder der Mitwirkung entlässt, herabstuft, belästigt oder diskriminiert oder ähnliches, muss mit disziplinarischen Maßnahmen rechnen, die im äußersten Fall zu seiner Entlassung führen können. 7. Missbrauch des Hinweisgebersystems Jeder ist aufgefordert, Missstände, Fehlverhalten etc. zu melden. Der Hinweisgeber sollte dabei darauf achten, dass er die Fakten objektiv, akkurat und vollständig darstellt. Persönliche Erfahrungen, mögliche Vorurteile oder subjektive Auffassungen sollten als solche kenntlich gemacht werden. Eine Meldung sollte in gutem Glauben erfolgen. Ergibt die Überprüfung des Hinweises, dass bspw. kein begründeter Verdacht besteht oder die Fakten nicht ausreichen, um einen Verdacht zu erhärten, haben Hinweisgeber, die einen Hinweis gutgläubig melden, keine disziplinarischen Maßnahmen zu befürchten. Anderes gilt für Hinweisgeber, die das Hinweisgebersystem bewusst für falsche Meldungen missbrauchen; diese müssen mit disziplinarischen Maßnahmen rechnen. Auch eine Beeinträchtigung des Hinweisgebersystems durch bspw. Manipulation, Vertuschung oder der Bruch von Absprachen betreffend die Vertraulichkeit können disziplinarische Maßnahmen nach sich ziehen. Als Maßnahmen kommen bspw. Abmahnungen oder Kündigungen in Betracht. Daneben kann dies zivilrechtliche oder strafrechtliche Folgen nach sich ziehen.
548
|
Bauer
Vertragstext
Rz. 6 Teil 4 IV
8. Schutz der gemeldeten Person 8.1 Information der gemeldeten Person Jede von einem Hinweis betroffene Person wird zu gegebener Zeit und unter Berücksichtigung der datenschutzrechtlichen Vorgaben über die gegen sie gerichteten Verdachtsäußerungen benachrichtigt, sofern diese Benachrichtigung nicht den Fortgang des Verfahrens zur Feststellung des Sachverhalts erheblich erschweren würde. Die Benachrichtigung erfolgt spätestens nach Abschluss der Ermittlungen. Alternative: Die Benachrichtigung enthält in der Regel Informationen über – die Einzelheiten der eingereichten Meldung, – die Abteilungen, die über die Meldung informiert sind sowie die zum Zugriff auf die Daten berechtigten Personen, – den Hinweisgeber, soweit dieser der Offenlegung seiner Daten zugestimmt hat oder dies zur Wahrung der Interessen der betroffenen Person erforderlich ist. Die betroffene Person kann von dem Unternehmen Auskunft hinsichtlich der Daten, die über sie erhoben und gespeichert wurden, über die Empfänger der Daten und die Zwecke der Weitergabe der Daten verlangen. 8.2 Recht auf Stellungnahme Die betroffene Person ist von der zuständigen Stelle bzw. den Entscheidungsberechtigten anzuhören, bevor am Ende des oben erläuterten Verfahrens Schlussfolgerungen unter namentlicher Benennung der Person gezogen werden. Ist eine Anhörung aus objektiven Gründen nicht möglich, fordert die zuständige Stelle bzw. fordern die Entscheidungsberechtigten die betroffene Person auf, ihre Argumente schriftlich zu formulieren. Im Anschluss beschließen die Entscheidungsberechtigten die im Interesse des Unternehmens notwendigen Maßnahmen. 8.3 Recht auf Löschung der Daten Bestätigt sich der in der Meldung geltend gemachte Verdacht nicht, hat die betroffene Person ein Recht auf Löschung ihrer in diesem Zusammenhang von dem Unternehmen gespeicherten Daten. 9. Beschwerderechte 9.1 Verletzung dieser Richtlinie Sowohl der Hinweisgeber als auch die gemeldete Person können sich bei Hinweisen auf Verletzung dieser Richtlinie an ihren direkten Vorgesetzten wenden. Alternativ: Sowohl der Hinweisgeber als auch die gemeldete Person können sich bei Hinweisen auf Verletzung dieser Richtlinie an den Ombudsmann, die Geschäftsführung oder an den unter Ziffer 12.2 benannten Ansprechpartner wenden. Bauer
|
549
Teil 4 IV
Rz. 6
Whistleblowing-Richtlinie
Die Hinweise werden überprüft und an die zuständigen Stellen zur weiteren Aufklärung weitergeleitet. Ziffer 5 gilt entsprechend. 9.2 Rechte zur Überprüfung des Ermittlungsergebnisses Sowohl der Hinweisgeber als auch die gemeldete Person können sich an die Geschäftsführung oder den unter Ziffer 12.2 benannten Ansprechpartner wenden, wenn sie die durchgeführten Ermittlungen für fehlerhaft bzw. unzureichend halten oder sie nach ihrer Auffassung im Rahmen der Ermittlungen ungerechtfertigt benachteiligt werden. Die erforderlichen Maßnahmen zur Überprüfung der Angelegenheit werden in diesem Fall eingeleitet und der Beschwerdeführer entsprechend informiert. 9.3 Einbindung des Betriebsrats Die gemeldete Person kann von ihrem Beschwerderecht nach §§ 84, 85 BetrVG Gebrauch machen und den Betriebsrat hinzuziehen. 10. Datenschutz Im Rahmen des Verfahrens werden personenbezogene Daten erhoben und gespeichert. Der Umgang mit diesen Daten erfolgt unter Einhaltung der geltenden Datenschutzgesetze. Es werden nur die Daten erhoben, verarbeitet und genutzt, deren Erhebung und Verwendung für die Zwecke dieser Richtlinie objektiv erforderlich ist. Die infolge einer Meldung erhobenen Daten der gemeldeten Person werden getrennt von ihren übrigen im Unternehmen gespeicherten Daten aufbewahrt. Durch entsprechende Berechtigungssysteme und angemessene technisch-organisatorische Maßnahmen ist sichergestellt, dass nur die jeweils zuständigen Personen Zugriff auf diese Daten erlangen. Dies gilt auch für die Daten des Hinweisgebers. Die erhobenen Daten werden ausschließlich für die in dieser Richtlinie beschriebenen Zwecke genutzt. Sie werden lediglich an berechtigte Personen übermittelt und nur soweit dies für die in dieser Richtlinie beschriebenen Zwecke erforderlich ist. Daten, die im Zusammenhang mit einer Meldung erhoben wurden und die nicht für das Verfahren von Relevanz sind, werden unverzüglich gelöscht. Im Übrigen erfolgt die Löschung der erhobenen Daten grundsätzlich innerhalb von zwei Monaten nach Abschluss der unternehmensinternen Ermittlungen. Kommt es infolge eines Fehlverhaltens im Sinne dieser Richtlinie oder eines Missbrauchs des Hinweisgebersystems gem. Ziffer 8 zu einem Straf-, Disziplinar- oder Zivilgerichtsverfahren, kann sich die Speicherdauer bis zum rechtskräftigen Abschluss des jeweiligen Verfahrens verlängern. Personen, die an dem Verfahren beteiligt sind, darunter auch der Hinweisgeber selbst, können sich jederzeit an den Datenschutzbeauftragten des Unternehmens wenden, um kontrollieren zu lassen, ob die aufgrund der einschlägigen anwendbaren Bestimmungen bestehenden Rechte beachtet wurden. 550
|
Bauer
Vertragstext
Rz. 6 Teil 4 IV
11. Umsetzung/Verantwortlichkeit 11.1 Umsetzung und Bekanntmachung der Richtlinie in der Unternehmensgruppe Die Abteilung Compliance ist verantwortlich für die Bekanntmachung dieser Richtlinie und deren Umsetzung. Dazu zählt auch, in allen Unternehmen Bedingungen zu schaffen, die es den Hinweisgebern ermöglichen, vertrauensvoll Meldungen zu machen. Insbesondere sind die folgenden Maßnahmen umzusetzen: – Information aller Mitarbeiter über das Hinweisgebersystem in der betreffenden Landessprache (einschließlich Inhalt des Verfahrens, wichtiger Namen und Adressen, Telefonnummern und E-Mail-Adressen). Dazu zählt die Zurverfügungstellung von Informationen über das Hinweisgebersystem im Intranet, in Personalinformationsblättern oder entsprechenden Einführungsprogrammen; – Benennung eines oder mehrerer lokaler Ansprechpartner innerhalb des Unternehmens; – Information und Schulung der Ansprechpartner und der lokalen Geschäftsführung über die korrekte Durchführung des Verfahrens und die Umsetzung der Anforderungen der Richtlinie. 11.2 Kontrolle der Umsetzung der Richtlinie Die jeweilige Geschäftsführung kontrolliert die Umsetzung der Richtlinie. Sie überprüft u.a. die Effektivität von Maßnahmen, die als Reaktion auf einen gemäß dieser Richtlinie geäußerten Verdacht durchgeführt wurden. Die Geschäftsführung kann im Unternehmen Stellen benennen, die sie bei der Kontrolle unterstützt. Die Rechtsabteilung und die Interne Revision überprüfen diese Richtlinien mindestens einmal jährlich aus rechtlicher und operativer Perspektive. 12. Informationen, Schulungen, Ansprechpartner 12.1 Abrufbare Informationen/Hinweise zur Richtlinie Diese Richtlinie steht allen Mitarbeitern im Intranet unter … zum Abruf zur Verfügung. Mitarbeiter, die keinen Zugriff auf das Intranet haben, wird diese schriftlich zur Verfügung gestellt. Alternativ kann diese jederzeit bei der Personalabteilung angefordert werden. 12.2 Schulungen der Mitarbeiter Alle Beschäftigten sind verpflichtet, die seitens des Unternehmens angebotenen Schulungen zum Thema Hinweisgebersystem zu absolvieren. Die Schulungen werden nach Abstimmung mit der Geschäftsführung von der Compliance-Abteilung organisiert. 12.2 Ansprechpartner Bei Fragen, Anmerkungen etc. zu den Regelungen dieser Richtlinie wenden Sie sich bitte an folgenden Ansprechpartner: … Bauer
|
551
Teil 4 IV
Rz. 7
Whistleblowing-Richtlinie
Bestätigung der Kenntnisnahme: Hiermit bestätige ich, …, dass ich die Richtlinie zur Kenntnis genommen und verstanden habe. … Ort, Datum
… Unterschrift
C. Erläuterungen I. Vorbemerkung 7
Die Einführung von Whistleblowing-Hotlines oder auch Hinweisgebersystemen stößt in Europa häufig auf Unverständnis, da damit der Gedanke des Denunziantentums verbunden wird. Um den damit einhergehenden Bedenken zu begegnen und die Mitarbeiter zu motivieren, Verdachtsmomente zu melden, ist daher im Rahmen der Richtlinie besonders hervorzuheben, dass das Unternehmen nur die tatsächlich erforderlichen Daten erhebt, sowohl den Hinweisgeber als auch den Verdächtigen schützt und die Daten ausschließlich zweckgebunden nutzt.
8
Besteht in dem Unternehmen ein Betriebsrat, so sind die umfassenden Mitbestimmungsrechte des Betriebsrats bei der Einführung von Compliance-Programmen zu beachten, vgl. §§ 87 Abs. 1 Nr. 1 bzw. 87 Abs. 1 Nr. 6 BetrVG. Eine Betriebsvereinbarung – die als andere Rechtsvorschrift i.S.d. § 4 BDSG gilt – kann die Implementierung von entsprechenden Compliance-Programmen legitimieren. Daneben erfährt eine Betriebsvereinbarung regelmäßig eine hohe Akzeptanz bei den Arbeitnehmern und signalisiert, dass der Betriebsrat mit den entsprechenden Compliance-Maßnahmen einverstanden ist. Es versteht sich von selbst, dass auch in einer Betriebsvereinbarung die bspw. durch das BDSG oder das Grundgesetz geschützten Persönlichkeitsrechte der Arbeitnehmer angemessen zu berücksichtigen sind (§ 75 BetrVG) und das Schutzniveau des BDSG nicht unterschritten werden sollte1. In der Praxis wird die Betriebsvereinbarung regelmäßig neben der Whistleblowing-Richtlinie implementiert. Inhaltlich enthält die Betriebsvereinbarung üblicherweise ähnliche Regelungen wie die Whistleblowing-Richtlinie, ergänzt um die Rechte des Betriebsrats.
II. Erläuterung der einzelnen Klauseln 1. Erläuterungen zu Ziffer 1 9
E 1. Einleitung In unserem Verhaltenskodex haben wir unsere Werte, Grundsätze und Richtlinien für die gesamte Konzerngruppe in Bezug auf den Umgang mit Kunden, Geschäftspartnern, Lieferanten, Mitarbeitern, etc. definiert und festgelegt. 1 Vgl. ausführlich zu den Rechten des Betriebsrats Mengel, CCZ 2008, 85 ff.; Lassmann, AiB 2010, 447 ff.; Fahrig, NJOZ 2010, 975 ff.
552
|
Bauer
Erläuterungen
Rz. 12 Teil 4 IV
Im Umgang miteinander ist uns Offenheit und Integrität sehr wichtig. Wir sehen uns der Einhaltung hoher ethischer Standards verpflichtet. Die Begehung von Straftaten etc. in unserer Unternehmensgruppe oder aus unserer Unternehmensgruppe heraus wird unter keinen Umständen geduldet. Die nachfolgenden Regeln sollen unsere Mitarbeiter und auch die Unternehmensleitung darin unterstützen, eventuelle Missstände zu erkennen, zu melden und zu beseitigen. Alternative: Die nachfolgenden Regeln sollen sowohl unsere Mitarbeiter, die Unternehmensleitung als auch unsere Geschäftspartner, Kunden, Lieferanten etc. unterstützen, eventuelle Missstände zu erkennen, zu melden und zu beseitigen. Daneben werden Verbesserungsvorschläge gefördert, die dazu beitragen, unsere Werte noch besser umzusetzen. Diese Richtlinie zeigt Ihnen auf, in welchen Fällen und auf welche Weise Sie mögliche Missstände melden können. Daneben stellt diese Richtlinie klar, wie wir mit entsprechenden Hinweisen umgehen. Hinweisgeber müssen keinesfalls befürchten, wegen eines gutgläubigen Hinweises sanktioniert zu werden. Daneben sichern wir Hinweisgebern maximale Vertraulichkeit zu. Mit der Richtlinie möchten wir Vertrauen schaffen und Sie zur Mitwirkung ermutigen. Damit leisten Sie einen wertvollen Beitrag dazu, dass wir gemeinsam unsere hohen Anforderungen an uns selbst erfüllen können.
a) Ratio Die Einleitung soll einen kurzen Überblick über die Ziele der Richtlinie geben sowie Vertrauen und Akzeptanz der Compliance-Maßnahme schaffen.
10
b) Erläuterungen Das Unternehmen sollte im Vorfeld festlegen, ob das Hinweisgebersystem nur solchen Personen zugänglich sein soll, die dem Unternehmen angehören (wie bspw. Beschäftigten oder der Geschäftsführung) oder auch Personen, die das Unternehmen bereits verlassen haben bzw. diesem gar nicht angehören (wie bspw. ehemalige Mitarbeiter, Kunden, Lieferanten).
11
Die Öffnung für Dritte hat in der Regel den Vorteil, dass die Anzahl der Hinweise steigt. Nachteilig ist, dass das Missbrauchsrisiko ebenfalls ansteigt, da ein externer Hinweisgeber keine arbeitsrechtlichen Sanktionen befürchten muss. Gleiches gilt für ausgeschiedene Mitarbeiter. Entscheidet sich ein Unternehmen für die Öffnung, sollte jedenfalls eine umfassende Information der möglichen Hinweisgeber erfolgen, damit diese gezielte und für das Unternehmen wertvolle Hinweise erteilen.
12
Bauer
|
553
Teil 4 IV
Rz. 13
Whistleblowing-Richtlinie
2. Erläuterungen zu Ziffer 2 13
E 2. Begriffsbestimmungen 2.1 Whistleblowing Whistleblowing ist die Weitergabe von Informationen über illegale, unmoralische oder illegitime Verhaltensweisen am Arbeitsplatz an vom Unternehmen benannte Ansprechpartner durch einen Hinweisgeber (Whistleblower). Whistleblowing ist unabhängig von Beschwerdeverfahren im üblichen Sinne. 2.2 Whistleblower/Hinweisgeber Whistleblower sind Hinweisgeber, die unserem Unternehmen angehören oder angehörten und die Kenntnis von einem Fehlverhalten innerhalb unserer Unternehmensgruppe erlangt haben. Mangels Möglichkeiten, das Fehlverhalten selbst zu beheben, melden sie dies an vom Unternehmen benannte Ansprechpartner, die entsprechende Handlungsmöglichkeiten besitzen. Alternative: Whistleblower sind Hinweisgeber, die Kenntnis von einem Fehlverhalten innerhalb unserer Unternehmensgruppe erlangt haben. Mangels Möglichkeiten, das Fehlverhalten selbst zu beheben, melden sie dies an vom Unternehmen benannte Ansprechpartner, die entsprechende Handlungsmöglichkeiten besitzen. 2.3 Ansprechpartner/Entscheidungsberechtigte Ansprechpartner sind die vom Unternehmen benannten Personen, die Hinweise entgegen nehmen. Dabei kann es sich um interne Mitarbeiter handeln oder auch vom Unternehmen eingesetzte externe Dienstleister. Entscheidungsberechtigte sind Personen, die im Unternehmen Handlungsmöglichkeiten zur Verfolgung, Ahndung etc. von Missständen haben. 2.4 Gutgläubigkeit Gutgläubig sind Hinweise, wenn der Hinweisgeber einen vernünftigen Grund zur Annahme hat, dass die von ihm zu meldenden Tatsachen korrekt sind, seinem eigenen Kenntnisstand nicht widersprechen und nach seiner auf dieser Grundlage gebildeten Überzeugung einen Umstand darstellen, der unmittelbar oder mittelbar zu einem Schaden oder anderweitigen Nachteil für das Unternehmen, die Konzerngruppe, die Mitarbeiter, Geschäftspartner, Kunden etc. führen kann. Sofern den Hinweisgeber selbst eine Pflicht trifft, vorab Tatsachenaufklärung zu betreiben, muss er dies mit seiner Mitteilung offenlegen. 2.5 Benachteiligung Benachteiligung des Hinweisgebers ist jedes Verhalten, das dazu geeignet ist, den Hinweisgeber schlechter zu stellen oder herabzuwürdigen. Dazu zählt auch Verhalten, das den Hinweisgeber von einer Meldung abhalten soll. 554
|
Bauer
Erläuterungen
Rz. 16 Teil 4 IV
a) Ratio Die Begriffsbestimmungen stellen klar, welche Bedeutung das Unternehmen dem jeweiligen Begriff zukommen lassen möchte und schaffen Transparenz bzw. Rechtssicherheit durch eindeutige Definitionen.
14
b) Erläuterungen Das Unternehmen sollte bereits im Vorfeld beschließen, wer als Hinweisgeber in Betracht kommt und diese Gruppe unter Ziffer 2.2 exakt definieren (siehe dazu bereits oben Rz. 11, 12). Daneben empfiehlt es sich, hier alle Begriffe, die nach Ansicht des Unternehmens auslegungsbedürftig sein könnten, klarzustellen.
15
3. Erläuterungen zu Ziffer 3 16
E 3. Grundsätze 3.1 Zweck der Richtlinie Ziel dieser Richtlinie ist die Einrichtung eines Hinweisgebersystems, das der Aufdeckung und Aufklärung von betrieblichen Missständen, unternehmensschädigendem Verhalten, Wirtschaftskriminalität u.ä. sowie dem Schutz unserer Mitarbeiter, Geschäftspartner, Kunden etc. dient. 3.2 Meldeberechtigte Personen Meldeberechtigt sind sämtliche aktuellen Mitarbeiter bzw. Führungskräfte unserer Unternehmensgruppe. Alternative 1: Meldeberechtigt sind sämtliche Mitarbeiter der Fachbereiche Einkauf, Buchhaltung, (…). Alternative 2: Meldeberechtigt sind sämtliche Mitarbeiter der mittleren und oberen Führungsebene. Alternative 3: Meldeberechtigt sind sämtliche aktuellen oder ehemaligen Mitarbeiter bzw. Führungskräfte unserer Unternehmensgruppe, unsere Geschäftspartner, Kunden, Lieferanten etc. oder auch die interessierte Öffentlichkeit. 3.3 Potentiell betroffene Personen Es können alle Mitarbeiter, Führungskräfte etc. gemeldet werden, die im Verdacht stehen, einen meldepflichtigen Vorfall verschuldet zu haben. Gleiches gilt auch, wenn ein Dritter eine Handlung vornimmt, die sich gegen unser Unternehmen richtet. Alternative 1: Die Meldungen sind auf solche Mitarbeiter etc. zu beschränken, die in einer verantwortlichen Position beschäftigt sind, insbesondere der mittleren und oberen Führungsebene angehören. Damit wird sichergestellt, dass nur Verstöße der jeweils verantwortlich Handelnden gemeldet werden. Bauer
|
555
Teil 4 IV
Rz. 16
Whistleblowing-Richtlinie
Alternative 2: Die Meldungen sind auf solche Mitarbeiter etc. zu beschränken, die in den Fachbereichen Einkauf, Finanzwesen, Recht, Unternehmensführung (…) beschäftigt sind. Damit wird sichergestellt, dass nur Verstöße gemeldet werden, die geeignet sind, das Unternehmen nachhaltig wirtschaftlich zu schädigen. 3.4 Gegenstand der Meldung Die Meldung von Fehlverhalten etc. hat sich grundsätzlich auf Verhaltensweisen zu beschränken, die einen sich gegen das Unternehmensinteresse richtenden Straftatbestand erfüllen bzw. ein schweres Vergehen darstellen. Dies gilt insbesondere für folgende Delikte: – Betrug und Fehlverhalten in Bezug auf die Rechnungslegung bzw. interne Rechnungslegungskontrollen, – Wirtschaftsprüfungsdelikte, – Korruption, – Banken- und Finanzkriminalität, – Geldwäsche, Finanzierung terroristischer Aktivitäten, – Verbotene Insidergeschäfte, – Verstöße gegen das Kartellrecht, – Verstöße gegen das Wettbewerbsrecht, – Bestechung, Amtsmissbrauch, – Geheimnisverrat, – Fälschung von Verträgen, Berichten oder Aufzeichnungen, – Missbrauch von Unternehmensgütern, Diebstahl oder Veruntreuung, – Umweltgefährdungen, Gemeingefahren, Gefahren für die Gesundheit bzw. Sicherheit unserer Mitarbeiter und ähnliche Fälle. Weitere Informationen zu diesen Kategorien entnehmen Sie bitte dem Anhang. 3.5 Pflicht zur Meldung Soweit meldeberechtigte Mitarbeiter Anlass zu der Annahme haben, dass der ggf. zu meldende Sachverhalt im sachlichen, räumlichen oder personalbezogenen Zurechnungszusammenhang mit dem Unternehmen steht, eine Straftat darstellt oder geeignet ist, zu schweren Schäden für das Unternehmen oder für Dritte zu führen, besteht eine Hinweispflicht. Diese Hinweispflicht entfällt, sofern der Sachverhalt den Entscheidungsberechtigten im Unternehmen bereits für den meldenden Mitarbeiter erkennbar bekannt ist oder sofern nach der Strafprozessordnung keine Zeugnispflicht bestünde. Im Übrigen werden Meldeberechtigte ermutigt, Beobachtungen grober Missstände, Sicherheitsmängel, ernsthafter Gefahren und Risiken zu mel556
|
Bauer
Erläuterungen
Rz. 20 Teil 4 IV
den, soweit die zu meldenden Umstände im Zusammenhang mit dem Betrieb des Unternehmens stehen. Das Hinweissystem ist im Übrigen nicht als ein System zur Einreichung von Beschwerden über andere Mitarbeiter anzusehen. Dazu sind die ortsüblichen Berichtslinien einzuhalten.
a) Ratio Die Klausel erläutert, wer wann welche Verstöße melden darf bzw. muss. Insbesondere soll sie dem Grundsatz der Datenvermeidung und -sparsamkeit Rechnung tragen und durch eine Reduzierung der jeweils Beteiligten und Vorfälle Vertrauen schaffen und das Risiko von Falschmeldungen minimieren.
17
b) Erläuterungen aa) Zu Ziffer 3.1 Mittels des Hinweisgebersystems sollen unternehmensbezogene Vorgänge und Verhaltensweisen verfolgt werden, die das Unternehmen schädigen können. Insbesondere sollen solche Vorgänge aufgedeckt werden, für die Insiderwissen erforderlich ist.
18
bb) Zu Ziffer 3.2 und 3.3 Aus Gründen der Datensparsamkeit kann es sich empfehlen, nur bestimmten Personenkreisen das Recht einzuräumen, Hinweise einzumelden1. Daneben wird damit naturgemäß das Risiko des Missbrauchs reduziert. Ist bspw. bekannt, dass regelmäßig Verstöße nur in einzelnen Abteilungen erfolgen oder es ist davon auszugehen, dass lediglich in der Führungsebene der Verdacht auf Begehung einer relevanten Tat entstehen kann, empfiehlt sich eine entsprechende Reduzierung des Kreises der Meldeberechtigten2.
19
Dies gilt auch für den Fall der potentiell betroffenen Personen: Kommt lediglich ein Teil der Mitarbeiter als vermeintliche Täter in Betracht, da nur diese in gefährdeten Bereichen tätig sind, kann auch hier darauf verzichtet werden, den Kreis der potentiellen Verdächtigen auf alle Mitarbeiter auszuweiten. Damit werden die Risiken des Missbrauchs des Hinweisgebersystems reduziert3.
20
Gleichwohl ist eine Abwägung im Einzelfall erforderlich, ob und welche Einschränkungen jeweils für das Unternehmen sinnvoll sind.
1 Vgl. die Stellungnahme des Düsseldorfer Kreises zu Whistleblowing-Hotlines, S. 4, abrufbar unter http://www.datenschutz-hamburg.de/uploads/media/Handreichung_Whistle blowing-Hotlines.pdf. 2 Vgl. zu Hinweisgeberstellung von u.a. Vorstandsmitgliedern Fleischer/Schmolke, WM 2012, 1013 ff. 3 Vgl. die Stellungnahme 1/2006 der Art. 29 Data Protection Working Party, WP 117, IV. Nr. 2 i), S. 11, abrufbar unter www.ec.europa.eu/justice/policies/privacy/docs/wpdocs/ 2006/wp117_en.pdf.
Bauer
|
557
Teil 4 IV
Rz. 21
Whistleblowing-Richtlinie
cc) Zu Ziffer 3.4 21
Unternehmen sind aus Compliance-Gründen verpflichtet, bestimmte Missstände, die den Bestand des Unternehmens in wirtschaftlicher Hinsicht oder auch die Allgemeinheit gefährden könnten, aufzudecken und zu verfolgen1. Daraus leitet sich die Notwendigkeit ab, die erforderlichen personenbezogenen Daten des Hinweisgebers und des potentiell Verdächtigen zu erheben etc.
22
Die Erhebung und Verwendung der in diesem Zusammenhang anfallenden personenbezogenen Daten bedarf einer rechtlichen Legitimation. Soweit es sich bei den Betroffenen um Beschäftigte i.S.d. § 3 Abs. 11 BDSG handelt, kommt als Rechtsgrundlage § 32 BDSG, der die Erhebung und Verwendung von Daten im Beschäftigungsverhältnis regelt, in Betracht. Dies gilt insbesondere, wenn die Hinweisgeber seitens des Arbeitgebers verpflichtet werden, bestimmte Vorfälle zu melden. In diesem Fall wird eine entsprechende arbeitsvertragliche Pflicht begründet (siehe dazu Rz. 26)2. Alternativ kann sich die Erlaubnis zur Erhebung und Verwendung der Daten aus § 28 BDSG ableiten. Dieser erlaubt u.a. die Erhebung und Verwendung von Daten für eigene Zwecke des Unternehmens, die außerhalb des Beschäftigungsverhältnisses liegen (siehe dazu auch Rz. 46). Ob und inwieweit § 28 BDSG auf Beschäftigtendaten Anwendung finden darf, ist strittig und wird hier dahingestellt, da diese Diskussion keine Auswirkung auf die Notwendigkeit der Einschränkung des Gegenstands der Meldung aus datenschutzrechtlicher Sicht hat. Überwiegend wird davon ausgegangen, dass in Einzelfällen (bspw. aus Compliance-Gründen) § 28 BDSG nicht durch § 32 BDSG verdrängt wird und daher sein Anwendungsbereich eröffnet ist3.
23
Maßgeblich ist im Zusammenhang mit dem Gegenstand der Meldung, dass im Ergebnis – unabhängig von dem zugrunde liegenden Erlaubnistatbestand – im Rahmen einer Verhältnismäßigkeitsprüfung zu prüfen ist, ob lediglich die Daten erhoben werden, die für den verfolgten Zweck erforderlich sind und deren Erhebung angemessen ist. Kritisch zu würdigen ist damit die Meldung von Verhaltensweisen, die sich lediglich auf eher weiche Faktoren beziehen, wie bspw. Verstöße gegen interne Ethik-Richtlinien und Verfahrensweisen, Verhalten, das sich voraussichtlich rufschädigend auswirken könnte oder auch arbeitsplatzbezogene Missstände. Unabhängig davon, dass ein Arbeitgeber bestimmte Verhaltensweisen, wie bspw. private Beziehungen, per se nicht reglementieren darf4, überwiegen in der Regel die Interessen der vermeintlich Verdächtigen am Unterlassen einer entsprechenden Meldung. Daher ist nicht zu empfehlen, diese zum Gegen-
1 Vgl. Wybitul, ZD 2011, 118 ff. 2 Vgl. Gola/Schomerus, § 32 BDSG Rz. 16. 3 Vgl. dazu ausführlich Gola/Wronka, Handbuch des Arbeitnehmerdatenschutzrechts, S. 133 ff.; Schemmel/Ruhmannseder/Witzigmann, Kap. 6, Rz. 47 ff.; Thüsing, Arbeitnehmerdatenschutz und Compliance, S. 31 ff. 4 Vgl. bspw. den Fall Wal-Mart LAG Düsseldorf v. 14.11.2005 – 10 TaBV 46/05, NZA 2006, 63.
558
|
Bauer
Erläuterungen
Rz. 26 Teil 4 IV
stand einer Whistleblowing-Richtlinie zu machen1. Verstöße der oben benannten Art sind über Vorgesetzte zu eskalieren. Neben dem Risiko, dem Missbrauch des Hinweisgebersystems Vorschub zu leisten, sind dafür regelmäßig keine offiziellen Ermittlungen erforderlich und die vermeintlichen Täter werden unzumutbar belastet. Damit kommen als Gegenstand der Meldung nur solche Verhaltensweisen in Betracht, die einen gegen das Unternehmensinteresse gerichteten Straftatbestand erfüllen (wie bspw. Korruption, Betrug, Geldwäsche) oder die die Allgemeinheit gefährden (wie bspw. Gesundheits- oder Umweltgefährdung)2. Klarstellend und zur Vermeidung von Missverständnissen sollten die jeweiligen Delikte beispielhaft in einem Anhang erläutert werden, da einem Beschäftigten ohne juristische Ausbildung regelmäßig nicht ohne Weiteres bekannt sein wird, welches Verhalten von welchem Delikt umfasst ist.
24
dd) Zu Ziffer 3.5 Regelungen, die lediglich gegenüber dem Mitarbeiter die Erwartungshaltung des Arbeitgebers konstatieren, dass er bei Vorliegen eines Verdachts einmelden möchte, sind regelmäßig als unkritisch einzustufen3.
25
Etwas anderes gilt, wenn der Mitarbeiter in einer Richtlinie zu einer Meldung verpflichtet werden soll und nicht mehr frei entscheiden kann, ob er eine Anzeige tätigt oder nicht. Unabhängig von dem möglichen Klima des Misstrauens, das im Unternehmen geschürt wird, führt eine umfassende Meldepflicht zu einem Konflikt mit dem allgemeinen Persönlichkeitsrecht des Mitarbeiters in der Ausprägung des Rechts auf informationelle Selbstbestimmung4. Dazu kommt, dass er im äußersten Fall zu einer Selbstanzeige verpflichtet wäre5. Gleichwohl sind Arbeitnehmer verpflichtet, dem Arbeitgeber aufgrund gesetzlicher Nebenpflichten in der Ausprägung von Treue- und Loyalitätspflichten auch ohne weitere Regelungen bzw. Richtlinien Risiken oder drohende Schäden zu melden6. Eine Pflicht zur Meldung kann daher jedenfalls dann in einer Richtlinie festgelegt werden, wenn eine gewisse Erheblichkeit der möglichen Missstände oder Pflichtverletzungen vorliegt, Reputationsschäden oder ähnliches zu befürchten sind etc7. Im Ergebnis hängt die Pflicht zur Meldung vom Gegenstand der Meldung ab.
26
1 Vgl. auch Lassmann, AiB 2010, 447 (448); Stellungnahme des Düsseldorfer Kreises zu Whistleblowing-Hotlines, S. 3, abrufbar unter http://www.datenschutz-hamburg.de/ uploads/media/Handreichung_Whistleblowing-Hotlines.pdf. 2 Vgl. die Stellungnahme 1/2006 der Art. 29 Data Protection Working Party, WP 117, IV. Nr. 1 ii), S. 9, abrufbar unter www.ec.europa.eu/justice/policies/privacy/docs/wpdocs/ 2006/wp117_en.pdf. 3 Vgl. Schuster/Darsow, NZA 2005, 273 (275). 4 Vgl. Schemmel/Ruhmanseder/Witzigmann, Kap. 4, Rz. 136. 5 Mengel/Hagemeister, BB 2007, 1386 (1389). 6 Vgl. BAG v. 3.7.2003 – 2 AZR 235/02, NZA 2004, 427 (429). 7 S. dazu die Stellungnahme 1/2006 der Art. 29 Data Protection Working Party, WP 117, abrufbar unter www.ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp117_ en.pdf; vgl. auch Klasen/Schaefer, BB 2012, 641 (642); Wisskirchen/Glaser, DB 2011, 1392; Fahrig, NZA 2010, 1223; Schulz, BB 2011, 629 (630 ff.).
Bauer
|
559
Teil 4 IV
Rz. 27
Whistleblowing-Richtlinie
4. Erläuterungen zu Ziffer 4 27
E 4. Meldeverfahren 4.1 Voraussetzungen der Meldung 4.1.1 Offene und direkte Meldung Alle Meldeberechtigten werden ermutigt, ihnen bekannte Missstände, Fehlverhalten, Gefährdungen etc. im Sinne dieser Richtlinie offen und direkt unter Angabe ihrer Kontaktdaten zu melden. Interne Risikokommunikation sollte nicht anonym erfolgen, da dann keine Rückfragen möglich sind und das Vertrauen beeinträchtigt werden kann. Nur in den Fällen, in denen dem Hinweisgeber eine ihm zurechenbare Meldung unzumutbar erscheint, darf er auch anonyme Hinweise geben. 4.1.2 Externe Meldungen Sofern externe Meldungen bei dem Unternehmen eingehen, kann dies erhebliche Auswirkungen auf den betrieblichen Ablauf haben. Sie sind daher sorgfältig zu prüfen. 4.1.3 Begründeter Verdacht Der Hinweisgeber sollte nur solche Fälle melden, bei denen er einen begründeten Verdacht hat, dass ein nach dieser Richtlinie relevanter Vorfall vorliegt. Er sollte sich bei seinen Meldungen immer auf die Richtlinie beziehen. Nicht in allen Fällen wird für den Hinweisgeber klar erkennbar sein, ob eine bestimmte Handlung oder ein bestimmtes Verhalten entsprechend den Grundsätzen dieser Richtlinie gemeldet werden muss bzw. sollte. Der Hinweisgeber sollte dies vor seiner Meldung sorgfältig prüfen. Gleichwohl ist es vorzugswürdig, Verdachtsfälle gutgläubig zu melden, anstatt sie zu verschweigen. Im Zweifelsfall empfehlen wir, zunächst mit Ihrem lokalen Ansprechpartner oder dem für die Richtlinie zuständigen Ansprechpartner gem. Ziffer 12.2 den Fall abzustimmen, ohne dass der Name des Verdächtigen benannt wird. 4.1.4 Konkret und schlüssig Jeder Hinweis sollte so konkret wie möglich erfolgen. Der Hinweisgeber sollte dem Empfänger möglichst detaillierte Informationen über den zu meldenden Sachverhalt vorlegen, so dass dieser die Angelegenheit richtig einschätzen kann. In diesem Zusammenhang sollten die Hintergründe, der Tathergang und der Grund der Meldung sowie Namen, Daten, Orte und sonstige Informationen benannt werden. Sofern vorhanden, sollten Dokumente vorgelegt werden. Persönliche Erfahrungen, mögliche Vorurteile oder subjektive Auffassungen sollten als solche kenntlich gemacht werden. 560
|
Bauer
Erläuterungen
Rz. 27 Teil 4 IV
Der Hinweisgeber ist grundsätzlich nicht zu eigenen Ermittlungen verpflichtet; eine Ausnahme kann gelten, wenn er dazu arbeitsvertraglich verpflichtet ist. 4.2 Verfahrensregeln Den Hinweisgebern stehen verschiedene Möglichkeiten zur Verfügung, einen Hinweis effektiv und zuverlässig zu melden. Insbesondere kann die Meldung intern kommuniziert werden oder über das extern betriebene Hinweisgebersystem erfolgen. Eine Einschaltung anderer externer Dritter, wie bspw. der Polizei, sollte nur in Ausnahmefällen und nach Abstimmung mit dem zuständigen Ansprechpartner erfolgen. Es empfiehlt sich, unter Abwägung der eigenen und der betroffenen Interessen der beteiligten Personen und des Unternehmens das nachfolgend beschriebene Meldeverfahren gemäß seinen Abstufungen angemessen in Anspruch zu nehmen. 4.2.1 Interne Meldungen (a) Stufe eins – Vorgesetzte Erster Ansprechpartner sollte immer der Vorgesetzte oder die unmittelbar sachlich zuständige Person sein. Dies ist in der Regel der einfachste Weg, um ein Problem, das sich auf das Arbeitsumfeld bezieht, anzusprechen, Missverständnisse aufzuklären und ein gutes und offenes Arbeitsklima sicherzustellen. Ist die Angelegenheit begründet, so wird der Ansprechpartner die weiteren Schritte einleiten. (b) Stufe zwei – Abteilung Interne Revision Erscheint es aus sachlichen oder persönlichen Gründen unzumutbar oder nicht zweckmäßig, dass der Hinweis gegenüber dem Vorgesetzten/sachlich Zuständigen erfolgt, kann sich der Hinweisgeber auch direkt an die Abteilung Interne Revision als seinen Ansprechpartner wenden. Gleiches gilt, wenn der Vorgesetzte/sachlich Zuständige den Hinweis nach Ansicht des Mitarbeiters nicht ordnungsgemäß verfolgt. Alternative: (b) Stufe zwei – Personalabteilung Erscheint es aus sachlichen oder persönlichen Gründen unzumutbar oder nicht zweckmäßig, dass der Hinweis gegenüber dem Vorgesetzten/sachlich Zuständigen erfolgt, kann sich der Hinweisgeber auch direkt an die lokale Personalabteilung als seinen Ansprechpartner wenden. Gleiches gilt, wenn der Vorgesetzte/sachlich Zuständige den Hinweis nach Ansicht des Mitarbeiters nicht ordnungsgemäß verfolgt. (c) Stufe drei – Geschäftsführung Erscheint es aus sachlichen oder persönlichen Gründen erforderlich, dass der Hinweis direkt gegenüber der GeschäftsfühBauer
|
561
Teil 4 IV
Rz. 27
Whistleblowing-Richtlinie
rung erfolgt, kann sich der Hinweisgeber auch unmittelbar an diese als seinen Ansprechpartner wenden. Dies gilt insbesondere, wenn der Hinweis nach Ansicht des Mitarbeiters nicht sachgemäß durch den Vorgesetzten/sachlich Zuständigen oder die zuständige Abteilung verfolgt wird. Erforderlich ist eine direkte Kommunikation insbesondere dann, wenn zu befürchten ist, dass der Vorgesetzte/sachlich Zuständige oder der Ansprechpartner der zuständigen Abteilung an dem Sachverhalt beteiligt ist oder wenn der Hinweisgeber schwerwiegende persönliche Benachteiligungen zu befürchten hat. Alternative bzw. Zusatz: (c) Stufe drei – Ombudsmann Erscheint es aus sachlichen oder persönlichen Gründen erforderlich, dass der Hinweis nicht gegenüber den Vorgesetzten/ sachlich Zuständigen oder der zuständigen Abteilung erfolgt, kann sich der Hinweisgeber auch an den von unserer Unternehmensgruppe eingesetzten Ombudsmann als seinen Ansprechpartner wenden. Der Ombudsmann ist zur Vertraulichkeit verpflichtet und prüft als unabhängige Instanz die eingehenden Meldungen. 4.2.2 Meldung an das Hinweisgebersystem Hinweisgeber haben weiterhin die Möglichkeit, eine externe, unabhängige und vertrauliche Whistleblowing-Hotline bzw. eine vertrauliche Internetseite zu nutzen, um einen Missstand oder ein Problem zu melden. Eine Meldung an das Hinweisgebersystem sollte nur dann erfolgen, wenn eine interne Kommunikation unzumutbar erscheint oder der Hinweisgeber davon ausgeht, dass seine Meldung intern nicht ordnungsgemäß behandelt wird. (a) Whistleblowing Hotline Hinweisgeber haben die Möglichkeit, sich telefonisch an eine Whistleblowing-Hotline zu wenden und dort gegenüber dem jeweiligen Ansprechpartner ihre Meldung abzugeben. Die Hotline wird von … betrieben, einem externen und unabhängigen Unternehmen. Die Angestellten des Betreibers der Hotline sind zur Vertraulichkeit verpflichtet und nicht mit unserer Unternehmensgruppe verbunden. Sie sind speziell für den Umgang mit Hinweisgebern und deren Angelegenheiten ausgebildet und können auf entsprechende professionelle Erfahrung zurückgreifen. Die Hotline ist 24 Stunden erreichbar. Es stehen Ansprechpartner für jedes Land zur Verfügung, so dass Sie Meldungen in Ihrer Muttersprache abgeben können. Bitte nutzen Sie die folgenden gebührenfreien Telefonnummern: 562
|
Bauer
Rz. 27 Teil 4 IV
Erläuterungen
Deutschland: … Großbritannien: … … Weitere Informationen über die Hotline stehen Ihnen unter www… zur Verfügung. (b) Whistleblowing Webseite Hinweisgeber haben auch die Möglichkeit, Hinweise auf unserer Whistleblowing-Webseite zu hinterlassen. Die Webseite ist unter … in der jeweiligen Landessprache erreichbar und wird von … betrieben, einem externen und unabhängigen Unternehmen, das sich auf den Umgang mit Hinweisen spezialisiert hat. Die Hinweise werden vertraulich behandelt. Weitere Informationen über die Whistleblowing Webseite stehen unter www… zur Verfügung. 4.2.3 Hinweise an Dritte Sollte der Hinweisgeber nach sorgfältiger Abwägung aller Informationen der Auffassung sein, dass weder die ihm intern zur Verfügung stehenden Meldeverfahren noch eine Meldung über das externe Hinweisgebersystem zielführend sind, kann der Hinweisgeber erwägen, den Verstoß einem anderen Dritten, wie bspw. den Strafverfolgungs-, Ordnungs-, Finanz-, Gesundheits- oder Datenschutzaufsichtsbehörden, zu melden. Ein solcher Hinweis kann insbesondere dann erfolgen, wenn dies gesetzlich vorgeschrieben ist, ein gewichtiges öffentliches Interesse vorliegt oder Gefahr im Verzug besteht. Bei akuter Gefahr sollten vorrangig Behörden mit Eilbefugnis (Polizei, Feuerwehr etc.) informiert werden. Das Instrument einer externen Meldung muss nach Urteil des Hinweisgebers im Vergleich zu anderen Alternativen das mildeste Mittel sein. Der Hinweisgeber muss dafür Sorge tragen, die möglichen negativen Konsequenzen der externen Meldung für das Unternehmen sowie für die beteiligten Personen auf ein Minimum zu beschränken. Die Instanz außerhalb des Unternehmens, an die die Informationen weitergeleitet werden, muss in der Lage sein, auf effektive Weise Schritte gegen den vermuteten Verstoß zu unternehmen. Bevor der Hinweisgeber nach außen aktiv wird, sollten die internen Ansprechpartner, wie bspw. eine lokale Vertrauensperson, der Ombudsmann, die Geschäftsführung oder ein anderer im Rahmen des externen Hinweisgebersystems benannter Ansprechpartner über die beabsichtigte Meldung an eine Stelle außerhalb des Unternehmens informiert werden. Falsche Verdächtigungen können im Übrigen zu straf- oder zivilrechtlichen Folgen sowie Disziplinarmaßnahmen führen. Bauer
|
563
Teil 4 IV
Rz. 28
Whistleblowing-Richtlinie
a) Ratio 28
Die Nutzer des Hinweisgebersystems sollen ausführlich über das Verfahren der Meldung von Missständen etc. in Kenntnis gesetzt werden. Die Regelung soll den Hinweisgeber bestärken, Hinweise trotz eventueller Zweifel zu melden und dem Hinweisgeber aufzeigen, dass gutgläubige Hinweise nicht zu Sanktionen führen. Daneben wird durch die Hinweise zum Inhalt und der Form der Meldung dem Grundsatz der Datensparsamkeit und -vermeidung Rechnung getragen. Zusätzlich wird Vertraulichkeit hergestellt und die Interessen des Verdächtigen auf einen sorgsamen und angemessenen Umgang mit seinen Daten gewahrt, indem nur die jeweils berechtigten Ansprechpartner Kenntnis von der Meldung erlangen.
b) Erläuterungen aa) Zu Ziffer 4.1 (1) Zu Ziffer 4.1.1 29
Anonymes Whistleblowing birgt die grundsätzliche Gefahr eines Anstiegs denunzierender Hinweise. Daneben ist die Aufklärung des Sachverhalts erheblich schwieriger, wenn der Hinweisgeber nicht als Informant zur Verfügung steht. Gleiches gilt für die Strafverfolgung: Der Hinweisgeber steht in der Regel auch nicht als Zeuge im anschließenden Strafverfahren zur Verfügung. Die Datenschutzaufsichtsbehörden empfehlen anonyme Hinweise nur in Ausnahmefällen zuzulassen bzw. fordern sogar, dass Unternehmen erst gar nicht auf die Möglichkeit einer anonymen Nutzung hinweisen sollten1. Begründet wird dies damit, dass sich eine zu Unrecht gemeldete Person nicht in einem rechtsstaatlichen Verfahren gegen den Hinweisgeber zur Wehr setzen könne. Stattdessen solle Vertraulichkeit zugesichert und im Unternehmen ein entsprechendes Klima geschaffen werden2. Daneben sind offene Hinweise regelmäßig glaubwürdiger als anonyme. Andererseits ist ein System, das keine Anonymität zulässt, in der Praxis weniger effektiv, da sich Hinweisgeber vor den Konsequenzen ihrer Meldungen scheuen. Gerade wenn der Hinweisgeber einen Täter im Kollegenumfeld identifizieren soll, sind die Bedenken groß, sich öffentlich zu einer Meldung zu bekennen. Die Angst überwiegt in der Regel gegenüber dem Vertrauen des Hinweisgebers in die Wahrung der Vertraulichkeit durch das Unternehmen3. 1 Vgl. Stellungnahme 1/2006 der Art. 29 Data Protection Working Party, WP 117, IV. Nr. 2 iii), S. 11, abrufbar unter www.ec.europa.eu/justice/policies/privacy/docs/wpdocs/ 2006/wp117_en.pdf. 2 Vgl. Stellungnahme 1/2006 der Art. 29 Data Protection Working Party, WP 117, IV. Nr. 2 iii), S. 11, abrufbar unter www.ec.europa.eu/justice/policies/privacy/docs/wpdocs/ 2006/wp117_en.pdf; Stellungnahme des Düsseldorfer Kreises zu Whistleblowing-Hot lines, S. 4, 5, abrufbar unter http://www.datenschutz-hamburg.de/uploads/media/Hand reichung_Whistleblowing-Hotlines.pdf; vgl. auch von Zimmermann, WM 2007, 1060 (1063). 3 Vgl. dazu Mengel, CCZ 2008, 85 (89); Bürkle, DB 2004, 2158 (2160).
564
|
Bauer
Erläuterungen
Rz. 33 Teil 4 IV
Eine Alternative kann sein, anonymes Whistleblowing zwar grundsätzlich zuzulassen, aber eine neutrale Stelle zu installieren, die für eine vertrauliche Entgegennahme von Hinweisen unter Angabe von Kontaktdaten zur Verfügung steht (bspw. einen Ombudsmann). Diese neutrale Stelle sollte die Meldung bzw. die Daten des Hinweisgebers gegenüber dem Unternehmen nur dann offenlegen, wenn eine entsprechende Freigabe des Hinweisgebers erfolgt1. Damit könnten die Vorteile der offenen Meldung mit denen der anonymen Meldung zumindest im Ansatz kombiniert werden2. Gleichwohl birgt diese Alternative aufgrund der oben dargestellten abweichenden Meinung der Datenschutzaufsichtsbehörden gewisse Risiken, so dass Unternehmen ggf. den Hinweis auf die mögliche anonyme Nutzung unterlassen sollten.
(2) Zu Ziffer 4.1.3 Hinweisgeber scheuen häufig vor Meldungen zurück, weil sie nicht wissen, ob der Verdacht tatsächlich begründet ist und welche Konsequenzen eine fehlerhafte Meldung hat. Um diesen Risiken zu begegnen und Vertrauen zu schaffen, ist es sinnvoll, konkret zu beschreiben, in welchen Fällen von einem begründeten Verdacht ausgegangen werden kann. Die Regelung wird ergänzt durch Ziffer 2.4 (Definition des guten Glaubens) und Ziffer 7 (Missbrauch des Hinweisgebersystems).
30
bb) Zu Ziffer 4.2 Internes Whistleblowing liegt dann vor, wenn der Ansprechpartner Teil des Unternehmens bzw. der Organisation ist, innerhalb derer die Missstände aufgetreten sein sollen. Dabei kommen sowohl interne Anlaufstellen (d.h. Vorgesetzte, bestimmte Abteilungen, interne Ombudsmänner) als auch externe Anlaufstellen (d.h. externe Stellen, die von dem Unternehmen mit der Annahme der Meldungen beauftragt wurden, wie externe Ombudsmänner oder Betreiber von Hotlines) in Betracht.
31
Davon zu unterscheiden ist das externe Whistleblowing: Hier wendet sich der Hinweisgeber an eine Stelle außerhalb des Unternehmens, wie bspw. Behörden oder Journalisten.
32
(1) Internes Whistleblowing Unternehmen sollten so genau wie möglich beschreiben, welche Ansprechpartner dem Hinweisgeber zur Verfügung stehen. Wer hier benannt wird, richtet sich nach der jeweiligen internen Organisation des Unternehmens. Je nach Zuständigkeit kommen bspw. die Compliance-Abteilung, die Rechtsabteilung oder auch die Interne Revision in Betracht. Es kann sich auch empfehlen, eine neutrale, unabhängige Stelle, einen sog. Ombudsmann, zu benennen (siehe 1 S. dazu Ziffer 5, Alternative 1 und 2 sowie Rz. 42. 2 Vgl. dazu ausführlich Schemmel/Ruhmannseder/Witzigmann, Kap. 5, Rz. 72 ff.
Bauer
|
565
33
Teil 4 IV
Rz. 34
Whistleblowing-Richtlinie
dazu Ziffer 4.2.1, Alternative c). Dies hat regelmäßig den Vorteil, dass die Hinweisgeber aufgrund der Neutralität eher bereit sind, entsprechende Meldungen zu machen. Sämtliche Ansprechpartner sollten neben der Verpflichtung zur Einhaltung des Datengeheimnisses nach § 5 BDSG gesondert zur Vertraulichkeit verpflichtet und geschult werden. 34
In größeren Organisationen wird häufig ein Ansprechpartner benannt, der bspw. im Mutterkonzern ansässig ist. Datenschutzrechtlich ist zu beachten, dass eine Übermittlung der Daten an einen Ansprechpartner in einem anderen Unternehmen einer datenschutzrechtlichen Legitimation bedarf; hier ist sorgfältig im Einzelfall zu prüfen, ob entsprechende Datenströme auf Grundlage des § 32 BDSG bzw. § 28 BDSG oder einer etwa abzuschließenden Betriebsvereinbarung gerechtfertigt sind und ob transparent über diese Datenströme informiert wird1.
35
Sitzt das andere Unternehmen in einem unsicheren Drittstaat, der kein dem europäischen Standard entsprechendes Datenschutzniveau aufweist, sind darüber hinaus zusätzlich die Voraussetzungen des internationalen Datentransfers gem. §§ 4b, 4c BDSG einzuhalten (d.h. es ist entweder eine Einwilligung aller Betroffenen erforderlich oder es werden bspw. die seitens der EU-Kommission erlassenen Standardvertragsklauseln abgeschlossen)2.
36
Wird eine externe Stelle beauftragt, ist weiterhin darauf zu achten, dass auch hier je nach Ausgestaltung des Auftragsverhältnisses die erforderlichen datenschutzrechtlichen Legitimationen erfolgen. Wird die Stelle bspw. als Auftragsdatenverarbeiter tätig, ist ein Auftragsdatenverarbeitungsvertrag gem. § 11 BDSG abzuschließen3. Daneben ist sicherzustellen, dass die Tätigkeit der externen Stelle den datenschutzrechtlichen Anforderungen nach dem BDSG entspricht4.
37
Hat die externe Stelle ihren Sitz in einem unsicheren Drittstaat, ist auch hier durch geeignete Maßnahmen sicherzustellen, dass der Austausch der Daten mit der externen Stelle in datenschutzrechtlicher Hinsicht korrekt erfolgt. Dies gilt insbesondere, wenn diese bspw. durch den im außereuropäischen Ausland ansässigen Mutterkonzern beauftragt wird; eine solche Beauftragung befreit das Unternehmen als verantwortliche Stelle nicht davon, die Zulässigkeit des Betriebs des Hinweisgebersystems auf Grundlage des deutschen Datenschutzrechts zu legitimieren; dies erfordert ggf. den Abschluss von Auftragsdatenverarbeitungsverträgen oder die Legitimation des internationalen Transfers von Daten5.
1 Vgl. dazu Wybitul, ZD 2011, 118 (121). 2 Vgl. dazu ausführlich die Erläuterungen zu den EU-Standardvertragsklauseln in Teil 5 I und 5 II und Gola/Schomerus, § 4c BDSG Rz. 4 ff. 3 Zu den Voraussetzungen s. bspw. bei Gola/Schomerus, § 11 BDSG Rz. 17 ff. sowie die Muster in Teil 2 I und 2 II. 4 Vgl. dazu auführlich Teil 2 I. 5 Vgl. zu den Voraussetzungen der Auftragsdatenverarbeitung durch ausländische Auftragnehmer Voigt, ZD 2012, 546 ff. und die Erläuterungen in Teil 5 III.
566
|
Bauer
Erläuterungen
Rz. 39 Teil 4 IV
(2) Externes Whistleblowing Die Offenbarung von Betriebs- und Geschäftsgeheimnissen oder auch die Information von externen Dritten ohne vorherige Einschaltung der Entscheidungsträger bzw. Ansprechpartner im Unternehmen kann für den Arbeitnehmer weitreichende Konsequenzen, wie bspw. seine Entlassung nach sich ziehen1. Daher empfiehlt es sich, den Hinweisgeber zumindest darauf hinzuweisen, dass mit externem Whistleblowing erhebliche Risiken verbunden sein können2.
38
5. Erläuterungen zu Ziffer 5 E 5. Verfahrensablauf nach Meldung
39
Jede Meldung wird vertraulich und unter Berücksichtigung der geltenden Datenschutzgesetze behandelt. Nach dem Eingang einer Meldung erfolgt durch die Stelle, die die Meldung entgegennimmt, eine erste Überprüfung der Hinweise, insbesondere, ob Beweise vorliegen, die die übermittelten Informationen bekräftigen oder widerlegen. Ist die entgegennehmende Stelle der Auffassung, dass weitere Ermittlungen erfolgen sollten, dokumentiert sie dies und leitet die Informationen an die im Unternehmen zuständige Stelle weiter. Diese führt im Anschluss die internen Ermittlungen durch. Alternative 1: Hat der Ombudsmann die Meldung entgegengenommen und ist er der Auffassung, dass weitere Ermittlungen erfolgen sollten, wird er dies dokumentieren und dem Hinweisgeber mitteilen. Er wird die Informationen an die im Unternehmen zuständige Stelle weiterleiten, die im Anschluss die internen Ermittlungen durchführt. Den Namen des Hinweisgebers wird er nur dann dem Unternehmen mitteilen, wenn dieser seine vorherige Freigabe erteilt hat. Alternative 2: Hat der Ombudsmann die Meldung entgegengenommen und ist er der Auffassung, dass weitere Ermittlungen erfolgen sollten, wird er dies dokumentieren und dem Hinweisgeber mitteilen. Er wird nach entsprechender vorheriger Freigabe durch den Hinweisgeber die Informationen an die im Unternehmen zuständige Stelle weiterleiten, die im Anschluss die internen Ermittlungen durchführt. Den Namen des Hinweisgebers wird er ebenfalls nur nach dessen entsprechender Freigabe gegenüber dem Unternehmen offenlegen. Mitarbeiter sind verpflichtet, die für die Untersuchung zuständige Stelle bei ihren Ermittlungen zu unterstützen und nach bestem Gewissen an der Aufklärung des Verdachts mitzuwirken. Sie sind zur Vertraulichkeit verpflichtet. 1 Vgl. bspw. LAG Schleswig-Holstein v. 20.3.2012 – 2 SA 331/11, ZD 2012, 336; BAG v. 3.7.2003 – 2 AZR 235/02, NZA 2004, 427 (430); BAG v. 7.12.2006 – 2 AZR 400/05, NZA 2007, 502 (503 ff.); Herbert/Oberath, NZA 2005, 193 (198). 2 Vgl. dazu auch m.w.N. Grobys/Panzer/Mengel, StichwortKommentar Arbeitsrecht, Stichwort 167 „Whistleblowing“, Ziffer II.4, Rz. 15 ff.
Bauer
|
567
Teil 4 IV
Rz. 40
Whistleblowing-Richtlinie
Die ermittelten Informationen werden dokumentiert, wobei nur die erforderlichen Daten erhoben und verarbeitet werden. Soweit aufgrund der ermittelten Ergebnisse erforderlich, werden die weiteren zuständigen Stellen, die Entscheidungsberechtigten sowie im Anschluss ggf. die Behörden eingeschaltet und die entsprechenden Daten an diese übermittelt. Die Untersuchung wird zeitlich so schnell wie im angemessenen Rahmen möglich durchgeführt. Der Hinweisgeber wird von der für die Untersuchung zuständigen Stelle über den Fortlauf des Verfahrens informiert. Stellt sich eine Meldung als falsch heraus oder kann sie nicht ausreichend mit Fakten belegt werden, wird dies entsprechend dokumentiert und das Verfahren unverzüglich eingestellt. Für den betroffenen Mitarbeiter dürfen keine Konsequenzen entstehen, insbesondere wird der Vorgang nicht in der Personalakte dokumentiert. Das Unternehmen wird sich im Übrigen bemühen, die Ergebnisse und Vorschläge einer jeden Untersuchung so zu nutzen, dass ein Fehlverhalten, soweit dies nach den bestehenden Umständen möglich ist, korrigiert werden kann.
a) Ratio 40
Ziel der Regelung ist es, den Fortgang des Verfahrens dem Hinweisgeber und auch den möglichen Betroffenen transparent darzustellen. Es soll Vertrauen geweckt werden, dass die Hinweise so diskret wie möglich behandelt und lediglich den dazu Berechtigten übermittelt werden. Dies gilt insbesondere für die Alternative „Ombudsmann“: Damit wird sichergestellt, dass das Unternehmen nur mit Einverständnis des Hinweisgebers von seiner Person Kenntnis erlangt (siehe dazu bereits oben Rz. 29).
b) Erläuterungen 41
Die Beschreibung des jeweiligen Verfahrens ist an die im jeweiligen Unternehmen vorgesehenen organisatorischen Gegebenheiten anzupassen und hier lediglich beispielhaft aufgeführt. Es empfiehlt sich, diese so exakt wie möglich zu beschreiben, um größtmögliche Transparenz zu erreichen. Dazu zählt bspw. die konkrete Benennung der zuständigen Stellen ggf. sogar der zuständigen Personen.
42
Sofern die Meldung an einen Ombudsmann erfolgt, ist als Alternative 1 vorgesehen, lediglich die Weitergabe des Namens des Hinweisgebers von dessen Freigabe abhängig zu machen. Mitunter wird zur Schaffung von Vertrauen auch alternativ vorgesehen, die komplette Weitergabe der Information von der Einwilligung des Hinweisgebers abhängig zu machen (Alternative 2)1. Dies kann sich empfehlen, wenn ein Klima des Vertrauens geschaffen werden soll. Allerdings muss dann damit gerechnet werden, dass das Unternehmen ggf. wichtige Hinweise nicht erlangt. Hier ist im Einzelfall zu berücksichtigen, welche Interessen das Unternehmen verfolgt. 1 Dazu ausführlich Schemmel/Ruhmannseder/Witzigmann, Kap. 5, Rz. 40 ff., 80.
568
|
Bauer
Erläuterungen
Rz. 44 Teil 4 IV
Es kann sich daneben empfehlen, eine Frist vorzusehen, innerhalb derer der Hinweisgeber über den Fortgang der Angelegenheit zu informieren ist. Dies fördert ein zügiges Verfahren und steigert die Akzeptanz des Verfahrens, da der Hinweisgeber erkennt, dass sein Hinweis ernst genommen und verfolgt wird.
43
6. Erläuterungen zu Ziffer 6 E 6. Schutz des Hinweisgebers und der bei der Aufklärung mitwirkenden Personen 6.1 Vertraulichkeit und Verschwiegenheit Der Schutz eines Hinweisgebers wird durch die vertrauliche Behandlung seiner Identität gewährleistet. Sofern er seine Kontaktdaten mitteilt, werden diese unter Berücksichtigung der datenschutzrechtlichen Vorgaben gespeichert und genutzt. Ihm werden bei einer Erhebung seiner Daten sowohl die Zwecke der Datenspeicherung als auch -nutzung mitgeteilt. Gleiches gilt, wenn seine Daten an andere Stellen übermittelt werden sollen. Grundsätzlich wird sein Name nicht bekannt gegeben; abweichendes kann gelten, wenn der Hinweisgeber die Offenlegung seiner Identität gestattet oder eine entsprechende Rechtspflicht besteht. Dies gilt insbesondere dann, wenn die Offenlegung unerlässlich ist, damit die von der Meldung betroffenen Personen ihr Recht auf Anhörung wahrnehmen können. Der Hinweisgeber wird in jedem Fall vorab von der Offenlegung seiner Identität unterrichtet. Gleiches gilt für Personen, die an der Aufklärung des Verdachts mitgewirkt haben. 6.2 Schutz vor Repressalien Jede Person, die eine Meldung in gutem Glauben abgibt oder an der Aufklärung eines entsprechenden Verdachts mitwirkt, muss nicht aufgrund der Meldung bzw. der Mitwirkung mit negativen Konsequenzen rechnen (z.B. Abstufung oder Entlassung). Abweichendes kann gelten, wenn die Person in den aufzuklärenden Vorfall verwickelt ist. Sollte ein Hinweisgeber oder eine Person, die an der Aufklärung eines Verdachts mitwirkt, der Auffassung sein, dass er deshalb benachteiligt, diskriminiert, belästigt oder ähnliches wurde, hat er dies seinem jeweiligen Vorgesetzten mitzuteilen. Alternativ kann ein solcher Vorfall entsprechend Ziffer 4.2 über die dort vorgesehenen Meldewege mitgeteilt werden. Jegliche Benachteiligung, Diskriminierung, Belästigung oder ähnliches des Hinweisgebers oder einer mitwirkenden Person wird seitens des Unternehmens nicht geduldet. Das Unternehmen prüft die Umstände des jeweiligen Falles und kann vorübergehende oder dauerhafte Maßnahmen ergreifen, um den Hinweisgeber bzw. die mitwirkende Person zu schützen und die Interessen des Unternehmens zu wahren. Das Unternehmen informiert die Betroffenen schriftlich über das Ergebnis der jeweiligen Untersuchung. Jeder Mitarbeiter oder Vorgesetzte, der einen Hinweisgeber oder eine Person, die an der Aufklärung eines entsprechenden Verdachts mitwirkt, aufBauer
|
569
44
Teil 4 IV
Rz. 45
Whistleblowing-Richtlinie
grund der Meldung oder der Mitwirkung entlässt, herabstuft, belästigt oder diskriminiert oder ähnliches, muss mit disziplinarischen Maßnahmen rechnen, die im äußersten Fall zu seiner Entlassung führen können.
a) Ratio 45
Hinweisgeber bzw. die an der Aufklärung mitwirkenden Personen sind in zweierlei Hinsicht zu schützen: Zum einen müssen sie befürchten, vom bzw. im Unternehmen Benachteiligungen ausgesetzt zu sein, wenn es zur Offenlegung ihres Namens kommt, zum anderen müssen sie befürchten, dass der von ihnen eingemeldete Verdächtige gegen sie vorgeht. Da der deutsche Gesetzgeber den Schutz von Hinweisgebern noch nicht spezialgesetzlich geregelt hat, besteht hier besonderer Regelungsbedarf, um das Vertrauen der Hinweisgeber zu stärken und sie nicht aus Angst vor Benachteiligungen von einer Meldung abzuhalten.
b) Erläuterungen aa) Zu Ziffer 6.1 46
Teilt der Hinweisgeber seine Daten mit und dies erfolgt in Erfüllung seiner arbeitsvertraglichen Pflichten (bspw. meldet er einen Fall von Korruption), ist die Erhebung, Verarbeitung und Nutzung seiner Daten durch das Unternehmen über § 32 Abs. 1 BDSG legitimiert; sie ist dann erforderlich für Zwecke der Durchführung des Beschäftigungsverhältnisses1. Erfolgt der Hinweis auf freiwilliger Basis, so ist die Erhebung und Verwendung auf Basis des § 28 Abs. 1 Satz 1 Nr. 2 BDSG in der Regel legitimiert: Danach dürfen die Daten auf Grundlage einer Interessenabwägung zwischen den berechtigten Interessen des Unternehmens und den schutzwürdigen Interessen des Hinweisgebers erhoben und verwendet werden2. In beiden Fällen ist eine Offenlegung der Daten am Verhältnismäßigkeitsgrundsatz zu messen. Es dürfen jeweils nur Berechtigte die Daten erhalten, wobei sicherzustellen ist, dass diese nur für die in der Richtlinie festgelegten Zwecke genutzt werden. Der Hinweisgeber ist entsprechend über eine solche Offenlegung zu informieren. Es kann sich empfehlen, vorab dessen Zustimmung einzuholen; dies gilt insbesondere, wenn er Repressalien befürchtet. In diesen Fällen würden seine Interessen am Unterlassen der Weitergabe überwiegen. Andererseits kann es bspw. im Rahmen der Verfolgung der Straftat erforderlich werden, die Daten des Hinweisgebers weiterzugeben. Insofern verbietet sich eine pauschale Beurteilung und jeder Einzelfall ist gesondert zu prüfen (siehe dazu Rz. 29, 42).
47
Dieser Schutz sollte im Übrigen auch für solche Personen gelten, die am Verfahren mitwirken und an der Aufklärung beteiligt sind. Diese sind ebenso schutzwürdig wie der Hinweisgeber. 1 Vgl. Gola/Schomerus, § 32 BDSG Rz. 16; s. dazu auch oben Rz. 22, 26. 2 Vgl. Schemmel/Ruhmannseder/Witzigmann, Kap. 6, Rz. 80 ff., insbesondere Rz. 88.
570
|
Bauer
Erläuterungen
Rz. 49 Teil 4 IV
bb) Zu Ziffer 6.2 Mangels spezialgesetzlicher Regelungen beruht der Schutz des Hinweisgebers vor Sanktionen seitens des Unternehmens, wie bspw. der Entlassung, zurzeit auf §§ 612a BGB und §§ 1 ff. KSchG1. Auf dieser Basis hat die Rechtsprechung Grundsätze entwickelt, wann ein Hinweisgeber berechtigt ist, Missstände insbesondere an externe Stellen zu melden, ohne dass er selbst dabei in Gefahr gerät, gekündigt zu werden, weil er unter Umgehung interner Meldewege Betriebsinterna o.ä. öffentlich gemacht hat. Arbeitgeber berufen sich in diesen Fällen in der Praxis u.a. auf die Verletzung von arbeitsvertraglichen (Neben)Pflichten i.S.v. §§ 611, 241 Abs. 2 BGB. Kündigungen aus diesem Grund sollen insbesondere dann unwirksam sein, wenn der Hinweisgeber einer externen Stelle eine Straftat des Arbeitgebers meldet oder der Arbeitgeber nicht tätig wird2.
48
Zusammengefasst liegt dann keine Verletzung arbeitsvertraglicher (Neben)Pflichten vor, wenn der Mitarbeiter gesetzlich (bspw. nach § 17 Abs. 2 ArbSchG im Bereich des Arbeitsschutzes) oder auch vertraglich (bspw. durch eine Richtlinie bzw. seinen Arbeitsvertrag) zu der Offenbarung der entsprechenden Umstände verpflichtet war. In diesen Fällen ist der Mitarbeiter jedenfalls zu schützen. Dies stellt die Richtlinie klar.
7. Erläuterungen zu Ziffer 7 E 7. Missbrauch des Hinweisgebersystems
49
Jeder ist aufgefordert, Missstände, Fehlverhalten etc. zu melden. Der Hinweisgeber sollte dabei darauf achten, dass er die Fakten objektiv, akkurat und vollständig darstellt. Persönliche Erfahrungen, mögliche Vorurteile oder subjektive Auffassungen sollten als solche kenntlich gemacht werden. Eine Meldung sollte in gutem Glauben erfolgen. Ergibt die Überprüfung des Hinweises, dass bspw. kein begründeter Verdacht besteht oder die Fakten nicht ausreichen, um einen Verdacht zu erhärten, haben Hinweisgeber, die einen Hinweis gutgläubig melden, keine disziplinarischen Maßnahmen zu befürchten. Anderes gilt für Hinweisgeber, die das Hinweisgebersystem bewusst für falsche Meldungen missbrauchen; diese müssen mit disziplinarischen Maßnahmen rechnen. Auch eine Beeinträchtigung des Hinweisgebersystems durch bspw. Manipulation, Vertuschung oder der Bruch von Absprachen betreffend die Vertraulichkeit können disziplinarische Maßnahmen nach sich ziehen. Als Maßnahmen kommen bspw. Abmahnungen oder Kündigungen in Betracht. Daneben kann dies zivilrechtliche oder strafrechtliche Folgen nach sich ziehen. 1 Ein Gesetzentwurf der SPD-Fraktion liegt zwar vor, ist aber noch in der Diskussion, vgl. BT-Drucks. 17/8567 v. 7.2.2012; s. auch Mengel, CCZ 2012, 146 ff. 2 Vgl. dazu bereits oben Rz. 26, m.w.N.; sowie BAG v. 3.7.2003 – 2 AZR 235/02, NZA 2004, 427 (428); BAG v. 7.12.2006 – 2 AZR 400/05, NZA 2007, 502 (503); vgl. auch EGMR v. 21.7.2011 – 28274/08 (Heinisch/Germany), abrufbar unter www.betriebs-be rater.de, BBL2011–1907–1: Die Bundesrepublik Deutschland wurde wegen Benachteiligung eines Whistleblowers verurteilt, da darin eine Verletzung des Menschenrechts auf freie Meinungsäußerung zu sehen sei, Art. 10 EMRK; s. auch ergänzend Simon/ Schilling, BB 2011, 2421 ff.
Bauer
|
571
Teil 4 IV
Rz. 50
Whistleblowing-Richtlinie
a) Ratio 50
Die Klausel stellt zum einen klar, dass Denunziantentum geahndet wird und zum anderen soll sie bei den Hinweisgebern Vertrauen wecken, damit diese trotz möglicher Unsicherheiten Meldungen vornehmen.
b) Erläuterungen 51
Hinweisgeber, die im guten Glauben Hinweise abgeben, sollen nicht sanktioniert werden. Weiß der Hinweisgeber bei der Anzeige, dass sein Vorwurf falsch ist oder hätte er es erkennen können, wird die Gutgläubigkeit verneint1. Die Einordnung, ob Gutgläubigkeit vorliegt oder nicht, ist in der Praxis äußerst schwierig; daneben hat auch die Rechtsprechung hier bislang keine verlässlichen Grundsätze herausgearbeitet2. Gleichwohl lässt sich durch ein internes Hinweisgebersystem das Strafbarkeitsrisiko für Hinweisgeber minimieren: Sofern falsche Verdächtigungen ausgesprochen werden, verbleiben diese Hinweise im Unternehmen, so dass bspw. der objektive Tatbestand des § 164 StGB regelmäßig nicht erfüllt ist. Gleiches gilt für die Straftatbestände der üblen Nachrede (§ 186 StGB) oder der Verleumdung (§ 187 StGB). Doch auch hier kommt es auf den Einzelfall an; insbesondere die von der Falschmeldung betroffene Person könnte ggf. Schritte gegen den Falschmelder einleiten.
8. Erläuterungen zu Ziffer 8 52
E 8. Schutz der gemeldeten Person 8.1 Information der gemeldeten Person Jede von einem Hinweis betroffene Person wird zu gegebener Zeit und unter Berücksichtigung der datenschutzrechtlichen Vorgaben über die gegen sie gerichteten Verdachtsäußerungen benachrichtigt, sofern diese Benachrichtigung nicht den Fortgang des Verfahrens zur Feststellung des Sachverhalts erheblich erschweren würde. Die Benachrichtigung erfolgt spätestens nach Abschluss der Ermittlungen. Alternative: Die Benachrichtigung enthält in der Regel Informationen über – die Einzelheiten der eingereichten Meldung, – die Abteilungen, die über die Meldung informiert sind sowie die zum Zugriff auf die Daten berechtigten Personen, – den Hinweisgeber, soweit dieser der Offenlegung seiner Daten zugestimmt hat oder dies zur Wahrung der Interessen der betroffenen Person erforderlich ist. Die betroffene Person kann von dem Unternehmen Auskunft hinsichtlich der Daten, die über sie erhoben und gespeichert wurden, über die Empfänger der Daten und die Zwecke der Weitergabe der Daten verlangen. 1 Vgl. BAG v. 7.12.2006 – 2 AZR 400/05, NJW 2007, 2204; vgl. auch zu den Rechtsfolgen von Falschmeldungen LAG Berlin v. 28.3.2006 – 7 Sa 1884/05. 2 Vgl. Görling/Inderst/Bannenberg/de Boer, Compliance, Kap. 5, Rz. 406, 407.
572
|
Bauer
Erläuterungen
Rz. 55 Teil 4 IV
8.2 Recht auf Stellungnahme Die betroffene Person ist von der zuständigen Stelle bzw. den Entscheidungsberechtigten anzuhören, bevor am Ende des oben erläuterten Verfahrens Schlussfolgerungen unter namentlicher Benennung der Person gezogen werden. Ist eine Anhörung aus objektiven Gründen nicht möglich, fordert die zuständige Stelle bzw. fordern die Entscheidungsberechtigten die betroffene Person auf, ihre Argumente schriftlich zu formulieren. Im Anschluss beschließen die Entscheidungsberechtigten die im Interesse des Unternehmens notwendigen Maßnahmen. 8.3 Recht auf Löschung der Daten Bestätigt sich der in der Meldung geltend gemachte Verdacht nicht, hat die betroffene Person ein Recht auf Löschung ihrer in diesem Zusammenhang von dem Unternehmen gespeicherten Daten.
a) Ratio Da der Verdächtige naturgemäß keine Kenntnis von den gegen ihn erhobenen Vorwürfen hat, stellt diese Klausel klar, unter welchen Voraussetzungen er von den Vorwürfen in Kenntnis gesetzt wird und welche Rechte ihm zustehen.
53
b) Erläuterungen aa) Zu Ziffer 8.1 Die gemeldete Person ist nach § 33 Abs. 1 Satz 1 BDSG von der Speicherung ihrer jeweiligen Daten, über die Zwecke der Erhebung und ggf. Kategorien der Empfänger der Daten zu unterrichten. Im Einzelfall kann von der Benachrichtigung abgesehen werden (bspw. gem. § 33 Abs. 2 Satz 1 Nr. 7b BDSG, wenn die Benachrichtigung die Geschäftszwecke des Unternehmens erheblich gefährden würde1; anderes gilt, wenn die Interessen des Betroffenen an der Benachrichtigung die Gefährdung überwiegt). Üblicherweise erfolgt die Benachrichtigung erst dann, wenn kein Risiko mehr besteht, dass die Ermittlung gefährdet werden könnte. Sieht das Unternehmen von einer Benachrichtigung ab, muss es schriftlich festlegen, unter welchen Voraussetzungen die Benachrichtigung unterbleiben soll, § 33 Abs. 2 Satz 2 BDSG.
54
bb) Zu Ziffer 8.2 Das Unternehmen in seiner Funktion als Arbeitgeber muss die Rechte der Arbeitnehmer wahren; dazu zählt u.a. dass ein beschuldigter Arbeitnehmer im Fall von schweren Pflichtverletzungen oder im Fall einer Verdachtskündigung vorab angehört werden muss. Eine Verpflichtung dergestalt, den verdächtigen Arbeitnehmer im Rahmen des Meldeverfahrens zwingend anzuhören, besteht allerdings nicht. Gleichwohl ist dies als sinnvoll zu erachten um diesem Gelegenheit zu geben, die entsprechenden Vorwürfe zu entkräften, bevor bspw. die 1 Vgl. Breinlinger/Krader, RDV 2006, 60 (68).
Bauer
|
573
55
Teil 4 IV
Rz. 56
Whistleblowing-Richtlinie
Behörden ohne hinreichenden Grund eingeschaltet werden und ihre Ermittlungen aufnehmen1.
cc) Zu Ziffer 8.3 56
Das Recht auf Löschung ergibt sich aus § 35 BDSG: Danach sind Daten, die nicht mehr benötigt werden, zu löschen, soweit nicht Gründe der Löschung entgegenstehen (siehe dazu Rz. 66).
9. Erläuterungen zu Ziffer 9 57
E 9. Beschwerderechte 9.1 Verletzung dieser Richtlinie Sowohl der Hinweisgeber als auch die gemeldete Person können sich bei Hinweisen auf Verletzung dieser Richtlinie an ihren direkten Vorgesetzten wenden. Alternativ: Sowohl der Hinweisgeber als auch die gemeldete Person können sich bei Hinweisen auf Verletzung dieser Richtlinie an den Ombudsmann, die Geschäftsführung oder an den unter Ziffer 12.2 benannten Ansprechpartner wenden. Die Hinweise werden überprüft und an die zuständigen Stellen zur weiteren Aufklärung weitergeleitet. Ziffer 5 gilt entsprechend. 9.2 Rechte zur Überprüfung des Ermittlungsergebnisses Sowohl der Hinweisgeber als auch die gemeldete Person können sich an die Geschäftsführung oder den unter Ziffer 12.2 benannten Ansprechpartner wenden, wenn sie die durchgeführten Ermittlungen für fehlerhaft bzw. unzureichend halten oder sie nach ihrer Auffassung im Rahmen der Ermittlungen ungerechtfertigt benachteiligt werden. Die erforderlichen Maßnahmen zur Überprüfung der Angelegenheit werden in diesem Fall eingeleitet und der Beschwerdeführer entsprechend informiert. 9.3 Einbindung des Betriebsrats Die gemeldete Person kann von ihrem Beschwerderecht nach §§ 84, 85 BetrVG Gebrauch machen und den Betriebsrat hinzuziehen.
a) Ratio 58
Sowohl die gemeldete Person als auch der Hinweisgeber müssen das Recht haben, sich über Untätigkeit oder fehlerhafte Ermittlungen zu beschweren, ohne dass ihnen Nachteile drohen.
1 Vgl. auch Grobys/Panzer/Mengel, StichwortKommentar, Stichwort 167 Whistleblowing, Ziff. I.1.d) Rz. 9.
574
|
Bauer
Erläuterungen
Rz. 62 Teil 4 IV
b) Erläuterungen Es besteht grundsätzlich keine gesetzliche Pflicht des Unternehmens, sich mit einer Beschwerde auseinanderzusetzen. Eine entsprechende Regelung in einer Richtlinie führt indes zu einem vertraglichen Anspruch und in der Regel auch zu einer höheren Akzeptanz der Richtlinie1. Das Unternehmen sollte prüfen, wer im Unternehmen eine geeignete, vertrauenswürdige Stelle zur Entgegennahme von Beschwerden sein kann und diese hier benennen.
59
Mitarbeiter von Unternehmen, in denen ein Betriebsrat existiert, haben nach § 84 Abs. 1 BetrVG das Recht, sich bei der im Unternehmen zuständigen Stelle zu beschweren, sofern sie sich individuell benachteiligt fühlen (individuelles Beschwerdeverfahren). Die Vorschrift ist auch dann anzuwenden, wenn das Unternehmen betriebsratsfähig ist2. Der Beschwerde ist seitens des Unternehmens nachzugehen (bspw. durch den Vorgesetzten).
60
Daneben ist auch der Betriebsrat verpflichtet, Beschwerden von Arbeitnehmern nachzugehen, § 85 BetrVG (kollektives Beschwerdeverfahren). Voraussetzung ist auch hier eine subjektive, mögliche Beschwernis des Arbeitnehmers. Benachteiligungen, die allgemein das Unternehmen betreffen, sind hier nicht beschwerdefähig. Bei berechtigten Beschwerden tritt der Betriebsrat in Verhandlungen mit dem Arbeitgeber ein und versucht Abhilfe herbeizuführen.
61
10. Erläuterungen zu Ziffer 10 E 10. Datenschutz
62
Im Rahmen des Verfahrens werden personenbezogene Daten erhoben und gespeichert. Der Umgang mit diesen Daten erfolgt unter Einhaltung der geltenden Datenschutzgesetze. Es werden nur die Daten erhoben, verarbeitet und genutzt, deren Erhebung und Verwendung für die Zwecke dieser Richtlinie objektiv erforderlich ist. Die infolge einer Meldung erhobenen Daten der gemeldeten Person werden getrennt von ihren übrigen im Unternehmen gespeicherten Daten aufbewahrt. Durch entsprechende Berechtigungssysteme und angemessene technisch-organisatorische Maßnahmen ist sichergestellt, dass nur die jeweils zuständigen Personen Zugriff auf diese Daten erlangen. Dies gilt auch für die Daten des Hinweisgebers. Die erhobenen Daten werden ausschließlich für die in dieser Richtlinie beschriebenen Zwecke genutzt. Sie werden lediglich an berechtigte Personen übermittelt und nur soweit dies für die in dieser Richtlinie beschriebenen Zwecke erforderlich ist. Daten, die im Zusammenhang mit einer Meldung erhoben wurden und die nicht für das Verfahren von Relevanz sind, werden unverzüglich gelöscht. Im Übrigen erfolgt die Löschung der erhobenen Daten grundsätzlich innerhalb von zwei Monaten nach Abschluss der unternehmensinternen Ermittlungen. 1 Vgl. Schlemmel/Ruhmannseder/Witzigmann, Kap. 4, Rz. 177. 2 Vgl. Neumann, Whistleblowing, S. 16.
Bauer
|
575
Teil 4 IV
Rz. 63
Whistleblowing-Richtlinie
Kommt es infolge eines Fehlverhaltens im Sinne dieser Richtlinie oder eines Missbrauchs des Hinweisgebersystems gem. Ziffer 8 zu einem Straf-, Disziplinar- oder Zivilgerichtsverfahren, kann sich die Speicherdauer bis zum rechtskräftigen Abschluss des jeweiligen Verfahrens verlängern. Personen, die an dem Verfahren beteiligt sind, darunter auch der Hinweisgeber selbst, können sich jederzeit an den Datenschutzbeauftragten des Unternehmens wenden, um kontrollieren zu lassen, ob die aufgrund der einschlägigen anwendbaren Bestimmungen bestehenden Rechte beachtet wurden.
a) Ratio 63
Datenschutzaufsichtsbehörden beurteilen den Einsatz von Hinweisgebersystemen regelmäßig kritisch, da personenbezogene Daten erhoben und verarbeitet werden, ohne dass insbesondere die verdächtigte Person davon Kenntnis erlangt. Eingriffe in die Persönlichkeitsrechte sowohl der verdächtigten Person als auch des Hinweisgebers sind nicht auszuschließen; daneben wird ggf. eine Kultur des Misstrauens im Unternehmen gefördert. Ziel der Klausel ist, Transparenz sowie Vertrauen zu schaffen und die jeweils Betroffenen über den Umfang der Datenerhebung und -verwendung im Rahmen der Richtlinie zu informieren sowie klarzustellen, dass die datenschutzrechtlich relevanten Gesetze und Grundsätze eingehalten werden.
b) Erläuterungen 64
Auch wenn es im Unternehmen eine Selbstverständlichkeit sein sollte, dass die datenschutzrechtlichen Vorgaben des BDSG eingehalten werden, empfiehlt sich aus Transparenzgründen eine entsprechende Erläuterung. Die Klausel hat mehr eine ergänzende Funktion, da an anderer Stelle der Richtlinie konkretere Regelungen zum Datenschutz enthalten sind (bspw. Ziffer 3., 5., 6.1 oder 8.)
65
Daneben sollte das Unternehmen noch einmal deutlich hervorheben, dass es die nach § 9 BDSG erforderlichen technisch-organisatorischen Maßnahmen umsetzt. Es ist u.a. sicherzustellen, dass nicht aus Versehen Daten eines vermeintlichen Täters bspw. in dessen Personalakte verbleiben oder zu dessen „üblichen“ Stammdaten hinzugespeichert werden. Daneben sind die Risiken eines möglichen unbefugten Zugriffs auf die erhobenen Daten zu minimieren. Die Datenschutzaufsichtsbehörden empfehlen in diesem Zusammenhang als geeignete Maßnahmen z.B. die Umsetzung von Berechtigungskonzepten, die Einführung einer Passwortrichtlinie, den Einsatz von Verschlüsselungsverfahren, die Protokollierung von Dateneingaben oder auch die Nutzung von Löschroutinen. Daneben wird bei dem Betrieb einer internen Whistleblowing-Hotline empfohlen, diese organisatorisch nicht in den Fachbereich „Personal“ zu integrieren; in diesem Fall ist nicht auszuschließen, dass die erforderliche Vertraulichkeit nicht mehr gewährleistet ist1. 1 S. die Stellungnahme des Düsseldorfer Kreises zu Whistleblowing-Hotlines, S. 7, abrufbar unter http://www.datenschutz-hamburg.de/uploads/media/Handreichung_Whistle blowing-Hotlines.pdf.
576
|
Bauer
Erläuterungen
Rz. 67 Teil 4 IV
Erfolgt die Datenverarbeitung auch durch Externe, ist weiterhin sicherzustellen, dass diese die erforderlichen Maßnahmen ebenfalls umsetzen und entsprechend vertraglich gebunden werden. Besonderes Augenmerk sollte auch auf die Speicherdauer der Daten gerichtet werden; die hier festgelegten Fristen basieren auf Empfehlungen der Datenschutzaufsichtsbehörden, vgl. auch § 35 Abs. 2 Nr. 3 BDSG1.
66
11. Erläuterungen zu Ziffer 11 E 11. Umsetzung/Verantwortlichkeit
67
11.1 Umsetzung und Bekanntmachung der Richtlinie in der Unternehmensgruppe Die Abteilung Compliance ist verantwortlich für die Bekanntmachung dieser Richtlinie und deren Umsetzung. Dazu zählt auch, in allen Unternehmen Bedingungen zu schaffen, die es den Hinweisgebern ermöglichen, vertrauensvoll Meldungen zu machen. Insbesondere sind die folgenden Maßnahmen umzusetzen: – Information aller Mitarbeiter über das Hinweisgebersystem in der betreffenden Landessprache (einschließlich Inhalt des Verfahrens, wichtiger Namen und Adressen, Telefonnummern und E-Mail-Adressen). Dazu zählt die Zurverfügungstellung von Informationen über das Hinweisgebersystem im Intranet, in Personalinformationsblättern oder entsprechenden Einführungsprogrammen; – Benennung eines oder mehrerer lokaler Ansprechpartner innerhalb des Unternehmens; – Information und Schulung der Ansprechpartner und der lokalen Geschäftsführung über die korrekte Durchführung des Verfahrens und die Umsetzung der Anforderungen der Richtlinie. 11.2 Kontrolle der Umsetzung der Richtlinie Die jeweilige Geschäftsführung kontrolliert die Umsetzung der Richtlinie. Sie überprüft u.a. die Effektivität von Maßnahmen, die als Reaktion auf einen gemäß dieser Richtlinie geäußerten Verdacht durchgeführt wurden. Die Geschäftsführung kann im Unternehmen Stellen benennen, die sie bei der Kontrolle unterstützt. Die Rechtsabteilung und die Interne Revision überprüfen diese Richtlinien mindestens einmal jährlich aus rechtlicher und operativer Perspektive.
1 S. die Stellungnahme des Düsseldorfer Kreises zu Whistleblowing-Hotlines, S. 6, abrufbar unter http://www.datenschutz-hamburg.de/uploads/media/Handreichung_Whistle blowing-Hotlines.pdf.
Bauer
|
577
Teil 4 IV
Rz. 68
Whistleblowing-Richtlinie
a) Ratio 68
In größeren Unternehmensgruppen empfiehlt es sich, einen Prozess zu etablieren, der sicherstellt, dass die Richtlinie einheitlich umgesetzt und ihre Einhaltung kontrolliert wird. Die Klausel beschreibt ein mögliches Verfahren.
b) Erläuterungen 69
Mitarbeiter sind über die Inhalte der Richtlinie zu informieren. Dies kann durch ein einheitliches Verfahren, gesteuert über die Compliance-Abteilung, oder auch auf anderen Wegen erfolgen. Hier sollte jeweils im Unternehmen geprüft werden, welche Verfahren den organisatorischen Gegebenheiten am Ehesten entsprechen und diese sollten hier erläutert werden.
70
Gleiches gilt für die Kontrolle der Umsetzung und Einhaltung der Richtlinie: Auch hier sollten die unternehmensspezifischen Eigenheiten in der Klausel abgebildet werden.
12. Erläuterungen zu Ziffer 12 71
E 12. Informationen, Schulungen, Ansprechpartner 12.1 Abrufbare Informationen/Hinweise zur Richtlinie Diese Richtlinie steht allen Mitarbeitern im Intranet unter … zum Abruf zur Verfügung. Mitarbeiter, die keinen Zugriff auf das Intranet haben, wird diese schriftlich zur Verfügung gestellt. Alternativ kann diese jederzeit bei der Personalabteilung angefordert werden. 12.2 Schulungen der Mitarbeiter Alle Beschäftigten sind verpflichtet, die seitens des Unternehmens angebotenen Schulungen zum Thema Hinweisgebersystem zu absolvieren. Die Schulungen werden nach Abstimmung mit der Geschäftsführung von der Compliance-Abteilung organisiert. 12.2 Ansprechpartner Bei Fragen, Anmerkungen etc. zu den Regelungen dieser Richtlinie wenden Sie sich bitte an folgenden Ansprechpartner: … Bestätigung der Kenntnisnahme: Hiermit bestätige ich, …, dass ich die Richtlinie zur Kenntnis genommen und verstanden habe. … Ort, Datum
… Unterschrift
a) Ratio 72
Es ist sicherzustellen, dass alle Mitarbeiter, die Rechte und Pflichten aus der Richtlinie treffen, über diese belehrt werden. Andernfalls besteht das Risiko, 578
|
Bauer
Erläuterungen
Rz. 75 Teil 4 IV
dass diese sich bei Fehlverhalten darauf zurückziehen, den Inhalt nicht gekannt bzw. nicht verstanden zu haben.
b) Erläuterungen Die Informationen sollten für jeden Mitarbeiter zugänglich sein. Da nicht jeder Mitarbeiter Zugriff auf das Intranet haben wird, sollten immer alternative Wege zur Verfügung stehen. Hier sollten die im Unternehmen üblichen Wege der Bekanntmachung beschrieben werden.
73
Schulungen sind durchzuführen, damit Mitarbeiter sich bei einem Fehlverhalten im äußersten Fall nicht darauf berufen können, ohne Schuld zu handeln, da sie sich mangels Kenntnis der Richtlinie und damit mangels Unrechtsbewusstseins in einem unvermeidbaren Verbotsirrtum gem. § 17 StGB befunden hätten1. Auch hier sollte die von dem Unternehmen präferierte Schulungsmethode (E-Learning, Erläuterungen, Frontalschulungen) beschrieben und aufgenommen werden.
74
In diesem Zusammenhang empfiehlt sich auch, die Kenntnisnahme der Richtlinie durch den Mitarbeiter bestätigen zu lassen. Dieser Abschnitt sollte in der Personalakte verwahrt werden. Eine Kopie der Bestätigung sollte dem Mitarbeiter für seine Akten übergeben werden.
75
1 Vgl. Göpfert/Landauer, NZA-Beilage 2011, 16 (17).
Bauer
|
579
V. Betriebsvereinbarung zur Internet- und E-Mail-Nutzung Literaturverzeichnis: Beckschulze, Internet-, Intranet- und E-Mail-Einsatz am Arbeitsplatz, DB 2003, 2777; Braun/Spiegl, E- Mail und Internet am Arbeitsplatz, AiB 2008, 393; Däubler, Gläserne Belegschaften?, 5. Aufl. 2010; Däubler/Klebe/Wedde/Weichert, Bundesdatenschutzgesetz, 3. Aufl. 2010; Dreier, Grundgesetz-Kommentar, 2. Aufl. 2004; Eckhardt, Wie weit reicht der Schutz des Fernmeldegeheimnisses (Art. 10 GG)?, DuD 2006, 365; Gimmy, Nutzung des Internets am Arbeitsplatz – ein Überblick, DRiZ 2007, 327; Gola/Schomerus, BDSG, 11. Aufl. 2012; Härting, E-Mail und Telekommunikationsgeheimnis, CR 2007, 311; Härting, Internetsurfen am Arbeitsplatz, ITRB 2008, 88; Hanebeck/Neunhoeffer, Anwendungsbereich und Reichweite des telekommunikationsrechtlichen Fernmeldegeheimnisses – Rechtliche Schwierigkeiten bei der Anwendung des TKG, K&R 2006, 112; Heckmann, juris PraxisKommentar Internetrecht, 3. Aufl. 2011; Heidrich/Forgó/Feldmann, Heise Online-Recht, Loseblattwerk, Stand 3. Ergänzungslieferung 2011; Kempermann, Strafbarkeit nach § 206 StGB bei Kontrolle von MitarbeiterE-Mails? Rechtskonforme Lösungen zur Einhaltung von Compliance-Maßnahmen, ZD 2012, 12; Mengel, Kontrolle der Email- und Internet-Kommunikation am Arbeitsplatz, BB 2004, 2014; Mengel, Kontrolle der Telefonkommunikation am Arbeitsplatz, BB 2004, 1445; Müller-Glöge/Preis/Schmidt, Erfurter Kommentar zum Arbeitsrecht, 13. Aufl. 2013; Münchener Kommentar zum Strafgesetzbuch: StGB, Band 4: §§ 185–262 StGB, 2. Aufl. 2012; Olbert, Die Privatnutzung des Internets durch den Arbeitnehmer, AuA 2008, 76; Plath, BDSG, 2013; Pröpper/Römermann, Nutzung von Internet und E-Mail am Arbeitsplatz (Mustervereinbarung), MMR 2008, 514; Säcker, Berliner Kommentar zum Telekommunikationsgesetz, 2. Aufl. 2009; Schimmelpfennig/Wenning, Arbeitgeber als Telekommunikationsdienste-Anbieter?, DB 2006, 2290; Schönke/Schröder, Strafgesetzbuch: StGB, 28. Aufl. 2010; Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2011; Splittgerber, Keine (Fernmelde-)Geheimnisse vor dem Arbeitgeber?, NJW 2012, 1995; Vehslage, Privates Surfen im Büro, AnwBl 2001, 145; Weißnicht, Die Nutzung des Internet am Arbeitsplatz, MMR 2003, 448; Wolf/Mulert, Die Zulässigkeit der Überwachung von E-MailKorrespondenz am Arbeitsplatz, BB 2008, 442; Wolter, Systematischer Kommentar zum Strafgesetzbuch: SK-StGB, Loseblattwerk, Stand 136. Ergänzungslieferung 2012.
A. Einleitung 1
Fragen rund um die private Nutzung betrieblicher Kommunikationsmittel und sich daraus ergebende Konsequenzen stellen sich jedem Arbeitgeber und haben damit höchste praktische Relevanz. Wenngleich diese Themen bereits seit einigen Jahren in der juristischen Literatur diskutiert werden, sind viele Details weiterhin umstritten. Für Arbeitgeber gilt es, durch entsprechende Regelungen und Vereinbarungen die bestehenden Risiken bestmöglich zu reduzieren und so rechtliche Compliance herzustellen, aber auch die Unternehmensrealität und praktische Handhabung nicht aus den Augen zu verlieren.
2
Dabei ist die private Nutzung betrieblicher E-Mail- und Internet-Accounts in vielen Betrieben bislang unzureichend geregelt und wird faktisch geduldet. Schon aus personalpolitischer Sicht besteht häufig ein starkes Bedürfnis, die Privatnutzung nicht kategorisch zu untersagen, sondern auch insoweit einen angemessenen Ausgleich zwischen Arbeitgeber- und Mitarbeiterinteressen zu finden. Andererseits bergen unzureichende Regelungen die Gefahr, dass der Ar580
|
Rücker
Rz. 4 Teil 4 V
Vertragstext
beitgeber ihm obliegende andere rechtliche Pflichten sowie andere berechtigte Interessen nicht oder nur eingeschränkt wahrnehmen kann. Dieses Kapitel zeigt den rechtlichen Rahmen und Diskussionsstand zur privaten Nutzung betrieblicher Internet- und E-Mail-Accounts auf und erläutert ein Muster für eine diese Fragen regelnde Betriebsvereinbarung, die durch eine Einwilligung der betroffenen Mitarbeiter ergänzt wird.
3
Dabei ist zu beachten, dass unterschiedliche Varianten zur Regelung der Privatnutzung in Betracht kommen, die im Detail zu unterschiedlichen Ausgestaltungen führen. Auch Besonderheiten der Betriebs- und Unternehmensstrukturen sowie der im Einzelfall vorhandenen Betriebsratsgremien sind in der Praxis in jedem Einzelfall zu berücksichtigen. Vor diesem Hintergrund ist die hier erläuterte Betriebsvereinbarung kein allgemein gültiges Muster, sondern bedarf unter Berücksichtigung der Erläuterungen hierzu sowie insbesondere betriebsverfassungsrechtlicher Besonderheiten des Einzelfalls einer Anpassung im Einzelfall.
B. Muster E Betriebsvereinbarung zur Internet- und E-Mail-Nutzung
4
Zwischen der [Firma (inkl. Rechtsformzusatz) des Betriebes], vertreten durch [Vorname und Name], [Adresse] – nachstehend „Arbeitgeber“ genannt – und dem Betriebsrat der [Name des Betriebes], vertreten durch den/die Betriebsratsvorsitzende(n) Herrn/Frau [Vorname und Name], [Adresse] – nachstehend „Betriebsrat“ genannt – nachfolgend gemeinsam auch als „Parteien“ bezeichnet, wird zur Nutzung betrieblicher E-Mail- und Internet-Accounts folgende Betriebsvereinbarung (nachfolgend „BV“) geschlossen: 1. Präambel 1.1 Betriebliche E-Mail- und Internet-Accounts dienen als Betriebsmittel der möglichst effizienten Erfüllung betrieblicher Aufgaben. Arbeitgeber und Betriebsrat möchten neben der betrieblichen Nutzung in einem in dieser BV beschriebenen Rahmen auch eine private Nutzung betrieblicher E-Mail- und Internet-Accounts ermöglichen. Dies gilt aber nur, soweit Rücker
|
581
Teil 4 V
Rz. 4
Betriebsvereinbarung zur Internet- und E-Mail-Nutzung
und solange es für den Arbeitgeber nicht zu Nachteilen und Einschränkungen führt, die bei einem Verbot der Privatnutzung nicht bestehen würden. Insbesondere darf die Gestattung der Privatnutzung den Arbeitgeber nicht bei der Durchführung von Maßnahmen einschränken, zu denen er aus anderen rechtlichen Gründen verpflichtet ist, oder die aus anderen Gründen der Wahrnehmung betrieblicher Interessen dienen. Dies betrifft bspw. Maßnahmen zur Sicherstellung rechtlicher Compliance sowie bei internationalen Gerichtsverfahren und behördlichen Untersuchungen. 1.2 Um neben der rein betrieblichen Nutzung auch eine Privatnutzung zu ermöglichen und von einer Privatnutzung ausgehende Beschränkungen des Arbeitgebers zu vermeiden, schließen die Parteien diese BV. Die dieser BV als Anlage 1 beigefügte „Zusatzvereinbarung zum Arbeitsvertrag für die private Nutzung betrieblicher Kommunikationsmittel und Einwilligungserklärung“ (nachfolgend auch „Zusatzvereinbarung“) ist nicht Teil dieser BV, wird vom Betriebsrat aber zustimmend zur Kenntnis genommen. 2. Allgemeine Bestimmungen 2.1 Diese BV regelt die Beteiligung des Betriebsrats bei Einsatz und Betrieb von Systemen, die mit betrieblichen E-Mail- und Internet-Accounts in Zusammenhang stehen. 2.2 „E-Mail-Accounts“ sind den Mitarbeitern vom Arbeitgeber zur Verfügung gestellte Betriebsmittel, die eine individuelle Kommunikation per E-Mail ermöglichen und alle damit in Zusammenhang stehende Hard- und Software mit einschließen. 2.3 „Internet-Accounts“ sind den Mitarbeitern vom Arbeitgeber zur Verfügung gestellte Betriebsmittel, die einen Abruf von Informationen aus dem Internet ermöglichen und alle damit in Zusammenhang stehende Hard- und Software mit einschließen. 2.4 Diese BV findet Anwendung im Geltungsbereich des Betriebsverfassungsgesetzes (im Folgenden „BetrVG“) und gilt für alle Arbeitnehmer i.S.d. § 5 BetrVG. Für sonstige im Betrieb beschäftigte Dritte, die keine Arbeitnehmer i.S.d. § 5 BetrVG sind, können die Regelungen dieser BV über entsprechende vertragliche Vereinbarungen einbezogen werden. 2.5 Soweit die Regelungen dieser BV und/oder der Zusatzvereinbarung im Widerspruch zu anderen BV und/oder sonstigen betrieblichen Regelungen und/oder Weisungen des Arbeitgebers stehen, haben die Regelungen dieser BV und der Zusatzvereinbarung vorrangige Geltung. 3. Grundregeln zur Nutzung von E-Mail- und Internet-Accounts 3.1 Betriebliche E-Mail- und Internet-Accounts dienen in erster Linie und vorrangig betrieblichen Zwecken des Arbeitgebers. 3.2 Bei der Nutzung betrieblicher E-Mail- und/oder Internet-Accounts sind jedwede Handlungen untersagt, die geeignet sind, Interessen des Arbeit582
|
Rücker
Vertragstext
Rz. 4 Teil 4 V
gebers zu beeinträchtigen. Dies umfasst insbesondere Handlungen, die Gesetze, sonstige Rechtsvorschriften oder Rechte Dritter verletzen sowie sonstige Handlungen, die für den Arbeitgeber Nachteile mit sich bringen können und/oder das Ansehen des Arbeitgebers in der Öffentlichkeit beeinträchtigen. Deshalb sind bei der Nutzung betrieblicher E-Mail und/ oder Internet-Accounts insbesondere aber nicht abschließend folgende Handlungen untersagt: a) Abrufen, Anbieten oder Verbreiten von Inhalten, die gegen datenschutzrechtliche, persönlichkeitsrechtliche, urheberrechtliche oder strafrechtliche Bestimmungen verstoßen; b) Herunterladen von Software, Musik oder urheberrechtlich geschützten Inhalten unter Verletzung von Lizenzen und/oder Urheberrechten, selbst wenn es vermeintlich zu geschäftlichen Zwecken geschieht; c) Abrufen, Anbieten oder Verbreiten beleidigender, verleumderischer, verfassungsfeindlicher, rassistischer, gewaltverherrlichender, sexistischer oder pornografischer Äußerungen, Abbildungen oder Inhalte; d) Anbieten oder Verbreiten weltanschaulicher oder politischer Aussagen; e) Verbreiten von Computer-Viren oder sonstiger Schadsoftware; f) Abrufen, Anbieten oder Verbreiten von für den Arbeitgeber kostenpflichtigen Internet-Seiten oder sonstigen kostenpflichtigen Leistungen zu nicht betrieblichen Zwecken; g) Nutzung von Chat-Funktionalitäten und -angeboten zu privaten Zwecken. 4. Privatnutzung 4.1 Allgemeine Regelungen zur Privatnutzung 4.1.1 Soweit nach dieser BV und der Zusatzvereinbarung eine Privatnutzung gestattet ist, erfolgt diese auf denselben technischen Systemen, auf denen auch die betrieblich veranlasste Nutzung stattfindet. 4.1.2 Mitarbeiter haben keine Ansprüche auf eine Gestattung der privaten Nutzung betrieblicher E-Mail- und/oder Internet-Accounts. Soweit der Arbeitgeber über diese BV und die diese ergänzende Zusatzvereinbarung eine Privatnutzung gestattet, erfolgt diese Gestattung freiwillig und steht im alleinigen Ermessen des Arbeitgebers. Der Arbeitgeber ist jederzeit berechtigt, die Gestattung der Privatnutzung ganz oder teilweise zu widerrufen und/oder zu beenden. Dies gilt insbesondere, wenn Mitarbeiter die sich aus dieser BV ergebenden Pflichten verletzen. 4.1.3 Zwar sprechen einige Gerichtsentscheidungen dafür, dass der Arbeitgeber bei einer Gestattung der Privatnutzung betrieblicher E-Mail- und Internet-Accounts nicht an das Fernmeldegeheimnis Rücker
|
583
Teil 4 V
Rz. 4
Betriebsvereinbarung zur Internet- und E-Mail-Nutzung
nach § 88 des Telekommunikationsgesetzes (im Folgenden „TKG“) gebunden ist. Angesichts dessen, dass diese Entscheidungen keinen Bestand haben könnten oder sich die insoweit ohnehin umstrittene Rechtslage ändern sollte, steht die Gestattung der Privatnutzung betrieblicher E-Mail- und Internet-Accounts stets unter dem Vorbehalt, dass der jeweilige Mitarbeiter die Zusatzvereinbarung unterzeichnet und so der Arbeitgeber durch seine ausdrückliche Einwilligung von den Beschränkungen des Fernmeldegeheimnisses nach § 88 TKG befreit hat. 4.1.4 Die Einwilligung des jeweiligen Mitarbeiters ist freiwillig und der Mitarbeiter kann diese jederzeit mit Wirkung für die Zukunft widerrufen. Ab Zugang seines Widerrufs entfällt gleichzeitig mit Wirkung für die Zukunft seine Berechtigung zu jedweder Privatnutzung betrieblicher E-Mail- und Internet-Accounts. Sofern keine berechtigten Interessen des jeweiligen Mitarbeiters entgegenstehen, ist ein Widerruf seiner Einwilligung allerdings insoweit ausgeschlossen, wie dadurch die Verarbeitung und Nutzung von Informationen in Zusammenhang mit der Nutzung betrieblicher E-Mail- und Internet-Accounts aus dem Zeitraum vor dem Widerruf eingeschränkt würde. Damit bleibt der Arbeitgeber auch im Falle eines Widerrufs der Einwilligung für Informationen in Zusammenhang mit der Nutzung betrieblicher E-Mail- und Internet-Accounts für diejenigen Zeiträume von den Beschränkungen des Fernmeldegeheimnisses befreit, in denen die Privatnutzung gestattet war. 4.1.5 Der Arbeitgeber gewährt dem Mitarbeiter keine Mindestverfügbarkeit und/oder Fehlerfreiheit der betrieblichen E-Mail- und Internet-Accounts und damit zusammenhängender technischer Einrichtungen. Der Mitarbeiter ist für eine etwaige Sicherung privater Inhalte selbst verantwortlich. Der Arbeitgeber ist gegenüber dem Mitarbeiter weder für etwaige Fehler und/oder Ausfälle der betrieblichen E-Mail- und Internet-Accounts und damit im Zusammenhang stehender technischer Einrichtungen verantwortlich, noch für etwaige daraus folgende Schäden und andere Nachteile, insbesondere Datenverluste. 4.2 Umfang der Privatnutzung 4.2.1 Die Mitarbeiter haben eine Privatnutzung betrieblicher E-Mailund Internet-Accounts in Art und Umfang eigenverantwortlich so zu beschränken, dass Interessen des Arbeitgebers hierdurch nicht beeinträchtigt werden. 4.2.2 Die Privatnutzung ist auf gelegentliche Fälle zu beschränken, so dass insbesondere die ordnungsgemäße Erfüllung der geschuldeten Arbeitsleistung und sonstiger dem jeweiligen Mitarbeiter obliegender Pflichten sichergestellt ist und nicht beeinträchtigt wird. Eine solche Beeinträchtigung ist grundsätzlich nicht anzunehmen, wenn die Privatnutzung auf Pausenzeiten oder die Freizeit des je584
|
Rücker
Vertragstext
Rz. 4 Teil 4 V
weiligen Mitarbeiters beschränkt ist oder einen Umfang von insgesamt … Minuten/Stunden pro Tag/Woche [Regelungen zum Zeitraum noch anzupassen/zu ergänzen] nicht überschreitet. 4.3 E-Mails und Daten zur Internetnutzung von ausgeschiedenen oder verstorbenen Mitarbeitern 4.3.1 Bei Ausscheiden oder Versterben des Mitarbeiters unterliegen die betriebliche E-Mail-Korrespondenz des Mitarbeiters und die im Zusammenhang mit dessen Internetnutzung gespeicherten Daten weiterhin der ausschließlichen Verfügungsbefugnis des Arbeitgebers. 4.3.2 Bei Ausscheiden des Mitarbeiters trägt dieser die alleinige Verantwortung für die vorherige Sicherung und Löschung seiner privaten E-Mail-Korrespondenz. Mit Wirksamwerden des Ausscheidens des Mitarbeiters wird die private E-Mail-Korrespondenz des Mitarbeiters nur insoweit gelöscht, als sie sich in einem Privatordner befindet. Eine isolierte Löschung in die Langzeitarchivierung überführter privater E-Mails erfolgt nicht. 4.3.3 Nach dem Ausscheiden des Mitarbeiters werden auf seinem betrieblichen E-Mail-Account eingehende E-Mails für einen Zeitraum von drei weiteren Monaten auf einen vom Arbeitgeber zu benennenden anderen Mitarbeiter umgeleitet, um die Bearbeitung eingehender betrieblicher Korrespondenz sicherzustellen. Etwaige private E-Mails werden von dem vom Arbeitgeber zu benennenden zuständigen Mitarbeiter auf Wunsch des ausgeschiedenen Mitarbeiters auf einen von ihm zu benennenden privaten E-Mail-Account weitergeleitet. Der Mitarbeiter verpflichtet sich, den jeweiligen Absendern seine private E-Mail-Adresse umgehend mitzuteilen und diese darauf hinzuweisen, die betriebliche E-Mail-Adresse zukünftig nicht mehr für private Korrespondenz zu nutzen. 4.3.4 Bei Versterben des Mitarbeiters informiert der Arbeitgeber dessen Erben auf entsprechende Anfrage der Erben über das Vorhandensein privater E-Mail-Korrespondenz des verstorbenen Mitarbeiters. Auf Wunsch der Erben sichert der Arbeitgeber die in einem Privatordner befindliche private E-Mail-Korrespondenz des verstorbenen Mitarbeiters und übergibt diese den Erben. Sofern innerhalb … [Zeitraum noch zu ergänzen] nach Versterben des Mitarbeiters keine entsprechende Anfrage der Erben beim Arbeitgeber eingegangen ist, löscht der Arbeitgeber die in dem Privatordner befindliche private E-Mail-Korrespondenz des verstorbenen Mitarbeiters. 4.3.5 Bei Versterben des Mitarbeiters gilt Ziffer 4.3.3 entsprechend mit der Maßgabe, dass etwaige E-Mails privater Natur von dem vom Arbeitgeber zu benennenden zuständigen Mitarbeiter auf einen vom Erben des verstorbenen Mitarbeiters zu benennenden privaten E-Mail-Account weitergeleitet werden.
Rücker
|
585
Teil 4 V
Rz. 4
Betriebsvereinbarung zur Internet- und E-Mail-Nutzung
5. Spezielle Regeln für E-Mail-Accounts 5.1 Betriebliche E-Mails 5.1.1 Betriebliche E-Mail-Korrespondenz unterliegt ebenso wie sonstige über andere Kommunikationswege geführte betriebliche Korrespondenz, etwa Briefe oder Telefaxe, der ausschließlichen Verfügungsbefugnis des Arbeitgebers. 5.1.2 Vor diesem Hintergrund können der Vorgesetzte des jeweiligen Mitarbeiters und von ihm bestimmte andere Mitarbeiter des Arbeitgebers jederzeit lesenden Zugriff auf die betriebliche E-MailKorrespondenz anderer Mitarbeiter nehmen soweit dies betrieblichen Zwecken dient. 5.1.3 Unabhängig von den nach sonstigen in dieser BV gewährten Zugriffsrechten, insbesondere nach Ziffer 5.1.2, haben die Mitarbeiter die Möglichkeit, anderen Mitarbeitern durch die Vornahme entsprechender Einstellungen selektive Zugriffsmöglichkeiten auf ihre E-Mail-Accounts zu gewähren, wobei für die Reichweite dieser Zugriffe unterschiedliche Berechtigungsstufen unterschieden werden. 5.1.4 Der Arbeitgeber ist jederzeit berechtigt, in Zusammenhang mit etwaigen Vorlagepflichten gegenüber Gerichten und/oder Behörden im In- und Ausland sowie im Rahmen interner Untersuchungen, etwa zu Compliance-Themen, auf betriebliche E-Mails und betriebliche Ordner der Mitarbeiter zuzugreifen, deren Inhalte auszuwerten und an im In- oder Ausland belegene Stellen zu übermitteln. 5.2 Private E-Mail und Privatordner 5.2.1 Die betrieblichen E-Mail-Accounts verfügen über unterschiedliche elektronische Ordner, die der strukturierten Ablage von E-MailKorrespondenz dienen. Soweit Mitarbeitern die Privatnutzung gestattet ist, ist systemseitig auch ein ausschließlich für die Ablage von Privatkorrespondenz bestimmter Ordner (im Folgenden „Privatordner“) vorhanden oder es ist ein solcher Ordner durch den Nutzer anzulegen. 5.2.2 Die Mitarbeiter sind verpflichtet, private Korrespondenz von betrieblicher Korrespondenz bestmöglich zu trennen. Hierzu sind ein- und ausgehende E-Mails stets unverzüglich entweder zu löschen oder in den Privatordner zu verschieben. 5.2.3 Mitarbeiter sind nicht berechtigt, Korrespondenz, die nicht ausschließlich privater Natur und damit zumindest auch betrieblicher Natur ist, in den Privatordner zu verschieben. Die Inhalte der Privatordner sind jeweils schnellstmöglich zu löschen oder auf privaten Speichermedien zu sichern. 5.2.4 E-Mails, die nicht ausschließlich private Inhalte sondern zumindest auch geschäftliche Inhalte zum Gegenstand haben, sind als betriebliche E-Mails anzusehen. 586
|
Rücker
Vertragstext
Rz. 4 Teil 4 V
5.2.5 Über den betrieblichen E-Mail-Anschluss versendete private E-Mails sind am Anfang der Betreffzeile durch den Begriff „Privat:“ zu kennzeichnen. Soweit die ausschließlich private Natur nicht eindeutig durch Kennzeichnung als „Privat:“ aus der Betreffzeile erkennbar ist, wird vermutet, dass alle außerhalb des Privatordners und damit in betrieblichen Ordnern gespeicherten E-Mails geschäftlicher Natur sind. 5.3 Einsichtnahme in den Privatordner 5.3.1 Da der Privatordner ausschließlich der Ablage privater E-Mail-Korrespondenz dient, sind die Zugriffsmöglichkeiten des Arbeitgebers insoweit eingeschränkt. Deshalb darf ein Zugriff durch den Arbeitgeber auf Privatordner grundsätzlich nur im Rahmen der Missbrauchskontrolle und innerhalb der hierfür vorgesehenen Grenzen erfolgen (hierzu Ziffer 7). 5.3.2 Soweit dies zur Sicherstellung eines ordnungsgemäßen Betriebes der betrieblichen E-Mail-Accounts erforderlich ist, ist der Arbeitgeber berechtigt, auch auf Privatordner der Mitarbeiter zuzugreifen (insbesondere zur Fehleranalyse und Fehlerkorrektur, Systemoptimierung und Kapazitätsplanung). Hierüber ist der jeweilige Mitarbeiter zu informieren. 5.3.3 Zudem ist der Arbeitgeber berechtigt, in Zusammenhang mit etwaigen Vorlagepflichten gegenüber Gerichten und/oder Behörden im In- und Ausland sowie im Rahmen interner Untersuchungen, etwa zu Compliance-Themen, auf die Privatordner der Mitarbeiter zuzugreifen, deren Inhalte auszuwerten und soweit erforderlich auch an im In- oder Ausland belegene Stellen zu übermitteln. 6. Spezielle Regeln für Internet-Accounts 6.1 Filtersysteme 6.1.1 Der Arbeitgeber ist jederzeit berechtigt, zur auch faktischen Verhinderung und weiteren Reduzierung von Risiken eines Missbrauchs betrieblicher Internet-Accounts technische Vorkehrungen zu treffen, die insbesondere dafür sorgen, dass etwaige verbotene Internetseiten und/oder Inhalte blockiert werden und gar nicht abrufbar sind. Hierzu zählen insbesondere softwaregestützte Filtersysteme, die den Zugriff auf bestimmte Webseiten/URLs schon faktisch unterbinden. 6.1.2 Der Arbeitgeber kann solche Filter nach seinem ausschließlichen Ermessen konfigurieren, wobei hierbei Aspekte der betrieblichen Nutzung überwiegen. 6.2 Protokollierung der Nutzung betrieblicher Internet-Accounts Bei der Nutzung betrieblicher Internet-Accounts werden ebenfalls bestimmte Informationen protokolliert und gespeichert. Eine UnterscheiRücker
|
587
Teil 4 V
Rz. 4
Betriebsvereinbarung zur Internet- und E-Mail-Nutzung
dung zwischen dienstlicher und privater Nutzung ist insoweit nicht möglich, weil beide Nutzungsarten über dieselbe technische Infrastruktur erfolgen. Diese Informationen können auch personenbezogene Daten des Nutzers enthalten, insbesondere Informationen über besuchte Websites und dort vorgenommene Aktivitäten des Nutzers. 7. Missbrauchskontrolle 7.1 Keine generelle Überwachung Eine generelle Überwachung der Nutzung betrieblicher E-Mail- und Internet-Accounts findet nicht statt. 7.2 Einsichtnahme und Auswertung 7.2.1 Soweit ein Verdacht besteht, dass der Mitarbeiter betriebliche E-Mail- und/oder Internet-Accounts rechtswidrig oder unter Verstoß gegen diese BV nutzt oder soweit entsprechende Rechtsverstöße des Mitarbeiters feststehen, ist der Arbeitgeber berechtigt, die gespeicherten Daten zur Internetnutzung und/oder die Privatordner des betroffenen Mitarbeiters einzusehen und auszuwerten und Mitarbeiter von der Privatnutzung vorübergehend oder dauerhaft auszuschließen. 7.2.2 Der Zugriff auf die Protokolldaten erfolgt durch den Systemverantwortlichen und den Datenschutzbeauftragten. 7.2.3 Über die Einsichtnahme und Auswertung wird ein Protokoll erstellt, von dem der Mitarbeiter eine Abschrift erhält. 7.3 Arbeitsrechtliche Konsequenzen bei Verstößen gegen diese BV Zuwiderhandlungen des Mitarbeiters gegen diese BV können zu Ermahnungen und/oder Abmahnungen bis hin zu Kündigungen sowie zu Schadensersatzansprüchen des Arbeitgebers gegen den Mitarbeiter führen. 8. Schlussbestimmungen 8.1 Verschwiegenheitspflicht Der Betriebsrat und jedes einzelne seiner Mitglieder haben über die ihnen in Ausübung ihres Amtes bekannt gewordenen vertraulichen Informationen Stillschweigen zu bewahren und dürfen diese Informationen Dritten nicht zur Kenntnis bringen. Vertrauliche Informationen in diesem Sinne sind neben ausdrücklich als „vertraulich“ gekennzeichneten Informationen auch aus den Umständen erkennbar als vertraulich zu behandelnde Informationen, personenbezogene Daten der betroffenen Arbeitnehmer und insbesondere in Zusammenhang mit der Einsichtnahme in E-Mail-Accounts und Daten zur Nutzung von Internet-Accounts erlangte Informationen. Die gesetzlichen Pflichten des Betriebsrates und seiner Mitglieder nach § 79 BetrVG bleiben unberührt.
588
|
Rücker
Rz. 4 Teil 4 V
Vertragstext
8.2 Ablösung von Betriebsvereinbarungen Die BV löst folgende BV ab: – [Bezeichnung und Datum der abzulösenden Betriebsvereinbarung sind hier zu ergänzen] – [Bezeichnung und Datum der abzulösenden Betriebsvereinbarung sind hier zu ergänzen] 8.3 Inkrafttreten, Kündigung und Nachwirkung 8.3.1 Diese BV tritt mit Unterzeichnung in Kraft. 8.3.2 Sie kann mit einer Frist von … [Kündigungsfrist noch zu ergänzen] Monaten zum Ende eines Kalenderjahres gekündigt werden, erstmals jedoch zum … [Datum für Mindestlaufzeit zu ergänzen, falls eine solche gewünscht ist]. 8.3.3 Ab Wirksamwerden einer Kündigung dieser BV ist allen Mitarbeitern die private Nutzung betrieblicher E-Mail- und InternetAccounts untersagt. Im Falle der Beendigung dieser BV entfaltet diese nur noch insoweit Nachwirkung, als sie etwaige Eingriffe in Datenschutzrecht und das Fernmeldegeheimnis regelt, insbesondere mit Blick auf solche Daten und Informationen, die während einer gestatteten Privatnutzung betrieblicher E-Mail- und InternetAccounts angefallen sind. Anlage: Zusatzvereinbarung zum Arbeitsvertrag für die private Nutzung betrieblicher Kommunikationsmittel und Einwilligungserklärung [Ort], [Datum] [Name und Gesellschaftsform des Arbeitgebers]: … (Vertreter [Arbeitgeber])
… i.V. (Vertreter [Arbeitgeber])
Betriebsrat der [Name und Gesellschaftsform des Arbeitgebers]: … (Vertreter Betriebsrat)
… (Vertreter Betriebsrat)
Anlage: Zusatzvereinbarung zur privaten Nutzung betrieblicher Kommunikationsmittel und Einwilligungserklärung Die … [Name und Gesellschaftsform des Arbeitgebers zu ergänzen] (im Folgenden „Unternehmen“) stellt Ihnen einen E-Mail-Account sowie einen InternetAccount zur Verfügung, die als Arbeitsmittel grundsätzlich nur der betrieblichen Aufgabenerfüllung dienen. Wenngleich die betriebliche Nutzung stets Vorrang hat, gestattet das Unternehmen Ihnen in gewissen Grenzen auch eine private Nutzung dieser Arbeitsmittel. Der genaue Umfang der gestatteten und damit zulässigen Privatnutzung sowie die dem Unternehmen zustehenden Zugriffsrechte auf in Zusammenhang mit der Nutzung betrieblicher E-Mail- und Rücker
|
589
Teil 4 V
Rz. 4
Betriebsvereinbarung zur Internet- und E-Mail-Nutzung
Internet-Accounts sind in der hierzu abgeschlossenen Betriebsvereinbarung „Betriebsvereinbarung zur Internet- und E-Mail-Nutzung“ vom … [Datum der Betriebsvereinbarung zu ergänzen] (nachfolgend auch „BV“) im Einzelnen beschrieben. Für Mitarbeiter, die dem Anwendungsbereich der BV nicht direkt unterfallen, werden die Regelungen der BV zur Internet- und E-Mail-Nutzung durch diese Zusatzvereinbarung rechtsverbindlich vereinbart. Wir möchten besonders hervorheben, dass Sie nach Ziffer 5.2.2 der BV verpflichtet sind, ein- und ausgehende private E-Mails stets unverzüglich in einen hierfür gesondert eingerichteten „Privatordner“ zu verschieben und damit von betrieblicher Korrespondenz streng zu trennen. Es ist Ihnen ausdrücklich nicht gestattet, Korrespondenz, die nicht ausschließlich privater Natur und damit zumindest auch betrieblicher Natur ist, in den Privatordner zu verschieben (vgl. Ziffer 5.2.3 der BV). Wir behalten uns das Recht vor, soweit dies Interessen des Unternehmens dient (z.B. im Zusammenhang mit Gerichtsverfahren, behördlichen Untersuchungen, internen Ermittlungen sowie zur Missbrauchskontrolle), betriebliche E-Mail-Postfächer sowie zur Internetnutzung gespeicherte Daten einzusehen und auszuwerten. Der genaue Umfang und die Grenzen etwaiger Einsichtnahmen und Auswertungen sind im Einzelnen in der BV sowie in etwaigen diese ergänzenden BV beschrieben. Einige Gerichtsentscheidungen sprechen dafür, dass das Unternehmen bei einer Gestattung der Privatnutzung betrieblicher E-Mail- und Internet-Accounts nicht an das Fernmeldegeheimnis nach § 88 des Telekommunikationsgesetzes (im Folgenden „TKG“) gebunden ist. Für den Fall, dass diese Entscheidungen keinen Bestand haben sollten oder sich die Rechtslage ändern sollte, steht die Gestattung der privaten Nutzung betrieblicher E-Mail- und Internet-Accounts stets unter dem Vorbehalt, dass Sie das Unternehmen durch Ihre Einwilligung von den Beschränkungen des Fernmeldegeheimnisses nach § 88 TKG befreien. Ihre Einwilligung ist freiwillig. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Ab Zugang Ihres Widerrufs entfällt Ihre Berechtigung zu jedweder privater Nutzung betrieblicher E-Mail- und InternetAccounts, ebenfalls mit Wirkung für die Zukunft. Ein Widerruf Ihrer Einwilligung ist allerdings ausgeschlossen, soweit dadurch die Verarbeitung und Nutzung solcher Informationen eingeschränkt würde, die sich auf die Nutzung betrieblicher E-Mail- und/oder Internet-Accounts aus dem Zeitraum vor dem Widerruf beziehen. Insoweit bleibt das Unternehmen auch im Falle eines Widerrufs Ihrer Einwilligung für diejenigen Zeiträume von den Beschränkungen des Fernmeldegeheimnisses befreit, in denen Ihnen die Privatnutzung gestattet war. Dieser Ausschluss des Widerrufsrechts gilt nur, sofern Ihre berechtigten Interessen dem nicht entgegenstehen. Mit meiner Unterschrift erkläre ich mich einverstanden mit den Regeln für die private Nutzung betrieblicher E-Mail und Internet-Accounts, die in dieser Zusatzvereinbarung zu meinem Arbeitsvertrag beschrieben sind. Hiermit befreie ich … [Name des Unternehmens zu ergänzen] höchstvorsorglich von der Einhaltung des Fernmeldegeheimnisses nach § 88 TKG und von 590
|
Rücker
Rz. 7 Teil 4 V
Erläuterungen
etwaigen davon ausgehenden Beschränkungen, soweit es um die private Nutzung betrieblicher E-Mail- und Internet-Accounts geht. Ich bestätige mit meiner Unterschrift zugleich, dass mir eine Kopie der BV ausgehändigt wurde. … Ort, Datum
… Ort, Datum
… Unterschrift Arbeitgeber
… Unterschrift Arbeitnehmer
C. Erläuterungen I. Vorbemerkungen Die folgenden Vorbemerkungen beleuchten zunächst die datenschutzrechtlichen und telekommunikationsrechtlichen Grundlagen der privaten Nutzung betrieblicher Kommunikationsmittel. Diese bilden die Grundlage für die konkrete Gestaltung der Betriebsvereinbarung sowie sonstiger Vereinbarungen und Regelungen zur Ausgestaltung der Privatnutzung.
5
1. Grundlagen a) Risiken bei nicht ausreichender Regelung der Privatnutzung Nach wohl noch überwiegender Meinung in der juristischen Literatur sind Unternehmen, die ihren Mitarbeitern die private Nutzung betrieblicher Kommunikationsmittel schon dem Grunde nach gestatten, gegenüber ihren Mitarbeitern als Anbieter von Telekommunikationsleistungen anzusehen und müssen damit die Vorschriften des TKG beachten. Gegenteilige Ansichten in Rechtsprechung und Literatur haben sich derzeit noch nicht auf breiter Front durchgesetzt, bieten den betroffenen Unternehmen aber zumindest einen gewissen Argumentationsspielraum gegen eine Anwendung des TKG.
6
Dem TKG unterfallende Unternehmen haben das Fernmeldegeheimnis (§ 88 TKG) sowie die spezifischen telekommunikationsrechtlichen Datenschutzvorschriften (§§ 91 ff. TKG) zu beachten. Die sich daraus ergebenden Grenzen für den betrieblichen Umgang mit E-Mail- und Internet-Accounts können zu erheblichen Einschränkungen der unternehmerischen Handlungsfreiheit und anderen für das Unternehmen nachteiligen Konsequenzen führen:
7
– Mitarbeiter dürfen keinen Einblick erhalten in E-Mail-Postfächer oder Details von sonstigen Kommunikationsvorgängen anderer Mitarbeiter über das Internet, wie es etwa im Falle einer Krankheitsvertretung oder Nachfolge angezeigt sein kann. – Nehmen Mitarbeiter solche Inhalte unter Verstoß gegen das Fernmeldegeheimnis dennoch zur Kenntnis und geben diese Informationen an Dritte weiter, so können sie sich nach § 206 StGB strafbar machen. Rücker
|
591
Teil 4 V
Rz. 8
Betriebsvereinbarung zur Internet- und E-Mail-Nutzung
– Informationen, die unter Verstoß gegen das Fernmeldegeheimnis oder datenschutzrechtliche Vorschriften gewonnen wurden, können Beweisverwertungsverboten unterliegen und damit rechtlich gegenüber dem Rechtsverletzer unverwertbar sein, so etwa bei Fällen von Missbrauch des Internets. – In der Praxis immer wichtiger werdende interne Ermittlungen in Form einer Sichtung von E-Mail-Postfächern und Internetverbindungsprotokollen, etwa in Zusammenhang mit anstehenden Untersuchungen von Aufsichtsbehörden, sind wegen der Beschränkungen des Fernmeldegeheimnisses grundsätzlich nicht gestattet. – Auch eine Herausgabe kompletter Kommunikationsinhalte, insbesondere gesamter E-Mail-Postfächer, an Dritte ist grundsätzlich unzulässig und wäre sogar strafbewehrt. Dies ist insbesondere für interne Ermittlungen und E-Discovery-Verfahren in Zusammenhang mit ausländischen Ermittlungen problematisch. Auch diese Formen der Herausgabe und Einsichtnahme in Kommunikationsinhalte werden in der Praxis immer wichtiger. – Auch bei der elektronischen Archivierung über den betrieblichen E-MailAccount geführter Kommunikation treffen den Arbeitgeber Einschränkungen wegen etwaiger im betrieblichen E-Mail-Account möglicherweise enthaltener auch privater Kommunikation. Wegen solcher auch privater Kommunikation können sich ferner rechtliche Barrieren beim Einsatz von Spam-Filtern ergeben. 8
In der Praxis bestehen unabdingbare betriebliche Bedürfnisse, Daten über die E-Mail- und Internetnutzung nicht nur zu erheben, sondern unter bestimmten Umständen auch für die Einsicht durch andere Mitarbeiter oder sonstige Dritte zu öffnen. Deshalb kann schon unter dem Aspekt rechtlicher Compliance eine Gestattung der Privatnutzung nur dann in Betracht kommen, wenn die damit einhergehenden Eingriffe in Fernmeldegeheimnis und Datenschutzrecht in vertretbarer Weise gerechtfertigt werden können.
b) Ausgestaltung der Privatnutzung durch Betriebsvereinbarung und/oder Zusatzvereinbarung 9
In Unternehmen mit Betriebsrat ist eine Betriebsvereinbarung zur Internetund E-Mail-Nutzung ein möglicher Weg, die Privatnutzung betrieblicher Kommunikationsmittel durch Mitarbeiter im Betrieb inhaltlich auszugestalten. Die Betriebsvereinbarung hat die Gestalt eines Vertrags zwischen Arbeitgeber und Betriebsrat, entfaltet jedoch unmittelbare Wirkung gegenüber den Mitarbeitern, ohne dass sie explizit in die individuellen Arbeitsverträge mit eingebunden werden muss. Sie hat daher also den Charakter einer Rechtsvorschrift, nicht jedoch den eines formellen Gesetzes.
10
In Ergänzung zu einem Vorschlag für eine mögliche Betriebsvereinbarung enthält dieses Kapitel eine Zusatzvereinbarung. Diese sollte mit jedem Mitarbeiter geschlossen werden, um noch verbleibende Rechtsunsicherheiten zu reduzieren, die eine Betriebsvereinbarung nicht zu beseitigen vermag. 592
|
Rücker
Erläuterungen
Rz. 15 Teil 4 V
In Unternehmen, die keinen Betriebsrat haben, bietet es sich an, die in der Betriebsvereinbarung und der Zusatzvereinbarung enthaltenen Regelungen zur privaten Nutzung betrieblicher E-Mail- und Internet-Accounts einheitlich in eine Zusatzvereinbarung zum Arbeitsvertrag zu konsolidieren.
11
c) Typische Varianten der Gestattung/Einschränkung der Privatnutzung Aus rein rechtlicher Sicht am einfachsten und sichersten wäre es, jede Form der Privatnutzung betrieblicher E-Mail- und Internet-Accounts kategorisch zu untersagen. Dies ist aber in den meisten Unternehmen aus insbesondere personalpolitischen Gründen nicht gewünscht. In der Praxis finden sich deshalb häufig Kompromissregelungen, nach denen die private Nutzung betrieblicher E-Mail-Accounts komplett untersagt wird, wobei gleichzeitig die private Nutzung betrieblicher Internet-Accounts einschließlich Webmail-Diensten in gewissen Grenzen gestattet wird. Je weiter das Verbot der Privatnutzung reicht, desto geringer ist der rechtliche Rechtfertigungsaufwand.
12
Der hier vorliegende Vorschlag einer Betriebsvereinbarung nebst Zusatzvereinbarung geht von dem rechtlich schwierigsten Fall aus, dass die Privatnutzung betrieblicher E-Mail- und Internet-Accounts trotz Einschränkungen bei Inhalt und Umfang der Privatnutzung zumindest dem Grunde nach gestattet sein soll. Angesichts umfangreicher Gestattungen der Privatnutzung ist in diesem Fall der Rechtfertigungsaufwand für Einsichtnahmen in Daten zur E-Mail- und Internetnutzung am höchsten. Soweit bestimmte Nutzungen kategorisch verboten werden sollen, können die Regelungen zu Art und Umfang der noch erlaubten Nutzung durch entsprechende Nutzungsverbote ersetzt werden.
13
2. Rechtliche Hintergründe – Arbeitgeber als „Diensteanbieter“ gemäß § 3 Abs. 6 TKG Durch die Gestattung auch der privaten Nutzung betrieblicher Kommunikationsmittel steht die Frage im Raum, ob der Arbeitgeber infolgedessen als Diensteanbieter i.S.d. § 3 Nr. 6 TKG anzusehen ist.
14
Bei Gestattung der privaten Nutzung betrieblicher E-Mail- und Internet-Accounts sollen Arbeitgeber nach der h.M. als Diensteanbieter i.S.v. § 3 Nr. 6 TKG anzusehen sein. Dies soll schon dann gelten, wenn die private Nutzung dem Grunde nach gestattet ist, folglich unabhängig vom Umfang der Gestattung1. Einige auch neuere Stimmen in Rechtsprechung und Literatur lehnen eine Anwendung des TKG auf Arbeitgeber bei nicht verbotener Privatnutzung hingegen ab2. 1 So i.Erg. etwa Simitis/Seifert, § 32 BDSG Rz. 92 m.w.N.; Säcker, Berliner Kommentar zum TKG, § 3 Rz. 16; AK Medien v. 24.9.2007, S. 2; Hanebeck/Neunhoeffer, K&R 2006, 112 (113); Eckhardt, DuD 2006, 365 (368); Weißnicht, MMR 2003, 448 (449); Vehslage, AnwBl 2001, 145 (147); Wolf/Mulert, BB 2008, 442. 2 So i.Erg. etwa auch das LAG Berlin v. 16.2.2011 – 4 Sa 2132/10, allerdings ohne hinreichende Begründung; LAG Niedersachsen v. 31.5.2010 – 12 Sa 875/09, MMR 2010, 639 (640); ebenso i.Erg. auch Wybitul, ZD 2011, 69 (71 f.) m.w.N.
Rücker
|
593
15
Teil 4 V
Rz. 16
Betriebsvereinbarung zur Internet- und E-Mail-Nutzung
Diese Auffassung wird teilweise damit begründet, dass der Arbeitgeber bei Gestattung der Privatnutzung nicht „geschäftsmäßig“ Telekommunikationsleistungen erbringe1. Dem ist entgegenzuhalten, dass ein „geschäftsmäßiges Erbringen von Telekommunikationsdiensten“ nach § 3 Nr. 10 TKG als „das nachhaltige Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht“ definiert ist. Das erfordert nicht notwendig auch eine Entgeltlichkeit, sondern nur eine gewisse Nachhaltigkeit2. Gegen eine Anwendung des TKG auf Arbeitgeber bei nicht verbotener Privatnutzung könnte auch sprechen, dass der Arbeitnehmer nicht als „Dritter“ i.S.v. § 3 Nr. 10 TKG angesehen wird, gegenüber dem der Arbeitgeber Telekommunikationsleistungen erbringt3. Da das TKG den Begriff des „Dritten“ nicht definiert, wird hier teilweise auf die datenschutzrechtliche Abgrenzung gem. § 11 Abs. 1 Nr. 1 TMG zurückgegriffen. Danach sollen die für Telemedien geltenden spezifischen datenschutzrechtlichen Vorschriften nicht gelten, soweit die Bereitstellung von Telemedien „im Dienst- und Arbeitsverhältnis zu ausschließlich beruflichen oder dienstlichen Zwecken“ erfolgt. Überträgt man diese Argumentation auf den telekommunikationsrechtlichen Regelungskontext, so wäre der Arbeitgeber gegenüber dem Arbeitnehmer selbst bei gestatteter Privatnutzung nicht als Diensteanbieter i.S.d. TKG anzusehen. 16
Die zumindest derzeit wohl noch vorherrschende Meinung bejaht allerdings bei nicht verbotener Privatnutzung die Anwendung des TKG auf Arbeitgeber. Höchstrichterliche Entscheidungen zu dieser Frage liegen bislang nicht vor. Die in diesem Kapitel beschriebenen Regelungen adressieren die von einer unterstellten Anwendbarkeit des TKG ausgehenden Risiken und zeigen Wege zu deren Reduzierung auf.
3. Folgen der Anwendbarkeit des TKG 17
Die Anwendung des TKG führt dazu, dass die betroffenen Unternehmen für die Nutzung der von ihnen zur Verfügung gestellten betrieblichen Kommunikationsmittel neben den spezialgesetzlichen datenschutzrechtlichen Regelungen nach den §§ 91 ff. TKG auch das Fernmeldegeheimnis nach § 88 TKG einzuhalten haben.
a) Spezialgesetzliche Datenschutzvorschriften der §§ 91 ff. TKG 18
Soweit Mitarbeiter betriebliche Kommunikationsmittel auch zu privaten Zwecken nutzen dürfen, unterfallen grundsätzlich sämtliche mit dieser privaten Nutzung in Zusammenhang stehende personenbezogene Daten dem Anwendungsbereich auch der spezialgesetzlichen telekommunikationsrechtlichen Datenschutzvorschriften nach den §§ 91 ff. TKG.
19
Wendet man diese auf das Verhältnis zwischen dem Arbeitgeber und seinen Mitarbeitern an, so sieht sich der Arbeitgeber hier einem sehr restriktiven Re1 Splittgerber, NJW 2012, 1995 (1999). 2 Splittgerber, NJW 2012, 1995 (1999). 3 Splittgerber, NJW 2012, 1995 (1999) m.w.N.
594
|
Rücker
Erläuterungen
Rz. 25 Teil 4 V
gelungsumfeld ausgesetzt. Bspw. darf der Arbeitgeber danach anfallende Verkehrsdaten, etwa zu von Mitarbeitern besuchten Internetseiten und zugehörigen IP-Adressen, grundsätzlich nur erheben oder verarbeiten, soweit dies für die technische Realisierung der Telekommunikationsverbindung erforderlich ist. Nach Beendigung der Verbindung sind die Verkehrsdaten gem. § 96 Abs. 2 Satz 2 TKG grundsätzlich unverzüglich zu löschen und dürfen nur unter engen Voraussetzungen (z.B. zu Abrechnungszwecken oder zur Fehlerbeseitigung) weiterhin gespeichert werden.
b) Fernmeldegeheimnis nach § 88 TKG Das Fernmeldegeheimnis hat über Art. 10 GG Verfassungsrang und wird einfachgesetzlich über § 88 TKG gewährleistet. Bestimmte Verletzungen des Fernmeldegeheimnisses können gem. § 206 StGB auch strafrechtlich belangt werden.
20
Der Zweck des Fernmeldegeheimnisses besteht ähnlich wie beim Briefgeheimnis in dem Schutz der Vertraulichkeit der individuellen Kommunikation für Fälle, in denen sich die Beteiligten nicht am selben Ort befinden und wegen der räumlichen Distanz auf eine Übermittlung durch Andere angewiesen sind.
21
aa) Geschützte Inhalte Dem Schutz des Fernmeldegeheimnisses über § 88 Abs. 1 TKG unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Geschützt sind somit alle Verbindungsdaten eines Telekommunikationsvorgangs, also wer, wann, von wo, auf welche Weise, wie lange, wie oft, mit wem und wohin kommuniziert hat.
22
bb) Differenzierung zwischen E-Mail- und Internetnutzung Bei der Anwendung des Fernmeldegeheimnisses ist zwischen der Nutzung von E-Mail und Internet zu unterscheiden. Die E-Mail-Kommunikation der Mitarbeiter des Unternehmens ist als individuelle Kommunikation nach soweit ersichtlich einhelliger Meinung vom Schutzbereich des Fernmeldegeheimnisses umfasst, während es bei der Internetnutzung auf den konkreten Einzelfall ankommt und im Ergebnis umstritten ist.
23
cc) Reichweite und Dauer des Fernmeldegeheimnisses Neben Begriff und Gegenstand des Fernmeldegeheimnisses war und ist auch dessen Reichweite Gegenstand der Diskussion in Rechtsprechung und Literatur.
24
(1) Begrenzung des Fernmeldegeheimnisses auf die Dauer des Übermittlungsvorgangs Nach der mittlerweile auch von den einfachen Gerichten aufgegriffenen Rechtsprechung des BVerfG endet der Schutz des Fernmeldegeheimnisses grundsätzRücker
|
595
25
Teil 4 V
Rz. 26
Betriebsvereinbarung zur Internet- und E-Mail-Nutzung
lich bereits in dem Augenblick, in dem die Nachricht beim Empfänger angekommen ist und der Übertragungsvorgang beendet ist1. 26
Das Fernmeldegeheimnis ist ein spezialgesetzlicher Ausgleich für den Verlust der Beherrschbarkeit einer Nachricht während des Übermittlungsvorgangs, während dessen die Beteiligten darauf angewiesen sind, eine von Dritten bereitgestellte technische Infrastruktur zu nutzen, die sie nicht vollständig kontrollieren können. Das Fernmeldegeheimnis schützt die an der Kommunikation Beteiligten rechtlich vor Zugriffen Dritter, die die Kommunikationspartner faktisch nicht ohne Weiteres beherrschen oder kontrollieren können.
27
Eine E-Mail ist ab ihrem Zugang beim Empfänger nicht mehr den erleichterten Zugriffsmöglichkeiten Dritter ausgesetzt, die sich aus der fehlenden Beherrschbarkeit und Überwachungsmöglichkeit des Übertragungsvorgangs ergeben. Daraus haben einige Stimmen die Folgerung gezogen, dass das Fernmeldegeheimnis pauschal immer mit Abschluss des Übermittlungsvorgangs ende2. Dies wird aber von den Ausführungen des BVerfG in dieser Pauschalität nicht getragen, wie sogleich zu zeigen sein wird.
28
Schließlich sind die Inhalte einer E-Mail auch nach Abschluss des Übermittlungsvorgangs auch dann dem faktischen Risiko von Zugriffen Dritter ausgesetzt, wenn der Empfänger es nicht selbst in der Hand hat, die Inhalte der Kommunikation sowie die Informationen über deren nähere Umstände rückstandsfrei zu löschen. Dies gilt insbesondere dann, wenn sich diese Informationen nicht im Herrschaftsbereich des Betroffenen befinden.
(2) Ausdehnung des Fernmeldegeheimnisses über den Übermittlungsvorgang hinaus 29
Das BVerfG hat seine bisherigen Aussagen zur Dauer des Fernmeldegeheimnisses3 in einer Entscheidung aus dem Jahr 2009 weiter präzisiert. In dieser Entscheidung ging es nicht um die physische Speicherung einer E-Mail allein auf der Hardware des Betroffenen, sondern um den Zugriff auf eine beim Provider gespeicherte E-Mail4. Hier hat das BVerfG den Schutz des Fernmeldegeheimnisses ausdrücklich auch auf die Zeit nach Abschluss des Übermittlungsvorgangs ausgedehnt, weil der Betroffene keinen physischen Zugriff auf die E-Mails hatte, sondern nur über das Internet auf die Server seines Providers zugreifen konnte. Entscheidendes Argument des BVerfG war, dass der Kommunikationsteilnehmer wegen der fortbestehenden Einschaltung des Providers als Drittem den Schutz des Fernmeldegeheimnisses benötigt, weil er die Sphäre des betroffenen Providers nicht beherrschen kann5. Das gilt auch dann, wenn 1 BVerfG v. 2.3.2006 – 2 BvR 2099/04, NJW 2006, 976 (978) m.w.N. 2 So etwa VGH Kassel v. 19.5.2009 – 6 A 2672/08. Z, MMR 2009, 714 (716); LAG Niedersachsen v. 31.5.2010 – 12 Sa 875/09, MMR 2010, 639 (640); LAG Berlin-Brandenburg v. 16.2.2011 – 4 Sa 2132/10, ZD 2011, 43 (44). 3 BVerfG v. 2.3.2006 – 2 BvR 2099/04, NJW 2006, 976 (978 f.) m.w.N. 4 BVerfG v. 16.6.2009 – 2 BvR 902/06, NJW 2009, 2431. Der Nutzer hat in diesem Fall seine E-Mails per „IMAP“ über einen lokalen E-Mail-Client abgerufen. Hierbei verbleibt regelmäßig eine Kopie auf dem Server des Anbieters. 5 BVerfG v. 16.6.2009 – 2 BvR 902/06, NJW 2009, 2431 (2432 f.).
596
|
Rücker
Erläuterungen
Rz. 33 Teil 4 V
der Empfänger die E-Mail bereits zur Kenntnis genommen hat und (bewusst) zur „Endspeicherung“ beim Provider belässt1.
(3) Entscheidende Bedeutung der Zugriffsmöglichkeiten des Arbeitgebers Arbeitnehmer nutzen in aller Regel eine vom Arbeitgeber bereitgestellte Infrastruktur, auf die nicht jeder Arbeitnehmer auch physisch zugreifen kann. Überträgt man die Rechtsprechung des BVerfG zur Reichweite des Fernmeldegeheimnisses nun auf das Verhältnis zwischen Arbeitgeber und Arbeitnehmer, so muss das Fernmeldegeheimnis über den Abschluss des Übermittlungsvorgangs hinaus dauerhaft fortgelten.
30
Gegen diese Argumentation lässt sich vorbringen, dass der Arbeitnehmer im Einzelfall durchaus in der Lage sein kann, durch entsprechende Bedienung und Einstellung der vom Arbeitgeber zur Verfügung gestellten IT-Systeme auch eine Löschung bestimmter Kommunikationsinhalte zu veranlassen. Soweit der Arbeitnehmer so Nachrichten sicher dem Zugriff Dritter entziehen kann und soweit auch eine Wiederherstellung der Kommunikationsinhalte durch den Arbeitgeber oder sonstige Dritte nicht mehr möglich ist, lässt sich argumentieren, dass der Arbeitnehmer insoweit nicht mehr schutzbedürftig ist und dass dann auch der Schutz des Fernmeldegeheimnisses enden muss. E-Mails würden danach nicht mehr dem Schutz und den Beschränkungen des Fernmeldegeheimnisses unterfallen, wenn und soweit der Arbeitnehmer sie nach Eingang in seiner Inbox beliebig und vor allem rückstandsfrei löschen kann2.
31
(4) Ausdehnung des Fernmeldegeheimnisses durch elektronische Archivierung Insbesondere wenn Unternehmen die gesamte E-Mail-Korrespondenz automatisiert in eine elektronische Langzeitarchivierung überführen und wenn die Nutzer solche in die Langzeitarchivierung überführten Inhalte auch nicht mehr löschen können, liegen die Voraussetzungen für eine auf den reinen Übermittlungsvorgang reduzierte Geltung des Fernmeldegeheimnisses nicht vor.
32
Schon zur Erfüllung der rechtlichen Anforderungen an die elektronische Archivierung sind zumindest auch solche E-Mails, die den handels- und steuerrechtlichen Aufbewahrungspflichten (§ 257 HGB, § 147 AO) unterfallen, auch elektronisch revisionssicher zu archivieren3. Eine revisionssichere Archivierung verlangt allerdings, dass archivierungspflichtige Inhalte gerade nicht beliebig verändert oder gelöscht werden können.
33
1 BVerfG v. 16.6.2009 – 2 BvR 902/06, NJW 2009, 2431 (2432 f.). 2 So in weiter Auslegung der Rechtsprechung des BVerfG aber ohne nähere Begründung auch VGH Kassel v. 19.5.2009 – 6 A 2672/08. Z, MMR 2009, 714 (716); LAG Niedersachsen v. 31.5.2010 – 12 Sa 875/09, MMR 2010, 639 (640); LAG Berlin-Brandenburg v. 16.2.2011 – 4 Sa 2132/10, ZD 2011, 43 (44); Plath/Jenny, § 88 TKG Rz. 8. 3 Konkretisiert werden diese Anforderungen durch die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) und die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU); vgl. hierzu Tschoepe, Heise OnlineRecht, C. III.4.6 Rz. 110 ff.
Rücker
|
597
Teil 4 V
Rz. 34
Betriebsvereinbarung zur Internet- und E-Mail-Nutzung
34
Soweit private und geschäftliche E-Mails aber, wie in der Regel, über dieselbe technische Infrastruktur verarbeitet werden, ist eine technische Trennung von geschäftlicher und privater Korrespondenz auch im Hinblick auf die Archivierung nicht möglich. Private E-Mails werden danach unweigerlich ebenso wie geschäftliche E-Mails elektronisch archiviert. Im Rahmen einer lückenlosen, manipulationssicheren E-Mail-Archivierung darf es auch nicht möglich sein, bestimmte E-Mails etwa durch das Verschieben in einen „Privatordner“ der Archivierung zu entziehen. Soweit private E-Mails durch den Mitarbeiter nicht löschbar archiviert werden, würde das Fernmeldegeheimnis nicht enden, solange die elektronische Archivierung fortbesteht.
35
Dieselben Grundsätze gelten für andere Arten durch den Mitarbeiter nicht verhinderbarer Speicherungen von E-Mails auf anderen Systemkomponenten wie E-Mail-Server, rollierenden Backups und dergleichen. Das Muster der Betriebsvereinbarung geht davon aus, dass über den betrieblichen E-Mail-Account versandte und empfangene E-Mails der elektronischen Archivierung unterfallen und damit für einen gewissen Zeitraum gespeichert werden, behandelt aber nicht die in der Praxis oft stark variierenden technischen Details dieser Speicherung.
(5) Sondersituation: Abwesende Mitarbeiter 36
Hat ein Mitarbeiter wegen Urlaub oder Krankheit oder aus sonstigen Gründen keinen Zugriff auf seinen betrieblichen E-Mail-Account, so ist er faktisch nicht in der Lage, etwa eingehende private E-Mails zu löschen. Auch dies ist zu berücksichtigen, wenn es zu beurteilen gilt, ob und inwieweit die Beschränkungen des Fernmeldegeheimnisses im Einzelfall für einen E-Mail-Account eines Mitarbeiters noch gelten oder nicht. Die Bestimmung des Zeitraums, ab dem der Mitarbeiter die Möglichkeit hat, eine E-Mail zu löschen und damit dem Zugriff Dritter zu entziehen, kann sich im Einzelfall durchaus schwierig gestalten.
(6) Ergebnis zur Reichweite und Dauer des Fernmeldegeheimnisses 37
Wenngleich nicht auszuschließen ist, dass eine mit dieser Frage befasste Behörde oder ein Gericht zu einer anderen Auffassung gelangen mag und insoweit Rechtsunsicherheiten verbleiben, lässt sich zumindest mit guten Gründen argumentieren, dass das Fernmeldegeheimnis immer nur für diejenigen E-Mails und solange gilt, wie der betroffene Inhaber des E-Mail-Accounts noch keine Löschung vornehmen konnte, etwa weil er infolge Abwesenheit nicht auf seinen E-Mail-Account zugreifen konnte, und wie eine vom betroffenen Inhaber des E-Mail-Accounts veranlasste Löschung von E-Mails auf dem jeweils betroffenen Medium noch nicht rückstandsfrei vollzogen ist.
4. Möglichkeiten zur Rechtfertigung von Eingriffen 38
Soweit die Privatnutzung gestattet ist, stellt sich die Frage, wie und inwieweit aus betrieblicher Sicht erforderliche Eingriffe in das Datenschutzrecht sowie in das Fernmeldegeheimnis gerechtfertigt werden können.
39
Insoweit werden typischerweise Rechtfertigungen durch Betriebsvereinbarungen und/oder individuelle Einwilligungen der Betroffenen diskutiert. Dabei 598
|
Rücker
Erläuterungen
Rz. 44 Teil 4 V
stellt sich die Frage, ob eine Betriebsvereinbarung alleine als Rechtfertigung dienen kann oder ob es weiterer Schritte seitens des Arbeitgebers bedarf.
a) Keine Rechtfertigung von Eingriffen in das Fernmeldegeheimnis durch Betriebsvereinbarung Gerade in der arbeitsrechtlichen Literatur wird häufig vorgeschlagen, sämtliche Fragen im Zusammenhang mit der auch privaten Nutzung betrieblicher Kommunikationsmittel durch Betriebsvereinbarung zu regeln und so auch Eingriffe in das Fernmeldegeheimnis zu rechtfertigen1.
40
Nach § 88 Abs. 3 TKG ist eine Ausnahme von der Verpflichtung zur Einhaltung des Fernmeldegeheimnisses allerdings „nur zulässig, soweit dieses Gesetz oder eine andere gesetzliche Vorschrift dies vorsieht und sich dabei ausdrücklich auf Telekommunikationsvorgänge bezieht“. Trotz ihrer unmittelbaren und normativen Wirkung ist eine Betriebsvereinbarung lediglich eine untergesetzliche Norm. Da ausweislich des Wortlauts von § 88 Abs. 3 Satz 3 TKG Eingriffe in das Fernmeldegeheimnis nur durch Gesetz zu rechtfertigen sind, vermag eine Betriebsvereinbarung alleine Eingriffe in das Fernmeldegeheimnis nicht zu rechtfertigen.
41
b) Betriebsvereinbarung als Rechtfertigungstatbestand im Datenschutzrecht Der Umgang mit personenbezogenen Daten kann nach § 4 Abs. 1 BDSG grundsätzlich auch durch Rechtsvorschriften in Form von Betriebsvereinbarungen gerechtfertigt werden. Umstritten ist, inwieweit das auch im Anwendungsbereich der spezialgesetzlichen Datenschutzvorschriften der §§ 91 ff. TKG gilt.
42
So sollen nach einer Ansicht Betriebsvereinbarungen im Anwendungsbereich der spezialgesetzlichen Datenschutzvorschriften der §§ 91 ff. TKG anders als im BDSG keine Grundlage für die Rechtfertigung datenschutzrechtlicher Eingriffe bilden. Dafür spricht, dass das TKG keine Öffnungsklausel enthält, die auch untergesetzliche Normen als Rechtfertigungstatbestände zulässt2.
43
In der Literatur zur hier betroffenen Frage der Rechtfertigung datenschutzrechtlicher Eingriffe im Zusammenhang mit einer Gestattung der Privatnutzung betrieblicher Kommunikationsmittel gehen einige Stimmen ohne Weiteres davon aus, dass datenschutzrechtliche Eingriffe durch Betriebsvereinbarungen zu rechtfertigen sind, allerdings ohne dies im Einzelnen zu begründen3.
44
1 So etwa Beckschulze, DB 2003, 2777 (2780); Braun/Spiegl, AiB 2008, 393 (393); Olbert, AuA 2008, 76 (79); Gimmy, DRiZ 2007, 327 (330); Pröpper/Römermann, MMR 2008, 514 ff. sehen eine Betriebsvereinbarung ausdrücklich als „die beste arbeitgeberseitige Absicherung“ an. 2 So etwa Mengel, BB 2004, 1445 (1452) m.w.N. 3 So etwa Beckschulze, DB 2003, 2777 (2780); Braun/Spiegl, AiB 2008, 393 (393); Olbert, AuA 2008, 76 (79); Gimmy, DRiZ 2007, 327 (330); Pröpper/Römermann, MMR 2008, 514 ff.
Rücker
|
599
Teil 4 V
Rz. 45
Betriebsvereinbarung zur Internet- und E-Mail-Nutzung
c) Reduzierung von Risiken in der Praxis 45
Vor dem Hintergrund der nur einschränkenden Rechtfertigungswirkung von Betriebsvereinbarungen im Telekommunikationsrecht empfiehlt es sich, nicht alleine auf die mögliche rechtfertigende Wirkung einer Betriebsvereinbarung zu bauen, sondern zumindest höchstvorsorglich im Wege einer Zusatzvereinbarung (siehe unten Anlage zur Betriebsvereinbarung) individuelle Einwilligungen der betroffenen Arbeitnehmer einzuholen1.
II. Erläuterung der einzelnen Klauseln 1. Erläuterungen zu Ziffer 1 46
E 1. Präambel 1.1 Betriebliche E-Mail- und Internet-Accounts dienen als Betriebsmittel der möglichst effizienten Erfüllung betrieblicher Aufgaben. Arbeitgeber und Betriebsrat möchten neben der betrieblichen Nutzung in einem in dieser BV beschriebenen Rahmen auch eine private Nutzung betrieblicher E-Mail- und Internet-Accounts ermöglichen. Dies gilt aber nur, soweit und solange es für den Arbeitgeber nicht zu Nachteilen und Einschränkungen führt, die bei einem Verbot der Privatnutzung nicht bestehen würden. Insbesondere darf die Gestattung der Privatnutzung den Arbeitgeber nicht bei der Durchführung von Maßnahmen einschränken, zu denen er aus anderen rechtlichen Gründen verpflichtet ist, oder die aus anderen Gründen der Wahrnehmung betrieblicher Interessen dienen. Dies betrifft bspw. Maßnahmen zur Sicherstellung rechtlicher Compliance sowie bei internationalen Gerichtsverfahren und behördlichen Untersuchungen. 1.2 Um neben der rein betrieblichen Nutzung auch eine Privatnutzung zu ermöglichen und von einer Privatnutzung ausgehende Beschränkungen des Arbeitgebers zu vermeiden, schließen die Parteien diese BV. Die dieser BV als Anlage 1 beigefügte „Zusatzvereinbarung zum Arbeitsvertrag für die private Nutzung betrieblicher Kommunikationsmittel und Einwilligungserklärung“ (nachfolgend auch „Zusatzvereinbarung“) ist nicht Teil dieser BV, wird vom Betriebsrat aber zustimmend zur Kenntnis genommen.
47
Die Präambel dokumentiert die wesentlichsten dieser Betriebsvereinbarung zugrunde liegenden Ziele und Zielkonflikte und kann soweit erforderlich auch für eine etwaige Auslegung der Betriebsvereinbarung herangezogen werden. Dabei soll schon aus der Präambel erkennbar werden, dass betriebliche E-Mailund Internet-Accounts in allererster Linie betrieblichen Zwecken dienen und dass eine Gestattung der Privatnutzung die betrieblichen Belange nicht beeinträchtigen darf (zu typischen von einer Gestattung der Privatnutzung ausgehenden Beeinträchtigungen bereits oben Rz. 6 ff.).
1 Eine Betriebsvereinbarung wird durch die Zusatzvereinbarung auch nicht überflüssig, da § 87 BetrVG in der Regel ohnehin die Mitbestimmung des Betriebsrats erfordert.
600
|
Rücker
Erläuterungen
Rz. 50 Teil 4 V
2. Erläuterungen zu Ziffer 2 E 2. Allgemeine Bestimmungen
48
2.1 Diese BV regelt die Beteiligung des Betriebsrats bei Einsatz und Betrieb von Systemen, die mit betrieblichen E-Mail- und Internet-Accounts in Zusammenhang stehen. 2.2 „E-Mail-Accounts“ sind den Mitarbeitern vom Arbeitgeber zur Verfügung gestellte Betriebsmittel, die eine individuelle Kommunikation per E-Mail ermöglichen und alle damit in Zusammenhang stehende Hard- und Software mit einschließen. 2.3 „Internet-Accounts“ sind den Mitarbeitern vom Arbeitgeber zur Verfügung gestellte Betriebsmittel, die einen Abruf von Informationen aus dem Internet ermöglichen und alle damit in Zusammenhang stehende Hard- und Software mit einschließen. 2.4 Diese BV findet Anwendung im Geltungsbereich des Betriebsverfassungsgesetzes (im Folgenden „BetrVG“) und gilt für alle Arbeitnehmer i.S.d. § 5 BetrVG. Für sonstige im Betrieb beschäftigte Dritte, die keine Arbeitnehmer i.S.d. § 5 BetrVG sind, können die Regelungen dieser BV über entsprechende vertragliche Vereinbarungen einbezogen werden. 2.5 Soweit die Regelungen dieser BV und/oder der Zusatzvereinbarung im Widerspruch zu anderen Betriebsvereinbarungen und/oder sonstigen betrieblichen Regelungen und/oder Weisungen des Arbeitgebers stehen, haben die Regelungen dieser BV und der Zusatzvereinbarung vorrangige Geltung.
a) Erläuterungen zu Ziffer 2.1 Diese Klausel ist an die Gegebenheiten im jeweiligen Unternehmen anzupassen. Ziel ist es, die Mitwirkung des Betriebsrats bei der Nutzung dieser Systeme durch diese Betriebsvereinbarung möglichst umfassend zu regeln. Nach dem Günstigkeitsprinzip können etwa bestehende individualvertragliche Regelungen mit einzelnen Arbeitnehmern fortbestehen, soweit sie den Arbeitnehmer insgesamt besser stellen als diese Betriebsvereinbarung1.
49
b) Erläuterungen zu Ziffer 2.2 und 2.3 Die Definitionen betrieblicher E-Mail- und Internet-Accounts können ggf. noch an die im jeweiligen Unternehmen individuellen technisch-operativen Gegebenheiten angepasst und weiter konkretisiert werden. Eine zu starke Konkretisierung birgt jedoch die Gefahr, dass die Betriebsvereinbarung im Falle der Veränderung technischer Details nicht mehr aktuell ist und angepasst werden muss.
1 Hierzu etwa Erfurter Kommentar zum Arbeitsrecht/Kania, § 77 BetrVG Rz. 68.
Rücker
|
601
50
Teil 4 V
Rz. 51
Betriebsvereinbarung zur Internet- und E-Mail-Nutzung
c) Erläuterungen zu Ziffer 2.4 51
Die Betriebsvereinbarung findet entsprechend den allgemeinen betriebsverfassungsrechtlichen Vorgaben nur auf Arbeitnehmer i.S.d. § 5 BetrVG Anwendung. Bei bestimmten Personengruppen wie etwa Praktikanten und Diplomanden ist die direkte Anwendung dieser Betriebsvereinbarung von deren rechtlichem Status als Arbeitnehmer abhängig. Soweit im Betrieb eingesetzte Personen keine Arbeitnehmer sind, etwa leitende Angestellte oder auch Leiharbeiter und sonstige externe Dienstleister, entfaltet die Betriebsvereinbarung keine Regelungskraft1.
52
Soweit Personengruppen betriebliche Kommunikationsmittel privat nutzen dürfen und nicht dem persönlichen Anwendungsbereich dieser Betriebsvereinbarung unterfallen, sollten die Inhalte dieser Betriebsvereinbarung über separate Verträge mit den jeweiligen Personen einbezogen werden, etwa über die Zusatzvereinbarung zu dieser Betriebsvereinbarung, um insbesondere Verstöße gegen das Fernmeldegeheimnis und telekommunikationsrechtliche Datenschutzvorschriften zu vermeiden und gleichzeitig Kontrollrechte des Unternehmers bestmöglich abzusichern.
d) Erläuterungen zu Ziffer 2.5 53
Soweit zu einzelnen mit betrieblichen E-Mail- und Internet-Accounts in Zusammenhang stehenden Systemen im Betrieb noch andere Regelungen bestehen sollten, sind diese von den Regelungen dieser Betriebsvereinbarung abzugrenzen, nach Möglichkeit durch ausdrückliche Benennung der betroffenen anderen Regelungen.
3. Erläuterungen zu Ziffer 3 54
E 3. Grundregeln zur Nutzung von E-Mail- und Internet-Accounts 3.1 Betriebliche E-Mail- und Internet-Accounts dienen in erster Linie und vorrangig betrieblichen Zwecken des Arbeitgebers. 3.2 Bei der Nutzung betrieblicher E-Mail- und/oder Internet-Accounts sind jedwede Handlungen untersagt, die geeignet sind, Interessen des Arbeitgebers zu beeinträchtigen. Dies umfasst insbesondere Handlungen, die Gesetze, sonstige Rechtsvorschriften oder Rechte Dritter verletzen sowie sonstige Handlungen, die für den Arbeitgeber Nachteile mit sich bringen können und/oder das Ansehen des Arbeitgebers in der Öffentlichkeit beeinträchtigen. Deshalb sind bei der Nutzung betrieblicher E-Mail und/ oder Internet-Accounts insbesondere aber nicht abschließend folgende Handlungen untersagt: a) Abrufen, Anbieten oder Verbreiten von Inhalten, die gegen datenschutzrechtliche, persönlichkeitsrechtliche, urheberrechtliche oder strafrechtliche Bestimmungen verstoßen; 1 Zum Geltungsbereich des BetrVG etwa Erfurter Kommentar zum Arbeitsrecht/Koch, § 5 BetrVG Rz. 1 ff.
602
|
Rücker
Erläuterungen
Rz. 58 Teil 4 V
b) Herunterladen von Software, Musik oder urheberrechtlich geschützten Inhalten unter Verletzung von Lizenzen und/oder Urheberrechten, selbst wenn es vermeintlich zu geschäftlichen Zwecken geschieht; c) Abrufen, Anbieten oder Verbreiten beleidigender, verleumderischer, verfassungsfeindlicher, rassistischer, gewaltverherrlichender, sexistischer oder pornografischer Äußerungen, Abbildungen oder Inhalte; d) Anbieten oder Verbreiten weltanschaulicher oder politischer Aussagen; e) Verbreiten von Computer-Viren oder sonstiger Schadsoftware; f) Abrufen, Anbieten oder Verbreiten von für den Arbeitgeber kostenpflichtigen Internet-Seiten oder sonstigen kostenpflichtigen Leistungen zu nicht betrieblichen Zwecken; g) Nutzung von Chat-Funktionalitäten und -angeboten zu privaten Zwecken.
a) Erläuterungen zu Ziffer 3.1 Diese Regelungen betonen die auch in etwaigen Konfliktfällen vorrangig betriebliche Zweckbestimmung betrieblicher E-Mail- und Internet-Accounts in Abgrenzung zu einer Nutzung zu privaten Zwecken.
55
b) Erläuterungen zu Ziffer 3.2 Die allgemeinen Nutzungsregeln in Ziffer 3.2 differenzieren noch nicht zwischen E-Mail- und Internetnutzung und setzen allgemeine Grenzen der Nutzung, gleich ob diese zu betrieblichen oder privaten Zwecken erfolgt.
56
Im Wesentlichen geht es darum, objektiv rechtswidrige Nutzungshandlungen zu unterbinden, nicht zuletzt auch zur Vermeidung einer etwaigen Mitverantwortlichkeit des Arbeitgebers, z.B. im Rahmen der Störerhaftung des Anschlussinhabers. Gleichzeitig dienen diese Regeln der Belehrung der Nutzer. Abgesehen davon, dass diese Belehrung schon zu einer Vermeidung oder Reduzierung etwaiger Rechtsverletzungen führen dürfte, kann sie zumindest dazu beitragen, das Risiko einer Mitverantwortlichkeit des Arbeitgebers im Rahmen der Störerhaftung zu reduzieren.
57
Das Verbot der Nutzung von Chat-Funktionalitäten dient nicht nur dazu, das Chatten als oft zeitintensive, ablenkende Beschäftigung zu vermeiden, sondern soll auch einen i.S.d. Fernmeldegeheimnisses besonders sensiblen Bereich der Internetnutzung vermeiden. Dies insofern, als das Chatten, anders als etwa das bloße Abrufen redaktioneller Inhalte, dem Bereich der vom Fernmeldegeheimnis geschützten Individualkommunikation zuzuordnen sein dürfte. Möchte man den potentiellen Anwendungsbereich des Fernmeldegeheimnisses im Bereich der Internetnutzung so gering wie möglich halten, so ist auch ein Verbot der Nutzung von webbasierten E-Mail-Diensten, Voice-over-IP-Diensten oder sonstigen der Individualkommunikation zuzuordnenden Diensten zu empfehlen.
58
Rücker
|
603
Teil 4 V 59
Rz. 59
Betriebsvereinbarung zur Internet- und E-Mail-Nutzung
Für ein Verbot webbasierter E-Mail-Dienste sprechen auch Aspekte der ITund Datensicherheit, des Schutzes von Geschäftsgeheimnissen und von sonstigen vertraulichen Informationen. Ein Verbot webbasierter E-Mail-Dienste soll verhindern, dass Dateien unerkannt über webbasierte E-Mail-Dienste aus dem Betrieb herausgeleitet werden.
4. Erläuterungen zu Ziffer 4 60
E 4. Privatnutzung 4.1 Allgemeine Regelungen zur Privatnutzung 4.1.1 Soweit nach dieser BV und der Zusatzvereinbarung eine Privatnutzung gestattet ist, erfolgt diese auf denselben technischen Systemen, auf denen auch die betrieblich veranlasste Nutzung stattfindet. 4.1.2 Mitarbeiter haben keine Ansprüche auf eine Gestattung der privaten Nutzung betrieblicher E-Mail- und/oder Internet-Accounts. Soweit der Arbeitgeber über diese BV und die diese ergänzende Zusatzvereinbarung eine Privatnutzung gestattet, erfolgt diese Gestattung freiwillig und steht im alleinigen Ermessen des Arbeitgebers. Der Arbeitgeber ist jederzeit berechtigt, die Gestattung der Privatnutzung ganz oder teilweise zu widerrufen und/oder zu beenden. Dies gilt insbesondere, wenn Mitarbeiter die sich aus dieser BV ergebenden Pflichten verletzen. 4.1.3 Zwar sprechen einige Gerichtsentscheidungen dafür, dass der Arbeitgeber bei einer Gestattung der Privatnutzung betrieblicher E-Mail- und Internet-Accounts nicht an das Fernmeldegeheimnis nach § 88 des Telekommunikationsgesetzes (im Folgenden „TKG“) gebunden ist. Angesichts dessen, dass diese Entscheidungen keinen Bestand haben könnten oder sich die insoweit ohnehin umstrittene Rechtslage ändern sollte, steht die Gestattung der Privatnutzung betrieblicher E-Mail- und Internet-Accounts stets unter dem Vorbehalt, dass der jeweilige Mitarbeiter die Zusatzvereinbarung unterzeichnet und so der Arbeitgeber durch seine ausdrückliche Einwilligung von den Beschränkungen des Fernmeldegeheimnisses nach § 88 TKG befreit hat. 4.1.4 Die Einwilligung des jeweiligen Mitarbeiters ist freiwillig und der Mitarbeiter kann diese jederzeit mit Wirkung für die Zukunft widerrufen. Ab Zugang seines Widerrufs entfällt gleichzeitig mit Wirkung für die Zukunft seine Berechtigung zu jedweder Privatnutzung betrieblicher E-Mail- und Internet-Accounts. Sofern keine berechtigten Interessen des jeweiligen Mitarbeiters entgegenstehen, ist ein Widerruf seiner Einwilligung allerdings insoweit ausgeschlossen, wie dadurch die Verarbeitung und Nutzung von Informationen in Zusammenhang mit der Nutzung betrieblicher E-Mail- und Internet-Accounts aus dem Zeitraum vor dem Widerruf 604
|
Rücker
Erläuterungen
Rz. 60 Teil 4 V
eingeschränkt würde. Damit bleibt der Arbeitgeber auch im Falle eines Widerrufs der Einwilligung für Informationen in Zusammenhang mit der Nutzung betrieblicher E-Mail- und Internet-Accounts für diejenigen Zeiträume von den Beschränkungen des Fernmeldegeheimnisses befreit, in denen die Privatnutzung gestattet war. 4.1.5 Der Arbeitgeber gewährt dem Mitarbeiter keine Mindestverfügbarkeit und/oder Fehlerfreiheit der betrieblichen E-Mail- und Internet-Accounts und damit zusammenhängender technischer Einrichtungen. Der Mitarbeiter ist für eine etwaige Sicherung privater Inhalte selbst verantwortlich. Der Arbeitgeber ist gegenüber dem Mitarbeiter weder für etwaige Fehler und/oder Ausfälle der betrieblichen E-Mail- und Internet-Accounts und damit im Zusammenhang stehender technischer Einrichtungen verantwortlich, noch für etwaige daraus folgende Schäden und andere Nachteile, insbesondere Datenverluste. 4.2 Umfang der Privatnutzung 4.2.1 Die Mitarbeiter haben eine Privatnutzung betrieblicher E-Mailund Internet-Accounts in Art und Umfang eigenverantwortlich so zu beschränken, dass Interessen des Arbeitgebers hierdurch nicht beeinträchtigt werden. 4.2.2 Die Privatnutzung ist auf gelegentliche Fälle zu beschränken, so dass insbesondere die ordnungsgemäße Erfüllung der geschuldeten Arbeitsleistung und sonstiger dem jeweiligen Mitarbeiter obliegender Pflichten sichergestellt ist und nicht beeinträchtigt wird. Eine solche Beeinträchtigung ist grundsätzlich nicht anzunehmen, wenn die Privatnutzung auf Pausenzeiten oder die Freizeit des jeweiligen Mitarbeiters beschränkt ist oder einen Umfang von insgesamt … Minuten/Stunden pro Tag/Woche [Regelungen zum Zeitraum noch anzupassen/zu ergänzen] nicht überschreitet. 4.3 E-Mails und Daten zur Internetnutzung von ausgeschiedenen oder verstorbenen Mitarbeitern 4.3.1 Bei Ausscheiden oder Versterben des Mitarbeiters unterliegen die betriebliche E-Mail-Korrespondenz des Mitarbeiters und die im Zusammenhang mit dessen Internetnutzung gespeicherten Daten weiterhin der ausschließlichen Verfügungsbefugnis des Arbeitgebers. 4.3.2 Bei Ausscheiden des Mitarbeiters trägt dieser die alleinige Verantwortung für die vorherige Sicherung und Löschung seiner privaten E-Mail-Korrespondenz. Mit Wirksamwerden des Ausscheidens des Mitarbeiters wird die private E-Mail-Korrespondenz des Mitarbeiters nur insoweit gelöscht, als sie sich in einem Privatordner befindet. Eine isolierte Löschung der in die Langzeitarchivierung überführten privaten E-Mails erfolgt nicht. 4.3.3 Nach dem Ausscheiden des Mitarbeiters werden auf seinem betrieblichen E-Mail-Account eingehende E-Mails für einen Zeitraum von Rücker
|
605
Teil 4 V
Rz. 61
Betriebsvereinbarung zur Internet- und E-Mail-Nutzung
drei weiteren Monaten auf einen vom Arbeitgeber zu benennenden anderen Mitarbeiter umgeleitet, um die Bearbeitung eingehender betrieblicher Korrespondenz sicherzustellen. Etwaige private E-Mails werden von dem vom Arbeitgeber zu benennenden zuständigen Mitarbeiter auf Wunsch des ausgeschiedenen Mitarbeiters auf einen von ihm zu benennenden privaten E-Mail-Account weitergeleitet. Der Mitarbeiter verpflichtet sich, den jeweiligen Absendern seine private E-Mail-Adresse umgehend mitzuteilen und diese darauf hinzuweisen, die betriebliche E-Mail-Adresse zukünftig nicht mehr für private Korrespondenz zu nutzen. 4.3.4 Bei Versterben des Mitarbeiters informiert der Arbeitgeber dessen Erben auf entsprechende Anfrage der Erben über das Vorhandensein privater E-Mail-Korrespondenz des verstorbenen Mitarbeiters. Auf Wunsch der Erben sichert der Arbeitgeber die in einem Privatordner befindliche private E-Mail-Korrespondenz des verstorbenen Mitarbeiters und übergibt diese den Erben. Sofern innerhalb … [Zeitraum noch zu ergänzen] nach Versterben des Mitarbeiters keine entsprechende Anfrage der Erben beim Arbeitgeber eingegangen ist, löscht der Arbeitgeber die in dem Privatordner befindliche private E-Mail-Korrespondenz des verstorbenen Mitarbeiters. 4.3.5 Bei Versterben des Mitarbeiters gilt Ziffer 4.3.3 entsprechend mit der Maßgabe, dass etwaige E-Mails privater Natur von dem vom Arbeitgeber zu benennenden zuständigen Mitarbeiter auf einen vom Erben des verstorbenen Mitarbeiters zu benennenden privaten E-Mail-Account weitergeleitet werden.
a) Erläuterungen zu Ziffer 4.1.1 61
Insbesondere in sicherheitsrelevanten Bereichen (z.B. Berufsgeheimnisträger, spionagegefährdete Industrie u.ä.) kann es angebracht sein, die Privatnutzung auf den Rechnern und sonstigen dienstlichen Geräten der Mitarbeiter vollständig zu untersagen. Soll eine Privatnutzung jedoch generell ermöglicht werden, empfiehlt es sich, diese an sog. Standalone-PCs zu gestatten. So könnte etwa in jeder Abteilung ein separater, komplett von der übrigen IT-Landschaft des Betriebes abgekapselter Internet-PC zur Verfügung gestellt werden. Dies führt einerseits dazu, dass Viren etc., die über besuchte Websites eingeschleust werden, im Betrieb keinen Schaden anrichten können. Andererseits ist hier auch keine Überwachung in dem hier beschriebenen Ausmaß erforderlich, da berufliche und private Nutzung von vornherein komplett getrennt sind.
b) Erläuterungen zu Ziffer 4.1.2 62
Im Interesse des Arbeitgebers sollte die Privatnutzung nur auf freiwilliger, widerruflicher Basis gestattet werden. Ist der Arbeitgeber also etwa der Meinung, dass die Privatnutzung trotz aller hier vereinbarter Maßnahmen/Einschränkungen die betrieblichen Abläufe beeinträchtigt, muss eine weitere Einschränkung bzw. ein Verbot möglich sein. 606
|
Rücker
Erläuterungen
Rz. 67 Teil 4 V
Auch ein Verbot der privaten E-Mail- und Internetnutzung gegenüber einzelnen Mitarbeitern muss möglich sein, sofern Mitarbeiter gegen die ihnen im Zusammenhang mit der Nutzung betrieblicher E-Mail- und Internet-Accounts obliegenden Pflichten verstoßen.
63
c) Erläuterungen zu Ziffer 4.1.3 und 4.1.4 Um den Arbeitgeber insbesondere vor den von einer Anwendung des Fernmeldegeheimnisses (§ 88 TKG) ausgehenden Einschränkungen zu schützen, ist es essentiell wichtig, dass die Mitarbeiter den Arbeitgeber von den Beschränkungen des Fernmeldegeheimnisses befreien. Eine Betriebsvereinbarung ist nicht geeignet, auch Eingriffe in das Fernmeldegeheimnis zu rechtfertigen und kann deshalb auch nicht geeignet sein, den Arbeitgeber von den Beschränkungen des Fernmeldegeheimnisses zu befreien. Deshalb ist auch in der Praxis sicherzustellen, dass keine Privatnutzung ohne die per Zusatzvereinbarung eingeholten Einwilligungen der jeweiligen Mitarbeiter erfolgt. Die Anforderungen an eine wirksame Einwilligung sowie die Wirkungen eines Widerrufs werden in Zusammenhang mit der Zusatzvereinbarung erläutert.
64
d) Erläuterungen zu Ziffer 4.1.5 Diese Klausel verdeutlicht nochmals, dass der Arbeitgeber die private Nutzung zwar im Interesse seiner Mitarbeiter zulassen möchte, jedoch nicht in der Weise als Telekommunikations-Provider auftreten will, dass er für die Verfügbarkeit und ordnungsgemäße Funktion seiner IT-Systeme zur Ermöglichung einer Privatnutzung einzustehen hat, etwa unter Aspekten wie Mindestverfügbarkeit, Datensicherung und dergleichen. Insbesondere soll der Arbeitgeber dem Mitarbeiter gegenüber nicht für Nachteile, Beeinträchtigungen und Schäden verantwortlich sein, die sich aus Fehlern der mit E-Mail- und Internet-Accounts in Zusammenhang stehenden Systeme ergeben. Für Schäden, die dem Mitarbeiter dadurch entstehen, dass z.B. der Internetanschluss unterbrochen ist – etwa, wenn er hierdurch eine Online-Auktion verpasst – haftet der Arbeitgeber dem Mitarbeiter demnach nicht.
65
e) Erläuterungen zu Ziffer 4.2 Soweit eine Privatnutzung ihrem Umfang nach begrenzt werden soll, stellt sich jeweils die Frage, wie der maximal zulässige Umfang im Einzelfall definiert werden soll. Neben einer rein zeitlichen Begrenzung kommt etwa eine Begrenzung auf Pausenzeiten in Betracht.
66
Wenngleich eine klare und trennscharfe Definition in der Praxis oft schwierig sein mag, sollte der zulässige Rahmen schon aus Transparenzgründen möglichst klar definiert werden. Fehlt eine solche klare Definition, wird gerade im Fall exzessiver Privatnutzung eine Grenzziehung zwischen erlaubtem Verhalten und Pflichtverletzung erschwert. Bei der Ausgestaltung des konkret zulässigen Umfangs der Privatnutzung sind unterschiedliche Ansätze denkbar. Die hier vorgeschlagene Regelung gibt einen klaren Rahmen vor, innerhalb dessen
67
Rücker
|
607
Teil 4 V
Rz. 68
Betriebsvereinbarung zur Internet- und E-Mail-Nutzung
der Mitarbeiter sicher sein kann, dass er den zulässigen zeitlichen Rahmen nicht überschreitet.
f) Erläuterungen zu Ziffer 4.3.1 und 4.3.2 68
In der Praxis stellt sich bei Gestattung der Privatnutzung häufig die Frage, wie beim Ausscheiden eines Mitarbeiters mit privaten E-Mails und Daten zur Internetnutzung umzugehen ist. Dabei stellt sich zunächst die Frage, inwieweit private und geschäftliche E-Mails überhaupt technisch trennbar sind, so dass private E-Mails ausgesondert werden können. Soweit der Arbeitgeber dem Mitarbeiter für private Korrespondenz einen Privatordner zur Verfügung stellt, hat der Mitarbeiter die Möglichkeit, private Korrespondenz in den Privatordner zu verschieben und sie so von geschäftlicher Korrespondenz zu trennen. Soweit jedoch vor oder unabhängig vom Verschieben privater Korrespondenz eine einheitliche elektronische Archivierung aller eingegangenen E-Mails stattfindet, mag eine Aussonderung privater E-Mails nicht ohne Weiteres möglich sein.
69
Eine Differenzierung zwischen privaten und geschäftlichen Daten zur Internetnutzung und isolierte Löschung oder Herausgabe privater Daten dürfte in der Regel technisch nicht möglich sein. Deshalb sollten sich die Regelungen zur Löschung und Herausgabe von Daten beim Ausscheiden eines Mitarbeiters auf private E-Mails beschränken und nicht auch auf Daten zur Internetnutzung.
70
Bei der Ausgestaltung des konkreten Verfahrens zum Umgang mit privaten E-Mails sowie Daten zur Internetnutzung sind die im jeweiligen Betrieb vorzufindenden technischen und organisatorischen Gegebenheiten zu berücksichtigen, die im Detail von Betrieb zu Betrieb variieren.
g) Erläuterungen zu Ziffer 4.3.3 71
Bei der konkreten Ausgestaltung der Verfahren zum Umgang mit privaten E-Mails nach Ausscheiden des Mitarbeiters sind ebenfalls die im jeweiligen Betrieb vorzufindenden technischen und organisatorischen Maßnahmen zu berücksichtigen, so dass die hier vorgeschlagenen Regelungen nur einen von verschiedenen denkbaren Wegen aufzeigen.
h) Erläuterungen zu Ziffer 4.3.4 und 4.3.5 72
Der Umgang mit neu eingehenden E-Mails, die einen bereits ausgeschiedenen Mitarbeiter betreffen, greift vergleichsweise stark in die informationelle Selbstbestimmung des jeweiligen Mitarbeiters sowie das Fernmeldegeheimnis ein. Schließlich hat der (ehemalige) Mitarbeiter in den genannten Konstellationen überhaupt keinen Zugriff mehr auf einen auch nach seinem Ausscheiden für einen Übergangszeitraum noch aktiven personalisierten E-Mail-Anschluss und kann neu eingehende private E-Mails weder aussortieren noch löschen. Gleichzeitig kann der mit der Betreuung seines E-Mail-Anschlusses betraute verbleibende Mitarbeiter auch private E-Mails zur Kenntnis nehmen. 608
|
Rücker
Erläuterungen
Rz. 75 Teil 4 V
Vor diesem Hintergrund ist es besonders wichtig, dass die Bedingungen, unter denen eine Privatnutzung gestattet wird, jedem Mitarbeiter schon vor Beginn der Privatnutzung bekannt sind und dass er damit einverstanden ist und sein Einverständnis nach Möglichkeit auch im Rahmen einer Einwilligung dokumentiert.
73
Auch beim Umgang mit privater Korrespondenz eines verstorbenen Mitarbeiters kommen noch andere Lösungsansätze in Betracht, etwa eine Löschung privater Korrespondenz ohne Herausgabe an die Angehörigen. Aber auch dies ist mit rechtlichen Risiken verbunden, wie ein Beschluss des OLG Dresden zeigt, aus dem gefolgert werden kann, dass eine vom Arbeitnehmer nicht autorisierte Löschung privater Korrespondenz des Arbeitnehmers auf dem betrieblichen E-Mail-Account Schadensersatzansprüche des Arbeitnehmers auslösen kann1. Auch insoweit sollten diese Modalitäten aber schon in der Betriebsvereinbarung und nach Möglichkeit vor Beginn der Privatnutzung klargestellt und es sollte das Einverständnis des jeweiligen Mitarbeiters sichergestellt werden.
74
5. Erläuterungen zu Ziffer 5 E 5. Spezielle Regeln für E-Mail-Accounts
75
5.1 Betriebliche E-Mails 5.1.1 Betriebliche E-Mail-Korrespondenz unterliegt ebenso wie sonstige über andere Kommunikationswege geführte betriebliche Korrespondenz, etwa Briefe oder Telefaxe, der ausschließlichen Verfügungsbefugnis des Arbeitgebers. 5.1.2 Vor diesem Hintergrund können der Vorgesetzte des jeweiligen Mitarbeiters und von ihm bestimmte andere Mitarbeiter des Arbeitgebers jederzeit lesenden Zugriff auf die betriebliche E-MailKorrespondenz anderer Mitarbeiter nehmen soweit dies betrieblichen Zwecken dient. 5.1.3 Unabhängig von den nach sonstigen in dieser BV gewährten Zugriffsrechten, insbesondere nach Ziffer 5.1.2, haben die Mitarbeiter die Möglichkeit, anderen Mitarbeitern durch die Vornahme entsprechender Einstellungen selektive Zugriffsmöglichkeiten auf ihre E-Mail-Accounts zu gewähren, wobei für die Reichweite dieser Zugriffe unterschiedliche Berechtigungsstufen unterschieden werden. 5.1.4 Der Arbeitgeber ist jederzeit berechtigt, in Zusammenhang mit etwaigen Vorlagepflichten gegenüber Gerichten und/oder Behörden im In- und Ausland sowie im Rahmen interner Untersuchungen, etwa zu Compliance-Themen, auf betriebliche E-Mails und betriebliche Ordner der Mitarbeiter zuzugreifen, deren Inhalte auszuwerten und an im In- oder Ausland belegene Stellen zu übermitteln. 5.2 Private E-Mail und Privatordner 5.2.1 Die betrieblichen E-Mail-Accounts verfügen über unterschiedliche elektronische Ordner, die der strukturierten Ablage von E-Mail1 OLG Dresden v. 5.9.2012 – 4 W 961/12, ZD 2013, 232 (233 f.).
Rücker
|
609
Teil 4 V
Rz. 75
Betriebsvereinbarung zur Internet- und E-Mail-Nutzung
Korrespondenz dienen. Soweit Mitarbeitern die Privatnutzung gestattet ist, ist systemseitig auch ein ausschließlich für die Ablage von Privatkorrespondenz bestimmter Ordner (im Folgenden „Privatordner“) vorhanden oder es ist ein solcher Ordner durch den Nutzer anzulegen. 5.2.2 Die Mitarbeiter sind verpflichtet, private Korrespondenz von betrieblicher Korrespondenz bestmöglich zu trennen. Hierzu sind ein- und ausgehende private E-Mails stets unverzüglich entweder zu löschen oder in den Privatordner zu verschieben. 5.2.3 Mitarbeiter sind nicht berechtigt, Korrespondenz, die nicht ausschließlich privater Natur und damit zumindest auch betrieblicher Natur ist, in den Privatordner zu verschieben. Die Inhalte der Privatordner sind jeweils schnellstmöglich zu löschen oder auf privaten Speichermedien zu sichern. 5.2.4 E-Mails, die nicht ausschließlich private Inhalte sondern zumindest auch geschäftliche Inhalte zum Gegenstand haben, sind als betriebliche E-Mails anzusehen. 5.2.5 Über den betrieblichen E-Mail-Anschluss versendete private E-Mails sind am Anfang der Betreffzeile durch den Begriff „Privat:“ zu kennzeichnen. Soweit die ausschließlich private Natur nicht eindeutig durch Kennzeichnung als „Privat:“ aus der Betreffzeile erkennbar ist, wird vermutet, dass alle außerhalb des Privatordners und damit in betrieblichen Ordnern gespeicherten E-Mails geschäftlicher Natur sind. 5.3 Einsichtnahme in den Privatordner 5.3.1 Da der Privatordner ausschließlich der Ablage privater E-Mail-Korrespondenz dient, sind die Zugriffsmöglichkeiten des Arbeitgebers insoweit eingeschränkt. Deshalb darf ein Zugriff durch den Arbeitgeber auf Privatordner grundsätzlich nur im Rahmen der Missbrauchskontrolle und innerhalb der hierfür vorgesehenen Grenzen erfolgen (hierzu Ziffer 7). 5.3.2 Soweit dies zur Sicherstellung eines ordnungsgemäßen Betriebes der betrieblichen E-Mail-Accounts erforderlich ist, ist der Arbeitgeber berechtigt, auch auf Privatordner der Mitarbeiter zuzugreifen (insbesondere zur Fehleranalyse und Fehlerkorrektur, Systemoptimierung und Kapazitätsplanung). Hierüber ist der jeweilige Mitarbeiter zu informieren. 5.3.3 Zudem ist der Arbeitgeber berechtigt, in Zusammenhang mit etwaigen Vorlagepflichten gegenüber Gerichten und/oder Behörden im In- und Ausland sowie im Rahmen interner Untersuchungen, etwa zu Compliance-Themen, auf die Privatordner der Mitarbeiter zuzugreifen, deren Inhalte auszuwerten und soweit erforderlich auch an im In- oder Ausland belegene Stellen zu übermitteln.
610
|
Rücker
Erläuterungen
Rz. 81 Teil 4 V
a) Erläuterungen zu Ziffer 5.1.1 und 5.1.2 Der im Wesentlichen ungehinderte Zugriff auf betriebliche Korrespondenz sollte als Kernpunkt dem Grunde nach unbedingt erhalten bleiben. Dies entspringt dem Gedanken, dass betriebliche E-Mail-Accounts zwar meistens personalisiert sind, dass eingehende betriebliche Korrespondenz aber ebenso wie etwa eingehende Briefe und Telefaxe ausschließlich das Unternehmen betreffen und deshalb grundsätzlich auch der freien Verfügungsbefugnis des Arbeitgebers unterfallen.
76
Andererseits vertritt insbesondere die Arbeitnehmervertretung oft die Auffassung, dass auch die rein betriebliche Korrespondenz schon angesichts der Personalisierung des E-Mail-Accounts jedenfalls aus Gründen des kollegialen Umgangs keinem bedingungslosen Zugriff Dritter ausgesetzt werden sollte. Dafür spricht, dass ein solcher ungehinderter Zugriff auf betriebliche E-Mails auch Raum für Willkür und eine sehr weit reichende, möglicherweise sogar unzulässige dauerhafte Überwachung des jeweiligen Mitarbeiters zulässt. Hinzu kommt, dass jede neue, ungelesene E-Mail im Posteingang potentiell auch privat sein kann und dass der Mitarbeiter grundsätzlich erst Gelegenheit haben soll, diese privaten E-Mails in den Privatordner zu verschieben.
77
Als Kompromisslösung denkbar ist, dass ein direkter Zugriff Dritter auf das Postfach des jeweiligen Mitarbeiters nur unter einschränkenden Voraussetzungen gestattet ist, insbesondere dann, wenn der Mitarbeiter bestimmte Korrespondenz auf Anfrage nicht unverzüglich herausgibt oder, etwa infolge Abwesenheit, nicht unverzüglich herausgeben kann. Denkbar wäre auch, dass die Mitarbeiter im Falle solcher Zugriffe stets soweit möglich vor einem Zugriff, jedenfalls aber unverzüglich im Anschluss daran zu informieren sind.
78
b) Erläuterungen zu Ziffer 5.1.3 In der Praxis besteht oft die Notwendigkeit oder es ist zumindest nützlich, anderen Mitarbeitern Zugriff auf die eigenen E-Mail-Accounts zu gewähren. Diese Zugriffsmöglichkeiten lassen sich über die eingesetzte E-Mail-Software in aller Regel selektiv mit unterschiedlichen Berechtigungsstufen versehen.
79
Soweit im jeweiligen Betrieb feste Regeln für den Zugriff Dritter auf E-Mail-Accounts anderer Mitarbeiter bestehen oder soweit diese eingeführt werden sollen, können auch diese Vertretungs- und Zugriffsregeln in dieser Betriebsvereinbarung geregelt werden.
80
Denkbar wäre etwa eine Pflicht zur Einrichtung konkreter Vertretungsregelungen für geplante/ungeplante Abwesenheiten durch Benennung eines insbesondere auch für Fälle ungeplanter Abwesenheiten zuständigen Vertreters. Denkbar wäre auch, nur dem Grunde nach zu regeln, dass Mitarbeiter für Fälle geplanter und ungeplanter Abwesenheiten stets dafür zu sorgen haben, dass ein Vertreter einen bestimmten Zugriff auf ihre E-Mail-Accounts hat, ohne die Details dieser Vertretungsregelungen hier weiter zu beschreiben.
81
Rücker
|
611
Teil 4 V
Rz. 82
Betriebsvereinbarung zur Internet- und E-Mail-Nutzung
c) Erläuterungen zu Ziffer 5.1.4 82
Soweit rechtliche Vorlagepflichten im Inland bestehen und soweit diese etwaige Eingriffe in das Datenschutzrecht und das Fernmeldegeheimnis legitimieren, hat diese Regelung nur deklaratorische Wirkung.
83
Etwaige aus Vorschriften anderer Rechtsordnungen resultierende Vorlagepflichten sowie bloß interne Ermittlungen vermögen hingegen die im Falle einer Gestattung der Privatnutzung gegebenen Eingriffe in das Datenschutzrecht sowie in das Fernmeldegeheimnis nicht ohne Weiteres zu rechtfertigen. Typische Beispiele für aus ausländischen Rechtsordnungen resultierende Pflichten zur Einsichtnahme in E-Mail-Korrespondenz und zu deren Vorlage im Ausland sind ausländische Gerichtsverfahren (z.B. E-Discovery-Verfahren in den USA) oder Ermittlungen ausländischer Behörden (z.B. kartellrechtliche Untersuchungen). Schon unter Transparenzgesichtspunkten problematisch ist, dass die Details solcher Auswertungen von E-Mails und deren Übermittlung und Verwendung im Ausland jeweils vom Einzelfall abhängen, damit im Vorhinein zwangsläufig noch nicht bekannt sind und dementsprechend auch noch nicht genau beschrieben werden können.
84
Dennoch sollte versucht werden, dieses Thema bereits in der Betriebsvereinbarung sowie in der damit korrespondierenden Einwilligung bestmöglich zu adressieren, wenngleich Restrisiken verbleiben, dass diese Regelungen aus Transparenzgründen als nicht ausreichend angesehen werden können, um etwaige Eingriffe in Datenschutzrecht und Fernmeldegeheimnis zu rechtfertigen. Soweit konkrete Eingriffe unter Transparenzgesichtspunkten im Einzelfall als gerechtfertigt erscheinen, bleiben im Einzelfall nur die Einholung ergänzender Einwilligungen sowie der Abschluss ergänzender Betriebsvereinbarungen (wobei Betriebsvereinbarungen allein Eingriffe in das Fernmeldegeheimnis nicht rechtfertigen können, vgl. hierzu Rz. 40 f.).
d) Erläuterungen zu Ziffer 5.2.1 85
Schon angesichts des Umstandes, dass der Arbeitgeber ein Bedürfnis hat, die betriebliche E-Mail-Korrespondenz einzusehen und die private Korrespondenz gleichzeitig gestattet ist, sollte der Mitarbeiter die Möglichkeit haben, etwaige Privatkorrespondenz von betrieblicher Korrespondenz zu trennen. Hierzu ist zu empfehlen, dass die E-Mail-Systeme in Fällen gestatteter Privatnutzung schon durch die IT-Administration so konfiguriert sind, dass sie Privatordner vorsehen. Soweit dies nicht der Fall ist, sollte der Mitarbeiter selbst die Möglichkeit haben, einen Privatordner anzulegen.
e) Erläuterungen zu Ziffer 5.2.2 und 5.2.3 86
Diese Regelung weist den Mitarbeiter an, auch in der Praxis stets für eine saubere Trennung zwischen betrieblicher und privater Korrespondenz zu sorgen. Eine solche Trennung reduziert wiederum die Eingriffsintensität im Falle etwaiger Durchsuchungen der für die betriebliche Korrespondenz bestimmten Ordner. 612
|
Rücker
Erläuterungen
Rz. 92 Teil 4 V
Inwieweit eine Sicherung privater Ordner auf anderen Speichermedien im jeweiligen Betrieb insbesondere angesichts der getroffenen und zu treffenden Sicherheitseinstellungen möglich ist, muss im Einzelfall geklärt werden.
87
f) Erläuterungen zu Ziffer 5.2.4 und 5.2.5 Diese Regelung befasst sich mit der im Einzelfall zu treffenden Abgrenzung zwischen betrieblichen und privaten E-Mails. Diese Abgrenzung mag dann nicht immer leicht fallen, wenn E-Mails betriebliche und private Inhalte haben, etwa im Falle auch freundschaftlicher Beziehungen zu Geschäftspartnern. Hier ist sicherzustellen, dass solche auch privaten E-Mails mit Blick auf die betrieblich relevanten Inhalte dem Zugriff des Arbeitgebers nicht entzogen werden.
88
Weiter ist es denkbar, die Mitarbeiter zu verpflichten, private Korrespondenz in der Betreffzeile als privat zu kennzeichnen. Dies kann aber unmittelbar nur für ausgehende Korrespondenz gelten und nicht für von den jeweiligen Kommunikationspartnern der Mitarbeiter eingehende Korrespondenz.
89
In Betracht kommt ferner eine Vermutung zugunsten des Arbeitgebers, dass alle außerhalb des Privatordners gespeicherten E-Mails als geschäftliche E-Mails anzusehen sind, soweit dies nicht schon aus der Betreffzeile der E-Mail widerlegt wird. Diese Regelung ist eine konsequente Folge der ohnehin bestehenden Pflicht des Mitarbeiters, private Korrespondenz unverzüglich in den Privatordner zu verschieben (hierzu oben Rz. 86 f.). Gleichzeitig berücksichtigt diese Regelung nicht den Umstand, dass es dem Mitarbeiter ggf. noch gar nicht möglich gewesen sein kann, während seiner Abwesenheit eingegangene E-Mails in den Privatordner zu verschieben.
90
g) Erläuterungen zu Ziffer 5.3.1 Diese Regelungen stellen klar, dass der Arbeitgeber auf die Privatordner der Mitarbeiter grundsätzlich nicht zugreifen darf. Eine Ausnahme hierzu müssen die Regelungen zur Missbrauchskontrolle sein, weil der Arbeitgeber in der Lage sein muss, etwaige Missbrauchsfälle aufzudecken und weil die Privatordner keine geschützte Zone sein dürfen dergestalt, dass sie dem Mitarbeiter auch Immunität gegen die Aufdeckung von Missbrauchsfällen gewähren. Hierbei ist insbesondere zu bedenken, dass es dem Mitarbeiter auch nicht möglich sein darf, etwaige rechtswidrige geschäftliche Korrespondenz durch Verschieben in den Privatordner dem Zugriff des Arbeitgebers oder durch den Arbeitgeber vorgenommenen Untersuchungen zu entziehen.
91
h) Erläuterungen zu Ziffer 5.3.2 Diese Regelung dient insbesondere der Erhaltung der Funktionsfähigkeit sowie der technischen Optimierung und stellt klar, dass zu diesen Zwecken auch Zugriffe auf Privatordner in Betracht kommen. Die Absicherung dieser Zwecke im Rahmen der Betriebsvereinbarung hat ähnliche Ziele wie die Regelung nach § 100 TKG, die zu ähnlichen Zwecken auch Eingriffe in das Fernmeldegeheimnis legitimiert. Rücker
|
613
92
Teil 4 V
Rz. 93
Betriebsvereinbarung zur Internet- und E-Mail-Nutzung
i) Erläuterungen zu Ziffer 5.3.3 93
Diese Legitimation der Zugriffe auf Privatordner geht vergleichsweise weit. Andererseits muss der Arbeitgeber dem vorbeugen, dass der Mitarbeiter etwaige betriebliche Korrespondenz in den Privatordner verschieben und so dem Zugriff des Arbeitgebers entziehen kann. Auch hier kommt wieder die aus Sicht des Arbeitgebers einzunehmende Grundprämisse zum Tragen, dass eine Gestattung der Privatnutzung den Mitarbeitern zwar sonst nicht vorhandene Freiräume bei der Nutzung betrieblicher Arbeitsmittel verschaffen soll, unternehmerische Interessen aber nicht beeinträchtigen darf.
94
Weil diese Eingriffsbefugnis vergleichsweise weit formuliert ist, bestehen rechtliche Risiken, dass diese Regelung insbesondere aus datenschutzrechtlicher Sicht als nicht hinreichend transparent angesehen werden könnte und deshalb keine legitimierende Wirkung entfalten kann. Dies gilt entsprechend, soweit derartige Eingriffsbefugnisse über die Zusatzvereinbarung zu dieser Betriebsvereinbarung im Wege einer Einwilligungslösung legitimiert werden sollen. Vor diesem Hintergrund mag es in bestimmten Fällen, etwa bei ausländischen E-Discovery-Verfahren oder Untersuchungen auch ausländischer Behörden sinnvoll sein, diese Fälle im Einzelfall im Rahmen gesonderter Betriebsvereinbarungen und korrespondierender Einwilligungen zu legitimieren, sobald nähere Details über die Auswertung und erforderliche Nutzung dieser Daten bekannt sind. Allerdings besteht auch hier immer ein Restrisiko, dass sich der Betriebsrat und/oder die Betroffenen im Einzelfall solcher ergänzender Regelungen verweigern.
6. Erläuterungen zu Ziffer 6 95
E 6. Spezielle Regeln für Internet-Accounts 6.1 Filtersysteme 6.1.1 Der Arbeitgeber ist jederzeit berechtigt, zur auch faktischen Verhinderung und weiteren Reduzierung von Risiken eines Missbrauchs betrieblicher Internet-Accounts technische Vorkehrungen zu treffen, die insbesondere dafür sorgen, dass etwaige verbotene Internetseiten und/oder Inhalte blockiert werden und gar nicht abrufbar sind. Hierzu zählen insbesondere softwaregestützte Filtersysteme, die den Zugriff auf bestimmte Webseiten/URLs schon faktisch unterbinden. 6.1.2 Der Arbeitgeber kann solche Filter nach seinem ausschließlichen Ermessen konfigurieren, wobei hierbei Aspekte der betrieblichen Nutzung überwiegen. 6.2 Protokollierung der Nutzung betrieblicher Internet-Accounts Bei der Nutzung betrieblicher Internet-Accounts werden ebenfalls bestimmte Informationen protokolliert und gespeichert. Eine Unterscheidung zwischen dienstlicher und privater Nutzung ist insoweit nicht möglich, weil beide Nutzungsarten über dieselbe technische Infrastruktur er614
|
Rücker
Erläuterungen
Rz. 100 Teil 4 V
folgen. Diese Informationen können auch personenbezogene Daten des Nutzers enthalten, insbesondere Informationen über besuchte Websites und dort vorgenommene Aktivitäten des Nutzers.
a) Erläuterungen zu Ziffer 6.1 Um etwaige aus einer missbräuchlichen Nutzung speziell betrieblicher Internet-Accounts resultierende Risiken und Nachteile für den Arbeitgeber auch rein faktisch bestmöglich zu vermeiden, empfiehlt sich der Einsatz von Software, die schon den Zugriff auf bestimmte Kategorien von Websites und Inhalten verhindert. Derartige Software ist in der Regel je nach den Wünschen des Arbeitgebers konfigurierbar.
96
Der Einsatz solcher Systeme empfiehlt sich schon aus Sicherheitsgründen, da so etwa bedrohliche oder rechtswidrige Websites komplett gesperrt werden können. Die rein faktische Verhinderung etwaiger durch die Mitarbeiter begangener Rechtsverletzungen ist aber auch unter Aspekten einer möglichen Mitverantwortlichkeit des Arbeitgebers wichtig. So können Risiken einer Mitverantwortlichkeit des Arbeitgebers nach den Grundsätzen der Störer- oder Teilnehmerhaftung für die Nutzung rechtswidriger Filesharing-Dienste und damit einhergehende Risiken von Abmahnungen stark reduziert werden, indem entsprechende rechtswidrige Angebote von vornherein geblockt werden.
97
b) Erläuterungen zu Ziffer 6.2 Schon aus technischen Gründen fallen bei der Nutzung von Internet-Accounts diverse Informationen teilweise unvermeidlich an. In einem bestimmten Rahmen sind diese Informationen auch erforderlich oder zumindest hilfreich, um die ordnungsgemäße Funktionsfähigkeit der Internet-Accounts aufrecht zu erhalten und Störungen möglichst leicht zu erkennen und zu beheben.
98
Soweit die gespeicherten Informationen Rückschlüsse auf bestimmte oder bestimmbare Personen ermöglichen und damit personenbezogene Daten enthalten, unterliegen die Erhebung, Verarbeitung und Nutzung dieser Informationen den Beschränkungen des Datenschutzrechts.
99
Inwieweit die private Nutzung betrieblicher Internet-Accounts als dem Fernmeldegeheimnis nach § 88 TKG unterfallende Individualkommunikation anzusehen ist, ist umstritten. Schließlich sind Internetseiten regelmäßig nur einseitig abrufbare Inhalte (z.B. Spiegel-Online), also Telemedien i.S.d. TMG1. Andererseits sind außerhalb der Kommunikation über betriebliche E-Mail-Accounts auch über das Internet unterschiedliche Arten der Individualkommunikation möglich, etwa Chats, IP-Telefonie, SMS und MMS. Damit ist zumindest nicht auszuschließen, dass auch die private Nutzung betrieblicher Internet-Accounts grundsätzlich dem Schutz des Fernmeldegeheimnisses unterfällt2.
100
1 I.Erg. ebenso auch Härting, ITRB 2008, 88 (89); hierzu auch Mengel, BB 2004, 2014 (2019). 2 So wohl i.Erg. auch Weißnicht, MMR 2003, 448 (449).
Rücker
|
615
Teil 4 V
Rz. 101
Betriebsvereinbarung zur Internet- und E-Mail-Nutzung
101
Vor diesem Hintergrund besteht auch bei der privaten Nutzung betrieblicher Internet-Accounts ein starker Bedarf, etwaige Eingriffe in das Fernmeldegeheimnis sowie ins Datenschutzrecht durch eine Betriebsvereinbarung in Verbindung mit einer Einwilligung zu rechtfertigen (zu den Grenzen der Rechtfertigung durch Betriebsvereinbarung und Einwilligung oben Rz. 38 ff.). Angesichts der bestehenden Rechtsunsicherheiten über Anwendbarkeit und Reichweite des Fernmeldegeheimnisses in Zusammenhang mit der privaten Nutzung betrieblicher Internet-Accounts sollten die jeweils in Betracht kommenden Eingriffe jedenfalls in der Betriebsvereinbarung und insbesondere auch in der diese ergänzenden Einwilligung gestattet und damit bestmöglich legitimiert werden.
102
Der Verweis auf „bestimmte Informationen“ ist wenig transparent und könnte deshalb als nicht ausreichend angesehen werden, um die mit der Sichtung der tatsächlich betroffenen Informationen einhergehenden Eingriffe zu rechtfertigen. Um derartige rechtliche Risiken zu reduzieren, sind die unter der vom Arbeitgeber eingesetzten Systemkonfiguration konkret gespeicherten Informationen in der Betriebsvereinbarung und der korrespondierenden Einwilligung möglichst genau zu benennen. Gleichzeitig sollte der Arbeitgeber in der Lage bleiben, die technische Detailkonfiguration in dem durch die Betriebsvereinbarung vorgegebenen Rahmen anzupassen und insbesondere auf dem aktuellen technischen Stand zu halten.
7. Erläuterungen zu Ziffer 7 103
E 7. Missbrauchskontrolle 7.1 Keine generelle Überwachung Eine generelle Überwachung der Nutzung betrieblicher E-Mail- und Internet-Accounts findet nicht statt. 7.2 Einsichtnahme und Auswertung 7.2.2 Soweit ein Verdacht besteht, dass der Mitarbeiter betriebliche E-Mail- und/oder Internet-Accounts rechtswidrig oder unter Verstoß gegen diese BV nutzt oder soweit entsprechende Rechtsverstöße des Mitarbeiters feststehen, ist der Arbeitgeber berechtigt, die gespeicherten Daten zur Internetnutzung und/oder die Privatordner des betroffenen Mitarbeiters einzusehen und auszuwerten und Mitarbeiter von der Privatnutzung vorübergehend oder dauerhaft auszuschließen. 7.2.3 Der Zugriff auf die Protokolldaten erfolgt durch den Systemverantwortlichen und den Datenschutzbeauftragten. 7.2.4 Über die Einsichtnahme und Auswertung wird ein Protokoll erstellt, von dem der Mitarbeiter eine Abschrift erhält. 7.3 Arbeitsrechtliche Konsequenzen bei Verstößen gegen diese BV Zuwiderhandlungen des Mitarbeiters gegen diese BV können zu Ermahnungen und/oder Abmahnungen bis hin zu Kündigungen sowie zu Schadensersatzansprüchen des Arbeitgebers gegen den Mitarbeiter führen. 616
|
Rücker
Erläuterungen
Rz. 108 Teil 4 V
a) Erläuterungen zu Ziffer 7.1 Der Hinweis darauf, dass eine generelle Überwachung des Mitarbeiters in Zusammenhang mit dessen Nutzung betrieblicher E-Mail- und Internet-Accounts nicht stattfindet, dient lediglich der Klarstellung, weil eine solche generelle Überwachung in der Regel ohnehin einen unverhältnismäßigen Eingriff in das Persönlichkeitsrecht des Mitarbeiters darstellen würde und damit unzulässig wäre1. Gleichwohl sind die im Folgenden behandelten Fragen, unter welchen genauen Voraussetzungen der Arbeitgeber welche konkreten Daten einsehen und auswerten darf, sicherlich eine der Fragen, über die zwischen dem Arbeitgeber und dem Betriebsrat am intensivsten verhandelt wird.
104
b) Erläuterungen zu Ziffer 7.2.1 Eine Einsichtnahme des Arbeitgebers in die betriebliche E-Mail-Korrespondenz ist nach der Regelung dieser Betriebsvereinbarung grundsätzlich möglich, weil sie von der Prämisse ausgeht, dass die betriebliche E-Mail-Korrespondenz ebenso wie sonstige über andere Kommunikationswege geführte betriebliche Korrespondenz, etwa Briefe oder Telefaxe, der ausschließlichen Verfügungsbefugnis des Arbeitgebers unterliegt (vgl. Rz. 76 ff.). Vor diesem Hintergrund können der Vorgesetzte des jeweiligen Mitarbeiters und von ihm bestimmte andere Mitarbeiter des Arbeitgebers jederzeit lesenden Zugriff auf die betriebliche E-Mail-Korrespondenz anderer Mitarbeiter nehmen soweit dies betrieblichen Zwecken dient (vgl. Rz. 76 ff.).
105
Bei den Daten zur Nutzung betrieblicher Internet-Accounts ist eine solche Trennung regelmäßig nicht möglich oder wird zumindest nicht vorgenommen, wobei auch hier die Prämisse gelten soll, dass die Nutzung betrieblicher Internet-Accounts vornehmlich zu betrieblichen Zwecken erfolgen und dass eine daneben gestattete Privatnutzung zumindest die betrieblichen Interessen nicht einschränken soll. Dies ist auch bei der konkreten Ausgestaltung der dem Arbeitgeber möglichen Kontrollrechte zu berücksichtigen.
106
Hier stellt sich die Frage, unter welchen einschränkenden Voraussetzungen der Arbeitgeber auf die Privatordner einzelner Mitarbeiter sowie die zur Nutzung der Internet-Accounts gespeicherten Daten zugreifen darf. Sicherlich bedarf es hierbei einer gewissen Schwelle. Diese Schwelle sollte eine willkürliche Einsichtnahme verhindern, aber ebenso verhindern, dass der Mitarbeiter betriebliche Informationen durch ein bloßes Verschieben in den Privatordner dem Zugriff des Arbeitgebers entziehen kann.
107
Die Details dieser Schwelle, insbesondere die Anforderungen an einen Anfangsverdacht mögen im Einzelfall variieren und sind in der Regel Gegenstand der Abstimmung zwischen der Arbeitgeberseite und dem Betriebsrat.
c) Erläuterungen zu Ziffer 7.2.2 Da der Arbeitgeber bei einem Zugriff auf auch private Daten des Mitarbeiters in das Fernmeldegeheimnis sowie in Datenschutzrecht eingreift, sollte der 1 So etwa jurisPK Internetrecht/Braun, Kap. 7 Rz. 81 m.w.N.
Rücker
|
617
108
Teil 4 V
Rz. 109
Betriebsvereinbarung zur Internet- und E-Mail-Nutzung
Kreis der solche Eingriffe ausführenden Kräfte möglichst klein gehalten werden. Aus technischer Sicht wird hierfür in der Regel der Systemverantwortliche benötigt. Als weitere im Rahmen eines Mehr-Augen-Prinzips hinzuzuziehende Person kommt insbesondere der Datenschutzbeauftragte in Betracht.
d) Erläuterungen zu Ziffer 7.2.3 109
Eine Information des Mitarbeiters über etwaige beabsichtigte Prüfungen seines E-Mail- und/oder Internet-Accounts wird in aller Regel erst im Nachhinein erfolgen, wenn etwa erforderliche Beweise gesichert sind. Eine der Einsichtnahme und Auswertung vorangehende Information des jeweiligen Mitarbeiters könnte dazu führen, dass dieser, soweit möglich, belastende Informationen löscht oder sonst verdunkelt.
e) Erläuterungen zu Ziffer 7.3 110
Dieser Hinweis auf mögliche Konsequenzen im Falle von Verstößen des Mitarbeiters ist nur deklaratorisch und soll den betroffenen Mitarbeitern nochmals die mögliche Tragweite etwaiger Verstöße bewusst machen.
111
Für den umgekehrten Fall, dass der Arbeitgeber gegen diese Betriebsvereinbarung verstößt, insbesondere entgegen den Beschränkungen der Betriebsvereinbarung Einsicht in E-Mail-Accounts und Daten zu Internetverbindungen nimmt, fordern die Betriebsräte häufig, dass der Arbeitgeber solche unter Verstoß gegen diese Betriebsvereinbarung erlangte Informationen und Erkenntnisse nicht zu Lasten des Mitarbeiters verwenden darf. Die Tragweite solcher Beweisverwertungsverbote ist umso höher, je stärker die Betriebsvereinbarung den Arbeitgeber bei der Einsichtnahme in die betroffenen Informationen einschränkt. Wenngleich der hier vorgeschlagene Entwurf einer Betriebsvereinbarung den Arbeitgeber vergleichsweise wenig einschränkt, gibt es in der Praxis zahlreiche Fälle, in denen die Verhandlungen zwischen Arbeitgeber und Betriebsrat zu weitaus stärkeren Einschränkungen des Arbeitgebers führen.
8. Erläuterungen zu Ziffer 8 112
E 8. Schlussbestimmungen 8.1 Verschwiegenheitspflicht Der Betriebsrat und jedes einzelne seiner Mitglieder haben über die ihnen in Ausübung ihres Amtes bekannt gewordenen vertraulichen Informationen Stillschweigen zu bewahren und dürfen diese Informationen Dritten nicht zur Kenntnis bringen. Vertrauliche Informationen in diesem Sinne sind neben ausdrücklich als „vertraulich“ gekennzeichneten Informationen auch aus den Umständen erkennbar als vertraulich zu behandelnde Informationen, personenbezogene Daten der betroffenen Arbeitnehmer und insbesondere in Zusammenhang mit der Einsichtnahme in E-Mail-Accounts und Daten zur Nutzung von Internet-Accounts erlangte Informationen. Die gesetzlichen Pflichten des Betriebsrates und seiner Mitglieder nach § 79 BetrVG bleiben unberührt. 618
|
Rücker
Erläuterungen
Rz. 115 Teil 4 V
8.2 Ablösung von Betriebsvereinbarungen Die BV löst folgende BV ab: – [Bezeichnung und Datum der abzulösenden Betriebsvereinbarung sind hier zu ergänzen] – [Bezeichnung und Datum der abzulösenden Betriebsvereinbarung sind hier zu ergänzen] 8.3 Inkrafttreten, Kündigung und Nachwirkung 8.3.1 Diese BV tritt mit Unterzeichnung in Kraft. 8.3.2 Sie kann mit einer Frist von … [Kündigungsfrist noch zu ergänzen] Monaten zum Ende eines Kalenderjahres gekündigt werden, erstmals jedoch zum … [Datum für Mindestlaufzeit zu ergänzen, falls eine solche gewünscht ist]. 8.3.3 Ab Wirksamwerden einer Kündigung dieser BV ist allen Mitarbeitern die private Nutzung betrieblicher E-Mail- und InternetAccounts untersagt. Im Falle der Beendigung dieser BV entfaltet diese nur noch insoweit Nachwirkung, als sie etwaige Eingriffe in Datenschutzrecht und das Fernmeldegeheimnis regelt, insbesondere mit Blick auf solche Daten und Informationen, die während einer gestatteten Privatnutzung betrieblicher E-Mail- und InternetAccounts angefallen sind.
a) Erläuterungen zu Ziffer 8.1 Diese Regelung ist nur deklaratorisch und neben den ohnehin nach § 79 BetrVG bestehenden Geheimhaltungspflichten nicht zwingend erforderlich.
113
b) Erläuterungen zu Ziffer 8.2 Hier ist insbesondere das Verhältnis zu etwaigen bestehenden, durch diese Betriebsvereinbarung abgelösten Betriebsvereinbarungen klarzustellen (zum Verhältnis zu etwaigen anderen fortbestehenden Betriebsvereinbarungen auch Rz. 53). Die durch diese Betriebsvereinbarung abgelösten Betriebsvereinbarungen sind hier konkret zu benennen.
114
c) Erläuterungen zu Ziffer 8.3.1 und 8.3.2 Die Regelung in den Ziffern 8.3.1 und 8.3.2 sieht neben einer zu vereinbarenden Kündigungsfrist auch eine Kündigung zu einem bestimmten Termin, hier zum Ende eines Kalenderjahres, sowie eine Mindestlaufzeit vor. Sie weicht damit von der in § 77 Abs. 5 BetrVG geregelten dreimonatigen Kündigungsfrist ab, die zudem auch keinen bestimmten Kündigungstermin vorsieht.
Rücker
|
619
115
Teil 4 V
Rz. 116
Betriebsvereinbarung zur Internet- und E-Mail-Nutzung
d) Erläuterungen zu Ziffer 8.3.3 116
Sobald diese Betriebsvereinbarung und ihre zumindest einschränkend legitimierende Wirkung entfällt, entfällt auch die Berechtigung der Mitarbeiter, betriebliche E-Mail- und Internet-Accounts zu privaten Zwecken zu nutzen. Höchstvorsorglich soll diese Betriebsvereinbarung jedoch insoweit Nachwirkung entfalten, als es um die Sichtung und Auswertung solcher Informationen geht, die in Zeiträumen angefallen sind, in denen die Privatnutzung gestattet war. Auch ein Widerruf der diese Betriebsvereinbarung ergänzenden Einwilligung ist dahin einzuschränken, dass die legitimierende Wirkung der Einwilligung nicht für solche Daten entfallen kann, die während einer gestatteten Privatnutzung angefallen sind.
9. Erläuterungen zur Schlussformel 117
E Anlage: Zusatzvereinbarung zum Arbeitsvertrag für die private Nutzung betrieblicher Kommunikationsmittel und Einwilligungserklärung [Ort], [Datum] [Name und Gesellschaftsform des Arbeitgebers]: … (Vertreter [Arbeitgeber])
… i.V. (Vertreter [Arbeitgeber])
Betriebsrat der [Name und Gesellschaftsform des Arbeitgebers]: … (Vertreter Betriebsrat) 118
… (Vertreter Betriebsrat)
Nach § 77 Abs. 2 Satz 1 und 2 BetrVG sind Betriebsvereinbarungen schriftlich niederzulegen und von beiden Seiten zu unterzeichnen1.
10. Erläuterungen zur Anlage 119
E Anlage: Zusatzvereinbarung zur privaten Nutzung betrieblicher Kommunikationsmittel und Einwilligungserklärung Die … [Name und Gesellschaftsform des Arbeitgebers zu ergänzen] (im Folgenden „Unternehmen“) stellt Ihnen einen E-Mail-Account sowie einen InternetAccount zur Verfügung, die als Arbeitsmittel grundsätzlich nur der betrieblichen Aufgabenerfüllung dienen. Wenngleich die betriebliche Nutzung stets Vorrang hat, gestattet das Unternehmen Ihnen in gewissen Grenzen auch eine private Nutzung dieser Arbeitsmittel. Der genaue Umfang der gestatteten und damit zulässigen Privatnutzung sowie die dem Unternehmen zustehenden Zugriffsrechte auf in Zusammenhang mit der Nutzung betrieblicher E-Mail- und Internet-Accounts sind in der hierzu abgeschlossenen Betriebsvereinbarung „Betriebsvereinbarung zur Internet- und E-Mail-Nutzung“ vom … [Datum der 1 Zur genauen Ausgestaltung des Schriftformerfordernisses vgl. Erfurter Kommentar zum Arbeitsrecht/Kania, § 77 BetrVG Rz. 19 ff. m.w.N.
620
|
Rücker
Erläuterungen
Rz. 119 Teil 4 V
Betriebsvereinbarung zu ergänzen] (nachfolgend auch „BV“) im Einzelnen beschrieben. Für Mitarbeiter, die dem Anwendungsbereich der BV nicht direkt unterfallen, werden die Regelungen der BV zur Internet- und E-Mail-Nutzung durch diese Zusatzvereinbarung rechtsverbindlich vereinbart. Wir möchten besonders hervorheben, dass Sie nach Ziffer 5.2.2 der BV verpflichtet sind, ein- und ausgehende private E-Mails stets unverzüglich in einen hierfür gesondert eingerichteten „Privatordner“ zu verschieben und damit von betrieblicher Korrespondenz streng zu trennen. Es ist Ihnen ausdrücklich nicht gestattet, Korrespondenz, die nicht ausschließlich privater Natur und damit zumindest auch betrieblicher Natur ist, in den Privatordner zu verschieben (vgl. Ziffer 5.2.3 der BV). Wir behalten uns das Recht vor, soweit dies Interessen des Unternehmens dient (z.B. im Zusammenhang mit Gerichtsverfahren, behördlichen Untersuchungen, internen Ermittlungen sowie zur Missbrauchskontrolle), betriebliche E-Mail-Postfächer sowie zur Internetnutzung gespeicherte Daten einzusehen und auszuwerten. Der genaue Umfang und die Grenzen etwaiger Einsichtnahmen und Auswertungen sind im Einzelnen in der BV sowie in etwaigen diese ergänzenden BV beschrieben. Einige Gerichtsentscheidungen sprechen dafür, dass das Unternehmen bei einer Gestattung der Privatnutzung betrieblicher E-Mail- und Internet-Accounts nicht an das Fernmeldegeheimnis nach § 88 des Telekommunikationsgesetzes (im Folgenden „TKG“) gebunden ist. Für den Fall, dass diese Entscheidungen keinen Bestand haben sollten oder sich die Rechtslage ändern sollte, steht die Gestattung der privaten Nutzung betrieblicher E-Mail- und Internet-Accounts stets unter dem Vorbehalt, dass Sie das Unternehmen durch Ihre Einwilligung von den Beschränkungen des Fernmeldegeheimnisses nach § 88 TKG befreien. Ihre Einwilligung ist freiwillig. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Ab Zugang Ihres Widerrufs entfällt Ihre Berechtigung zu jedweder privater Nutzung betrieblicher E-Mail- und InternetAccounts, ebenfalls mit Wirkung für die Zukunft. Ein Widerruf Ihrer Einwilligung ist allerdings ausgeschlossen, soweit dadurch die Verarbeitung und Nutzung solcher Informationen eingeschränkt würde, die sich auf die Nutzung betrieblicher E-Mail- und/oder Internet-Accounts aus dem Zeitraum vor dem Widerruf beziehen. Insoweit bleibt das Unternehmen auch im Falle eines Widerrufs Ihrer Einwilligung für diejenigen Zeiträume von den Beschränkungen des Fernmeldegeheimnisses befreit, in denen Ihnen die Privatnutzung gestattet war. Dieser Ausschluss des Widerrufsrechts gilt nur, sofern Ihre berechtigten Interessen dem nicht entgegenstehen. Mit meiner Unterschrift erkläre ich mich einverstanden mit den Regeln für die private Nutzung betrieblicher E-Mail und Internet-Accounts, die in dieser Zusatzvereinbarung zu meinem Arbeitsvertrag beschrieben sind. Hiermit befreie ich … [Name des Unternehmens zu ergänzen] höchstvorsorglich von der Einhaltung des Fernmeldegeheimnisses nach § 88 TKG und von etwaigen davon ausgehenden Beschränkungen, soweit es um die private Nutzung betrieblicher E-Mail- und Internet-Accounts geht. Rücker
|
621
Teil 4 V
Rz. 120
Betriebsvereinbarung zur Internet- und E-Mail-Nutzung
Ich bestätige mit meiner Unterschrift zugleich, dass mir eine Kopie der BV ausgehändigt wurde.
a) Allgemeines 120
Die Zusatzvereinbarung zur privaten Nutzung betrieblicher Kommunikationsmittel und die Einwilligungserklärung sollten sämtliche Mitarbeiter unterzeichnen, unabhängig davon, ob sie dem Anwendungsbereich der Betriebsvereinbarung unterfallen oder nicht (vgl. oben unter Rz. 9, 51 f.). Denn die Betriebsvereinbarung alleine kann Eingriffe in das Fernmeldegeheimnis nicht rechtfertigen (vgl. Rz. 40 f.). Wie oben unter Rz. 42 ff. beschrieben, ist darüber hinaus umstritten, inwieweit Betriebsvereinbarungen als Rechtfertigungen für datenschutzrechtliche Eingriffe dienen können.
b) Erläuterungen zu Absatz 1 121
Die Inbezugnahme der Betriebsvereinbarung und des in dieser geregelten Rahmens der Nutzung betrieblicher E-Mail- und Internet-Accounts erweitert den Anwendungsbereich der in der Betriebsvereinbarung getroffenen Regelungen zur E-Mail- und Internetnutzung auch auf der betrieblichen Mitbestimmung nicht unterfallende Mitarbeiter, insbesondere leitende Angestellte, Leiharbeiter oder externe Dienstleister (zum persönlichen Anwendungsbereich der Betriebsvereinbarung auch Rz. 51 f.).
c) Erläuterungen zu Absatz 2 122
Gemäß § 77 Abs. 4 Satz 1 BetrVG wirken Betriebsvereinbarungen unmittelbar und zwingend. Der Betriebsvereinbarung unterfallende Arbeitnehmer sind also auch ohne gesonderte Hervorhebung der genannten Pflichten dazu angehalten, diese zu erfüllen. Gleichwohl empfiehlt es sich zum effektiven Schutz der privaten personenbezogenen Daten des Arbeitnehmers, diesen über die Zusatzvereinbarung nochmals individuell insbesondere darauf hinzuweisen, seine private Korrespondenz in einen „Privatordner“ zu verschieben. Nur dort sind die entsprechenden Inhalte besonders vor dem Zugriff durch den Arbeitgeber geschützt (hierzu auch die Kommentierung zu Ziffer 5.2 der Betriebsvereinbarung, Rz. 85 ff.). Für Mitarbeiter, für die die Betriebsvereinbarung keine unmittelbare Anwendung findet, werden die Regelungen der Betriebsvereinbarung nur über diese Zusatzvereinbarung rechtsverbindlich.
d) Erläuterungen zu Absatz 3 123
Insbesondere die in Ziffer 5.3.3 der Betriebsvereinbarung vorgesehene Legitimation der Zugriffe auf Privatordner geht vergleichsweise weit. Andererseits ist aus Sicht des Unternehmens sicherzustellen, dass es dem Mitarbeiter auch nicht möglich sein darf, etwaige rechtswidrige geschäftliche Korrespondenz durch Verschieben in den Privatordner dem Zugriff des Unternehmens oder durch das Unternehmen vorgenommenen Untersuchungen zu entziehen. Auch hier kommt wieder die aus Sicht des Unternehmens einzunehmende Grundprämisse zum Tragen, dass eine Gestattung der Privatnutzung den Mit622
|
Rücker
Erläuterungen
Rz. 128 Teil 4 V
arbeitern zwar sonst nicht vorhandener Freiräume bei der Nutzung betrieblicher Arbeitsmittel verschaffen soll, unternehmerische Interessen aber nicht beeinträchtigen darf. Weil diese Eingriffsbefugnis vergleichsweise weit formuliert ist, bestehen rechtliche Restrisiken, dass diese Regelung insbesondere aus datenschutzrechtlicher Sicht als nicht hinreichend transparent angesehen werden könnte und deshalb keine legitimierende Wirkung entfalten kann. Dies gilt entsprechend, soweit derartige Eingriffsbefugnisse über die Zusatzvereinbarung zu dieser Betriebsvereinbarung im Wege einer Einwilligungslösung legitimiert werden sollen. Vor diesem Hintergrund mag es in bestimmten Fällen, etwa bei ausländischen E-Discovery-Verfahren oder Untersuchungen auch ausländischer Behörden sinnvoll sein, diese Fälle im Einzelfall im Rahmen gesonderter detaillierterer Betriebsvereinbarungen und korrespondierender Einwilligungen zu legitimieren, sobald nähere Details über die Auswertung und erforderliche Nutzung dieser Daten bekannt sind. Allerdings besteht auch hier immer ein Restrisiko, dass sich der Betriebsrat und/oder die Betroffenen im Einzelfall solcher ergänzender Regelungen verweigern.
124
e) Erläuterungen der restlichen Absätze Eine Kopie des § 88 TKG sollte ebenfalls aus Transparenzgründen auf dem Dokument abgedruckt sein, mit dem die Einwilligung eingeholt wird.
125
Wie schon oben zu Ziffer 5.3.3 der Betriebsvereinbarung (Rz. 93 f.) bemerkt, sollte zumindest vorsorglich eine Einwilligung der zur Privatnutzung berechtigten Arbeitnehmer in die damit einhergehende Datenverarbeitung durch den Arbeitgeber eingeholt werden. Doch auch die Einwilligungslösung weist gewisse rechtliche Risiken auf.
126
(1) Freiwilligkeit der Einwilligung Auch eine Einwilligung zu Eingriffen in das Fernmeldegeheimnis muss wie jede andere Einwilligung freiwillig erfolgen. Für die datenschutzrechtliche Einwilligung ist dies auch in § 4a Abs. 1 Satz 1 BDSG niedergelegt. Nicht freiwillig erklärte Einwilligungen sind unwirksam. Gerade im Arbeitsverhältnis stellt sich regelmäßig die Frage, inwieweit ein Arbeitnehmer vor dem Hintergrund seiner wirtschaftlichen Abhängigkeit vom Arbeitgeber überhaupt in seiner Entscheidung frei ist und nicht aus Angst vor Nachteilen entgegen seinem eigentlichen Willen eine Einwilligung erklärt1.
127
Soweit sich die Einwilligung des Arbeitnehmers lediglich auf eine freiwillig gewährte Leistung bezieht, hat der Mitarbeiter bei Verweigerung seiner Einwilligung keine Nachteile zu befürchten, die ihn zur Erklärung einer Einwilligung veranlassen könnten. Vielmehr kann er bei Verweigerung seiner Einwilligung lediglich die vom Arbeitgeber freiwillig gewährte zusätzliche Leistung der auch privaten Nutzung betrieblicher Kommunikationsmittel nicht in An-
128
1 Hierzu etwa Gola/Schomerus, § 4a BDSG Rz. 22.
Rücker
|
623
Teil 4 V
Rz. 129
Betriebsvereinbarung zur Internet- und E-Mail-Nutzung
spruch nehmen. Deshalb spricht in diesem Fall vieles dafür, keine Beeinträchtigungen der Freiwilligkeit anzunehmen1. 129
Eine nicht ausreichende Freiwilligkeit wäre aber insbesondere in Betrieben denkbar, in denen die Privatnutzung bisher schon ohne weitere Einschränkungen gestattet oder geduldet war und in denen die Privatnutzung jetzt unter Vorbehalte gestellt werden soll. Insoweit bestehen auch mit Blick auf die Freiwilligkeit einer Einwilligung und deren Wirksamkeit Risiken.
(2) Informierte Einwilligung 130
Eine weitere Wirksamkeitsvoraussetzung der Einwilligung ist, dass diese aufgrund einer informierten Entscheidung des Betroffenen erfolgt. Deshalb ist der Betroffene vor Erteilung der Einwilligung umfassend über die geplante Verwendung personenbezogener Daten aufzuklären. Denn nur so kann der Betroffene abwägen, ob die geplanten Eingriffe in das Recht auf informationelle Selbstbestimmung aus seiner Sicht hinnehmbar sind2. Mit dem Verweis auf den Inhalt der Betriebsvereinbarung sowie deren Aushändigung zusammen mit der Zusatzvereinbarung (was auch in den betriebsinternen Prozessablauf zu implementieren ist) wird die vollumfängliche Information ermöglicht. Gleichwohl sind auch insoweit Restrisiken nicht auszuschließen, dass ein ergänzender Verweis auf die in der Betriebsvereinbarung enthaltenen weiteren Details als nicht hinreichend transparent angesehen werden könnte und damit keine hinreichend informierte Basis für die Einwilligung darstellen könnte.
(3) Widerruflichkeit der Einwilligung 131
Zu Lasten des Arbeitgebers problematisch ist die jederzeitige Widerruflichkeit der Einwilligung. Widerruft ein Mitarbeiter seine Einwilligung in die Sichtung bei privater Nutzung betrieblicher Kommunikationsmittel angefallener Informationen, so entfällt für den Arbeitgeber die durch die Einwilligung bewirkte Legitimation von Eingriffen in Datenschutzrecht und Fernmeldegeheimnis. Dann treffen den Arbeitgeber wieder die oben eingangs skizzierten Beschränkungen (vgl. Kommentierung zu Rz. 6 ff.), insbesondere bei der Sichtung von E-Mail-Accounts und Internetprotokolldaten.
132
Mit dem Widerruf der Einwilligung entfällt zwar nicht die Legitimation für in der Vergangenheit vorgenommene Eingriffe, wohl aber die Berechtigung zur Auswertung solcher Daten, die in Zeiträumen vor dem Widerruf der Einwilligung angefallen sind3. In diesem Fall müsste der Arbeitgeber auch bei etwaigen Kontrollen differenzieren, bei welchem Mitarbeiter er welche Kontrollmaßnahmen durchführen darf. Hinzu kommt, dass Mitarbeiter von ihnen erklärte Einwilligungen immer dann widerrufen könnten, wenn sie Auswertungen ihrer E-MailAccounts verhindern möchten, um weiteren Kontrollmaßnahmen die Grundlage zu entziehen. 1 So etwa auch das LDI NRW, „E-Mail und Internet am Arbeitsplatz“, (Stand: 09/07), S. 5, Ziffer III.1.e. 2 Ausführlich Simitis/Simitis, § 4a BDSG Rz. 70 ff. 3 Statt vieler Simitis/Simitis, § 4a BDSG Rz. 102 f.
624
|
Rücker
Erläuterungen
Rz. 138 Teil 4 V
(4) Einschränkungen des jederzeitigen Widerrufsrechts Wenngleich der Einwilligende grundsätzlich jederzeit berechtigt ist, eine von ihm freiwillig erklärte Einwilligung zu widerrufen, kann dieses Widerrufsrecht im Einzelfall eingeschränkt sein.
133
Einige Stimmen in der Literatur vertreten, dass ein Widerruf ausnahmsweise gegen Treu und Glauben (§ 242 BGB) verstoßen kann und damit unwirksam wäre. Dies kommt insbesondere dann in Betracht, wenn der Widerruf willkürlich erfolgt, sich die für die seinerzeitige Erklärung der Einwilligung maßgeblichen Umstände nicht geändert haben und auch keine schutzwürdigen Interessen des Betroffenen am Widerruf der Einwilligung bestehen1.
134
Hier erscheint konkret die Situation unbillig, dass der Arbeitgeber infolge des Widerrufs einer Einwilligung nicht mehr berechtigt wäre, solche Daten zu sichten, die in Zeiträumen vor dem Widerruf der Einwilligung angefallen sind, in denen dem Mitarbeiter die Privatnutzung gestattet war. Für eine Treuwidrigkeit des Widerrufs spricht, dass die Erteilung der Einwilligung mit der Gewährung einer Leistung, nämlich der Gestattung der Privatnutzung, in Verbindung stand. Schließlich gewährt der Arbeitgeber zunächst die Privatnutzung freiwillig und vermeidet daraus resultierende Nachteile für den Arbeitgeber durch eine Einwilligung, die der Mitarbeiter gleichsam als Gegenleistung für die Gestattung der Privatnutzung erteilt. Deshalb erscheint es unbillig, wenn der Mitarbeiter in der Lage wäre, ihm diesen Schutz und gleichsam die Gegenleistung durch einen Widerruf der Einwilligung einseitig wieder zu entziehen2.
135
Ob und inwieweit auch ein vertraglicher Verzicht auf das jederzeitige Widerrufsrecht möglich ist, ist umstritten3. Dabei dürfte ein pauschaler vertraglicher Verzicht den Mitarbeiter unangemessen benachteiligen und im Ergebnis wohl schon nach § 307 BGB unwirksam sein.
136
Da vieles dafür spricht, dass ein Widerruf insoweit bereits nach § 242 BGB unwirksam wäre, erscheint es angemessen, eine solche partielle Einschränkung des Widerrufsrechts mit dem Mitarbeiter auch vertraglich abzusichern. Wenngleich sicherlich nicht auszuschließen ist, dass eine mit dieser Frage befasste Behörde oder ein Gericht hier zu einem anderen Ergebnis gelangen mag, lässt sich diese Auffassung vertreten und ist eine entsprechende Ausgestaltung der vertraglichen Vereinbarungen mit dem Mitarbeiter zu empfehlen.
137
(5) Administrative Absicherung eines Einwilligungsmanagements Da die Erteilung der Einwilligung freiwillig ist und die Einwilligung auch mit Wirkung für die Zukunft jederzeit widerruflich ist, hat der Arbeitgeber bei einer Einwilligungslösung administrativ ein lückenloses Einwilligungsmanagement sicherzustellen. Dabei ist im Einzelnen zu dokumentieren, welcher Mit1 Ähnlich etwa Gola/Schomerus, § 4a BDSG Rz. 18 ff.; Däubler, Gläserne Belegschaften?, § 4 Rz. 172; Däubler/Klebe/Wedde/Weichert/Däubler, § 4a BDSG Rz. 38. 2 Ähnlich auch Gola/Schomerus, § 4a BDSG Rz. 38 ff. m.w.N. 3 Hierzu etwa Gola/Schomerus, § 4a BDSG Rz. 38 ff. m.w.N.
Rücker
|
625
138
Teil 4 V
Rz. 139
Betriebsvereinbarung zur Internet- und E-Mail-Nutzung
arbeiter wann eine Einwilligung erklärt und widerrufen hat. Mitarbeitern, von denen keine Einwilligung vorliegt, ist die Privatnutzung komplett verboten, wobei die Einhaltung dieses Verbots auch regelmäßig zu kontrollieren ist1.
(6) Restrisiken bei der Rechtfertigung von Eingriffen in das Fernmeldegeheimnis durch eine Einwilligung – fehlende Einwilligung des Kommunikationspartners 139
Soweit es darum geht, mit einer Einwilligung auch Eingriffe in das Fernmeldegeheimnis zu rechtfertigen, greift eine Einwilligungslösung auch mit Blick auf den am Kommunikationsvorgang beteiligten außenstehenden Dritten zu kurz. So schützt das Fernmeldegeheimnis nicht nur den betroffenen Mitarbeiter, sondern alle am Telekommunikationsvorgang beteiligten Personen, also auch die außerhalb des Betriebes stehenden Dritten, mit denen der Mitarbeiter kommuniziert2. Damit wäre konsequenterweise auch die Einwilligung des Dritten einzuholen, was nicht praktikabel ist. Dem einwilligenden Mitarbeiter allein fehlt die Verfügungsbefugnis, um in Eingriffe in das Fernmeldegeheimnis einzuwilligen, soweit auch der Schutz seines Kommunikationspartners betroffen ist.
140
Dagegen lässt sich argumentieren, dass nicht erkennbar ist, weshalb sich ein außerhalb des Betriebes stehender Empfänger einer von einem geschäftlichen E-Mail-Account stammenden Nachricht zeitlich über den reinen Übermittlungsvorgang hinaus auf das Fernmeldegeheimnis berufen können sollte. Schließlich hindert das Fernmeldegeheimnis keinen der Kommunikationspartner daran, die mit dem außenstehenden Dritten geführte Korrespondenz im Nachhinein in Kopie auch an beliebige Dritte zu versenden. Kann und darf also der Mitarbeiter selbst solche Korrespondenz mit Dritten einem beliebigen Personenkreis zugänglich machen, so ist kein Grund ersichtlich, weshalb der Mitarbeiter nicht auch seinem Arbeitgeber gestatten können soll, Einblick in seine private E-Mail-Korrespondenz mit außenstehenden Dritten zu nehmen3.
141
Damit lässt sich zumindest mit guten Gründen argumentieren, dass jedenfalls die Inhalte der Korrespondenz mit außerhalb des Betriebes stehenden Dritten nach Abschluss des Übermittlungsvorgangs nicht mehr vom Schutzbereich des Fernmeldegeheimnisses umfasst sein kann und dass damit auch die Einwilligung des jeweiligen Kommunikationspartners nicht erforderlich ist. Inwie1 Andernfalls besteht zumindest ein Risiko, dass eine betriebliche Übung entstehen könnte, die eine freie, nicht weiter reglementierte Privatnutzung ermöglicht. Inwieweit eine betriebliche Übung auch für den Fall entstehen kann, dass das zugrunde liegende Verhalten verboten ist, ist rechtsunsicher. 2 So etwa Wolter/Hoyer, SK-StGB, § 206 Rz. 39; Schönke/Schröder/Lenckner, StGB, § 206 Rz. 12; MüKo-StGB/Altenhain, § 206 Rz. 42; Dreier/Hermes, GG-Kommentar, Art. 10 Rz. 55; Schimmelpfennig/Wenning, DB 2006, 2290 (2292); Hanebeck/Neunhoeffer, K&R 2006, 112 (113); Härting, CR 2007, 311 (313). 3 So i.Erg. auch Kempermann, ZD 2012, 12 (14) und Plath/Jenny, BDSG, § 88 TKG Rz. 11, der die relevanten Abgrenzungsschwierigkeiten aufzeigt und die Möglichkeit einer solchen einseitigen Einwilligung über den hier besprochenen Fall der betrieblichen E-Mail-Adressen hinaus verallgemeinert.
626
|
Rücker
Erläuterungen
Rz. 142 Teil 4 V
weit sich ein Gericht oder eine Behörde dieser Argumentation anschließen würde, ist aber unsicher.
11. Erläuterungen zum Regierungsentwurf zum Beschäftigtendatenschutz (BR-Drucks. 535/10) Am 3.9.2010 hat die Bundesregierung einen „Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes“1 eingebracht, der die Schaffung umfassender gesetzlicher Regelungen und damit verbunden eine Erweiterung des § 32 BDSG vorsieht. Der vorgeschlagene § 32i BDSG beschäftigt sich mit der Nutzung von Telekommunikationsdiensten und stellt in Absatz 4 klar, dass „der Arbeitgeber private Daten und Inhalte nur erheben, verarbeiten und nutzen darf, wenn dies zur Durchführung des ordnungsgemäßen Dienst- oder Geschäftsbetriebes unerlässlich ist und er den Beschäftigten hierauf schriftlich hingewiesen hat“2. Auch wenn der Kontext für eine Regelung der privaten Nutzung von Telekommunikationsanlagen spricht, ist weder aus dem Gesetzesentwurf selbst, noch aus dessen Begründung klar ersichtlich, was unter dem Begriff der „privaten Daten“ zu verstehen ist. Im Ergebnis bleibt auch unklar, inwieweit dieser § 32i BDSG auch von den Beschränkungen des Fernmeldegeheimnisses befreit, insbesondere unter dem Aspekt des Zitiergebots des § 88 Abs. 3 Satz 3 TKG. Eine weitere Unklarheit liegt darin, ob sich Absatz 4 auf den Fall der gestatteten oder der verbotenen Privatnutzung bezieht. Aufgrund dieser und weiterer Unsicherheiten erscheint es aus Sicht der Unternehmen daher weiterhin empfehlenswert, mit den Arbeitnehmern Betriebsvereinbarungen bzw. Zusatzvereinbarungen abzuschließen, zumal die Verabschiedung des Gesetzes angesichts der sich dem Ende neigenden Legislaturperiode mittlerweile in weite Ferne gerückt ist.
1 BR-Drucks. 535/10. 2 BR-Drucks. 535/10, 13.
Rücker
|
627
142
VI. Betriebsvereinbarung zu Bring Your Own Device (BYOD) Literaturverzeichnis: Arning/Moos/Becker, Vertragliche Absicherung von Bring Your Own Device, CR 2012, 592; Bissels/Domke/Wisskirchen, BlackBerry & Co.: Was ist heute Arbeitszeit?, DB 2010, 2052; BITKOM Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V., Leitfaden Bring Your Own Device, Berlin 2013; Bundesamt für Sicherheit in der Informationstechnik (BSI), Überblickspapier Consumerisation und BYOD, Version 1.2, 31.7.2013; Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, Leitfaden Internet am Arbeitsplatz – Datenschutzrechtliche Grundsätze bei der dienstlichen/privaten Internet- und E-Mail-Nutzung am Arbeitsplatz, 2008; Conrad/Schneider, Einsatz von „privater IT“ im Unternehmen – Kein privater USB-Stick, aber „Bring your own device“ (BYOD)?, ZD 2011, 153; Däubler/Klebe/Wedde/ Weichert, Bundesdatenschutzgesetz, 3. Aufl. 2010; Müller-Glöge/Preis/Schmidt, Erfurter Kommentar zum Arbeitsrecht, 13. Aufl. 2013; Dölling/Duttge/Rössner, Gesamtes Strafrecht, 3. Aufl. 2013; Fitting/Engels/Schmidt/Trebinger/Linsenmaier, BetrVG, 26. Aufl. 2012; Fülbier/Splittgerber, Keine (Fernmelde-)Geheimnisse vor dem Arbeitgeber?, NJW 2012, 1995; Göpfert/Wilke, Nutzung privater Smartphones für dienstliche Zwecke, NZA 2012, 765; Gola/Schomerus, BDSG, 11. Aufl. 2012; Grobys/Panzer, Arbeitsrecht, 1. Aufl. 6. Edition 2013; Henssler/Willemsen/Kalb, Arbeitsrecht Kommentar, 5. Aufl. 2012; Herrnleben, BYOD – die rechtlichen Fallstricke der Software-Lizenzierung für Unternehmen, MMR 2012, 205; Imping/Pohle, BYOD – Rechtliche Herausforderungen der dienstlichen Nutzung privater Informationstechnologie, K&R 2012, 470; Joecks/Miebach, Münchener Kommentar zum StGB, Band 4, 2006; Kongehl, Datenschutz-Management, Freiburg, Stand: Februar 2013; Lackner/Kühl, StGB, 27. Aufl. 2011; Schaub, Arbeitsrechts-Handbuch, 14. Aufl. 2011; Schönke/Schröder, StGB, 28. Aufl. 2010; Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2011; Staudinger, BGB, Neubearbeitung 2011; Taeger/ Gabel, Kommentar zum BDSG, 2010; von Heintschel-Heinegg, Beck’scher Online-Kommentar StGB, 22. Edition 2013; Walter/Dorschel, Mobile Device Management, WuM 2012, 22; Wiese/Kreutz/Oetker/Raab/Weber/Franzen, Gemeinschaftskommentar zum Betriebsverfassungsgesetz, 9. Aufl. 2010; Wybitul, Handbuch Datenschutz im Unternehmen, 2011.
A. Einleitung 1
Bring Your Own Device oder kurz BYOD bezeichnet den Einsatz privater IT der Mitarbeiter, z.B. eines Smartphones oder eines Tablet PCs, im Unternehmen. Aus Gründen der Mitarbeiterzufriedenheit wollen viele Unternehmen BYOD zulassen, da ihre Mitarbeiter auf diese Weise ihre „gewohnte“ IT auch im Unternehmen einsetzen können, die oftmals sogar aktueller als die Unternehmens-IT ist. Allerdings haben viele Unternehmen vor allem wegen der Datensicherheit, Unklarheiten bei der Software-Lizenzierung und des Kontrollverlustes auch berechtigter Weise Bedenken gegenüber einer unkontrollierten Zulassung von BYOD. Falls sich ein Unternehmen dazu entschließt, BYOD zuzulassen, stellen sich darüber hinaus auch noch ganz praktische Fragen, die einer Klärung bedürfen, z.B. die Kostentragung.
2
Für die meisten der bereits dargestellten Bedenken und Fragen gibt es eine Lösung, die Unternehmen die Vorteile des BYOD nutzen lässt und ihnen gleichzeitig die erforderliche Datensicherheit und Kontrolle gewährt: Hierfür müssten 628
|
Arning/Moos
Betriebsvereinbarung zu Bring Your Own Device
Rz. 4 Teil 4 VI
die Unternehmen, die BYOD zulassen wollen, eine Vereinbarung über den Einsatz der privaten Endgeräte für berufliche Zwecke mit dem jeweiligen Mitarbeiter schließen1. Eine solche Vereinbarung verschafft dem Arbeitgeber die nötige (Rechts-)Sicherheit. Regelungsnotwendigkeiten bestehen zu einer Vielzahl von Bereichen2: Neben der Gewährleistung von Datenschutz und Datensicherheit sowie arbeitsrechtlichen Fragen der Arbeitszeit, Vergütung und Haftung ergeben sich beim Einsatz von BYOD auch Auswirkungen im Bereich des Lizenzrechts und sogar im Bereich Strafrecht und Steuerrecht. Sofern bei dem Unternehmen ein Betriebsrat besteht, können und müssen zumindest einige dieser Fragen im Rahmen einer Betriebsvereinbarung geregelt werden. Allerdings sind nicht alle dieser Rechtsfragen einer Regelung durch Betriebsvereinbarung zugänglich, so dass es regelmäßig zusätzlich zu einer Betriebsvereinbarung noch Individualvereinbarungen mit den betroffenen Mitarbeitern bedarf. Im Folgenden werden Vertragsmuster für eine Betriebsvereinbarung über den Einsatz von BYOD in einem Unternehmen sowie für eine individualvertragliche Vereinbarung, die in weiten Teilen auf die Betriebsvereinbarung Bezug nimmt, erläutert. Die Aufteilung der Regelungen in eine Betriebsvereinbarung und in einen Individualvertrag mit den Mitarbeitern empfiehlt sich aus Transparenzgründen sowie aus Gründen der Bürokratievermeidung. Die Regelungen der Betriebsvereinbarung können aber auch komplett mit in die individuelle Vereinbarung mit den Mitarbeitern aufgenommen werden, wenn etwa kein Betriebsrat besteht und eine ausschließlich einzelvertragliche Regelung erfolgen soll. Schließlich ist es auch denkbar, die Einführung von BYOD und die dafür geltenden Bedingungen mittels einer Unternehmensrichtlinie zu regeln, die zur Grundlage des Einsatzes von Privatgeräten der Mitarbeiter gemacht wird. Auch hierfür kann das nachfolgende Muster einer Betriebsvereinbarung als Vorlage dienen.
3
Manche Unternehmen entscheiden sich allerdings – zumeist aus Sicherheitsaspekten – auch dafür, BYOD nicht in Reinform einzuführen. Vor allem Sicherheitsmaßnahmen sind bei BYOD – abhängig vom Endgeräte- und Betriebssystemtyp – deutlich schwieriger umzusetzen, da viele Benutzer erfahrungsgemäß nicht bereit sind, für ihre eigenen Geräte Einschränkungen hinzunehmen oder Zugriffe auf das Gerät durch den Arbeitgeber zu erlauben3. So können Sicherheitsmaßnahmen u.U. Eingriffe erforderlich machen, die die Mängelgewährleistung oder Herstellergarantie für das Gerät erlöschen lassen. Im Rahmen der strategischen Vorüberlegungen zu einem BYOD-Projekt muss das Unternehmen deshalb klären, (1) ob BYOD angesichts der Sicherheitsanforderungen des Unternehmens überhaupt möglich ist, (2) welche Rahmenbedingungen dabei eingehalten werden müssten und (3) ob unter diesen Rahmenbedingungen BYOD für die Mitarbeiter überhaupt noch akzeptabel ist4. Wenn eine BYODStrategie nicht mit den Sicherheitsanforderungen des Unternehmens vereinbar ist, bzw. die nötigen Randbedingungen für die Mitarbeiter inakzeptabel sind,
4
1 So auch Berliner Beauftragter für Datenschutz und Informationsfreiheit, Tätigkeitsbericht 2012, S. 33. 2 S. hierzu Arning/Moos/Becker, CR 2012, 592 (592); Conrad/Schneider, ZD 2011, 153 ff. 3 BSI, Überblickspapier Consumerisation und BYOD, S. 8. 4 BSI, Überblickspapier Consumerisation und BYOD, S. 8.
Arning/Moos
|
629
Teil 4 VI
Rz. 5
Betriebsvereinbarung zu Bring Your Own Device
muss ggf. auf Gestaltungsalternativen zurückgegriffen werden, die zumindest einige der Vorteile von BYOD bieten, dabei aber gleichzeitig ein geringeres Risikoprofil aufweisen. Eine denkbare Alternative ist das sog. „Corporate Owned, Personally Enabled“-Modell („COPE“). Im Unterschied zu BYOD stellt das Unternehmen dem Mitarbeiter hier ein dienstliches Endgerät zur Verfügung, welches er auch für private Zwecke nutzen darf. Im Hinblick auf die Internet- und E-Mail-Nutzung von dienstlichen Computern ist dieses Modell bereits in vielen Firmen verbreitet. Der Vorteil besteht hierbei darin, dass das Unternehmen keine Eigentumsrechte des Mitarbeiters beachten muss, was insbesondere die Kontrolle des Endgeräts und den Zugriff hierauf erleichtern kann. Allerdings muss das Unternehmen in diesem Fall auch die Anschaffungskosten für die Geräte tragen und der Mitarbeiter kann in vielen Fällen nicht sein „gewohntes“ Endgerät nutzen, wodurch die Steigerung der Mitarbeiterzufriedenheit, die durch BYOD erreicht werden soll, nicht im größtmöglichen Umfang erreicht werden kann. Wird es dem Mitarbeiter ermöglicht, sich aus einer Liste verschiedener unternehmenseigener Endgerätemodelle eines auszusuchen, wird dies auch als „Choose Your Own Device“ oder kurz „CYOD“ bezeichnet. Dieses Modell bewirkt einen höheren Aufwand, um die verschiedenen Geräte zu beschaffen, zu verwalten, zu sichern, zu kontrollieren etc., als wenn unternehmensweit nur ein Endgerät verwendet werden darf. Beabsichtigt ein Unternehmen, kein „klassisches“ BYOD einzuführen, sondern im Sinne der dargestellten Alternativen des COPE oder CYOD private Endgeräte für die dienstliche Nutzung mit unternehmenseigenen SIM-Karten auszustatten oder möchte ein Unternehmen die private Nutzung von unternehmenseigenen Endgeräten regeln, können die folgenden Vertragsmuster ebenfalls als Vorlage dienen. Allerdings besteht insoweit ein erhöhter Anpassungsbedarf, insbesondere weil das Unternehmen in diesen Fällen ggf. auch das Fernmeldegeheimnis zu beachten haben könnte.
B. Muster 5
E Betriebsvereinbarung zu Bring Your Own Device zwischen der [Firma (inkl. Rechtsformzusatz) des Betriebs], vertreten durch [Vorname und Name], [Adresse] – nachfolgend: „Arbeitgeber“ – und dem Betriebsrat der [Firma (inkl. Rechtsformzusatz) des Betriebs], vertreten durch den/die Betriebsratsvorsitzende(n) Herrn/Frau [Vorname und Name], [Adresse] – nachfolgend: „Betriebsrat“ – nachfolgend gemeinsam auch als „Betriebsparteien“ bezeichnet. 630
|
Arning/Moos
Vertragstext
Rz. 5 Teil 4 VI
1. Präambel Der Arbeitgeber beabsichtigt, den Mitarbeitern den Zugriff auf dienstliche E-Mails und den dienstlichen Kalender über ein privates mobiles Gerät des Mitarbeiters (z.B. Smartphone, Tablet PC etc.) zu ermöglichen („Bring Your Own Device“). Die Nutzung eines privaten mobilen Gerätes zu dienstlichen Zwecken steht den Mitarbeitern frei. Es besteht keine Verpflichtung und keine betriebliche Notwendigkeit zur Nutzung privater mobiler Geräte. Mitarbeiter, bei denen eine solche betriebliche Notwendigkeit besteht, erhalten vom Arbeitgeber unternehmenseigene Geräte. Die Nutzung der unternehmenseigenen Geräte ist nicht Gegenstand dieser Betriebsvereinbarung. Für die Nutzung privater mobiler Geräte vereinbaren die Betriebsparteien was folgt: 2. Geltungsbereich Die Betriebsvereinbarung gilt für alle Mitarbeiter des Betriebes mit Ausnahme der leitenden Angestellten i.S.d. § 5 Abs. 3, 4 BetrVG. 3. Nutzung privater mobiler Geräte 3.1 Die Mitarbeiter sind berechtigt, ihre privaten mobilen Geräte auch zu dienstlichen Zwecken zu nutzen. Ob und in welchem Umfang dies erlaubt und möglich ist, wird vom Arbeitgeber bestimmt; insbesondere kann der Arbeitgeber die für eine Nutzung zu dienstlichen Zwecken zugelassenen Gerätetypen festlegen. Derzeit ist es erlaubt, mit Hilfe der vom Arbeitgeber zugelassenen privaten mobilen Geräte die dienstlichen E-Mails abzurufen und auf den dienstlichen Kalender zuzugreifen. Voraussetzung für die Nutzung eines privaten mobilen Geräts zu dienstlichen Zwecken ist die Einwilligung des Mitarbeiters in die in dieser Betriebsvereinbarung niedergelegten Nutzungsbedingungen und Datenverwendungen gemäß der Anlage zu dieser Betriebsvereinbarung, die der Mitarbeiter vor der Nutzung eines privaten mobilen Geräts erteilen muss. 3.2 Die Mitarbeiter haben dafür Sorge zu tragen, dass das private mobile Gerät zu dienstlichen Zwecken verwendet werden darf und insbesondere der von dem Mitarbeiter hierfür geschlossene Mobilfunkvertrag eine solche Nutzung gestattet. 3.3 Sofern der Arbeitgeber dem Mitarbeiter keine anders lautenden Anweisungen erteilt, ist der Mitarbeiter verpflichtet, das Betriebssystem des privaten mobilen Gerätes auf dem jeweils aktuellen Stand zu halten und zu diesem Zweck alle vom Hersteller verfügbaren Sicherheits-Patches, Updates und Upgrades unverzüglich zu installieren. 3.4 Dem Mitarbeiter ist es untersagt, das Betriebssystem oder die auf dem privaten mobilen Gerät installierte Software zu verändern. Insbesondere ist es dem Mitarbeiter nicht gestattet, sog. „Jailbreaks“ oder „Roots“ durchzuführen, d.h. von dem Hersteller implementierte technische Nutzungsbeschränkungen zu umgehen oder zu beseitigen. Ebenso ist es dem Mitarbeiter untersagt, die auf dem privaten mobilen Gerät installierte SicherArning/Moos
|
631
Teil 4 VI
Rz. 5
Betriebsvereinbarung zu Bring Your Own Device
heitssoftware sowie die implementierten Funktionen des Mobile Device Managements zu verändern oder wirkungslos zu machen. 4. Sicherheitsmaßnahmen 4.1 Voraussetzung für die Nutzung von privaten mobilen Geräten für dienstliche Zwecke ist, dass eine spezielle Sicherheitssoftware – derzeit die Sicherheitsoftware […] – auf den privaten mobilen Geräten installiert sein muss. 4.2 Der Arbeitgeber ist berechtigt, die Sicherheitseinstellungen des privaten mobilen Gerätes des Mitarbeiters jederzeit – auch im Wege des Fernzugriffs – zu ändern. Außerdem ist der Arbeitgeber berechtigt, automatisierte Scans der privaten mobilen Geräte im Rahmen von Netzzugangskontrollen durchzuführen, um überprüfen zu können, dass das jeweilige Gerät die Sicherheitsvorgaben einhält. Auf Verlangen des Arbeitgebers hat der Mitarbeiter sein privates mobiles Gerät zur Durchführung einer Sicherheitsprüfung dem Arbeitgeber auszuhändigen. 4.3 Der Mitarbeiter ist verpflichtet, das Passwort und die Zugangsdaten des privaten mobilen Gerätes und der Sicherheitssoftware vertraulich zu behandeln und an einem sicheren Ort aufzubewahren. Das private mobile Gerät darf ausschließlich durch den Mitarbeiter persönlich verwendet werden. Die Gestattung der Benutzung durch eine dritte Person ist untersagt. 4.4 Der Mitarbeiter hat darüber hinaus alle erforderlichen Maßnahmen zu treffen, um das private mobile Gerät und die darauf (einschließlich der SIM-Karte) gespeicherten oder darüber zugänglichen dienstlichen Daten vor Missbrauch und unberechtigter Kenntnisnahme durch Dritte zu schützen. Insbesondere ist der Mitarbeiter verpflichtet, das private mobile Gerät mit einem persönlichen Zahlencode und/oder einem Passwort zu sichern. Um das private mobile Gerät vor Verlust, Diebstahl und Beschädigung zu schützen, ist der Mitarbeiter verpflichtet, es stets geschützt (z.B. in dem entsprechenden Case) und an einem sicheren Ort aufzubewahren. Der Mitarbeiter hat auf dem privaten mobilen Gerät ein aktuelles Virenschutz-Programm einzusetzen, sofern und sobald ein solches am Markt verfügbar ist. Dem Mitarbeiter ist es untersagt, die vom Arbeitgeber vorgenommenen Sicherheitseinstellungen zu ändern. Der Arbeitgeber wird die Mitarbeiter regelmäßig über aktuelle Gefährdungen durch mobile Geräte und notwendige Sicherheitsmaßnahmen informieren. 5. Datenspeicherung und Zugang zu Daten 5.1 Alle Daten, die im Rahmen der dienstlichen Nutzung auf das private mobile Gerät des Mitarbeiters übertragen werden (z.B. dienstliche E-Mails oder Kalendereinträge), werden auf dem privaten mobilen Gerät des Mitarbeiters in einem gesonderten Bereich gespeichert (sog. „Container“) und von den privaten Daten des Mitarbeiters separiert. 5.2 Der Arbeitgeber ist berechtigt, jederzeit über alle Inhalte und Daten zu verfügen, die in dem „Container“ gespeichert sind. Insbesondere ist der 632
|
Arning/Moos
Vertragstext
Rz. 5 Teil 4 VI
Arbeitgeber berechtigt, auf diese Inhalte und Daten zuzugreifen, sie zu ändern oder zu löschen oder sonst mit ihnen in der gleichen Art und Weise und in dem gleichen Umfang umzugehen, als wären die Daten auf dem unternehmenseigenen System oder auf unternehmenseigenen Geräten des Arbeitgebers gespeichert. Dies gilt auch, wenn und soweit in dem „Container“ private Daten des Mitarbeiters gespeichert sein sollten. Der Arbeitgeber wird den Mitarbeiter nach Möglichkeit vorher über eine Löschung von Daten informieren. Der Arbeitgeber ist zudem jederzeit berechtigt, die auf dem privaten mobilen Gerät des Mitarbeiters installierte Sicherheitssoftware zu ändern, zu ersetzen oder zu löschen. 5.3 Dem Mitarbeiter ist bekannt, dass durch eine Löschung von Daten, die in dem Container gespeichert sind, oder der Sicherheitssoftware auch seine privaten Daten und Softwareapplikationen („Apps“), die außerhalb des Containers auf dem privaten mobilen Gerät gespeichert sind, beschädigt oder gelöscht werden können. Es liegt in der Verantwortung des Mitarbeiters, Sicherheitskopien seiner auf dem privaten mobilen Gerät gespeicherten privaten Daten vorzunehmen. Der Mitarbeiter hat keinen Anspruch gegen den Arbeitgeber auf Wiederherstellung von Daten oder auf dem privaten mobilen Gerät installierten Apps. 5.4 Der Mitarbeiter ist verpflichtet, sämtliche Regelungen und Richtlinien des Arbeitgebers sowie sämtliche geltenden Gesetze und Rechtsvorschriften in Bezug auf den Umgang mit den Daten des Arbeitgebers, die auf das private mobile Gerät übertragen worden oder darüber zugänglich sind, zu beachten. Der Mitarbeiter ist nicht berechtigt, dienstliche E-Mails, Dokumente, Kalendereinträge oder sonstige dienstliche Daten außerhalb des „Containers“ oder außerhalb des privaten mobilen Gerätes (z.B. bei einem Cloud-Dienst) zu speichern. 5.5 Der Arbeitgeber wird unbeschadet der in dieser Vereinbarung enthaltenen Bestimmungen grundsätzlich keinen Zugriff auf die privaten Daten des Mitarbeiters nehmen, die auf dem privaten mobilen Gerät außerhalb des Containers gespeichert sind. Dem Mitarbeiter ist jedoch bewusst und bekannt, dass im Rahmen des technischen Supports oder bei Sicherheitsvorfällen i.S.v. Ziffer 6 möglicherweise private Daten, die auf dem privaten mobilen Gerät gespeichert sind, an den Anbieter […] übertragen werden können und auf diese Daten durch den Arbeitgeber und den Anbieter […] zugegriffen werden kann. 5.6 Gemäß der als Anlage dieser Betriebsvereinbarung beigefügten Einwilligungserklärung willigt der Mitarbeiter in die zur Wahrnehmung der Rechte des Arbeitgebers nach dieser Vereinbarung sowie zur Kontrolle der Einhaltung der in dieser Vereinbarung enthaltenen Bestimmungen durch den Mitarbeiter erforderlichen Zugriffe auf sein mobiles privates Gerät, seine privaten Daten sowie in die hiermit verbundene Verwendung seiner personenbezogenen Daten ein.
Arning/Moos
|
633
Teil 4 VI
Rz. 5
Betriebsvereinbarung zu Bring Your Own Device
6. Informationspflicht Im Falle des Verlusts, der Beschädigung oder der Gefährdung des privaten mobilen Geräts bzw. der darauf gespeicherten oder darüber zugänglichen dienstlichen Daten, z.B. durch Späh- oder Schadsoftware („Sicherheitsvorfall“) hat der Mitarbeiter den Arbeitgeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden, entweder telefonisch unter […] oder per E-Mail an […] zu informieren. Eine solche Information hat auch zu erfolgen, wenn der Mitarbeiter den begründeten Verdacht hat, dass ein unbefugter Dritter auf das Endgerät zugegriffen hat oder er das private mobile Geräte nur für eine gewisse Zeitspanne (mindestens 24 Stunden) nicht auffinden kann. Der Mitarbeiter wird den Arbeitgeber im Rahmen des Zumutbaren unterstützen, um in einem solchen Fall etwaige negative Folgen für die Vertraulichkeit, Integrität und Verfügbarkeit der dienstlichen Daten aus einem solchen Datensicherheitsvorfall zu vermeiden oder deren Auswirkungen zu begrenzen. 7. Nutzung von Kommunikationsdiensten Der Mitarbeiter hat neben den Regelungen dieser Betriebsvereinbarung gleichzeitig alle Richtlinien und Handlungsanweisungen des Arbeitgebers zu beachten, welche die Nutzung von betrieblichen Kommunikationssystemen (wie z.B. Internet, E-Mail, Telefon etc.) betreffen. Diese Richtlinien und Handlungsanweisungen finden in ihrer jeweils gültigen Fassung auch auf die dienstliche Nutzung des privaten mobilen Gerätes Anwendung, sofern diese Betriebsvereinbarung nicht ausdrücklich etwas anderes bestimmt. 8. Installation von Apps durch den Mitarbeiter 8.1 Dem Mitarbeiter ist es gestattet, auf dem privaten mobilen Gerät Apps von Dritten zu installieren. Der Arbeitgeber ist aber berechtigt, eine sog. Blacklist aufzustellen und von Zeit zu Zeit zu aktualisieren, welche Apps benennt, deren Installation und Nutzung auf dem privaten mobilen Gerät untersagt ist. Der Arbeitgeber wird nur solche Apps in die Blacklist aufnehmen, von denen Gefährdungen für die Vertraulichkeit, Integrität oder Verfügbarkeit der dienstlichen Daten ausgehen. Falls der Mitarbeiter eine App, die auf der Blacklist enthalten ist, bereits auf dem privaten mobilen Gerät installiert hat, so ist er verpflichtet, diese App unverzüglich nach Bekanntmachung der Blacklist von dem privaten mobilen Gerät zu löschen. Der Arbeitgeber ist berechtigt, jederzeit zu überprüfen, ob Apps auf dem privaten mobilen Gerät installiert sind, die in der Blacklist enthalten sind. Der Arbeitgeber ist jederzeit berechtigt, auf dem privaten mobilen Gerät installierte Apps zu löschen, die in der Blacklist enthalten sind. 8.2 Installiert der Mitarbeiter eine App auf seinem privaten mobilen Gerät, ist der Mitarbeiter selbst dafür verantwortlich, dass er über eine entsprechende ordnungsgemäße Lizenz zur Installation und Nutzung dieser App auf dem privaten mobilen Gerät verfügt. Der Mitarbeiter wird den Arbeitgeber von jeglicher Haftung freistellen, die durch die Installation und Verwendung nicht ordnungemäß lizenzierter Apps, für die er nach vorstehendem Satz 1 selbst verantwortlich ist, verursacht wird. 634
|
Arning/Moos
Vertragstext
Rz. 5 Teil 4 VI
8.3 Der Mitarbeiter ist für die Erhebung und Verwendung personenbezogener Daten durch eine von ihm installierte App selbst verantwortlich. Der Mitarbeiter erkennt an, dass der Arbeitgeber für die Erhebung, Verarbeitung und Nutzung dieser Daten insoweit nicht verantwortlich ist. 9. Kosten Der Mitarbeiter erhält für das Zurverfügungstellen seines privaten mobilen Geräts sowie seiner Nutzungsrechte aus seinem privaten Mobilfunkvertrag eine monatliche Pauschale in Höhe von […] Euro. Hiermit sind sämtliche Ansprüche des Mitarbeiters, die aus der Nutzung des privaten mobilen Geräts zu dienstlichen Zwecken resultieren, gegenüber dem Arbeitgeber abgegolten. 10. Haftung 10.1 Der Arbeitgeber haftet nicht für Schäden oder Folgeschäden an dem privaten mobilen Gerät oder den privaten Daten, welche im Zusammenhang mit dem vom Arbeitgeber oder einem Dritten zur Verfügung gestellten technischen Support entstehen, der auf Aufforderung des Mitarbeiters geleistet wurde. Dasselbe gilt für den Fall einer durch den Arbeitgeber veranlassten Löschung oder Änderung von dienstlichen Daten, welche zu einem Verlust, Schäden oder Folgeschäden an privaten Daten führt. Dieser Haftungsausschluss gilt nicht bei vorsätzlichem oder grob fahrlässigem Verhalten des Arbeitgebers. 10.2 Es besteht auch keine Ersatzpflicht des Arbeitgebers für den Fall, dass der Mitarbeiter das private mobile Gerät bei privater oder dienstlicher Nutzung verliert oder das Gerät gestohlen oder beschädigt wird; es sei denn, dies beruht auf Vorsatz oder grober Fahrlässigkeit des Arbeitgebers. 11. Arbeitszeit Der Mitarbeiter ist nicht verpflichtet, außerhalb der vertraglich vereinbarten Arbeitszeit das private mobile Gerät zu dienstlichen Zwecken zu nutzen. Er ist insbesondere nicht verpflichtet, außerhalb der Arbeitszeit erreichbar zu sein oder auf E-Mails zu antworten. Nutzt er sein privates mobiles Gerät außerhalb der Arbeitszeit dennoch zu dienstlichen Zwecken, so erfolgt dies freiwillig und gilt nicht als Arbeitszeit, es sei denn, der Arbeitgeber hat die Tätigkeit ausdrücklich angeordnet. 12. Beendigung der dienstlichen Nutzung Der Arbeitgeber hat das Recht, jederzeit die dienstliche Nutzung des privaten mobilen Gerätes vollständig oder teilweise zu beenden und den Zugriff auf betriebliche E-Mails und den dienstlichen Kalender über das private mobile Gerät nach freiem Ermessen einzuschränken oder einzustellen. 13. Herausgabepflicht In begründeten Fällen ist der Mitarbeiter auf Aufforderung des Arbeitgebers dazu verpflichtet, das private mobile Gerät dem Arbeitgeber kurzzeitig heArning/Moos
|
635
Teil 4 VI
Rz. 5
Betriebsvereinbarung zu Bring Your Own Device
rauszugeben. Ein begründeter Fall liegt z.B. vor, wenn das Anstellungsverhältnis oder die dienstliche Nutzung endet, wenn der Verdacht einer Straftat oder Ordnungswidrigkeit oder eine Gefährdung für die Vertraulichkeit, Integrität oder Verfügbarkeit der auf dem privaten mobilen Gerät gespeicherten dienstlichen Daten besteht oder wenn der Arbeitgeber Installationen von Software oder Sicherheitseinstellungen vornehmen will, seine Rechte aus dieser Vereinbarung wahrnehmen oder die Einhaltung der in dieser Vereinbarung enthaltenen Bestimmungen durch den Mitarbeiter kontrollieren will. Der Mitarbeiter ist auch vor der endgültigen, dauerhaften Entäußerung des privaten mobilen Gerätes zur Herausgabe an den Arbeitgeber verpflichtet, z.B. bevor er es weiterveräußert. Ist die Rückgabe des privaten mobilen Gerätes nicht innerhalb von 24 Stunden möglich, erhält der Mitarbeiter vom Arbeitgeber ein Ersatzgerät zur Verfügung gestellt. 14. Salvatorische Klausel Sollten Teile dieser Betriebsvereinbarung ganz oder teilweise nichtig sein oder unwirksam werden, so wird hierdurch die Wirksamkeit dieser Betriebsvereinbarung im Übrigen nicht berührt. Die Betriebsparteien verpflichten sich, die nichtigen oder unwirksam gewordenen Regelungen durch solche zu ersetzen, die der ursprünglichen Regelung unter Berücksichtigung der Zielsetzung dieser Betriebsvereinbarung am nächsten kommen. Dasselbe gilt für den Fall, dass diese Betriebsvereinbarung eine Regelungslücke enthält. 15. Inkrafttreten und Geltungsdauer Diese Betriebsvereinbarung tritt mit ihrer Unterzeichung in Kraft. Sie kann mit einer Frist von drei Monaten zum Quartalsende gekündigt werden und wirkt bis zum Abschluss einer neuen Betriebsvereinbarung nach. [Ort], den [Datum] … Arbeitgeber
… Betriebsrat
Einwilligungserklärung zur Betriebsvereinbarung zu Bring Your Own Device Hiermit bestätige ich, [Vorname, Name], Personalnummer [Personalnummer], dass ich am [Datum] von dem Inhalt der Betriebsvereinbarung zu Bring Your Own Device Kenntnis genommen und eine Kopie dieser Betriebsvereinbarung ausgehändigt bekommen habe. Ich erkläre hiermit mein Einverständnis mit der Geltung der in der Betriebsvereinbarung zu Bring Your Own Device getroffenen Regelungen in ihrer jeweils gültigen Fassung im Hinblick auf den Einsatz meines folgenden privaten mobilen Gerätes: Marke: … 636
|
Arning/Moos
Vertragstext
Rz. 5 Teil 4 VI
Modell: … Gerätenummer: … . Die genannte Betriebsvereinbarung enthält u.a. Regelungen zu Sicherheitseinstellungen und einem etwaigen Zugriff auf die auf dem privaten mobilen Gerät gespeicherten dienstlichen und privaten Daten sowie eine mögliche Löschung derselben. Mir ist bekannt, dass mir die Nutzung meines privaten mobilen Gerätes zu dienstlichen Zwecken untersagt ist, wenn ich die nachfolgende Einwilligungserklärung nicht innerhalb von 14 Tagen nach ihrem Erhalt abgegeben habe. Ich erkläre hiermit ausdrücklich meine Einwilligung, dass 1. der Arbeitgeber jederzeit Sicherheitseinstellungen am Betriebssystem meines privaten mobilen Geräts und an der Sicherheitssoftware vornehmen, ändern und diese kontrollieren darf, wie im Einzelnen in der Betriebsvereinbarung geregelt, auch wenn das zu einer Löschung, Unterdrückung, Unbrauchbarmachung oder Veränderung von Daten auf dem Gerät führt; 2. der Arbeitgeber nach Maßgabe der Betriebsvereinbarung kontrollieren darf, ob auf dem privaten Gerät nicht zugelassene Apps installiert sind; 3. der Arbeitgeber jederzeit auf alle in dem Container des privaten mobilen Gerätes gespeicherten Inhalte und Daten zugreifen, sie ändern oder sie löschen oder sonst mit ihnen umgehen darf, wie im Einzelnen in der Betriebsvereinbarung geregelt; 4. der Arbeitgeber in begründeten Ausnahmefällen auch meine privaten Daten und Softwareapplikationen („Apps“) löschen darf, die auf meinem privaten mobilen Gerät gespeichert sind, z.B. bei einer Bedrohung für die Sicherheit, Vertraulichkeit oder Integrität der dienstlichen Daten des Arbeitgebers; 5. im Rahmen des technischen Supports oder bei Sicherheitsvorfällen i.S.v. Ziffer 6 der Betriebsvereinbarung meine privaten Daten, die auf dem privaten mobilen Gerät gespeichert sind, an den Anbieter […] übertragen werden können und auf diese Daten durch den Arbeitgeber oder den Anbieter […] zugegriffen werden kann. Soweit die vorgenannten Maßnahmen zu einer Einschränkung des Fernmeldegeheimnisses führen sollten, stimme ich dem hiermit ausdrücklich zu. Mir ist bekannt, dass ich meine Einwilligung jederzeit formlos gegenüber der Personalabteilung widerrufen kann. In diesem Fall endet meine Befugnis zur Nutzung meines privaten mobilen Gerätes zu dienstlichen Zwecken im Zeitpunkt des Widerrufs. […] [Ort], den [Datum] […] [Vorname, Name]
Arning/Moos
|
637
Teil 4 VI
Rz. 6
Betriebsvereinbarung zu Bring Your Own Device
C. Erläuterungen I. Generelle Erläuterungen 1. Mitbestimmungsrechte des Betriebsrats nach § 87 Abs. 1 Nr. 1 und Nr. 6 BetrVG 6
Bei der Einführung von BYOD und der Ausgestaltung der Nutzung hat der Betriebsrat regelmäßig ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG1, da mit BYOD und den hiermit einhergehenden technischen Möglichkeiten zumeist eine Überwachung des Verhaltens oder der Leistung des Arbeitnehmers möglich wird. Die Überwachungsmöglichkeit ergibt sich i.d.R. daraus, dass der Arbeitgeber Zugriff auf Nutzungsdaten erhält, über die er z.B. eine Verknüpfung von Uhrzeit und dem Zugriff auf betriebliche Daten oder der Verwendung bestimmter Apps über das private Smartphone des Arbeitnehmers vornehmen kann2. Der Wortlaut der Norm verlangt zwar, dass die technische Einrichtung zur Überwachung bestimmt ist, nach der Rechtsprechung des BAG ist indes bereits die Eignung hierzu – unabhängig von einer entsprechenden Verwendungsabsicht des Arbeitgebers – ausreichend, um das Mitbestimmungsrecht des Betriebsrats zu begründen3. Gegenstand des Mitbestimmungsrechts sind u.a. der Zeitpunkt der Einführung von BYOD, der Zeitraum der Nutzung (zu denken ist etwa an den Einsatz auf Probe) und die überbetriebliche Vernetzung4.
7
Die Art, wie der Arbeitnehmer das Smartphone dienstlich zu nutzen hat, ist wiederum von dem Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 1 BetrVG erfasst5. So ist etwa eine Aufforderung, im Ausland kein Datenroaming zu dienstlichen Zwecken zuzulassen, um zusätzliche Kosten zu vermeiden, nach § 87 Abs. 1 Nr. 1 BetrVG mitbestimmungspflichtig. Als weitere, eine Mitbestimmung auslösende Regelungsgegenstände kommen die Anweisung, das Smartphone mit einem Passwort zu schützen6 oder etwa die Anordnung einer bestimmten Abruffrequenz des dienstlichen E-Mail-Accounts auf Dienstreisen in Betracht7.
2. Verwendung eines „Mobile Device Management“-Tools 8
Die Absicherung von BYOD erfordert nicht nur organisatorische Maßnahmen, wie etwa eine Vereinbarung, die dem Mitarbeiter bestimmte Verpflichtungen auferlegt. Mindestens genauso wichtig ist die technische Absicherung. Als da1 S. z.B. Fitting/Engel/Schmidt/Trebinger/Linsenmaier, § 87 BetrVG Rz. 248 ff. 2 Arning/Moos/Becker, CR 2012, 592 (593). 3 S. z.B. Fitting/Engel/Schmidt/Trebinger/Linsenmaier, § 87 BetrVG Rz. 248 ff.; Wiese/ Kreutz/Oetker/Raab/Weber/Franzen/Wiese, GK-BetrVG, § 87 Rz. 568. 4 S. z.B. Fitting/Engel/Schmidt/Trebinger/Linsenmaier, § 87 BetrVG Rz. 248 ff.; Wiese/ Kreutz/Oetker/Raab/Weber/Franzen/Wiese, § 87 BetrVG Rz. 568. 5 Göpfert/Wilke, NZA 2012, 765 (770). 6 Göpfert/Wilke, NZA 2012, 765 (770). 7 Arning/Moos/Becker, CR 2012, 592 (593).
638
|
Arning/Moos
Erläuterungen
Rz. 11 Teil 4 VI
tenschutzrechtlich für die Verarbeitung der dienstlichen Daten auf dem Endgerät des Mitarbeiters verantwortliche Stelle muss das Unternehmen vor allem nach § 9 Satz 1 BDSG die technischen und organisatorischen Maßnahmen treffen, die erforderlich sind, um die Ausführung der Vorschriften des BDSG, insbesondere die in der Anlage zu § 9 Satz 1 BDSG genannten Anforderungen, zu gewährleisten1. Nach § 9 Satz 2 BDSG sind Maßnahmen jedoch nur zu treffen, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. In welchem Umfang das Unternehmen Maßnahmen zur Datensicherheit zu treffen hat, hängt mit anderen Worten also insbesondere davon ab, welche personenbezogenen Daten das Unternehmen (z.B. besonders sensible oder schützenswerte Daten) in welchem Umfang verarbeitet. Die Einhaltung der Vorgaben aus § 9 Satz 1 BDSG und seiner Anlage ist in der Praxis regelmäßig nur durch den Einsatz sog. Mobile Device Management Tools zu gewährleisten. Bei Mobile Device Management Tools handelt es sich um Software, die auf dem Endgerät des Mitarbeiters installiert wird und die es ermöglicht, das Endgerät zentral zu steuern und technisch abzusichern.
9
Derartige Tools dienen jedoch nicht nur der Einhaltung der Vorgaben aus § 9 BDSG, sondern auch dem eigenen Interesse des Unternehmens, Informationen, z.B. Betriebs- und Geschäftsgeheimnisse, geheim zu halten, ohne hierzu gesetzlich verpflichtet zu sein. Eine Verpflichtung, Informationen Dritter geheim zu halten, kann sich aber aus Verträgen des Unternehmens mit Dritten, wie z.B. Geschäftspartnern, ergeben.
10
Des Weiteren ist der Einsatz derartiger Tools vor dem Hintergrund zu empfehlen, dass das Unternehmen i.d.R. auf das private Endgerät des Mitarbeiters zugreifen können möchte, sei es um Daten auf dem Endgerät zu speichern, zu lesen, zu verändern oder zu löschen. Da auf dem privaten Endgerät des Mitarbeiters aber auch private Daten des Mitarbeiters gespeichert sein werden, kann der Zugriff – vergleichbar dem Zugriff auf dienstliche Daten bei erlaubter privater Internet- und E-Mail-Nutzung – datenschutzrechtliche Implikationen mit sich bringen. Mobile Device Management Tools sorgen i.d.R. dafür, dass die dienstlichen Daten und Anwendungen von den privaten Daten und Anwendungen auf dem privaten Endgerät des Mitarbeiters getrennt werden (z.B. durch die Speicherung der dienstlichen Daten in einem sog. „Container“). Das Unternehmen wird hierdurch in die Lage versetzt, ausschließlich auf die dienstlichen Daten auf dem privaten Endgerät des Mitarbeiters zugreifen zu können, ohne zugleich die privaten Daten auf dem privaten Endgerät des Mitarbeiters einsehen zu müssen. Des Weiteren ermöglichen derartige Tools auch die Löschung der dienstlichen Daten im Wege eines sog. Remote Wipe, so dass das Unternehmen die dienstlichen Daten, z.B. im Fall des Verlusts des privaten Endgeräts, ferngesteuert löschen kann. Eine solche Möglichkeit der ferngesteuerten Löschung kann dem Unternehmen auch dazu dienen, Informationspflichten nach § 42a BDSG zu vermeiden.
11
1 Arning/Moos/Becker, CR 2012, 592 (596); Walter/Dorschel, WuM 2012, 22 (26); Conrad/ Schneider, ZD 2011, 153 (155); BITKOM, Leitfaden Bring Your Own Device, S. 6.
Arning/Moos
|
639
Teil 4 VI
Rz. 12
Betriebsvereinbarung zu Bring Your Own Device
3. Keine Auftragsdatenverarbeitung durch den Mitarbeiter 12
Die Zulassung von BYOD bewirkt in der Regel, dass der Mitarbeiter auf seinem privaten Gerät Zugang auch zu personenbezogenen Daten erhält, die das Unternehmen für eigene Zwecke verwendet. Der schlichte Umstand, dass der Mitarbeiter ein Privatgerät für den Zugriff auf und die Verarbeitung solcher Daten verwendet, macht ihn freilich noch nicht zu einer eigenen „Stelle“ im datenschutzrechtlichen Sinn. Deshalb muss das Unternehmen z.B. auch keinen Auftragsdatenverarbeitungsvertrag mit dem Mitarbeiter schließen, nur weil dieser Eigentümer des Endgerätes ist1. Das Datenschutzrecht trifft insoweit eine funktionsbezogene Abgrenzung. Soweit die beschäftigten Personen im Unternehmen Daten in ihrer dienstlichen Funktion erhalten2, was bei BYOD der Fall ist, sind sie Teil der verantwortlichen Stelle. Nur wenn die Person außerhalb dieser Funktion (z.B. als Privatperson) Daten erhält, ist sie nicht mehr Teil der verantwortlichen Stelle. Der Mitarbeiter ist und bleibt bei der dienstlichen Nutzung seines (privaten) Geräts deshalb per se dem Unternehmen als verantwortlicher Stelle zuzurechnen, so dass es eines gesonderten Vertrags nach § 11 BDSG nicht bedarf. Dessen ungeachtet ist es sinnvoll und empfehlenswert, sich bei der Ausgestaltung der Vereinbarung mit dem Mitarbeiter an die Inhalte eines solchen Auftragsdatenverarbeitungsvertrags anzulehnen, z.B. was die Verpflichtung auf die Ergreifung bestimmter technischer und organisatorischer Maßnahmen, Verhaltenspflichten bei Datenpannen oder die Ermöglichung von Kontrollen angeht.
II. Erläuterungen zum Muster der Betriebsvereinbarung 13
Mit einer BYOD-Strategie wird den Mitarbeitern eine sehr große Verantwortung nicht nur für die Sicherheit der Endgeräte, sondern auch für die gesamte IT-Sicherheit des Unternehmens übertragen. Diesem Kontrollverlust muss ein valides Vertrauen der Institution in das Verantwortungsbewusstsein der Mitarbeiter entgegengesetzt werden3. Technische Vorkehrungen – wie sie etwa Mobile Device Management Systeme bieten – sind bei BYOD dabei eine notwendige aber keine hinreichende Maßnahme. Aufgrund der Eigentümerstellung des Mitarbeiters und der daraus folgenden Einwirkungs- und Dispositionsbefugnis ist es zudem erforderlich, dass das Unternehmen – als organisatorische Maßnahme i.S.v. § 9 BDSG – auch vertragliche Festlegungen trifft, die die jeweils betroffenen Mitarbeiter binden und die das Unternehmen berechtigen, Einstellungen auf dem Gerät des Mitarbeiters vorzunehmen und umgekehrt den Mitarbeiter auf bestimmte Sicherheitsmaßnahmen im Umgang mit dem Gerät und dessen Nutzung zu dienstlichen Zwecken verpflichtet4. Datenschutzrechtlich ergibt sich die Notwendigkeit zur Vereinbarung verbindlicher Regelungen u.a. aus der Verpflichtung zur Gewährleistung hinreichender Da1 2 3 4
A.A. Kongehl/Koch, Gruppe 2.17, S. 28. Wolff/Brink/Schild, § 3 BDSG Rz. 129. BSI, Überblickspapier Consumerisation und BYOD, S. 8. S. hierzu die nachfolgenden Ausführungen unter Ziffer 6 sowie die ausführliche Darstellung der im Rahmen der Vereinbarung mit den Mitarbeitern zu treffenden Regelungen von Arning/Moos/Becker, CR 2012, 592 ff.
640
|
Arning/Moos
Erläuterungen
Rz. 18 Teil 4 VI
tensicherheit und zur Einhaltung der Anforderungen des § 9 BDSG1. Darin besteht der Hauptzweck des Musters. Entsprechende Einwirkungs- und Kontrollrechte des Unternehmens, die mit der Verwendung personenbezogener Daten des jeweiligen Mitarbeiters einhergehen, sind freilich ihrerseits wiederum datenschutzrechtlich abzusichern. Auch dies soll das nachfolgend erläuterte Muster gewährleisten.
1. Erläuterungen zu Ziffer 1 E 1. Präambel
14
Der Arbeitgeber beabsichtigt, den Mitarbeitern den Zugriff auf dienstliche E-Mails und den dienstlichen Kalender über ein privates mobiles Gerät des Mitarbeiters (z.B. Smartphone, Tablet PC etc.) zu ermöglichen („Bring Your Own Device“). Die Nutzung eines privaten mobilen Gerätes zu dienstlichen Zwecken steht den Mitarbeitern frei. Es besteht keine Verpflichtung und keine betriebliche Notwendigkeit zur Nutzung privater mobiler Geräte. Mitarbeiter, bei denen eine solche betriebliche Notwendigkeit besteht, erhalten vom Arbeitgeber unternehmenseigene Geräte. Die Nutzung der unternehmenseigenen Geräte ist nicht Gegenstand dieser Betriebsvereinbarung. Für die Nutzung privater mobiler Geräte vereinbaren die Betriebsparteien was folgt:
a) Ratio Die Regelung legt den Regelungsgegenstand der Betriebsvereinbarung und die Zielsetzungen der Parteien fest.
15
b) Erläuterungen Im Rahmen einer solchen Betriebsvereinbarung sollte zunächst klargestellt werden, dass es sich bei BYOD um eine freiwillige Leistung des Unternehmens handelt. Eine Verpflichtung der Mitarbeiter zur Einbringung oder Nutzung privater Geräte zu dienstlichen Zwecken könnte arbeitsrechtlich problematisch sein. Besteht deshalb eine dienstliche Notwendigkeit zur Nutzung eines mobilen Geräts und erklärt sich der Mitarbeiter nicht zur Nutzung seines privaten Geräts bereit, wäre ihm ein Dienstgerät zur Verfügung zu stellen.
16
2. Erläuterungen zu Ziffer 2 E 2. Geltungsbereich
17
Die Betriebsvereinbarung gilt für alle Mitarbeiter des Betriebes mit Ausnahme der leitenden Angestellten i.S.d. § 5 Abs. 3, 4 BetrVG.
a) Ratio Die Ziffer regelt den personellen Anwendungsbereich der Betriebsvereinbarung. 1 Imping/Pohle, K&R 2012, 470 (473).
Arning/Moos
|
641
18
Teil 4 VI
Rz. 19
Betriebsvereinbarung zu Bring Your Own Device
b) Erläuterungen 19
Eine Betriebsvereinbarung kann nur im Rahmen der Zuständigkeit des Betriebsrats geschlossen werden. Im Hinblick auf leitende Angestellte und Mitarbeiter anderer Betriebe fehlt es dem Betriebsrat an einer entsprechenden Regelungsbefugnis1. Vor diesem Hintergrund empfiehlt sich zur Klarstellung eine entsprechende Regelung mit in die Betriebsvereinbarung aufzunehmen.
3. Erläuterungen zu Ziffer 3 20
E 3. Nutzung privater mobiler Geräte 3.1 Die Mitarbeiter sind berechtigt, ihre privaten mobilen Geräte auch zu dienstlichen Zwecken zu nutzen. Ob und in welchem Umfang dies erlaubt und möglich ist, wird vom Arbeitgeber bestimmt; insbesondere kann der Arbeitgeber die für eine Nutzung zu dienstlichen Zwecken zugelassenen Gerätetypen festlegen. Derzeit ist es erlaubt, mit Hilfe der vom Arbeitgeber zugelassenen privaten mobilen Geräte die dienstlichen E-Mails abzurufen und auf den dienstlichen Kalender zuzugreifen. Voraussetzung für die Nutzung eines privaten mobilen Geräts zu dienstlichen Zwecken ist die Einwilligung des Mitarbeiters in die in dieser Betriebsvereinbarung niedergelegten Nutzungsbedingungen und Datenverwendungen gemäß der Anlage zu dieser Betriebsvereinbarung, die der Mitarbeiter vor der Nutzung eines privaten mobilen Geräts erteilen muss. 3.2 Die Mitarbeiter haben dafür Sorge zu tragen, dass das private mobile Gerät zu dienstlichen Zwecken verwendet werden darf und insbesondere der von dem Mitarbeiter hierfür geschlossene Mobilfunkvertrag eine solche Nutzung gestattet. 3.3 Sofern der Arbeitgeber dem Mitarbeiter keine anders lautenden Anweisungen erteilt, ist der Mitarbeiter verpflichtet, das Betriebssystem des privaten mobilen Gerätes auf dem jeweils aktuellen Stand zu halten und zu diesem Zweck alle vom Hersteller verfügbaren Sicherheits-Patches, Updates und Upgrades unverzüglich zu installieren. 3.4 Dem Mitarbeiter ist es untersagt, das Betriebssystem oder die auf dem privaten mobilen Gerät installierte Software zu verändern. Insbesondere ist es dem Mitarbeiter nicht gestattet, sog. „Jailbreaks“ oder „Roots“ durchzuführen, d.h. von dem Hersteller implementierte technische Nutzungsbeschränkungen zu umgehen oder zu beseitigen. Ebenso ist es dem Mitarbeiter untersagt, die auf dem privaten mobilen Gerät installierte Sicherheitssoftware sowie die implementierten Funktionen des Mobile Device Managements zu verändern oder wirkungslos zu machen.
a) Ratio 21
Die Regelung statuiert die generellen Voraussetzungen dafür, dass der Mitarbeiter sein privates Gerät im Sinne des BYOD für dienstliche Aufgaben einsetzen darf. 1 Schaub/Koch, Arbeitsrechts-Handbuch, § 231 Rz. 30 f.
642
|
Arning/Moos
Erläuterungen
Rz. 24 Teil 4 VI
b) Erläuterungen zu Ziffer 3.1 aa) Zugelassene Nutzungen Insbesondere um die sich aus dem BYOD ergebenden Befugnisse des Mitarbeiters genau festzulegen, ist es sinnvoll, die für BYOD zugelassenen Anwendungen und Datenverwendungen positiv zu regeln. Dies folgt einerseits aus dem Interesse des Unternehmens, dass auf dem privaten mobilen Endgerät des Mitarbeiters möglichst keine für das Unternehmen sensiblen Daten gespeichert werden sollen, da Daten auf den privaten Endgeräten der Mitarbeiter nicht so umfassend geschützt werden können wie im Fall von deren Verarbeitung auf unternehmenseigenen IT-Systemen, die sich besser zentral absichern lassen. Dies gilt regelmäßig trotz des Umstandes, dass Mobile Device Management Tools eingesetzt werden. Doch folgt eine solche Beschränkung des BYOD auf bestimmte Anwendungen oder Daten auch aus rechtlichen Vorgaben. Nach § 9 Satz 2 BDSG sind technische und organisatorische Maßnahmen in angemessenem Verhältnis zum Schutzzweck zu treffen. Je sensiblere und je mehr personenbezogene Daten im Rahmen einer für BYOD zugelassenen Applikation verwendet werden, desto umfassendere Maßnahmen sind demzufolge zu treffen. Auch im Fall des Einsatzes von Mobile Device Management Tools muss sich das Unternehmen stets die Frage stellen, ob die Verarbeitung (sensibler) Daten hinreichend abgesichert werden kann, damit das Unternehmen die Vorgaben aus § 9 Satz 1 BDSG und dessen Anlage erfüllt. Vor diesem Hintergrund kann es auch rechtlich erforderlich sein, die Anwendungen und damit auch die im Rahmen von BYOD zu verwendenden Daten zu beschränken.
22
Das Muster sieht eine Beschränkung auf die Verwendung des dienstlichen E-Mail-Systems und des dienstlichen Kalenders vor. In vielen Fällen wird dies ausreichend sein; im Zuge der weiteren Verbreitung von Unified Communications-Lösungen auch im betrieblichen Umfeld mögen weitere Kommunikationstools hinzukommen, wie z.B. Instant Messaging. Grundsätzlich ist auch die Zulassung weiterer Anwendungen denkbar; etwa auch ein Zugriff auf CRM-Systeme oder andere Unternehmensanwendungen, sofern hierfür eine App bereitsteht. Es ist auch denkbar, insofern unterschiedliche Benutzerrollen zu definieren, die – je nach Bedarf – unterschiedliche Nutzungsmöglichkeiten haben. Viele Mitarbeiter wollen meistens nur unterwegs Termine einsehen, E-Mails bearbeiten und Zugang zum Internet haben können. Hierfür lassen sich meist einfach sicherheitskonforme Lösungen finden. Sollen bestimmten Mitarbeitern aber z.B. auch administrative Zugriffe auf Unternehmenssysteme aus der Ferne über ein Smartphone ermöglicht werden, sind aus Sicherheitssicht strengere Vorkehrungen erforderlich1, die dann eine Anpassung des Musters notwendig machen können.
23
bb) Einwilligung als Voraussetzung für BYOD Das Muster bestimmt, dass der Mitarbeiter nur dann zur Nutzung seines privaten Endgerätes für betriebliche Zwecke berechtigt ist, wenn er die zur Betriebs1 BSI, Überblickspapier Consumerisation und BYOD, S. 8.
Arning/Moos
|
643
24
Teil 4 VI
Rz. 25
Betriebsvereinbarung zu Bring Your Own Device
vereinbarung gehörende Einwilligung unterzeichnet hat. Das Einverständnis mit den Vorgaben der Betriebsvereinbarung ist also zwingende Voraussetzung dafür, dass die Nutzung des Privatgeräts zulässig ist. Das Muster folgt dabei einer auch im Bereich der privaten Internet- und E-Mail-Nutzung etablierten Gestaltungsvariante1. Eine solche Koppelung begründet keine Bedenken im Hinblick auf die in datenschutzrechtlicher Hinsicht erforderliche Freiwilligkeit der Einwilligung. Da sich die Einwilligung des Arbeitnehmers lediglich auf eine freiwillig gewährte Leistung bezieht, hat der Mitarbeiter bei Verweigerung seiner Einwilligung keine Nachteile zu befürchten2. Das setzt freilich voraus, dass er im Falle einer dienstlichen Notwendigkeit ein unternehmenseigenes Gerät zur Verfügung gestellt bekommt. 25
Zu warnen ist in diesem Zusammenhang auch vor einer unkontrollierten Zulassung von BYOD: Würde das Unternehmen die Nutzung privater IT im Unternehmen in ungeregeltem Zustand dulden, käme insoweit evtl. die Begründung einer sog. betrieblichen Übung in Betracht3, wonach die Mitarbeiter dann zur Nutzung privater Endgeräte befugt wären, ohne dass diese Nutzung einer Vereinbarung mit dem Unternehmen unterläge, was mit größeren Haftungsrisiken für das Unternehmen verbunden sein könnte4.
c) Erläuterungen zu Ziffer 3.2 26
Verträge der Mitarbeiter mit Mobilfunkunternehmen beinhalten teilweise eine Regelung, dass der Mobilfunknutzer, in diesem Fall also der Mitarbeiter, Mobilfunkdienste auf Grundlage eines bestimmten Vertrags nur zu privaten Zwecken in Anspruch nehmen darf5. Eine solche Einschränkung wird vielen Mitarbeitern nicht bewusst sein, so dass eine solche Klausel zunächst eine Hinweisfunktion erfüllt, damit der Mitarbeiter sich vergewissern kann, ob die beabsichtigte dienstliche Nutzung seines privaten Endgeräts auf Grundlage seines Vertrags mit dem Mobilfunkanbieter überhaupt vertraglich zugelassen ist. Außerdem wird durch diese Regelung auch klargestellt, dass das Unternehmen nicht dafür haftet, wenn eine vertragswidrige Nutzung des Mobilfunkvertrags im Rahmen von BYOD erfolgt.
d) Erläuterungen zu Ziffer 3.3 27
Eine Verpflichtung der Mitarbeiter zur Einspielung von Patches, Updates und Upgrades des Betriebssystems ist zur Gewährleistung der Datensicherheit erforderlich6. Vor allem veraltete Betriebssysteme können (bekannte) Lücken enthalten, die Angreifer ausnutzen können, um auf ein mobiles Endgerät zuzugreifen und ggf. dort gespeicherte Daten zu lesen, zu verändern oder zu löschen. 1 Landesbeauftragter für Datenschutz und Informationsfreiheit NRW, „E-Mail und Internet am Arbeitsplatz“ (Stand: 09/07), S. 5. 2 Ebenso Teil 4 V Rz. 128. 3 So Berliner Beauftragter für Datenschutz und Informationsfreiheit, Tätigkeitsbericht 2012, S. 34. 4 S. z.B. Walter/Dorschel, WuM 2012, 22 (23). 5 Vgl. Imping/Pohle, K&R 2012, 470 (474). 6 BSI, Überblickspapier Consumerisation und BYOD, S. 8.
644
|
Arning/Moos
Erläuterungen
Rz. 30 Teil 4 VI
Bekannte Lücken werden von den Herstellern i.d.R. im Rahmen von Patches, Updates und Upgrades behoben. Für unternehmenseigene Geräte sorgt die ITAbteilung des Unternehmens zentral dafür, dass derartige Verbesserungen der Software installiert werden. Im Rahmen von BYOD ist dies nicht in gleichem Maße gewährleistet, so dass der Mitarbeiter hier vertraglich in die Pflicht genommen wird, derartige Verbesserungen zu installieren. Außerdem kann auch nur so sichergestellt werden, dass Mobile Device Management Tools ordnungsgemäß funktionieren, da sie regelmäßig einen bestimmten Releasestand des Betriebssystems voraussetzen. Ungeachtet der entsprechenden Verpflichtung der Mitarbeiter sollte das Unternehmen selbst einen Überblick über die Verfügbarkeit von Patches, Updates und Upgrades behalten und die Mitarbeiter ggf. aktiv darauf hinweisen.
e) Erläuterungen zu Ziffer 3.4 Das Unternehmen, welches BYOD zulässt, ist für die Verarbeitung dienstlicher Daten auf dem mobilen Endgerät des Mitarbeiters datenschutzrechtlich verantwortlich1. Die Veränderung des Betriebssystems durch den Mitarbeiter kann dazu führen, dass Dritte einfacher auf das private Endgerät zugreifen können. Gleiches kann auch infolge von Änderungen am Mobile Device Management Tool der Fall sein. Da das Unternehmen die Berechtigungen zur Änderung von Betriebssystemen und Anwendungen nicht wie bei Unternehmens-IT zentral vorgeben und kontrollieren kann, sind die Mitarbeiter vertraglich zu verpflichten, derartige Handlungen, vor allem die Vornahme von „Roots“ und „Jailbreaks“ zu unterlassen2. Eine solche Regelung dient somit einerseits dem Interesse des Unternehmens an der Datensicherheit, andererseits aber zugleich auch der Einhaltung rechtlicher Vorgaben zur Datensicherheit aus § 9 BDSG sowie der Vermeidung einer etwaigen Haftung für Datenschutzrechtsverstöße, da das Unternehmen für die Verarbeitung der dienstlichen Daten auf dem privaten Endgerät des Mitarbeiters im Rahmen von BYOD grundsätzlich als verantwortliche Stelle i.S.d. § 3 Abs. 7 BDSG zu qualifizieren ist und grundsätzlich für einen unberechtigten Zugriff Dritter auf dienstliche Daten auf dem privaten Endgerät des Mitarbeiters datenschutzrechtlich einzustehen hat.
28
Außerdem dient diese Regelung auch zur Erfüllung der Vorgaben aus Nr. 7 der Anlage zu § 9 Satz 1 BDSG, wonach die verantwortliche Stelle zu gewährleisten hat, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle).
29
4. Erläuterungen zu Ziffer 4 E 4. Sicherheitsmaßnahmen
30
4.1 Voraussetzung für die Nutzung von privaten mobilen Geräten für dienstliche Zwecke ist, dass eine spezielle Sicherheitssoftware – derzeit die Sicherheitsoftware […] – auf den privaten mobilen Geräten installiert sein muss. 1 Walter/Dorschel, WuM 2012, 22 (26); Conrad/Schneider, ZD 2011, 153 (155). 2 So auch BSI, Überblickspapier Consumerisation und BYOD, S. 9.
Arning/Moos
|
645
Teil 4 VI
Rz. 31
Betriebsvereinbarung zu Bring Your Own Device
4.2 Der Arbeitgeber ist berechtigt, die Sicherheitseinstellungen des privaten mobilen Gerätes des Mitarbeiters jederzeit – auch im Wege des Fernzugriffs – zu ändern. Außerdem ist der Arbeitgeber berechtigt, automatisierte Scans der privaten mobilen Geräte im Rahmen von Netzzugangskontrollen durchzuführen, um überprüfen zu können, dass das jeweilige Gerät die Sicherheitsvorgaben einhält. Auf Verlangen des Arbeitgebers hat der Mitarbeiter sein privates mobiles Gerät zur Durchführung einer Sicherheitsprüfung dem Arbeitgeber auszuhändigen. 4.3 Der Mitarbeiter ist verpflichtet, das Passwort und die Zugangsdaten des privaten mobilen Gerätes und der Sicherheitssoftware vertraulich zu behandeln und an einem sicheren Ort aufzubewahren. Das private mobile Gerät darf ausschließlich durch den Mitarbeiter persönlich verwendet werden. Die Gestattung der Benutzung durch eine dritte Person ist untersagt. 4.4 Der Mitarbeiter hat darüber hinaus alle erforderlichen Maßnahmen zu treffen, um das private mobile Gerät und die darauf (einschließlich der SIM-Karte) gespeicherten oder darüber zugänglichen dienstlichen Daten vor Missbrauch und unberechtigter Kenntnisnahme durch Dritte zu schützen. Insbesondere ist der Mitarbeiter verpflichtet, das private mobile Gerät mit einem persönlichen Zahlencode und/oder einem Passwort zu sichern. Um das private mobile Gerät vor Verlust, Diebstahl und Beschädigung zu schützen, ist der Mitarbeiter verpflichtet, es stets geschützt (z.B. in dem entsprechenden Case) und an einem sicheren Ort aufzubewahren. Der Mitarbeiter hat auf dem privaten mobilen Gerät ein aktuelles Virenschutz-Programm einzusetzen, sofern und sobald ein solches am Markt verfügbar ist. Dem Mitarbeiter ist es untersagt, die vom Arbeitgeber vorgenommenen Sicherheitseinstellungen zu ändern. Der Arbeitgeber wird die Mitarbeiter regelmäßig über aktuelle Gefährdungen durch mobile Geräte und notwendige Sicherheitsmaßnahmen informieren.
a) Ratio 31
Die Vorschrift dient der Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten auf dem privaten Endgerät des Mitarbeiters.
b) Erläuterungen zu Ziffer 4.1 32
Das Unternehmen kann sich im Rahmen der Zulassung von BYOD zudem – wie unter Rz. 8 ff. bereits erläutert – spezieller Softwaretools bedienen, mit denen es möglich ist, Unternehmensdaten auf den privaten Endgeräten besonders zu sichern, indem diese z.B. ausschließlich in speziell gesicherten Containern gespeichert, verschlüsselt und gegen unbefugten Zugriff geschützt werden und ggf. auch einen Remote-Zugriff des Unternehmens bis hin zur Löschung der in diesem speziellen Container enthaltenen Daten ermöglichen. Beabsichtigt ein Unternehmen derartige Softwaretools zu nutzen, so sollte deren verpflichtende Verwendung als Vertragsbedingung in der Nutzungsvereinbarung festgeschrieben werden1. 1 Kongehl/Koch, Gruppe 2.17, S. 15.
646
|
Arning/Moos
Erläuterungen
Rz. 35 Teil 4 VI
c) Erläuterungen zu Ziffer 4.2 Als Maßnahme der Zugriffskontrolle nach Nr. 3 der Anlage zu § 9 Satz 1 BDSG ist es dem Unternehmen zu empfehlen, eine zentrale Einstellung der Konfiguration des Endgerätes vorzugeben bzw. im Bedarfsfall vornehmen zu dürfen und die Mitarbeiter im Rahmen der Vereinbarung über die Nutzung von BYOD zu verpflichten, diese Konfiguration zu verwenden und nicht zu verändern1. Einstellungen, die das Endgerät vor Zugriffen Dritter schützen, können dazu beitragen, dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Ggf. kann mit dem Mitarbeiter auch vereinbart werden, dass dieser sein Endgerät vorübergehend dem Unternehmen aushändigt, damit es die Konfigurationseinstellungen selbst vornehmen kann.
33
Nach einer Empfehlung des BSI sollte sich das Unternehmen auch die Erlaubnis einholen, automatisierte Scans der Endgeräte im Rahmen von Netzzugangskontrollen durchzuführen, um überprüfen zu können, dass die Endgeräte die Sicherheitsvorgaben einhalten2. Diese Empfehlung setzt das Muster in Ziffer 4.2 um. Diese Netzzugangskontrolle umfasst in der Regel einen Serverdienst, der überprüft, ob das Endgerät die Sicherheitsvorgaben erfüllt und der im Bedarfsfall auf Verstöße reagieren kann, indem z.B. ein ungepatchtes Endgerät in ein besonderes Quarantäne-Netzsegment „eingesperrt“ und so die Gefahr für andere Endgeräte im Netz des Unternehmens gering gehalten wird3. Dieser SicherheitsScan kann entweder von außen unmittelbar auf dem Endgerät erfolgen, oder das Endgerät kann mit einem sog. Agenten ausgestattet werden, der das Gerät lokal überprüft und die Informationen dem Server zur Verfügung stellt. Dieser Agent ist entweder ein Bestandteil des MDM-Systems oder Teil des Betriebssystems und kann bei Abweichungen das Endgerät so konfigurieren, dass es wieder alle Sicherheitsvorgaben erfüllt. Solchen Scans privater Endgeräte bringen Nutzer und Betriebsräte erfahrungsgemäß eine gewisse Skepsis entgegen; eine genaue Definition der Häufigkeit solcher Scans und der hierbei erhobenen Daten sowie eine strenge Zweckbindung der Datenverwendung kann helfen, solche Bedenken zu zerstreuen.
34
d) Erläuterungen zu Ziffer 4.3 Als Maßnahme der Zugriffskontrolle nach Nr. 3 der Anlage zu § 9 Satz 1 BDSG sollte das private Endgerät des Mitarbeiters insbesondere so konfiguriert werden, dass ein Zugriff auf dieses Gerät nur nach Eingabe eines Passworts erfolgen kann. Die verbindliche Vorgabe der Nutzung von (sicheren) Passwörtern ist zudem vor dem Hintergrund sinnvoll, dass auf dem Endgerät auch Betriebsund Geschäftsgeheimnisse des Unternehmens gespeichert sein können, die regelmäßig vertraglichen Geheimhaltungspflichten unterliegen, so dass die Verwendung eines Passworts dazu beitragen kann, diese vertraglichen Pflichten 1 So auch Berliner Beauftragter für Datenschutz und Informationsfreiheit, Tätigkeitsbericht 2012, S. 34. 2 BSI, Überblickspapier Consumerisation und BYOD, S. 9. 3 Hierzu im Einzelnen BSI, Überblickspapier Consumerisation und BYOD, S. 7.
Arning/Moos
|
647
35
Teil 4 VI
Rz. 36
Betriebsvereinbarung zu Bring Your Own Device
einzuhalten. Zudem ist der Mitarbeiter dazu zu verpflichten, dass er dieses Passwort gegenüber Dritten geheim hält und sicher vor dem Zugriff durch unbefugte Dritte aufbewahrt1. 36
Der Mitarbeiter ist in der Nutzungsvereinbarung auch darauf zu verpflichten, das Endgerät nur höchstpersönlich im Rahmen des BYOD zu nutzen2, da ansonsten Dritte Zugriff auf dienstliche Daten erhalten könnten. Diese Regelung ist notwendig, da ansonsten eine unzulässige Übermittlung personenbezogener Daten i.S.d. § 3 Abs. 4 Nr. 3 BDSG vorliegen könnte, die ggf. sogar eine Benachrichtigungspflicht nach § 42a BDSG auslösen könnte3. Zudem wäre es denkbar, dass von dem Zugriff auch Geschäftsgeheimnisse betroffen sind, zu deren Geheimhaltung sich das Unternehmen gegenüber Dritten vertraglich verpflichtet hat. Auch aus diesem Grund muss ein Zugriff durch Dritte ausgeschlossen werden.
37
Außerdem dient die Verpflichtung zur ausschließlichen Nutzung durch den Mitarbeiter selbst auch der Erfüllung der Vorgaben aus Nr. 2 der Anlage zu § 9 Satz 1 BDSG, nach der zu verhindern ist, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle).
e) Erläuterungen zu Ziffer 4.4 38
Auch die Regelung in Ziffer 4.4 des Musters dient der Gewährleistung der Datensicherheit, insbesondere der Erfüllung der Verpflichtung gem. Nr. 3 der Anlage zu § 9 Satz 1 BDSG, so z.B. die Verpflichtung zur Verwendung eines Zahlencodes oder eines Passworts. Des Weiteren dient die Regelung der Erfüllung der Vorgaben der Nr. 1 der Anlage zu § 9 Satz 1 BDSG, nach der Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren ist (Zutrittskontrolle), indem der Mitarbeiter verpflichtet wird, das Gerät stets geschützt an einem sicheren Ort, wie z.B. in einem Case, aufzubewahren. Im Rahmen von BYOD müssen die Consumer-Endgeräte grundsätzlich einen aktuellen Virenschutz aufweisen4. Virenschutz-Programme sind allerdings – soweit ersichtlich – derzeit noch nicht für jedes Betriebssystem mobiler Geräte verfügbar. Hier muss das Unternehmen dann im Einzelfall entscheiden, ob entsprechende Geräte überhaupt für BYOD verwendet werden dürfen und – wenn ja – welche alternativen Sicherheitsmaßnahmen ergriffen werden können, um dieses Defizit auszugleichen. Die Verpflichtung zum Einsatz eines solchen Programms dient der Erfüllung der Vorgaben aus Nr. 7 der Anlage zu § 9 Satz 1 BDSG (Verfügbarkeitskontrolle).
1 So auch BSI, Überblickspapier Consumerisation und BYOD, S. 8. 2 So auch Arning/Moos/Becker, CR 2012, 592 (592); BSI, Überblickspapier Consumerisation und BYOD, S. 8. 3 Arning/Moos/Becker, CR 2012, 592 (592). 4 BSI, Überblickspapier Consumerisation und BYOD, S. 7.
648
|
Arning/Moos
Erläuterungen
Rz. 39 Teil 4 VI
5. Erläuterungen zu Ziffer 5 39
E 5. Datenspeicherung und Zugang zu Daten 5.1 Alle Daten, die im Rahmen der dienstlichen Nutzung auf das private mobile Gerät des Mitarbeiters übertragen werden (z.B. dienstliche E-Mails oder Kalendereinträge), werden auf dem privaten mobilen Gerät des Mitarbeiters in einem gesonderten Bereich gespeichert (sog. „Container“) und von den privaten Daten des Mitarbeiters separiert. 5.2 Der Arbeitgeber ist berechtigt, jederzeit über alle Inhalte und Daten zu verfügen, die in dem „Container“ gespeichert sind. Insbesondere ist der Arbeitgeber berechtigt, auf diese Inhalte und Daten zuzugreifen, sie zu ändern oder zu löschen oder sonst mit ihnen in der gleichen Art und Weise und in dem gleichen Umfang umzugehen, als wären die Daten auf dem unternehmenseigenen System oder auf unternehmenseigenen Geräten des Arbeitgebers gespeichert. Dies gilt auch, wenn und soweit in dem „Container“ private Daten des Mitarbeiters gespeichert sein sollten. Der Arbeitgeber wird den Mitarbeiter nach Möglichkeit vorher über eine Löschung von Daten informieren. Der Arbeitgeber ist zudem jederzeit berechtigt, die auf dem privaten mobilen Gerät des Mitarbeiters installierte Sicherheitssoftware zu ändern, zu ersetzen oder zu löschen. 5.3 Dem Mitarbeiter ist bekannt, dass durch eine Löschung von Daten, die in dem Container gespeichert sind, oder der Sicherheitssoftware auch seine privaten Daten und Softwareapplikationen („Apps“), die außerhalb des Containers auf dem privaten mobilen Gerät gespeichert sind, beschädigt oder gelöscht werden können. Es liegt in der Verantwortung des Mitarbeiters, Sicherheitskopien seiner auf dem privaten mobilen Gerät gespeicherten privaten Daten vorzunehmen. Der Mitarbeiter hat keinen Anspruch gegen den Arbeitgeber auf Wiederherstellung von Daten oder auf dem privaten mobilen Gerät installierten Apps. 5.4 Der Mitarbeiter ist verpflichtet, sämtliche Regelungen und Richtlinien des Arbeitgebers sowie sämtliche geltenden Gesetze und Rechtsvorschriften in Bezug auf den Umgang mit den Daten des Arbeitgebers, die auf das private mobile Gerät übertragen worden oder darüber zugänglich sind, zu beachten. Der Mitarbeiter ist nicht berechtigt, dienstliche E-Mails, Dokumente, Kalendereinträge oder sonstige dienstliche Daten außerhalb des „Containers“ oder außerhalb des privaten mobilen Gerätes (z.B. bei einem Cloud-Dienst) zu speichern. 5.5 Der Arbeitgeber wird unbeschadet der in dieser Vereinbarung enthaltenen Bestimmungen grundsätzlich keinen Zugriff auf die privaten Daten des Mitarbeiters nehmen, die auf dem privaten mobilen Gerät außerhalb des Containers gespeichert sind. Dem Mitarbeiter ist jedoch bewusst und bekannt, dass im Rahmen des technischen Supports oder bei Sicherheitsvorfällen i.S.v. Ziffer 6 möglicherweise private Daten, die auf dem privaten mobilen Gerät gespeichert sind, an den Anbieter […] übertragen werden können und auf diese Daten durch den Arbeitgeber und den Anbieter […] zugegriffen werden kann. Arning/Moos
|
649
Teil 4 VI
Rz. 40
Betriebsvereinbarung zu Bring Your Own Device
5.6 Gemäß der als Anlage dieser Betriebsvereinbarung beigefügten Einwilligungserklärung willigt der Mitarbeiter in die zur Wahrnehmung der Rechte des Arbeitgebers nach dieser Vereinbarung sowie zur Kontrolle der Einhaltung der in dieser Vereinbarung enthaltenen Bestimmungen durch den Mitarbeiter erforderlichen Zugriffe auf sein mobiles privates Gerät, seine privaten Daten sowie in die hiermit verbundene Verwendung seiner personenbezogenen Daten ein.
a) Ratio 40
Die Ziffer 5 des Musters dient der Regelung der Zugriffs- und Verfügungsbefugnisse bezüglich der auf dem Endgerät gespeicherten Unternehmensdaten, da das Unternehmen über diese Daten regelmäßig genauso verfügen können möchte, wie wenn diese auf unternehmenseigenen IT-Geräten gespeichert wären. Die Regelung adressiert damit die Besonderheiten, die sich daraus ergeben können, dass das mobile Gerät im Eigentum des Mitarbeiters steht.
b) Erläuterungen zu Ziffer 5.1 41
In Ziffer 5.1 erfolgt eine generelle Festlegung, dass und wie dienstliche Daten auf den privaten Endgeräten der Mitarbeiter gespeichert werden. Bei diesen Daten kann es sich insbesondere um Dokumente, E-Mails aber auch um Anwendungsdaten aus der Nutzung besonderer Softwareprogramme (Apps) handeln, die bspw. den Zugriff auf physisch im Unternehmen installierte Programme oder vorgehaltene Datenbanken ermöglichen. Beabsichtigt das Unternehmen spezielle Sicherheits-Tools einzusetzen, muss hierfür ebenfalls eine App auf dem Endgerät des Mitarbeiters installiert werden, die ggf. Unternehmensdaten auf dem Gerät ablegt.
42
Die Notwendigkeit, von den Mitarbeitern eine Zustimmung zur Speicherung von Daten auf ihren privaten Endgeräten und den Einsatz derartiger Apps einzuholen, folgt aus dem Eigentumsrecht bzw. dem Besitzrecht des jeweiligen Mitarbeiters an dem jeweiligen mobilen Endgerät. Aus § 903 bzw. §§ 854, 858 BGB folgt, dass grundsätzlich niemand ohne Einwilligung des Berechtigten, in diesem Fall also des jeweiligen Mitarbeiters als Eigentümer bzw. Besitzer des mobilen Endgeräts, auf dieses zugreifen und Daten dort speichern darf. Falls ein Unternehmen also Dokumente, Daten oder gar Apps auf dem mobilen Endgerät speichern will, ist in die Vereinbarung mit dem Mitarbeiter eine solche Regelung mit aufzunehmen1.
43
Aus strafrechtlicher Sicht ist eine solche Regelung hingegen nicht zwingend notwendig. Zwar kann eine entsprechende Zustimmung des Betroffenen grundsätzlich eine etwaige Strafbarkeit nach § 303a StGB ausschließen. Doch kommt eine Strafbarkeit nach § 303a StGB vorliegend schon grundsätzlich wohl nicht in Betracht. Das bloße Speichern von Daten auf einem Datenträger stellt regelmäßig keine Veränderung von Daten i.S.d. § 303a Abs. 1 StGB dar, 1 Arning/Moos/Becker, CR 2012, 592 (594).
650
|
Arning/Moos
Erläuterungen
Rz. 46 Teil 4 VI
da keine Veränderung des Informationsgehalts erfolgt1. Nur wenn durch die Speicherung der Daten bereits auf dem mobilen Endgerät gespeicherte Daten verändert würden (z.B. weil bisher schon belegter Speicherplatz überschrieben wird), wäre auch aus strafrechtlicher Sicht eine entsprechende Zustimmung des betroffenen Mitarbeiters erforderlich. Ggf. kann die Einholung einer solchen Zustimmung auch im Hinblick auf § 303b Abs. 1 StGB erforderlich sein, wenn durch die Speicherung von Daten oder Apps auf dem mobilen Endgerät eine für den betroffenen Mitarbeiter wesentliche Datenverarbeitung zumindest konkret gefährdet wird. Auch insoweit schließt eine entsprechende Zustimmung des Betroffenen die Rechtswidrigkeit einer solchen Tat aus. Die Trennung der dienstlichen und der privaten Daten, z.B. durch die Speicherung der dienstlichen Daten in einem sog. „Container“ eines Mobile Device Management Tools, ist Marktstandard2. Zu den rechtlichen Folgen einer Vermischung dienstlicher und privater Daten in einer Applikation oder Datenbank gelten die Grundsätze für die erlaubte private E-Mail-Nutzung mittels dienstlicher Geräte durch einen Mitarbeiter entsprechend. Durch die getrennte Speicherung wird sichergestellt, dass das Unternehmen nicht automatisch auch auf private Daten des Mitarbeiters zugreift, wofür regelmäßig eine Einwilligung des Mitarbeiters erforderlich wäre (siehe hierzu die ausführlichen Erläuterungen in Rz. 45 ff.).
44
c) Erläuterungen zu Ziffer 5.2 aa) Zugriff auf dienstliche und private Daten Der Zugriff von Unternehmen auf die in den privaten Endgeräten ihrer Mitarbeiter gespeicherten Daten hat sowohl datenschutzrechtliche als auch strafrechtliche Implikationen. Ganz generell ist es aber möglich, diese Klippen auf Basis einer vertraglichen Vereinbarung mit dem Mitarbeiter zu umschiffen: Entschließt sich der Arbeitgeber dazu, BYOD auf freiwilliger Basis zuzulassen, ist es grundsätzlich auch zulässig, diese Erlaubnis an einschränkende Voraussetzungen zu knüpfen (z.B. eine angemessene Art der Kontrolle und des Daten und Device Managements vorzunehmen).
45
Soweit Unternehmen bestimmte auf den privaten Endgeräten ihrer Mitarbeiter gespeicherte Daten lesen wollen, ist zunächst zu unterscheiden, ob die dienstlichen Daten, auf die das Unternehmen lesenden Zugriff nehmen will, in einem speziellen Container bzw. Ordner gespeichert sind. Ist ein solcher Container bzw. Ordner vorhanden, wovon das Muster ausgeht, gleicht der Zugriff auf diesen Container bzw. Ordner dem lesenden Zugriff eines Unternehmens auf dienstliche Daten, die auf der Festplatte des Arbeitsplatzrechners oder dem Netzlaufwerk eines Mitarbeiters im Unternehmen gespeichert sind. Soweit es sich bei den im speziellen Ordner gespeicherten Daten um personenbezogene
46
1 S. z.B. Joecks/Miebach/Wieck-Noodt, Münchener Kommentar zum StGB, § 303a StGB Rz. 15; Schönke/Schröder/Stree/Hecker § 303a StGB Rz. 8; Lackner/Kühl/Kühl, § 303a StGB Rz. 3. 2 Zu den Vorteilen einer solchen Container-Lösung ausführlich Arning/Moos/Becker, CR 2012, 592 (594).
Arning/Moos
|
651
Teil 4 VI
Rz. 47
Betriebsvereinbarung zu Bring Your Own Device
Daten i.S.d. § 3 Abs. 1 BDSG handelt, gelten hinsichtlich der materiellen datenschutzrechtlichen Zulässigkeit der Verarbeitung keine Besonderheiten gegenüber der Verarbeitung dieser Daten innerhalb eines Unternehmens (hiervon zu unterscheiden sind die nach § 9 BDSG zu treffenden organisatorischen und technischen Maßnahmen, die sich im Fall des BYOD von den im Unternehmen selbst zu treffenden Maßnahmen unterscheiden). Der Zugriff eines Unternehmens auf die in diesem Container bzw. Ordner gespeicherten Daten ist damit i.d.R. nach § 32 Abs. 1 BDSG datenschutzrechtlich zulässig. Eine gesonderte datenschutzrechtliche Einwilligung des Mitarbeiters ist hinsichtlich des Zugriffs auf diese im Container gespeicherten personenbezogenen Daten somit regelmäßig entbehrlich. 47
Sollten die Daten hingegen nicht in einem speziellen Container bzw. Ordner gespeichert sein, müssen Unternehmen zum Auffinden der dienstlichen Daten ggf. auf private in dem Endgerät gespeicherte Daten des Mitarbeiters zugreifen, um feststellen zu können, um welche Art von Daten es sich handelt. Bei den auf dem jeweiligen mobilen Endgerät gespeicherten privaten Daten des Mitarbeiters ist davon auszugehen, dass es sich regelmäßig um personenbezogene Daten handelt, für deren Verarbeitung der jeweilige Mitarbeiter selbst verantwortlich ist, bzw. die sich sogar auf ihn selbst beziehen. Ob Zugriffe auf solche privaten Daten noch nach § 32 Abs. 1 BDSG bzw. § 28 Abs. 1 Satz 1 Nr. 2 BDSG zulässig sind, erscheint fraglich. Allenfalls mag eine Erlaubnis allein für den Zweck bestehen, die privaten von den dienstlichen Daten unterscheiden und sie aussondern zu können1. Die Einholung einer Einwilligung wäre zwar denkbar, aber nicht, soweit sich die Daten auf andere Personen beziehen. Möchte das Unternehmen also ohne einen Rest an Rechtsunsicherheit auf dienstliche Daten zugreifen, die auf dem privaten Endgerät des Mitarbeiters gespeichert sind, ist eine getrennte Speicherung von Daten auf dem Endgerät des Mitarbeiters erforderlich2.
48
Diese Ausführungen gelten für den Zugriff auf E-Mails entsprechend. Nach § 32 Abs. 1 BDSG darf ein Unternehmen regelmäßig auf dienstliche E-Mails zugreifen, die auf dem jeweiligen privaten Endgerät des Mitarbeiters gespeichert sind, wohingegen ein Zugriff auf private E-Mails des Mitarbeiters nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG durchaus problematisch ist, da das Unternehmen nicht davon ausgehen kann, dass seine Interessen an der Datenverarbeitung den Interessen der Betroffenen in solchen Fällen vorgehen3. Es wäre insoweit wiederum eine Einwilligung in Betracht zu ziehen. Die von § 4a BDSG geforderte Freiwilligkeit der Einwilligung ist dabei grundsätzlich gewährleistet, 1 Berliner Beauftragter für Datenschutz und Informationsfreiheit, Tätigkeitsbericht 2012, S. 34; in diesem Sinne bezüglich privater E-Mails im Firmen-Account wohl auch § 88 Abs. 5 TKG-E in der Fassung der Formulierungsvorschläge vom 7.9.2011 zum mittlerweile obsoleten Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes. 2 So auch Göpfert/Wilke, NZA 2012, 765 (766) unter Berufung auf das Urteil des LAG Berlin-Brandenburg v. 16.2.2011 – 4 Sa 2132/10, DB 2011, 1281. 3 Großzügiger Fülbier/Splittgerber, NJW 2012, 1995 (2000) unter Berufung auf das Urteil des LAG Berlin-Brandenburg v. 16.2.2011 – 4 Sa 2132/10, DB 2011, 1281.
652
|
Arning/Moos
Erläuterungen
Rz. 51 Teil 4 VI
solange der Einsatz des privaten Geräts durch den Mitarbeiter insgesamt freiwillig ist1. Die Frage einer Verletzung des Fernmeldegeheimnisses nach § 88 Abs. 1 TKG stellt sich bei der Standard-BYOD-Konstellation nicht2, weil der Mitarbeiter i.d.R. nicht nur seine private Hardware stellt, sondern selbst auch Vertragspartner des Telekommunikationsdienstleisters ist: Stellt das Unternehmen seinen Mitarbeitern also keine dienstlichen SIM-Karten zur Verfügung, ist das Unternehmen mangels nachhaltiger Erbringung von Telekommunikationsdienstleistungen für Dritte i.S.d. § 3 Nr. 24 TKG nicht als Telekommunikationsdiensteanbieter zu qualifizieren3. Stellt das Unternehmen dem Mitarbeiter allerdings eine dienstliche SIM-Karte zur Verfügung (und erlaubt es die private Nutzung des dienstlichen E-Mail-Accounts, was im Falle der Nutzung des privaten Geräts des Mitarbeiters kaum zu untersagen ist), ist das Unternehmen zwar regelmäßig als Telekommunikationsdiensteanbieter zu qualifizieren4, doch findet das Fernmeldegeheimnis keine Anwendung mehr auf die im Endgerät gespeicherten E-Mails, zumindest wenn sie sich gelesen in der Inbox befinden5.
49
Aufgrund der verbleibenden Rechtsunsicherheit ist es deshalb auch in dem Fall, dass eine SIM-Karte des Unternehmens genutzt wird, zu empfehlen, private und dienstliche E-Mails voneinander zu trennen und sie in separaten Ordnern oder Containern zu speichern. Sofern private und dienstliche E-Mails getrennt voneinander gespeichert werden, ist der Zugriff auf dienstliche E-Mails durch das Unternehmen nach § 32 Abs. 1 BDSG datenschutzrechtlich zulässig.
50
bb) Löschung von Daten Nach Ziffer 5.2 soll das Unternehmen generell berechtigt sein, alle in dem Container enthaltenen Daten zu löschen. Nach § 35 Abs. 2 BDSG ist das Unternehmen verpflichtet, personenbezogene Daten, die es für eigene Zwecke verarbeitet, zu löschen, sobald ihre Speicherung unzulässig ist oder ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist. Eine solche Löschpflicht erstreckt sich auf alle Speichermedien und umfasst deshalb auch das für BYOD genutzte private Endgerät des Mitarbeiters. Eine Verpflichtung zur Löschung von Daten auf dem privaten Endgerät des Mitarbeiters kann sich zudem auch aus § 9 Satz 1 BDSG i.V.m. Satz 1 Nr. 7 (Verfügbarkeitskontrolle) der Anlage zu § 9 Satz 1 BDSG sowie indirekt aus § 42a BDSG ergeben. So kann es im Rahmen der Verfügbarkeitskontrolle erforderlich sein, Daten auf dem mobilen Endgerät des Mitarbeiters zu löschen, um dort gespeicherte personenbezogene Daten zu schützen, z.B. vor Schadsoftware wie Viren, Trojanern oder sog. „Schnüffel-Apps“. 1 So BfDI, Leitfaden Internet am Arbeitsplatz – Datenschutzrechtliche Grundsätze bei der dienstlichen/privaten Internet- und E-Mail-Nutzung am Arbeitsplatz, Stand: Januar 2008, S. 4 für den vergleichbaren Fall des Zugriffs auf private Mails im Dienstaccount. 2 A.A. wohl Imping/Pohle, K&R 2012, 470 (472). 3 So auch Kongehl/Koch, Gruppe 2.17, S. 6. 4 A.A. LAG Berlin-Brandenburg v. 16.2.2011 – 4 Sa 2132/10, DB 2011, 1281 (1281). 5 S. z.B. Wybitul, Handbuch Datenschutz im Unternehmen, Rz. 197 f.
Arning/Moos
|
653
51
Teil 4 VI
Rz. 52
Betriebsvereinbarung zu Bring Your Own Device
52
Die Löschung kann auch helfen, eine Meldepflicht nach § 42a Satz 1 BDSG zu vermeiden. Danach ist eine verantwortliche Stelle verpflichtet, unter bestimmten Umständen die Betroffenen und die Aufsichtsbehörden zu informieren, wenn Dritten personenbezogene Daten unrechtmäßig zur Kenntnis gelangt sind. Die Informationspflicht wird bereits ausgelöst, wenn Anhaltspunkte für eine solche unrechtmäßige Kenntnisnahme vorliegen, absolute Gewissheit ist nicht erforderlich1. Informationspflichten nach § 42a BDSG kommen deshalb schon in Betracht, wenn das Smartphone, auf dem dienstliche Daten gespeichert sind, verloren oder gestohlen wurde oder ggf. auch nur länger unbeaufsichtigt dem Zugriff unberechtigter Dritter ausgesetzt ist. Um Informationspflichten in solchen Situationen zu entgehen, bietet sich eine Remote-Löschung der Daten an, so dass eine Kenntnisnahme dieser Daten ausgeschlossen ist.
53
Technisch kann das Löschen von Daten durch das Unternehmen entweder dadurch erfolgen, dass das Unternehmen sich das Gerät vom jeweiligen Mitarbeiter aushändigen lässt, untersucht und unerwünschte Daten löscht oder aber mittels eines Remote-Zugriffs des Unternehmens auf das private Endgerät des Mitarbeiters, während sich das Gerät beim Nutzer befindet. Für einen solchen Remote-Zugriff ist es jedoch regelmäßig erforderlich, dass ein spezielles Softwaretool auf dem Endgerät installiert wird und bestimmte Einstellungen in diesem Endgerät vorgenommen werden, wie es standardmäßig Mobile Device Management-Systeme erlauben. Möchte sich das Unternehmen das mobile Endgerät eines Mitarbeiters aushändigen lassen, ist eine entsprechende vertragliche Verpflichtung des Mitarbeiters ratsam.
54
Eine vertragliche Regelung zur Datenlöschung – wie in Ziffer 5.2 des Musters vorgesehen – ist dabei aus Rechtsgründen notwendig: Nach § 303a StGB macht sich strafbar, wer rechtswidrig Daten i.S.d. § 202a Abs. 2 StGB löscht, unterdrückt, unbrauchbar macht oder verändert. Hiervon sind nur Daten erfasst, hinsichtlich derer der Täter nicht verfügungsberechtigt ist. Das Unternehmen ist hinsichtlich der auf dem privaten Endgerät gespeicherten privaten Daten des Mitarbeiters nicht verfügungsbefugt. Insoweit ist der Mitarbeiter als Eigentümer bzw. Besitzer des Endgeräts Rechteinhaber2. Hinsichtlich der dienstlichen Daten, die auf dem Endgerät des Mitarbeiters – wenn auch in einem speziellen Container oder Ordner – gespeichert werden, ist die Zuordnung der Verfügungsbefugnis nicht so klar, da der Mitarbeiter zwar Eigentümer bzw. Besitzer des Endgeräts ist, auf dem die Daten gespeichert sind, andererseits aber das Unternehmen dem Mitarbeiter diese Daten zur Erfüllung seiner dienstlichen Pflichten überlassen hat3. Rechtssicherheit schafft auch in diesem Fall eine eindeutige Regelung mit dem Mitarbeiter über die Verfügungsbefugnis4. Da in der Literatur durchaus vertreten wird, dass ein schuldrechtlich Verfügungsbefugter lediglich neben den dinglich am Datenträger Berechtigten tritt und insoweit trotz der Regelung über die Verfügungsbefugnis ein tauglicher Tä1 Taeger/Gabel/Gabel, § 42a BDSG Rz. 17. 2 Schönke/Schröder/Stree/Hecker, § 303a StGB Rz. 3; Joecks/Miebach/Wieck-Noodt, Münchener Kommentar zum StGB, § 303a Rz. 9 f. 3 Heintschel-Heinegg/Weidemann, BeckOK StGB, § 303a Rz. 5. 4 Schönke/Schröder/Stree/Hecker, § 303a StGB Rz. 3.
654
|
Arning/Moos
Erläuterungen
Rz. 57 Teil 4 VI
ter i.S.d. § 303a StGB sein kann1. ist es empfehlenswert, in die Vereinbarung zugleich auch eine Einwilligung des Mitarbeiters aufzunehmen, in der er der Löschung dienstlicher (und ggf. auch privater Daten, soweit diese die Sicherheit, Vertraulichkeit oder Integrität des privaten Endgeräts gefährden) auf seinem mobilen Endgerät durch das Unternehmen zustimmt, so dass die Datenlöschung i.S.d. § 303a StGB zumindest nicht rechtswidrig wäre. Ohne entsprechende Vereinbarung käme zudem auch noch ein Schadensersatzanspruch des Mitarbeiters gegen das Unternehmen nach §§ 280 Abs. 1, 241 Abs. 2 BGB oder § 823 Abs. 1 BGB in Betracht2. Aus praktischen Erwägungen ist es ratsam, eine solche Löschung auch privater Daten nur für Notfälle vorzusehen. Vorzugswürdig ist eine selektive Löschung nur beruflicher Daten; einige gängige Mobile Device Management Tools ermöglichen dies, soweit eine entsprechende Datentrennung auf dem Endgerät umgesetzt ist.
cc) Ändern von Daten Hinsichtlich des Änderns von Daten gelten die vorstehenden Erläuterungen zur Löschung von Daten entsprechend. Auch das Ändern von Daten kann eine taugliche Tathandlung i.S.v. § 303a StGB darstellen. Daten werden verändert, wenn ein neuer Inhalt hergestellt wird3. Das kann durch Änderung des Informationsgehalts, Teillöschung oder neue Verknüpfung mit anderen Daten geschehen4. Eine Änderung von Daten liegt demzufolge auch dann vor, wenn das Unternehmen zentrale Einstellungen in der Konfiguration des mobilen Endgeräts ändern möchte, da sich insoweit zumindest Einträge in der „Registry“-Datei (bzw. der entsprechenden Datei im jeweiligen Betriebssystem) ändern5. Möchte das Unternehmen also auf dem privaten Endgerät gespeicherte Daten in diesem Sinne ändern, so ist hierfür ebenfalls eine entsprechende Vereinbarung erforderlich, jedenfalls sofern private Daten des Mitarbeiters betroffen sind.
55
Soweit der Betriebsrat über bestimmte Gegenstände keine Regelungen treffen kann, da z.B. Eigentumsrechte der Mitarbeiter betroffen sind, dient die Regelung zudem der Information der Mitarbeiter, damit diese in den entsprechenden Datenumgang bzw. die entsprechenden Handlungen des Unternehmens einwilligen können.
56
d) Erläuterungen zu Ziffer 5.3 Selbst wenn dienstliche Daten getrennt von den privaten Daten eines Mitarbeiters auf dessen privatem Endgerät gespeichert werden und das Unternehmen nur die dienstlichen Daten löschen möchte (z.B. im Fall der Beendigung des Arbeitsverhältnisses), ist es technisch nicht ausgeschlossen, dass bei diesem Löschvorgang (evtl. unbeabsichtigt) auch private Daten des Mitarbeiters ge1 2 3 4 5
Joecks/Miebach/Wieck-Noodt, Münchener Kommentar zum StGB, § 303a Rz. 9 f. Göpfert/Wilke, NZA 2012, 765 (767). BT-Drucks. 10/5058, 35. Dölling/Duttge/Rössner/Weilers, Gesamtes Strafrecht, § 303a Rz. 8. Von Heintschel-Heinegg/Weidemann, BeckOK StGB, § 303a Rz. 13.
Arning/Moos
|
655
57
Teil 4 VI
Rz. 58
Betriebsvereinbarung zu Bring Your Own Device
löscht werden. Vor diesem Hintergrund ist in Ziffer 5.3 eine Regelung in das Muster aufgenommen worden, durch die der Mitarbeiter entsprechend informiert wird, so dass der Mitarbeiter informiert seine Einwilligung hierzu erteilen kann. Des Weiteren dient diese Regelung auch dazu abzusichern, dass das Unternehmen im Fall eines Datenverlusts als Folge einer solchen Datenlöschung keine Haftung trifft.
e) Erläuterungen zu Ziffer 5.4 58
Auch diese Regelung dient zuvorderst der Gewährleistung der Datensicherheit allgemein sowie rechtlicher Verpflichtungen des Unternehmens nach § 9 BDSG. Insbesondere wird durch diese Regelung klargestellt, dass die Betriebsvereinbarung über BYOD nicht abschließend ist, sondern der Mitarbeiter bei der Nutzung von Daten im Rahmen von BYOD auch die weiteren Unternehmensrichtlinien im Hinblick auf den Umgang mit Daten des Unternehmens beachten muss, die auch gelten, wenn er Daten des Unternehmens auf unternehmenseigener IT im Unternehmen nutzt. Oft sind solche Regelungen z.B. in IT-Sicherheitsrichtlinien enthalten. Entsprechende Regelwerke können auch explizit referenziert werden.
59
Die Verpflichtung, dienstliche Daten nur innerhalb des sog. „Containers“ zu speichern, ist erforderlich, da das Unternehmen diese Daten bei einer zulässigen Speicherung der Daten außerhalb des Containers nicht mehr kontrollieren und sichern könnte, wodurch es zu einem Datenverlust und ggf. sogar zu einer Haftung des datenschutzrechtlich verantwortlichen Unternehmens kommen könnte. So würde das Unternehmen im Fall einer Speicherung personenbezogener Daten außerhalb des „Containers“ i.d.R. auch gegen die Verpflichtungen aus § 9 BDSG verstoßen, da das Endgerät ohne ein Mobile Device Managment Tool regelmäßig nicht entsprechend den Vorgaben aus § 9 BDSG gesichert sein dürfte.
60
Die Nutzung von Cloud Services durch den Mitarbeiter im Hinblick auf dienstliche Daten sollte untersagt werden, da einerseits Cloud-Diensteanbieter ansonsten ggf. auf die dienstlichen Daten zugreifen könnten und andererseits der Zugriff auf die Daten dem Unternehmen als verantwortlicher Stelle entzogen sein könnte1. Die Untersagung der Nutzung von Cloud-Diensten ist zudem vor dem Hintergrund empfehlenswert, dass die Einstellung von personenbezogenen Daten in eine Cloud ein Auftragsdatenverarbeitungsverhältnis oder (insbesondere außerhalb des EWR) sogar eine Übermittlung personenbezogener Daten darstellen kann, für die das Unternehmen einzustehen hat, ohne jedoch wirksam kontrollieren zu können, ob die Bedingungen an eine rechtmäßige Datenverarbeitung bei der Einstellung von Daten in die Cloud erfüllt sind2. Es ist freilich zu konstatieren, dass mittlerweile auch bereits das Konzept „Bring 1 Göpfert/Wilke, NZA 2012, 765 (767); Kongehl/Koch, Gruppe 2.17, S. 12; krit. zum Datenabgleich mit einem zentralen cloud-basierten Datenspeicher auch Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, 10. Tätigkeitsbericht, LT-Drucks. 6/712 v. 2.5.2012, 53. 2 Vgl. hierzu Conrad/Schneider, ZD 2011, 153 (154).
656
|
Arning/Moos
Erläuterungen
Rz. 63 Teil 4 VI
Your Own Cloud“ (BYOC) als Alternative oder Ergänzung zu BYOD diskutiert wird. Hierbei geht es gerade um die Zulassung von Cloud-Anwendungen, die der Arbeitnehmer (privat) nutzt. Wenn dies von dem Unternehmen tatsächlich in Erwägung gezogen werden sollte, sind jedenfalls eigenständige, dezidierte Regelungen hierzu notwendig.
f) Erläuterungen zu Ziffer 5.5 Erbringt das Unternehmen für das private Gerät des Mitarbeiters auch technischen Support, z.B. Reparaturleistungen (ggf. auch durch einen vom Unternehmen beauftragten Dienstleister), kann nicht ausgeschlossen werden, dass das Unternehmen auch auf private Daten des Mitarbeiters zugreift oder diese zumindest einsehen kann, um die Supportdienstleistungen erbringen zu können. Die Regelung dient insbesondere der Information des Mitarbeiters, damit dieser wirksam in den Zugriff auf seine privaten Daten zu diesem Zweck einwilligen kann, bzw. damit die Befugnis hierzu eine vertragliche Grundlage hat.
61
g) Erläuterungen zu Ziffer 5.6 Wie bereits erläutert, sind nicht sämtliche der im Rahmen dieser Betriebsvereinbarung beschriebenen Handlungen des Unternehmens bzw. Datenverwendungen der Regelung durch eine Betriebsvereinbarung zugänglich, wie z.B. Verfügungen über Eigentumsrechte des Mitarbeiters oder ggf. auch der Umgang mit privaten Daten des Mitarbeiters. Vor diesem Hintergrund ist neben der Betriebsvereinbarung, die zumindest im Hinblick auf den Umgang mit dienstlichen Daten als Rechtsvorschrift i.S.d. § 4 Abs. 1 BDSG und damit als Erlaubnisvorschrift dienen kann1, eine individuelle Vereinbarung mit dem jeweiligen Mitarbeiter zu schließen, in der dieser in die Handlungen des Unternehmens und den Umgang mit seine privaten Daten durch das Unternehmen (strafrechtlich, sachenrechtlich, schuldrechtlich und datenschutzrechtlich) einwilligt (siehe hierzu die Erläuterungen unter Rz. 108 ff.). Das Unternehmen kann in diesem Fall die für eine wirksame Einwilligung des Mitarbeiters erforderlichen Informationen bereits im Rahmen der Betriebsvereinbarung geben. Dies hat u.a. auch den Vorteil, dass ein solches Vorgehen als vertrauensbildende Maßnahme dienen kann. So werden Mitarbeiter i.d.R. eine Einwilligung eher erteilen, wenn das Vorgehen des Unternehmens im Hinblick auf BYOD mit dem Betriebsrat abgestimmt wurde und dieser dem Vorgehen des Unternehmens durch den Abschluss der Betriebsvereinbarung zugestimmt hat.
62
6. Erläuterungen zu Ziffer 6 E 6. Informationspflicht
63
Im Falle des Verlusts, der Beschädigung oder der Gefährdung des privaten mobilen Geräts bzw. der darauf gespeicherten oder darüber zugänglichen dienstlichen Daten, z.B. durch Späh- oder Schadsoftware („Sicherheitsvorfall“) hat der Mitarbeiter den Arbeitgeber unverzüglich, spätestens jedoch innerhalb 1 Gola/Schomerus, § 4 BDSG Rz. 10 f.
Arning/Moos
|
657
Teil 4 VI
Rz. 64
Betriebsvereinbarung zu Bring Your Own Device
von 24 Stunden, entweder telefonisch unter […] oder per E-Mail an […] zu informieren. Eine solche Information hat auch zu erfolgen, wenn der Mitarbeiter den begründeten Verdacht hat, dass ein unbefugter Dritter auf das Endgerät zugegriffen hat oder er das private mobile Geräte nur für eine gewisse Zeitspanne (mindestens 24 Stunden) nicht auffinden kann. Der Mitarbeiter wird den Arbeitgeber im Rahmen des Zumutbaren unterstützen, um in einem solchen Fall etwaige negative Folgen für die Vertraulichkeit, Integrität und Verfügbarkeit der dienstlichen Daten aus einem solchen Datensicherheitsvorfall zu vermeiden oder deren Auswirkungen zu begrenzen.
a) Ratio 64
Die in dieser Ziffer enthaltenen Regelungen sollen sicherstellen, dass das Unternehmen möglichst frühzeitig über sicherheitsrelevante Vorfälle informiert ist, nicht zuletzt um seinen eigenen etwa nach § 42a BDSG bestehenden Verpflichtungen bei Verlust personenbezogener Daten nachkommen zu können.
b) Erläuterungen 65
Ziffer 6 verpflichtet den Mitarbeiter, das Unternehmen unverzüglich zu benachrichtigen, wenn das private Endgerät, auf dem Daten des Unternehmens gespeichert sind, gestohlen oder verloren wurde, sonst abhanden gekommen oder dem Zugriff Dritter ausgesetzt ist. Die Mitarbeiter müssen sofort melden, wenn Endgeräte, die auch für berufliche Belange genutzt wurden, verloren gegangen sind. Es entspricht wiederum einer Empfehlung des BSI, eine solche Meldepflicht auch vorzusehen, wenn ein Endgerät nur für eine gewisse Zeitspanne nicht auffindbar ist1. Um die Befolgung dieser Verpflichtung sicher zu stellen, sollte das Unternehmen prüfen, ob es feste Meldewege einrichtet, über die die Mitarbeiter die Meldungen absetzen und so eine Löschung, Sperrung und Lokalisation der Endgeräte vornehmen können.
66
Diese Verpflichtung korrespondiert ganz maßgeblich mit der Informationspflicht des Unternehmens gegenüber Aufsichtsbehörden und Betroffenen im Falle einer unrechtmäßigen Kenntniserlangung Dritter von personenbezogenen Daten. Nach § 42a BDSG ist das Unternehmen als verantwortliche Stelle im Sinne des Datenschutzrechts unter bestimmten Voraussetzungen verpflichtet, die Betroffenen oder die Aufsichtsbehörden zu informieren, falls personenbezogene Daten einem Dritten unrechtmäßig zur Kenntnis gelangt sind. Eine unverzügliche Unterrichtung durch den Mitarbeiter ist deshalb auch nach Ansicht der Aufsichtsbehörden erforderlich, damit das Unternehmen seine bußgeldbewehrte Pflicht nach § 42a BDSG seinerseits erfüllen kann2. Nur eine solche Information ermöglicht es dem Unternehmen auch, die auf dem mobilen Endgerät gespeicherten Daten ggf. über den Remote-Zugriff zu löschen (Remote Wipe) und so einer Benachrichtigungspflicht nach § 42a BDSG zu entgehen. 1 BSI, Überblickspapier Consumerisation und BYOD, S. 9. 2 Berliner Beauftragter für Datenschutz und Informationsfreiheit, Tätigkeitsbericht 2012, S. 35.
658
|
Arning/Moos
Erläuterungen
Rz. 71 Teil 4 VI
Die Benachrichtigungspflicht des Mitarbeiters ist hier recht umfassend angelegt und greift z.B. auch schon bei einem Verdacht unrechtmäßiger Kenntniserlangung, dem schlichten Verlust oder einer sonstigen „Gefährdung“ des Gerätes, da bereits in einem solchen Fall die Sicherheit der auf den mobilen Endgeräten gespeicherten Daten gefährdet sein könnte, woraufhin das Unternehmen unverzüglich geeignete Maßnahmen ergreifen müsste. Unbedingt erforderlich ist eine so frühe Informationspflicht rechtlich allerdings nicht.
67
Die Reaktionszeit von 24 Stunden ist hier recht kurz gehalten. Sie orientiert sich an den Vorgaben der am 25.8.2013 in Kraft getretenen Verordnung Nr. 611/20131 der EU-Kommission vom 24.6.2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation), wonach das von einer Datenpanne betroffene Unternehmen die zuständige Behörde ebenfalls binnen 24 Stunden nach Kenntniserlangung von der Datensicherheitsverletzung informieren muss.
68
7. Erläuterungen zu Ziffer 7 E 7. Nutzung von Kommunikationsdiensten
69
Der Mitarbeiter hat neben den Regelungen dieser Betriebsvereinbarung gleichzeitig alle Richtlinien und Handlungsanweisungen des Arbeitgebers zu beachten, welche die Nutzung von betrieblichen Kommunikationssystemen (wie z.B. Internet, E-Mail, Telefon etc.) betreffen. Diese Richtlinien und Handlungsanweisungen finden in ihrer jeweils gültigen Fassung auch auf die dienstliche Nutzung des privaten mobilen Gerätes Anwendung, sofern diese Betriebsvereinbarung nicht ausdrücklich etwas anderes bestimmt.
a) Ratio Der Zweck dieser Regelung besteht darin sicherzustellen, dass der Mitarbeiter auch die weiteren Richtlinien und Handlungsanweisungen im Unternehmen bzgl. der Nutzung von Kommunikationsdiensten beachtet und diese neben der BYOD-Regelung anwendbar bleiben.
70
b) Erläuterungen In Ziffer 7 wird klargestellt, dass die Betriebsvereinbarung zu BYOD nicht abschließend ist und der Mitarbeiter (nachrangig) auch sämtliche übrigen Richtlinien und Handlungsanweisungen des Unternehmens zur Nutzung betrieblicher Kommunikationssysteme genau so beachten muss, wie wenn er unternehmenseigene IT benutzt. In der Praxis ist hier insbesondere an Regelungen zur privaten Nutzung dienstlicher Kommunikationssysteme wie E-Mail und Internet aber auch private Telefonie zu denken. Relevant sein können ferner allgemeine IT-Sicherheitsrichtlinien, Regelungen zur Nutzung von Softwareprogrammen oder auch Social Media Guidelines. Letztlich bestehen – gerade in 1 ABl. Nr. L 173/2 v. 26.6.2013.
Arning/Moos
|
659
71
Teil 4 VI
Rz. 72
Betriebsvereinbarung zu Bring Your Own Device
mitbestimmten Betrieben – häufig spezielle Regelungen zu bestimmten Anwendungssystemen (z.B. Zeiterfassung). Sofern solche Anwendungen auch über das private mobile Gerät des Mitarbeiters nutzbar sind, stellt die Regelung klar, dass auch insoweit die bestehenden Regelungen weiterhin anwendbar bleiben.
8. Erläuterungen zu Ziffer 8 72
E 8. Installation von Apps durch den Mitarbeiter 8.1 Dem Mitarbeiter ist es gestattet, auf dem privaten mobilen Gerät Apps von Dritten zu installieren. Der Arbeitgeber ist aber berechtigt, eine sog. Blacklist aufzustellen und von Zeit zu Zeit zu aktualisieren, welche Apps benennt, deren Installation und Nutzung auf dem privaten mobilen Gerät untersagt ist. Der Arbeitgeber wird nur solche Apps in die Blacklist aufnehmen, von denen Gefährdungen für die Vertraulichkeit, Integrität oder Verfügbarkeit der dienstlichen Daten ausgehen. Falls der Mitarbeiter eine App, die auf der Blacklist enthalten ist, bereits auf dem privaten mobilen Gerät installiert hat, so ist er verpflichtet, diese App unverzüglich nach Bekanntmachung der Blacklist von dem privaten mobilen Gerät zu löschen. Der Arbeitgeber ist berechtigt, jederzeit zu überprüfen, ob Apps auf dem privaten mobilen Gerät installiert sind, die in der Blacklist enthalten sind. Der Arbeitgeber ist jederzeit berechtigt, auf dem privaten mobilen Gerät installierte Apps zu löschen, die in der Blacklist enthalten sind. 8.2 Installiert der Mitarbeiter eine App auf seinem privaten mobilen Gerät, ist der Mitarbeiter selbst dafür verantwortlich, dass er über eine entsprechende ordnungsgemäße Lizenz zur Installation und Nutzung dieser App auf dem privaten mobilen Gerät verfügt. Der Mitarbeiter wird den Arbeitgeber von jeglicher Haftung freistellen, die durch die Installation und Verwendung nicht ordnungemäß lizenzierter Apps, für die er nach vorstehendem Satz 1 selbst verantwortlich ist, verursacht wird. 8.3 Der Mitarbeiter ist für die Erhebung und Verwendung personenbezogener Daten durch eine von ihm installierte App selbst verantwortlich. Der Mitarbeiter erkennt an, dass der Arbeitgeber für die Erhebung, Verarbeitung und Nutzung dieser Daten insoweit nicht verantwortlich ist.
a) Ratio 73
Durch die in Ziffer 8 enthaltenen Regelungen soll sichergestellt werden, dass durch vom Mitarbeiter installierte Apps keine Gefahren für die im Rahmen von BYOD verarbeiteten Unternehmensdaten ausgehen und dass das Unternehmen für hierdurch verursachte Lizenz- oder Datenschutzrechtsverletzungen nicht haftet.
b) Erläuterungen zu Ziffer 8.1 74
Es ergibt sich aus der Natur der Sache, dass der Mitarbeiter auch private Apps auf dem Gerät nutzen möchte, das er auch für BYOD einsetzt. Eine Regelung, 660
|
Arning/Moos
Erläuterungen
Rz. 76 Teil 4 VI
die ihm diese Möglichkeit generell abschneidet, ist von vornherein sinnlos. Im Rahmen der Verfügbarkeitskontrolle nach Nr. 7 der Anlage zu § 9 Satz 1 BDSG empfiehlt es sich für das Unternehmen aber zumindest, die Freiheit des Mitarbeiters bei der Auswahl der von ihm genutzten Apps in sinnvollem Maße zu begrenzen, weil manche Software-Apps ein nicht unbeträchtliches Risiko für das Unternehmen mit sich bringen können1. So können Viren oder „Schnüffel-Apps“ unbemerkt Daten aus dem Endgerät auslesen oder das Endgerät sogar unbrauchbar machen. Es ist deshalb sachgerecht, dass das Unternehmen dem Mitarbeiter einen Rahmen setzt und Anforderungen definiert, welche Apps ausnahmsweise nicht zugelassen sind. Durch eine solche Maßnahme kann das Unternehmen die auf dem Endgerät gespeicherten Daten gegen zufällige Zerstörung oder Verlust schützen. In diesem Sinne wird in Ziffer 8 geregelt, dass der Mitarbeiter bestimmte Apps auf seinem Smartphone nicht installieren darf, dass das Unternehmen die Einhaltung dieser Regelung kontrollieren und ggf. schädliche bzw. unzulässige Software von dem Gerät entfernen darf. Es sollte dem Mitarbeiter transparent sein, welche Apps auf seinem privaten mobilen Gerät ausgeführt werden dürfen und welche explizit ausgeschlossen sind. Das Muster wählt hierbei den Weg einer sog. Blacklist. Das bedeutet, das Unternehmen ist berechtigt, bestimmte, von ihm als sicherheitsbedrohend erkannte Apps positiv zu benennen, die der Mitarbeiter dann nicht installieren darf. Die Liste könnte das Unternehmen bspw. im Intranet bekannt geben. Die Durchsetzung der Blacklist kann wiederum mithilfe von MDM-Software erfolgen, die zumeist Funktionen anbietet, um spezielle Apps zuzulassen bzw. auszuschließen. Das Unternehmen sollte zusätzlich einen Prozess definieren, wie Anwendungen in diese Blacklist aufgenommen und wieder von ihr entfernt werden. Noch weitergehend wäre die Vorgabe einer sog. Whitelist. Hierbei dürfen von dem Mitarbeiter generell nur solche Apps auf seinem privaten Gerät installiert werden, die explizit in der Liste aufgeführt sind. Ein solcher Ansatz hat freilich wieder Akzeptanzprobleme, vor allem wenn er restriktiv gehandhabt wird.
75
c) Erläuterungen zu Ziffer 8.2 Ziffer 8.2 trifft Festlegungen zur Lizenzkonformität der Apps und zur entsprechenden Einstandspflicht des Mitarbeiters. Eine solche Regelung ist vor dem Hintergrund des § 99 UrhG empfehlenswert, wonach ein Unternehmen für Urheberrechtsverletzungen seiner Mitarbeiter haftet, sofern diese im Rahmen ihrer Tätigkeit für das Unternehmen erfolgen. Hieraus folgt, dass das Unternehmen im Falle des Einsatzes von Apps auf dem Endgerät des Mitarbeiters zu dienstlichen Zwecken für eine ordnungsgemäße Lizenzierung einzustehen hat2. Das Unternehmen muss im Rahmen von BYOD deshalb grundsätzlich selbst prüfen, ob und unter welchen Bedingungen die Verwendung einer App zu dienstlichen Zwecken zulässig ist. Die für die dienstliche Nutzung erforder1 Kongehl/Koch, Gruppe 2.17, S. 15. 2 Herrnleben, MMR 2012, 205 (205 f.); Göpfert/Wilke, NZA 2012, 765 (767 f.).
Arning/Moos
|
661
76
Teil 4 VI
Rz. 77
Betriebsvereinbarung zu Bring Your Own Device
lichen Apps sollte das Unternehmen deshalb selbst bereitstellen oder jedenfalls verbindlich vorgeben, um so eine ordnungsgemäße Lizenzierung sicherzustellen. Im Übrigen ist zur Vermeidung etwaiger Haftungsrisiken eine Vereinbarung mit dem Mitarbeiter ratsam, in der dieser verpflichtet wird, ausschließlich ordnungsgemäß lizenzierte Apps einzusetzen und im Fall der Verletzung dieser Verpflichtung das Unternehmen von einer ggf. hieraus resultierenden Haftung freizustellen bzw. diese zu übernehmen. Somit ist zumindest sichergestellt, dass dem Unternehmen durch eine etwaige Urheberrechtsverletzung des Mitarbeiters aufgrund der Nutzung einer nicht ordnungsgemäß lizenzierten App kein Schaden entsteht. Zudem sollte das Unternehmen überlegen, die Einhaltung dieser Verpflichtung zumindest stichprobenartig zu kontrollieren und hierzu ggf. entsprechende Herausgabepflichten des Mitarbeiters festzulegen.
d) Erläuterungen zu Ziffer 8.3 77
Ziffer 8.3 dient der Klärung und Abgrenzung der datenschutzrechtlichen Verantwortlichkeitssphären. Das Unternehmen ist datenschutzrechtlich nur im Hinblick auf den dienstlichen Datenumgang als verantwortliche Stelle i.S.d. § 3 Abs. 7 BDSG zu qualifizieren. Im Hinblick auf den Datenumgang zu privaten Zwecken durch den Mitarbeiter ist dieser regelmäßig selbst als verantwortliche Stelle i.S.d. § 3 Abs. 7 BDSG anzusehen (zumindest sofern diese Daten andere Personen als den Mitarbeiter selbst betreffen). Jedenfalls ist das Unternehmen nicht für einen solchen Datenumgang verantwortlich. Ein Datenumgang zu privaten Zwecken liegt auch dann vor, wenn dieser mittels einer App erfolgt, die der Mitarbeiter privat auf seinem Endgerät installiert hat. Die Eigenschaft als verantwortlicher Stelle i.S.d. § 3 Abs. 7 BDSG ist regelmäßig einer vertraglichen Vereinbarung nicht zugänglich. Durch diese Regelung soll der Mitarbeiter deshalb vor allem darüber informiert werden, dass er für den privaten Umgang mit seinen Daten selbst verantwortlich ist und so sein Bewusstsein für einen verantwortungsvollen Umgang mit diesen Daten geschärft werden. Eine entsprechende Sensibilität des Mitarbeiters kommt dem Unternehmen auch unmittelbar selbst zugute.
9. Erläuterungen zu Ziffer 9 78
E 9. Kosten Der Mitarbeiter erhält für das Zurverfügungstellen seines privaten mobilen Geräts sowie seiner Nutzungsrechte aus seinem privaten Mobilfunkvertrag eine monatliche Pauschale in Höhe von […] Euro. Hiermit sind sämtliche Ansprüche des Mitarbeiters, die aus der Nutzung privater mobiler Geräte zu dienstlichen Zwecken resultieren, gegenüber dem Arbeitgeber abgegolten.
a) Ratio 79
Die Ziffer regelt die Verteilung der durch die Nutzung des privaten Endgeräts anfallenden Kosten.
662
|
Arning/Moos
Rz. 83 Teil 4 VI
Erläuterungen
b) Erläuterungen Stellt ein Mitarbeiter sein privat erworbenes Smartphone einschließlich seiner Nutzungsrechte aus seinem privaten Mobilfunkvertrag zu dienstlichen Zwecken zur Verfügung, so ist der Arbeitgeber gem. §§ 675, 670 BGB grundsätzlich verpflichtet, seinem Arbeitnehmer die Kosten für dienstliche Telefongespräche und für zu dienstlichen Zwecken übertragene Datenvolumina zu ersetzen1. Denn sobald ein Arbeitnehmer eigenes Vermögen im Interesse des Arbeitgebers einsetzt und die erbrachten Aufwendungen nicht bereits durch das Gehalt abgegolten sind, hat der Arbeitnehmer nach diesen Vorschriften einen Anspruch auf Aufwendungsersatz gegen seinen Arbeitgeber2. Für ein Unternehmen kann es deshalb sinnvoll sein, die Vereinbarung von BYOD davon abhängig zu machen, ob der Mobilfunkvertrag des einzelnen Arbeitnehmers Flatrate-Tarife enthält, die dann kostenmäßig auch die im Rahmen der Nutzungsvereinbarung vorgesehene dienstliche Nutzung abdecken3. Dadurch bleibt das Kostenrisiko des Unternehmens durch BYOD überschaubar.
80
Zwei unterschiedliche Regelungsmöglichkeiten kommen zur Frage der Kostentragung/Kostenübernahme in Betracht. Zum einen ist es möglich, dass der Arbeitgeber die Kosten der einzelnen Telefongespräche und Datenübertragungen gegen Einzelnachweis erstattet. Dies ist jedoch zumeist mit einem recht hohen Aufwand verbunden, soweit es denn bei Datenübertragungen überhaupt praktikabel wäre. Vorzugswürdig ist deshalb eine Pauschalierung des Aufwendungsersatzanspruchs. Dies kann durch entsprechende Regelung kollektivvertraglich oder auch in der Individualvereinbarung erfolgen. Ein völliger Ausschluss des Anspruchs auf Aufwendungsersatz stellt ebenso wie ein zu niedrig angesetzter Pauschalbetrag jedoch eine unangemessene Benachteiligung des Arbeitnehmers i.S.d. § 307 Abs. 1 BGB dar und wäre unwirksam4. Es ist deshalb sicherzustellen, dass der von dem Unternehmen erstattete Kostenanteil auch angemessen ist.
81
Die Vereinbarung über eine Pauschalierung des Aufwendungsersatzes könnte zusätzlich noch befristet oder bedingt werden oder unter einen Änderungsbzw. Widerrufsvorbehalt gestellt werden. Solche Vorbehalte müssen aber hinreichend transparent sein. Eine Klausel, mit der sich der Arbeitgeber den jederzeitigen unbeschränkten Widerruf von Leistungen vorbehält, verstößt gegen § 307 Abs. 1 Satz 2 und § 308 Nr. 4 BGB und wäre unwirksam5. Weiterhin ist im Hinblick auf das Transparenzgebot die möglichst konkrete Benennung der Änderungs- bzw. Widerrufsgründe erforderlich6.
82
Schließlich darf die vertragliche Regelung den Arbeitnehmer auch im Einzelfall nicht unangemessen benachteiligen, d.h. die Interessen des Arbeitnehmers müssen hinreichend berücksichtigt werden. Vor diesem Hintergrund wäre es
83
1 2 3 4 5 6
Göpfert/Wilke, NZA 2012, 765 (768). Erfurter Kommentar zum Arbeitsrecht/Preis, § 611 BGB Rz. 553. Arning/Moos/Becker, CR 2012, 592 (593). Staudinger/Richardi/Fischinger, § 611 BGB Rz. 1081. BAG v. 12.1.2005 – 5 AZR 364/04, NZA 2005, 465. BAG v. 11.10.2006 – 5 AZR 721/05, NZA 2007, 87 (89).
Arning/Moos
|
663
Teil 4 VI
Rz. 84
Betriebsvereinbarung zu Bring Your Own Device
bei der zusätzlichen Vereinbarung eines Widerrufs- oder Änderungsvorbehalts ratsam, dessen Ausübung an die Beachtung einer Auslauffrist zu binden. Dies dürfte rechtlich erforderlich sein, da der Arbeitnehmer möglicherweise Dispositionen gegenüber seinem Mobilfunkanbieter getroffen hat in der Erwartung, dass er für die dienstliche Nutzung seines mobilen Endgeräts von seinem Arbeitgeber weiterhin eine entsprechende Pauschale erhält1.
10. Erläuterungen zu Ziffer 10 84
E 10. Haftung 10.1 Der Arbeitgeber haftet nicht für Schäden oder Folgeschäden an dem privaten mobilen Gerät oder den privaten Daten, welche im Zusammenhang mit dem vom Arbeitgeber oder einem Dritten zur Verfügung gestellten technischen Support entstehen, der auf Aufforderung des Mitarbeiters geleistet wurde. Dasselbe gilt für den Fall einer durch den Arbeitgeber veranlassten Löschung oder Änderung von dienstlichen Daten, welche zu einem Verlust, Schäden oder Folgeschäden an privaten Daten führt. Dieser Haftungsausschluss gilt nicht bei vorsätzlichem oder grob fahrlässigem Verhalten des Arbeitgebers. 10.2 Es besteht auch keine Ersatzpflicht des Arbeitgebers für den Fall, dass der Mitarbeiter das private mobile Gerät bei privater oder dienstlicher Nutzung verliert oder das Gerät gestohlen oder beschädigt wird; es sei denn, dies beruht auf Vorsatz oder grober Fahrlässigkeit des Arbeitgebers.
a) Ratio 85
Durch die in dieser Ziffer 10 enthaltenen Regelungen soll die Haftung geregelt und für das Unternehmen möglichst begrenzt werden.
b) Erläuterungen zu Ziffer 10.1 86
Im Zusammenhang mit BYOD stellen sich auch Haftungsfragen, etwa im Fall des Verlusts des privaten mobilen Geräts des Mitarbeiters. Sofern der Verlust oder die Beschädigung des privaten mobilen Geräts durch eine Einwirkung des Arbeitgebers eingetreten ist, haftet der Arbeitgeber nach §§ 280, 241 BGB verschuldensabhängig. Hierbei dürfte es sich allerdings um Ausnahmefälle handeln. Denkbar wäre eine Haftung nach § 280 BGB in dem Fall, dass ein Arbeitskollege in Ausübung seiner Tätigkeit – also betrieblich veranlasst – schuldhaft einen Brand verursacht hat, bei dem das mobile Gerät zerstört wird. Hier ist der Arbeitskollege Erfüllungsgehilfe des Arbeitgebers und sein Verhalten wird dem Arbeitgeber über § 278 BGB zugerechnet.
c) Erläuterungen zu Ziffer 10.2 87
Praxisrelevanter ist ein Verlust des privaten mobilen Geräts oder seine Beschädigung ohne Einwirkung des Arbeitgebers. Sofern sich dieser Vorfall im Rah1 Arning/Moos/Becker, CR 2012, 592 (594).
664
|
Arning/Moos
Erläuterungen
Rz. 90 Teil 4 VI
men einer betrieblichen Veranlassung ereignet, handelt es sich um einen sog. arbeitsbedingten Eigenschaden des Arbeitnehmers, für den der Arbeitgeber gleichwohl verschuldensunabhängig haftet1. Die Ersatzpflicht ergibt sich aus § 675 i.V.m. § 670 BGB analog2. Derartige Eigenschäden sind vom Unternehmen als unfreiwillige Vermögenseinbußen zu ersetzen, sofern sie dem Betätigungsbereich des Arbeitgebers zuzurechnen sind und der Arbeitnehmer hierfür keine gesonderte Vergütung zum Ausgleich etwaiger Schäden erhält3. Ob die Grundsätze der verschuldensunabhängigen Arbeitgeberhaftung bei arbeitsbedingten Eigenschäden des Arbeitnehmers vertraglich abdingbar sind, hat das BAG bislang nicht entschieden. Die vergleichbare Fallgestaltung der privilegierten Arbeitnehmerhaftung erachtet das BAG als zwingendes Arbeitnehmerschutzrecht, von dem weder einzel- noch kollektivvertraglich zu Lasten des Arbeitnehmers abgewichen werden könne4. Jedenfalls bei Zahlung einer entsprechenden Risikovergütung kann der Anspruch ausgeschlossen werden und dies – anders als in den Fällen der Mankohaftung – auch dann, wenn diese Risikovergütung den entstandenen Schaden im Einzelfall nicht zu decken vermag. Einzige Voraussetzung ist, dass es dem Arbeitnehmer möglich ist, das übernommene Verlust- und Beschädigungsrisiko mit der Risikovergütung zu versichern. Zu Recht wird also auch in der Literatur die Abdingbarkeit der verschuldensunabhängigen Arbeitgeberhaftung bejaht. Als Voraussetzung wird auch hier für erforderlich erachtet, dass der Arbeitnehmer für die Gefahrtragung eine entsprechende Abgeltung erhält5. Sollte das Unternehmen deshalb erwägen, entgegen dem Regelungsvorschlag in Ziffer 10.1 die verschuldensunabhängige Arbeitgeberhaftung insgesamt auszuschließen, müsste bei der Formulierung der entsprechenden Klausel darauf geachtet werden, dass der Zweck der Risikozulage benannt wird6.
88
Ausgeschlossen ist die Arbeitgeberhaftung demgegenüber, wenn der Schaden oder der Verlust vom Arbeitnehmer grob fahrlässig oder vorsätzlich herbeigeführt wurde7.
89
Der Arbeitgeber haftet auch nicht, wenn sich in dem Schaden lediglich das allgemeine Lebensrisiko des Arbeitnehmers realisiert hat. Für die Abgrenzung kommt es nicht darauf an, ob der Schaden während oder außerhalb der Arbeitszeit eingetreten ist. In seiner Rechtsprechung zur dienstlichen Nutzung eines privaten PKW hat das BAG vielmehr dazu festgestellt, dass eine Zurechnung zum Betätigungsbereich des Arbeitgebers auch dann erfolgt, wenn der Arbeitgeber ein eigenes Fahrzeug hätte einsetzen müssen, sofern der Arbeitnehmer nicht seinen privaten PKW eingesetzt hätte oder wenn er den Arbeitnehmer zur Nutzung seines privaten PKW aufgefordert hatte8. Auch wenn das Unfall-
90
1 Erfurter Kommentar zum Arbeitsrecht/Preis, § 619a BGB Rz. 76. 2 BAG v. 22.6.2011 – 8 AZR 102/10, NZA 2012, 91 (92). 3 BAG v. 28.10.2010 – 8 AZR 647/09, NZA 2011, 406; BAG v. 17.7.1997 – 8 AZR 480/95, NZA 1997, 1346. 4 BAG v. 5.2.2004 – 8 AZR 91/03, NZA 2004, 649. 5 Erfurter Kommentar zum Arbeitsrecht/Preis, § 619a BGB Rz. 94 6 Henssler/Willemsen/Kalb/Krause, § 619a BGB Rz. 81. 7 Grobys/Panzer/Bissels, Arbeitsrecht, § 64 Rz. 15. 8 BAG v. 22.6.2011 – 8 AZR 102/10, NZA 2012, 93.
Arning/Moos
|
665
Teil 4 VI
Rz. 91
Betriebsvereinbarung zu Bring Your Own Device
risiko eines PKW und das Verlustrisiko eines Smartphones möglicherweise nicht gleichzusetzen sind, können die von der Rechtsprechung zur Nutzung privater PKW entwickelten Grundsätze zur Trennung der Risikobereiche in dieser Frage gleichwohl herangezogen werden1. Von dieser Rechtsprechung ausgehend haftet der Arbeitgeber regelmäßig für den Verlust des Smartphones und für Schäden an dem Gerät, sofern die Vereinbarung von BYOD den Einsatz von Firmengeräten ersetzen soll und der Einsatz privater Smartphones gerade gewünscht ist. Entsprechendes dürfte gelten, wenn der Arbeitgeber künftig die Arbeit so zuteilt, dass dem Arbeitnehmer nichts anderes übrig bleibt, als an BYOD teilzunehmen. Von einer solchen Konstellation wird bei dem hiesigen Muster nicht ausgegangen. Wie sich aus den Festlegungen in der Präambel ergibt, soll die Teilnahme am BYOD-Programm völlig freiwillig sein und den Mitarbeitern im Falle einer dienstlichen Notwendigkeit grundsätzlich dienstliche Geräte zur Verfügung stehen. Konsequenterweise ist deshalb in Ziffer 10.2 auch bestimmt, dass das Unternehmen keine Ersatzpflicht trifft, wenn der Mitarbeiter das private mobile Gerät verliert oder das Gerät gestohlen oder beschädigt wird, sofern der Arbeitgeber dies nicht vorsätzlich oder grob fahrlässig (mit-)verursacht hat. Dir Wirksamkeit eines solchen Haftungsauschlusses ist gerichtlich derzeit jedoch noch nicht geklärt.
11. Erläuterungen zu Ziffer 11 91
E 11. Arbeitszeit Der Mitarbeiter ist nicht verpflichtet, außerhalb der vertraglich vereinbarten Arbeitszeit das private mobile Gerät zu dienstlichen Zwecken zu nutzen. Er ist insbesondere nicht verpflichtet, außerhalb der Arbeitszeit erreichbar zu sein oder auf E-Mails zu antworten. Nutzt er sein privates mobiles Gerät außerhalb der Arbeitszeit dennoch zu dienstlichen Zwecken, so erfolgt dies freiwillig und gilt nicht als Arbeitszeit, es sei denn, der Arbeitgeber hat die Tätigkeit ausdrücklich angeordnet.
a) Ratio 92
Vor dem Hintergrund, dass BYOD dem Mitarbeiter dienstliche Applikationen über sein privates mobiles Gerät quasi permanent zur Verfügung stellt, trifft Ziffer 11 eine Festlegung bzgl. der Nutzung des Endgeräts außerhalb der regelmäßigen Arbeitszeiten.
b) Erläuterungen 93
Probleme im Zusammenhang mit BYOD können sich daraus ergeben, dass der Arbeitnehmer sein eigenes mobiles Gerät (insbesondere ein Smartphone) – anders als das Firmenhandy – im Grunde immer einsatzbereit bei sich führen dürfte. Damit steigt auch die Wahrscheinlichkeit, dass der Arbeitnehmer außerhalb der Arbeitszeiten über sein mobiles Gerät dienstliche Aufgaben wahrnimmt. Die Regelung in Ziffer 11 soll zum Ausdruck bringen, dass die Ermög1 Arning/Moos/Becker, CR 2012, 592 (597).
666
|
Arning/Moos
Erläuterungen
Rz. 97 Teil 4 VI
lichung von BYOD grundsätzlich „arbeitszeitneutral“ erfolgen soll; die reine Verfügbarkeit dienstlicher Applikationen auf dem Privatgerät des Mitarbeiters also nicht implizit als Anordnung des Arbeitgebers verstanden werden soll, dienstliche Tätigkeiten auch außerhalb der üblichen Arbeitszeiten zu verrichten (also z.B. E-Mails zu lesen und zu schreiben). Es verbleibt gleichwohl eine Unsicherheit, ob ein Gericht dem im Zweifelsfall folgen wird. Hier wird es nicht nur auf die vertragliche Festlegung sondern auch auf die weiteren konkreten Umstände ankommen. Im Hinblick auf die gesetzliche Regelung zur Arbeitszeit in § 3 ArbZG (regelmäßig acht Stunden pro Werktag, sofern es sich nicht um leitende Angestellte handelt), kann es in Zeiten hohen Arbeitsaufkommens deshalb angezeigt sein, dass der Arbeitgeber die Arbeitnehmer dazu auffordert, keine dienstlichen Tätigkeiten über das Smartphone auszuführen, um eine Überschreitung der Arbeitszeitgrenzen zu vermeiden1. Der Arbeitnehmer hat keinen Anspruch auf zusätzliche Vergütung, wenn er außerhalb der vertraglichen Arbeitszeiten über sein privates Smartphone dienstlich tätig wird, es sei denn, der Arbeitgeber hat die Tätigkeit angeordnet oder bewusst geduldet2. Diese sich bereits aus dem Gesetz ergebende Folge ist deklaratorisch noch einmal in Ziffer 11 festgehalten. Erfolgt eine solche Anordnung im Einzelfall, so gelten die vertraglich ggf. vereinbarten Regelungen zur Überstundenvergütung auch für diese Tätigkeiten.
94
12. Erläuterungen zu Ziffer 12 E 12. Beendigung der dienstlichen Nutzung
95
Der Arbeitgeber hat das Recht, jederzeit die dienstliche Nutzung des privaten mobilen Gerätes vollständig oder teilweise zu beenden und den Zugriff auf betriebliche E-Mails und den dienstlichen Kalender über das private mobile Gerät nach freiem Ermessen einzuschränken oder einzustellen.
a) Ratio Ziffer 12 schreibt die Berechtigung des Arbeitgebers fest, die Inanspruchnahme von BYOD-Diensten jederzeit zu beenden.
96
b) Erläuterungen Zur Vermeidung von Unklarheiten sind auch die Beendigungstatbestände von BYOD zu regeln. Das stellt die Beendigung der BYOD-Dienste in das freie Ermessen des Arbeitgebers. Alternative Gestaltungen sind denkbar. Vorgesehen werden kann z.B. auch eine Befristungsregelung. Das kann etwa für eine Erprobungsphase sinnvoll sein, in der das Unternehmen erst Erfahrungen mit BYOD sammeln will. Möglich ist aber auch ein Widerrufs- oder ein Kündigungsrecht. Fasst man die Regelung zur Beendigung strenger und stellt sie nicht in das freie Ermessen des Arbeitgebers, so sollte zugunsten des Unternehmens jedenfalls 1 Göpfert/Wilke, NZA 2012, 765 (770); Arning/Moos/Becker, CR 2012, 592 (593). 2 Bissels/Domke/Wisskirchen, DB 2010, 2052 (2054).
Arning/Moos
|
667
97
Teil 4 VI
Rz. 98
Betriebsvereinbarung zu Bring Your Own Device
aber ein Kündigungsrecht für den Fall vorgesehen werden, dass der Mitarbeiter die vertragliche Vereinbarung zur Nutzung von BYOD nicht einhält, da ansonsten für das Unternehmen die Gefahr bestünde, dass verpflichtende rechtliche Vorgaben – insbesondere aus dem Datenschutzrecht – nicht eingehalten würden, wofür zuvorderst das Unternehmen als verantwortliche Stelle i.S.d. § 3 Abs. 7 BDSG einstehen müsste.
13. Erläuterungen zu Ziffer 13 98
E 13. Herausgabepflicht In begründeten Fällen ist der Mitarbeiter auf Aufforderung des Arbeitgebers dazu verpflichtet, das private mobile Gerät dem Arbeitgeber kurzzeitig herauszugeben. Ein begründeter Fall liegt z.B. vor, wenn das Anstellungsverhältnis oder die dienstliche Nutzung endet, wenn der Verdacht einer Straftat oder Ordnungswidrigkeit oder eine Gefährdung für die Vertraulichkeit, Integrität oder Verfügbarkeit der auf dem privaten mobilen Gerät gespeicherten dienstlichen Daten besteht oder wenn der Arbeitgeber Installationen von Software oder Sicherheitseinstellungen vornehmen will, seine Rechte aus dieser Vereinbarung wahrnehmen oder die Einhaltung der in dieser Vereinbarung enthaltenen Bestimmungen durch den Mitarbeiter kontrollieren will. Der Mitarbeiter ist auch vor der endgültigen, dauerhaften Entäußerung des privaten mobilen Gerätes zur Herausgabe an den Arbeitgeber verpflichtet, z.B. bevor er es weiterveräußert. Ist die Rückgabe des privaten mobilen Gerätes nicht innerhalb von 24 Stunden möglich, erhält der Mitarbeiter vom Arbeitgeber ein Ersatzgerät zur Verfügung gestellt.
a) Ratio 99
Ziffer 13 regelt die Voraussetzungen, unter denen ein Mitarbeiter sein Endgerät an das Unternehmen herausgeben muss, damit dieses z.B. Kontrollen der Einhaltung der Betriebsvereinbarung vornehmen kann.
b) Erläuterungen 100
Es kann zahlreiche Situationen geben, in denen sich das Unternehmen das mobile Endgerät vom Mitarbeiter aushändigen lassen will. Denkbare Gründe sind z.B. die Durchführung von Wartungsarbeiten, die Installation von Programmen oder Updates, das Speichern oder Löschen von Daten oder auch die Durchführung von Kontrollen. Auch wenn viele dieser Arbeiten „remote“ erledigt werden können, ist eine entsprechende Verpflichtung des Mitarbeiters zur Aushändigung des Gerätes sinnvoll. Ebenso ist eine Herausgabepflicht zu statuieren, wenn das Unternehmen die Einhaltung der Pflichten aus der Betriebsvereinbarung sowie der individuellen Vereinbarung mit dem Mitarbeiter (stichprobenartig) kontrollieren möchte, was insbesondere sinnvoll ist, um die Sicherheit der auf dem privaten Endgerät gespeicherten Daten kontrollieren und verbessern oder um eine vollständige Datenlöschung z.B. im Fall der Beendigung der BYOD-Nutzung sicherstellen zu können. Das Muster sieht nur eine beispiel668
|
Arning/Moos
Erläuterungen
Rz. 106 Teil 4 VI
hafte Aufzählung solcher Gründe vor und stellt allgemein auf das Vorliegen eines begründeten Falles ab. Bei Bedarf kann dies auch enger gefasst werden. Wegen eines ansonsten möglichen Verstoßes der Klausel gegen § 307 BGB kann es jedoch bei längerfristigen Arbeiten erforderlich sein, dem Mitarbeiter für die Zeit der Herausgabe an das Unternehmen ein gleichartiges und eingerichtetes Ersatzgerät zur Verfügung zu stellen1. Dies ist in Ziffer 13 so vorgesehen, wenn eine Dauer von 24 Stunden überschritten ist.
101
Nach Beendigung des Arbeitsverhältnisses ist der Mitarbeiter nach § 667 BGB schon von Gesetzes wegen verpflichtet, dienstlich erlangte Daten an das Unternehmen herauszugeben. Gleichwohl ist es empfehlenswert, eine entsprechende klarstellende Regelung und Einzelheiten zu Art und Zeitpunkt der Aushändigung in der Nutzungsvereinbarung zu regeln2.
102
14. Erläuterungen zu Ziffer 14 E 14. Salvatorische Klausel
103
Sollten Teile dieser Betriebsvereinbarung ganz oder teilweise nichtig sein oder unwirksam werden, so wird hierdurch die Wirksamkeit dieser Betriebsvereinbarung im Übrigen nicht berührt. Die Betriebsparteien verpflichten sich, die nichtigen oder unwirksam gewordenen Regelungen durch solche zu ersetzen, die der ursprünglichen Regelung unter Berücksichtigung der Zielsetzung dieser Betriebsvereinbarung am nächsten kommen. Dasselbe gilt für den Fall, dass diese Betriebsvereinbarung eine Regelungslücke enthält. Die salvatorische Klausel in Ziffer 14 sollte auch im Rahmen einer Betriebsvereinbarung aufgenommen werden, um die Fortgeltung der übrigen Regelungen der Betriebsvereinbarung in dem Fall sicherzustellen, dass eine in der Betriebsvereinbarung enthaltene Regelung unwirksam sein sollte. Angesichts des Umstandes, dass es zu Fragen des BYOD bisher soweit ersichtlich keine relevante Judikatur gibt und deshalb einzelne Regelungen noch nicht auf einem verlässlichen Fundament stehen, ist das für den hiesigen Regelungskomplex allemal angezeigt.
104
15. Erläuterungen zu Ziffer 15 E 15. Inkrafttreten und Geltungsdauer
105
Diese Betriebsvereinbarung tritt mit ihrer Unterzeichung in Kraft. Sie kann mit einer Frist von drei Monaten zum Quartalsende gekündigt werden und wirkt bis zum Abschluss einer neuen Betriebsvereinbarung nach. Im Übrigen empfiehlt es sich allgemein, eine Regelung zum Inkrafttreten, der Geltungsdauer sowie zur Beendigung der Betriebsvereinbarung zu treffen. Das Muster sieht eine unbegrenzte Laufzeit mit einer Kündigungsfrist von drei Mo1 So Göpfert/Wilke, NZA 2012, 765 (769). 2 Göpfert/Wilke, NZA 2012, 765 (769).
Arning/Moos
|
669
106
Teil 4 VI
Rz. 107
Betriebsvereinbarung zu Bring Your Own Device
naten vor. Im Falle des BYOD kann es sich evtl. auch anbieten, zunächst eine Erprobungsphase mit einer festen Laufzeit vorzusehen.
III. Erläuterungen zum Muster der Einwilligungserklärung 107
E Einwilligungserklärung zur Betriebsvereinbarung zu Bring Your Own Device Hiermit bestätige ich, [Vorname, Name], Personalnummer [Personalnummer], dass ich am [Datum] von dem Inhalt der Betriebsvereinbarung zu Bring Your Own Device Kenntnis genommen und eine Kopie dieser Betriebsvereinbarung ausgehändigt bekommen habe. Ich erkläre hiermit mein Einverständnis mit der Geltung der in der Betriebsvereinbarung zu Bring Your Own Device getroffenen Regelungen in ihrer jeweils gültigen Fassung im Hinblick auf den Einsatz meines folgenden privaten mobilen Gerätes: Marke: … Modell: … Gerätenummer: … . Die genannte Betriebsvereinbarung enthält u.a. Regelungen zu Sicherheitseinstellungen und einem etwaigen Zugriff auf die auf dem privaten mobilen Gerät gespeicherten dienstlichen und privaten Daten sowie eine mögliche Löschung derselben. Mir ist bekannt, dass mir die Nutzung meines privaten mobilen Gerätes zu dienstlichen Zwecken untersagt ist, wenn ich die nachfolgende Einwilligungserklärung nicht innerhalb von 14 Tagen nach ihrem Erhalt abgegeben habe. Ich erkläre hiermit ausdrücklich meine Einwilligung, dass 1. der Arbeitgeber jederzeit Sicherheitseinstellungen am Betriebssystem meines privaten mobilen Geräts und an der Sicherheitssoftware vornehmen, ändern und diese kontrollieren darf, wie im Einzelnen in der Betriebsvereinbarung geregelt, auch wenn das zu einer Löschung, Unterdrückung, Unbrauchbarmachung oder Veränderung von Daten auf dem Gerät führt; 2. der Arbeitgeber nach Maßgabe der Betriebsvereinbarung kontrollieren darf, ob auf dem privaten Gerät nicht zugelassene Apps installiert sind; 3. der Arbeitgeber jederzeit auf alle in dem Container des privaten mobilen Gerätes gespeicherten Inhalte und Daten zugreifen, sie ändern oder sie löschen oder sonst mit ihnen umgehen darf, wie im Einzelnen in der Betriebsvereinbarung geregelt; 4. der Arbeitgeber in begründeten Ausnahmefällen auch meine privaten Daten und Softwareapplikationen („Apps“) löschen darf, die auf meinem privaten mobilen Gerät gespeichert sind, z.B. bei einer Bedrohung für die Sicherheit, Vertraulichkeit oder Integrität der dienstlichen Daten des Arbeitgebers;
670
|
Arning/Moos
Rz. 109 Teil 4 VI
Erläuterungen
5. im Rahmen des technischen Supports oder bei Sicherheitsvorfällen i.S.v. Ziffer 6 der Betriebsvereinbarung meine privaten Daten, die auf dem privaten mobilen Gerät gespeichert sind, an den Anbieter […] übertragen werden können und auf diese Daten durch den Arbeitgeber oder den Anbieter […] zugegriffen werden kann. Soweit die vorgenannten Maßnahmen zu einer Einschränkung des Fernmeldegeheimnisses führen sollten, stimme ich dem hiermit ausdrücklich zu. Mir ist bekannt, dass ich meine Einwilligung jederzeit formlos gegenüber der Personalabteilung widerrufen kann. In diesem Fall endet meine Befugnis zur Nutzung meines privaten mobilen Gerätes zu dienstlichen Zwecken im Zeitpunkt des Widerrufs. … [Ort], den [Datum] … [Vorname, Name]
1. Ratio Das Muster sieht vor, dass der Mitarbeiter nur dann zur Nutzung seines privaten Endgerätes für betriebliche Zwecke berechtigt ist, wenn er die zur Betriebsvereinbarung gehörende Einwilligung unterzeichnet hat. Das Einverständnis mit den Vorgaben der Betriebsvereinbarung ist also zwingende Voraussetzung dafür, dass die Nutzung des Privatgeräts zulässig ist. Die Einwilligung dient vor allem dazu, die Vereinbarkeit des Umgangs des Unternehmens mit dem Endgerät und mit personenbezogenen Daten des Mitarbeiters, der mit der Durchführung der BYOD-Betriebsvereinbarung einhergeht, rechtlich (vor allem datenschutz- und telekommunikationsrechtlich sowie straf- und zivilrechtlich) weiter abzusichern.
108
2. Erläuterungen Zunächst einmal erfolgt über das Formular die Konkretisierung des zugelassenen Gerätes, zu dem Marke, Modell und Gerätenummer angegeben werden sollen. Aus Gründen der Rechtssicherheit ist es empfehlenswert, das konkrete Modell, welches für die BYOD-Nutzung zugelassen wird, in der Erklärung zu benennen. Ganz generell sollte das Unternehmen dabei vorab prüfen und entscheiden, welche Endgeräte- (und Betriebssystem-) typen überhaupt zugelassen werden sollen. Die wenigsten Unternehmen werden in der Lage sein, eine unbeschränkte Menge von verschiedenen Endgeräte-Typen, Betriebssystemen und Applikationen zu administrieren und deren Sicherheit zu gewährleisten. Vielfach werden hierfür die fachlichen Kenntnisse und auch die Ressourcen fehlen. Daher sollte bereits im Rahmen der Festlegung der BYOD-Strategie die Art der zugelassenen Endgeräte – abhängig von den Ressourcen des IT-Betriebs – abschließend festgelegt werden1. 1 So auch BSI, Überblickspapier Consumerisation und BYOD, S. 8.
Arning/Moos
|
671
109
Teil 4 VI
Rz. 110
Betriebsvereinbarung zu Bring Your Own Device
110
Der Betriebsrat kann mit dem Unternehmen nicht sämtliche Handlungen und Datenverwendungen abschließend regeln, da der Betriebsrat insbesondere im Hinblick auf die Verfügung über Eigentumsrechte des Mitarbeiters, aber auch im Hinblick auf den Umgang mit privaten Daten des Mitarbeiters keine Regelungskompetenz besitzt. Aus diesem Grunde muss das Unternehmen zusätzlich zu der Betriebsvereinbarung noch eine individuelle Vereinbarung mit dem jeweiligen Mitarbeiter schließen1, in der dieser seine Zustimmung zu den bereits in der Betriebsvereinbarung beschriebenen Handlungen des Unternehmens bzw. Datenverwendungen durch das Unternehmen erteilt. Die Einwilligung nimmt in weiten Teilen Bezug auf die Betriebsvereinbarung. Insbesondere sind in ihr sämtliche Informationen enthalten, über die der Mitarbeiter verfügen können muss, um eine wirksame Einwilligung erteilen zu können2.
111
Zumindest von den Datenschutzaufsichtsbehörden und auch in Teilen der Literatur wird der Datenumgang durch Arbeitgeber auf Grundlage einer Einwilligung des Arbeitnehmers im Kontext mit dem Beschäftigungsverhältnis kritisch gesehen. So wird von Vertretern dieser Ansicht insbesondere argumentiert, dass die Arbeitnehmer in diesem Fall ihre Einwilligung nicht freiwillig i.S.d. § 4a Abs. 1 BDSG erteilen würden, da sie in einer Art Abhängigkeitsverhältnis zum Arbeitgeber stünden und vor diesem Hintergrund nicht frei darüber entscheiden könnten, ob sie in die vom Arbeitgeber begehrte Verwendung ihrer Daten einwilligen oder nicht3. Ein solches Über-/Unterordnungsverhältnis, das die Freiwilligkeit der Einwilligung des Arbeitnehmers beeinträchtigen könnte, besteht im vorliegenden Fall nach hier vertretener Ansicht jedoch nicht. BYOD stellt ein freiwilliges Angebot des Arbeitgebers dar, das der Arbeitnehmer annehmen kann oder nicht. Ihm drohen keinerlei mit dem Beschäftigungsverhältnis zusammenhängende Nachteile, wenn er das Angebot ablehnt. Er kann auch im Fall der Nichtnutzung von BYOD auf sämtliche Informationen und Daten zugreifen und diese nutzen, nur eben nicht mittels seines privaten Endgeräts sondern – sofern eine betriebliche Notwendigkeit besteht – mit einem unternehmenseigenen Gerät. Mithin kann der Arbeitnehmer frei darüber entscheiden, ob er BYOD nutzen und die hierfür erforderliche Einwilligungserklärung abgeben möchte oder nicht. Entscheidet er sich dafür, BYOD zu nutzen und die Einwilligung bzgl. der vom Unternehmen in diesem Rahmen vorzunehmenden Handlungen und der Verwendung seiner Daten zu erteilen, erfolgt diese Einwilligung freiwillig i.S.d. § 4a Abs. 1 BDSG4. Im hier vorgestellten Muster für die Einwilligungserklärung wird aus Gründen der Rechtssicherheit dem Arbeitnehmer auch das Recht eingeräumt, die Einwilligung jederzeit zu widerrufen, obwohl der Widerruf einer Einwilligung aus Treu und Glauben 1 Kongehl/Koch, Gruppe 2.17, S. 26. 2 S. im Hinblick auf datenschutzrechtliche Einwilligungen z.B. § 4a Abs. 1 BDSG und die Erläuterungen durch Simitis/Simitis, § 4a BDSG Rz. 70 ff. 3 Simitis/Simitis, § 4a BDSG Rz. 62 m.w.N.; Däubler/Klebe/Wedde/Weichert/Däubler, § 4a BDSG Rz. 23. 4 So auch der BfDI, Leitfaden Internet am Arbeitsplatz – Datenschutzrechtliche Grundsätze bei der dienstlichen/privaten Internet- und E-Mail-Nutzung am Arbeitsplatz, Stand: Januar 2008, S. 4 für den vergleichbaren Fall des Zugriffs auf private Mails im Dienstaccount im Internet.
672
|
Arning/Moos
Erläuterungen
Rz. 113 Teil 4 VI
während der Laufzeit eines Vertrags wohl ausgeschlossen wäre. Vor dem Hintergrund der erwähnten Problematik der Wirksamkeit von Einwilligungen i.S.d. § 4a BDSG im Kontext von Beschäftigungsverhältnissen und wegen der Verfügbarkeit von Alternativlösungen (unternehmenseigenes Gerät) spricht aber auch nichts dagegen, die Verfügungshoheit der Arbeitnehmer über ihre Daten darin besonders zu manifestieren, dass ihnen ein entsprechendes Widerrufsrecht eingeräumt wird. Im Hinblick auf die einzelnen Regelungsgegenstände der Einwilligung wird auf die Erläuterungen zur Betriebsvereinbarung verwiesen, da die Information des Mitarbeiters, damit dieser eine wirksame Einwilligung erteilen kann, nach dem hier vorgestellten Muster in der Betriebsvereinbarung erfolgt. Der Hintergrund der Regelungen wurde deshalb schon im Rahmen der Erläuterungen zur Betriebsvereinbarung dargestellt.
112
Zur Sicherheit wurde in die Einwilligungserklärung auch eine Einwilligung zur Beschränkung des Fernmeldegeheimnisses mit aufgenommen, obwohl nach hier vertretener Ansicht ein solcher Eingriff des Unternehmens in das Fernmeldegeheimnis bei BYOD regelmäßig nicht vorliegt. Da ein solcher Eingriff aber auf Grundlage einer entsprechenden Einwilligung des Betroffenen rechtmäßig ist, spricht nichts dagegen, vorsorglich eine entsprechende Einwilligung einzuholen.
113
Arning/Moos
|
673
VII. Social Media-Richtlinie Literaturverzeichnis: Bertram, Offline – Verbot privater Internetnutzung am Arbeitsplatz jederzeit möglich?, GWR 2012, 336986; Bissels/Lützeler/Wisskirchen, Facebook, Twitter & Co.: Das Web 2.0 als arbeitsrechtliches Problem, BB 2010, 2433; Braun, Social Media-Nutzung – Eine Herausforderung (auch) für Unternehmen; NJ 2013, 104; Byers/ Mößner, Die Nutzung des Web 2.0 am Arbeitsplatz: Fluch und Segen für den Arbeitgeber, BB 2012, 1665; Ernst, Social Networks und Arbeitnehmer-Datenschutz, NJOZ 2011, 953; Ernst, Social Networks und Arbeitnehmer-Datenschutz, NJW 2011, 1712; Forst, Bewerberauswahl über soziale Netzwerke im Internet?, NZA 2010, 427; Forst, Social Media Guidelines – Regelung durch Betriebsvereinbarung?, ZD 2012, 251; Gabriel/Cornels, Direktionsrecht und Soziale Netzwerke – Rechte und Pflichten der Arbeitgeber und Beschäftigten bei XING & Co., MMR-Aktuell 2011, 316759; Göpfert/Wilke, Recherchen des Arbeitgebers in Sozialen Netzwerken nach dem geplanten Beschäftigtendatenschutzgesetz, NZA 2010, 1329; Gola/Schomerus, BDSG, 11. Aufl. 2012; Göpfert/Wilke, Facebook-Aktivitäten als Kündigungsgrund, ArbRAktuell 2011, 315865; Jandt/Rossnagel, Datenschutz in Social Networks – Kollektive Verantwortlichkeit für die Datenverarbeitung, ZD 2011, 160; Kania/Sansone, Möglichkeiten und Grenzen des Pre-Employment-Screenings, NZA 2012, 360; Kort, Kündigungsrechtliche Fragen bei Äußerungen des Arbeitnehmers im Internet, NZA 2012, 1321; Lelley/Fuchs, My Space is not Your Space – Einige arbeitsrechtliche Überlegungen zu Social Media Guidelines, CCZ 2010, 147; Lützeler/ Bissels, Social Media-Leitfaden für Arbeitgeber: Rechte und Pflichten im Arbeitsverhältnis, ArbRAktuell 2011, 322670; Müller-Glöge/Preis/Schmidt, Erfurter Kommentar zum Arbeitsrecht, 13. Aufl. 2013; Oberwetter, Soziale Netzwerke im Fadenkreuz des Arbeitsrechts, NJW 2011, 417; Plath, BDSG, 2013; Polenz, Die Datenverarbeitung durch und via Facebook auf dem Prüfstand, VuR 2012, 207; Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2011; Wiese, Internet und Meinungsfreiheit des Arbeitgebers, Arbeitnehmers und Betriebsrats, NZA 2012, 1.
A. Einleitung I. Social Media-Richtlinien in der Praxis 1
Soziale Medien sind aus dem Alltag nicht mehr wegzudenken. Dasselbe gilt für die daraus resultierenden Probleme. So werden Vorgesetzte in Internet-Foren beleidigt, Facebook-Freundschaften während der Arbeitszeit gepflegt oder vertrauliche Unternehmensinformationen getwittert. Die wirtschaftlichen Auswirkungen sind erheblich. Dies alles hat bei Arbeitgebern in der Praxis zu einem starken Bedürfnis geführt, Spielregeln für den Umgang mit sozialen Medien aufzustellen.
2
Social Media-Richtlinien beschränken sich dabei vielfach darauf, Handlungsempfehlungen für die private Nutzung sozialer Medien zu geben. Es handelt sich weniger um ein strenges Regelwerk, als um eine Hilfestellung für die Arbeitnehmer. Dies erscheint auf den ersten Blick zwar erstaunlich, die Gründe hierfür liegen aber auf der Hand: Zwar werden soziale Medien mittlerweile immer mehr dienstlich genutzt, etwa als Marketinginstrument. Weit überwiegend dienen sie den Arbeitnehmern aber nach wie vor für private Zwecke. Im Privatbereich sind verbindliche Verhaltensregelungen durch den Arbeitgeber aber nahezu ausgeschlossen. Sinnvoller ist es daher, Mitarbeiter für das Thema soziale Medien und die damit verbundenen Risiken zu sensibilisieren. 674
|
Weberndörfer/Zieger
Social Media-Richtlinie
Rz. 6 Teil 4 VII
II. Rechtlicher Rahmen 1. Möglichkeiten zur Einführung von Social Media-Richtlinien Social Media-Richtlinien können zunächst einseitig durch den Arbeitgeber im Rahmen seines Direktionsrechts eingeführt werden. Der Arbeitgeber kann gem. § 106 Satz 1 GewO Inhalt, Ort und Zeit der Arbeitsleistung des Arbeitnehmers näher festlegen. Hierzu gehören gem. § 106 Satz 2 GewO auch Regelungen hinsichtlich der Ordnung und des Verhaltens der Arbeitnehmer im Betrieb. Die Weisung muss sich dabei insbesondere im Rahmen billigen Ermessens halten. Dies erfordert eine Abwägung der beiderseitigen Interessen des Arbeitgebers und des Arbeitnehmers1.
3
Die Einführung von Social Media-Richtlinien ist darüber hinaus im Einvernehmen mit dem Arbeitnehmer auf arbeitsvertraglicher Grundlage denkbar. Da es sich bei Social Media-Richtlinien um formularmäßig verwendete Bestimmungen handelt, sind die §§ 305 ff. BGB zu beachten. Insbesondere darf der Arbeitnehmer gem. § 307 Abs. 1 BGB nicht unangemessen benachteiligt werden. Auch insoweit sind die beiderseitigen Interessen des Arbeitgebers und des Arbeitnehmers gegeneinander abzuwägen2.
4
Existiert ein Betriebsrat, können Social Media-Richtlinien auch durch Betriebsvereinbarung3 eingeführt bzw. kann eine entsprechende Betriebsvereinbarung durch den Arbeitgeber oder den Betriebsrat ggf. sogar erzwungen werden.
5
Im Rahmen der zwingenden Mitbestimmung können Betriebsrat und Arbeitgeber regelmäßig den Abschluss einer Betriebsvereinbarung verlangen4. Als zwingende Mitbestimmungsrechte kommen im Zusammenhang mit Social MediaRichtlinien insbesondere § 87 Abs. 1 Nr. 1 BetrVG (Ordnungsverhalten) oder § 87 Abs. 1 Nr. 6 BetrVG (technische Überwachungseinrichtung) in Betracht. Das Bestehen von Mitbestimmungsrechten ist grundsätzlich mit Blick auf jede einzelne Regelung der Social Media-Richtlinie gesondert zu beurteilen5. Sofern die einzelnen Regelungen nicht unauflösbar miteinander verknüpft sind, führt ein Mitbestimmungsrecht hinsichtlich einer einzelnen Regelung nicht zu einem Mitbestimmungsrecht in Bezug auf die gesamte Richtlinie6. Social Media-Richtlinien werden in weiten Teilen lediglich die von den Arbeitnehmern zu erbringende Arbeitsleistung näher konkretisieren und im Übrigen auf bestehende Rechtspflichten hinweisen bzw. unverbindliche Handlungsempfehlungen aussprechen. Insoweit besteht grundsätzlich kein Mitbestimmungsrecht des Betriebsrats gem. § 87 Abs. 1 Nr. 1 BetrVG7. Sollen die Arbeit1 Erfurter Kommentar zum Arbeitsrecht/Preis, § 106 GewO Rz. 6. 2 Erfurter Kommentar zum Arbeitsrecht/Preis, § 305 ff. BGB Rz. 45; Gabriel/Cornels, MMR-Aktuell 2011, 316759; Göpfert/Wilke, NZA 2010, 1329 (1333). 3 Vgl. hierzu ausführlich Forst, ZD 2012, 251. 4 BAG v. 8.8.1989 – 1 ABR 62/88, NZA 1990, 322 (324). 5 BAG v. 22.7.2008 – 1 ABR 40/07, NZA 2008, 1248 (1252 f.). 6 BAG v. 22.7.2008 – 1 ABR 40/07, NZA 2008, 1248 (1252 f.). 7 BAG v. 22.7.2008 – 1 ABR 40/07, NZA 2008, 1248 (1253).
Weberndörfer/Zieger
|
675
6
Teil 4 VII
Rz. 7
Social Media-Richtlinie
nehmer aber etwa dazu verpflichtet werden, dem Arbeitgeber Verstöße gegen die Richtlinie zu melden, bestünde ein Mitbestimmungsrecht gem. § 87 Abs. 1 Nr. 1 BetrVG1. 7
Darüber hinaus werden Social Media-Richtlinien ggf. Regelungen zu einer möglicherweise erlaubten Privatnutzung betrieblicher IT- bzw. Telekommunikations-Ressourcen enthalten. Dies begründet grundsätzlich ebenfalls ein Mitbestimmungsrecht gem. § 87 Abs. 1 Nr. 1 BetrVG2. Dagegen wäre ein vollständiges Verbot der privaten Nutzung betrieblicher IT- bzw. TelekommunikationsRessourcen nicht mitbestimmungspflichtig3. Zudem beruhen die betreffenden Regelungen in vielen Fällen auf bereits bestehenden Regelungen in anderen Betriebsvereinbarungen, etwa zur Internet- und E-Mail-Nutzung. Soweit es sich nur um einen Verweis auf bestehende Regelungen handelt, bestünde insoweit in Bezug auf die Social Media-Richtlinie kein erneutes Mitbestimmungsrecht des Betriebsrats.
8
Die für die Nutzung von sozialen Medien ggf. benutzten betrieblichen IT- bzw. Telekommunikations-Ressourcen stellen im Übrigen zwar in aller Regel technische Überwachungseinrichtungen i.S.d. § 87 Abs. 1 Nr. 6 BetrVG dar. Hierfür genügt, dass die technische Einrichtung zur Erhebung oder Verarbeitung personenbezogener Verhaltens- bzw. Leistungsdaten der Arbeitnehmer geeignet ist. Einer Absicht des Arbeitgebers, die Einrichtung zur Verhaltens- oder Leistungskontrolle zu nutzen, bedarf es nicht4. Allerdings sind auch die Einrichtung und der Betrieb dieser Ressourcen regelmäßig bereits in einer anderen Betriebsvereinbarung geregelt. Ein erneutes Mitbestimmungsrecht gem. § 87 Abs. 1 Nr. 6 BetrVG wird daher auch insoweit in Bezug auf die Social MediaRichtlinie häufig nicht bestehen.
9
Die Regelungskompetenz der Betriebsparteien wird insbesondere durch höherrangiges Recht begrenzt. Hierzu gehören auch Grundrechtspositionen des Arbeitnehmers und das Verhältnismäßigkeitsprinzip5. Erfolgt die Einführung einer Social Media-Richtlinie durch Betriebsvereinbarung, sind daher ebenfalls die Interessen von Arbeitnehmer und Arbeitgeber in Ausgleich zu bringen.
2. Grenzen der Regelungsbefugnisse 10
Die bei der Einführung zu berücksichtigenden Arbeitnehmerinteressen begrenzen die möglichen Regelungsinhalte von Social Media-Richtlinien. Dabei sollten die verbleibenden Regelungsmöglichkeiten im Rahmen aller Regelungsformen im Wesentlichen dieselben sein.
1 BAG v. 22.7.2008 – 1 ABR 40/07, NZA 2008, 1248 (1253); Byers/Mößner, BB 2012, 1665 (1666); Lützeler/Bissels, ArbRAktuell 2011, 322670. 2 Erfurter Kommentar zum Arbeitsrecht/Kania, § 87 BetrVG Rz. 19; Oberwetter, NJW 2011, 417 (421); jeweils m.w.N. 3 Erfurter Kommentar zum Arbeitsrecht/Kania, § 87 BetrVG Rz. 19; Oberwetter, NJW 2011, 417 (421); jeweils m.w.N. 4 BAG v. 14.11.2006 – 1 ABR 4/06, AP BetrVG 1972 § 87 Überwachung Nr. 43. 5 Erfurter Kommentar zum Arbeitsrecht/Kania, § 77 BetrVG Rz. 38.
676
|
Weberndörfer/Zieger
Social Media-Richtlinie
Rz. 13 Teil 4 VII
a) Verbot der Nutzung sozialer Medien Der Arbeitgeber kann die Nutzung sozialer Medien durch den Arbeitnehmer für dienstliche Zwecke untersagen. Auch kann er die private Nutzung sozialer Medien durch den Arbeitnehmer während der Arbeitszeit oder über betriebliche IT- und Telekommunikations-Ressourcen verbieten1. Ein vollständiges Verbot wäre dagegen unzulässig2. Die private Nutzung sozialer Medien in der Freizeit über eigene Geräte steht dem Arbeitnehmer immer frei.
11
b) Pflicht zur Nutzung sozialer Medien Folgt man der vor allem von den Datenschutzaufsichtsbehörden3 vertretenen Auffassung, dass der datenschutzrechtskonforme Betrieb von Unternehmensseiten in bestimmten sozialen Medien (z.B. Facebook-Fanpages) nicht möglich sei, steht die Verpflichtung eines Arbeitnehmers zur Anmeldung, Nutzung und Pflege eines Benutzerkontos in den betreffenden Medien generell in Frage. Zum einen wird der Arbeitgeber von seinem Arbeitnehmer nur schwerlich verlangen können, eigene personenbezogene Daten zu offenbaren, die von dem Betreiber des fraglichen sozialen Mediums dann aus datenschutzrechtlicher Sicht unrechtmäßig weiterverarbeitet werden. Zum anderen wird der Arbeitnehmer, selbst wenn dieser keine eigenen personenbezogenen Daten offenbaren muss, nicht dazu verpflichtet werden können, sich an dem rechtswidrigen Betrieb der Unternehmensseite seines Arbeitgebers zu beteiligen.
12
Unabhängig von der vorstehenden Problematik (vgl. Rz. 12) besteht jedenfalls kein generelles Recht des Arbeitgebers, alle Arbeitnehmer zur Anmeldung, Nutzung und Pflege von persönlichen Benutzerkonten in sozialen Medien zu verpflichten4. Eine derartige Verpflichtung kann nur ausnahmsweise begründet werden5. In jedem Fall ist erforderlich, dass gerade die Anmeldung, Nutzung und Pflege des persönlichen Benutzerkontos zur Erfüllung der Arbeitsaufgaben des Arbeitnehmers erforderlich ist6. Zudem dürfen einer solchen Verpflichtung keine vorrangigen Arbeitnehmerinteressen entgegenstehen7. Bei der insoweit vorzunehmenden Interessenabwägung ist insbesondere zu berücksichtigen, dass der Arbeitnehmer durch die Anmeldung in einem sozialen Medium regel-
13
1 Lützeler/Bissels, ArbRAktuell 2011, 322670; Oberwetter, NJW 2011, 417 (418). 2 Kort, NZA 2012, 1321 (1322). 3 Pressemeldung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein vom 19.8.2011 zu Facebook-Fanpages, abrufbar unter https://www.datenschutzzentrum.de/presse/20110819-facebook.htm; vgl. auch Polenz, VuR 2012, 207; Jandt/ Rossnagel, ZD 2011, 160; ZD-Aktuell 2012, 03040. 4 Lützeler/Bissels, ArbRAktuell 2011, 322670. 5 Byers/Mößner, BB 2012, 1665 (1669); weitergehend wohl Oberwetter, NJW 2011, 417 (419), der eine Pflicht für Beschäftigte mit Kundenberührung in der Regel für zulässig hält; a.A. wohl Göpfert/Wilke, NZA 2010, 1329 (1333), die eine Anmeldepflicht grundsätzlich für unzulässig halten. 6 Byers/Mößner, BB 2012, 1665 (1669); Gabriel/Cornels, MMR-Aktuell 2011, 316759; Oberwetter, NJW 2011, 417 (418 f.); Göpfert/Wilke, NZA 2010, 1329 (1332 f.). 7 Byers/Mößner, BB 2012, 1665 (1669); Gabriel/Cornels, MMR-Aktuell 2011, 316759; Oberwetter, NJW 2011, 417 (418 f.); Göpfert/Wilke, NZA 2010, 1329 (1332 f.).
Weberndörfer/Zieger
|
677
Teil 4 VII
Rz. 14
Social Media-Richtlinie
mäßig auch gewisse persönliche Daten (z.B. seinen Namen) im Internet publik machen muss1. 14
Zulässig könnte hiernach ggf. die Verpflichtung eines Mitarbeiters einer Headhunting-Agentur zur Nutzung eines persönlichen Benutzerkontos bei Xing oder LinkedIn sein, soweit dies zur Suche geeigneter Bewerber erforderlich ist. Teils2 wird die Auffassung vertreten, eine Nutzungspflicht käme ausschließlich für derartige „berufsorientierte“ soziale Medien in Betracht, keinesfalls aber für überwiegend privat genutzte soziale Medien (z.B. Facebook, MeinVZ). Diese Abgrenzung nach Zweckbestimmung des Mediums ist aber wohl letztlich weder durchführbar noch zweckmäßig. Auch vermeintlich private soziale Medien werden mittlerweile dienstlich, etwa zu Marketingzwecken genutzt. In Bezug auf diese Medien ist somit ebenfalls danach zu fragen, ob die Nutzung für die Erfüllung der Arbeitsaufgaben erforderlich ist und eine Interessenabwägung vorzunehmen. Auch insoweit kommt ggf. eine Nutzungsverpflichtung in Betracht. Allerdings sind für eine zulässige Nutzungsverpflichtung erheblich weniger Anwendungsfälle denkbar als bei berufsorientierten sozialen Medien.
15
Eine Verpflichtung des Arbeitnehmers zur Anmeldung, Nutzung und Pflege eines Unternehmens-Kontos ist, die eingangs beschriebene datenschutzrechtliche Problematik (vgl. Rz. 12) außen vor gelassen, dagegen regelmäßig unproblematisch. Jedenfalls wenn hierbei keine personenbezogenen Daten des Arbeitnehmers verwendet werden, fällt die vorzunehmende Interessenabwägung in aller Regel zugunsten des Arbeitgebers aus. Anders kann dies in Ausnahmefällen sein, wenn die Anmeldung, Nutzung oder Pflege des UnternehmensKontos auch die Verwendung von personenbezogenen Arbeitnehmerdaten erfordert. Insoweit sind im Rahmen der vorzunehmenden Abwägung der Interessen für und gegen die Datenverwendung insbesondere die bereits genannten Gesichtspunkte (Rz. 14 f.) zu berücksichtigen.
c) Vorgaben für die Nutzung sozialer Medien 16
Im Rahmen der dienstlichen Nutzung sozialer Medien durch den Arbeitnehmer hat der Arbeitgeber weitgehende Regelungsbefugnisse. Insbesondere in Bezug auf die Eigendarstellung des Arbeitnehmers in einem sozialen Medium bestehen aber auch hier Grenzen. Zunächst gelten auch hier wieder die bereits angesprochenen allgemeinen datenschutzrechtlichen Vorbehalte (vgl. Rz. 12). Eine Veröffentlichung des Bildes des Arbeitnehmers ist zudem gem. § 22 KUG nur mit dessen Einwilligung zulässig3. Im Übrigen dürfte bei der Regelungskompetenz des Arbeitgebers die Rechtsprechung des BAG4 zur Berufskleidung entsprechend heranzuziehen sein5. Hiernach wäre bei Anordnungen bzgl. des äußeren Erscheinungsbilds des Arbeitnehmers insbesondere mit Blick auf die 1 Byers/Mößner, BB 2012, 1665 (1669); Gabriel/Cornels, MMR-Aktuell 2011, 316759; Oberwetter, NJW 2011, 417 (418 f.); Göpfert/Wilke, NZA 2010, 1329 (1332 f.). 2 Gabriel/Cornels, MMR-Aktuell 2011, 316759; Oberwetter, NJW 2011, 417 (418). 3 Oberwetter, NJW 2011, 417 (418 f.). 4 Vgl. bspw. BAG v. 13.2.2007 – 1 ABR 18/06, NZA 2007, 640. 5 Gabriel/Cornels, MMR-Aktuell 2011, 316759.
678
|
Weberndörfer/Zieger
Social Media-Richtlinie
Rz. 19 Teil 4 VII
durch Art. 2 Abs. 1 GG geschützte allgemeine Handlungsfreiheit eine Interessenabwägung vorzunehmen. Die private Nutzung sozialer Medien durch den Arbeitnehmer ist dagegen der Regelungskompetenz des Arbeitgebers grundsätzlich entzogen. Außerdienstliches Verhalten des Arbeitnehmers kann der Arbeitgeber grundsätzlich weder regeln noch arbeitsrechtlich sanktionieren1. Lediglich in Ausnahmefällen kann ein außerdienstliches Verhalten des Arbeitnehmers dem Rücksichtnahmegebot des § 241 Abs. 2 BGB unterliegen und insoweit einer Regelung durch den Arbeitgeber zugänglich sein. Erforderlich ist aber, dass durch das fragliche Verhalten ein berechtigtes Interesse des Arbeitgebers überhaupt beeinträchtigt sein kann, was grundsätzlich einen Bezug des außerdienstlichen Verhaltens zur dienstlichen Tätigkeit voraussetzt2. Hiernach könnten ggf. einem Arbeitnehmer mit besonders herausgehobener Stellung rufschädigende Verhaltensweisen in der Freizeit untersagt werden3.
17
Für Angestellte im öffentlichen Dienst galt früher gem. § 8 Abs. 1 Satz 1 BAT die besondere Verpflichtung, das gesamte private Verhalten so einzurichten, dass das Ansehen des öffentlichen Arbeitgebers nicht beeinträchtigt wird. Die seit dem 1.10.2005 geltenden Tarifverträge für den öffentlichen Dienst haben diese Regelung jedoch nicht übernommen, so dass es auch für Angestellte im öffentlichen Dienst grundsätzlich bei den allgemeinen Regelungen bleibt4. Dies bedeutet natürlich nicht, dass der Arbeitnehmer bei der privaten Nutzung sozialer Medien völlig frei wäre. Insbesondere dürfen Betriebs- und Geschäftsgeheimnisse auch in der Freizeit nicht verraten werden. Auch vorsätzlich geschäfts- oder rufschädigende Äußerungen, Drohungen, Beleidigungen oder falsche Tatsachenbehauptungen sind zu unterlassen. Rechte Dritter, etwa Persönlichkeitsrechte oder Urheber-, Marken und andere Schutzrechte, sind zu beachten. Über die Außendarstellung des Unternehmens entscheidet wiederum allein der Arbeitgeber. Zudem sind strafrechtliche Grenzen einzuhalten.
18
d) „Herausgabe“ von Benutzerkonten Die „Herausgabe“ von Benutzerkonten, d.h. die Herausgabe der Zugangsdaten, kann der Arbeitgeber unproblematisch nur im Falle von Unternehmens-Konten verlangen. Die Herausgabe eines persönlichen Benutzerkontos kommt dagegen allenfalls dann in Betracht, wenn es der Arbeitgeber zur Verfügung gestellt hat5. Dies kann man ggf. dann annehmen, wenn die hierfür anfallenden Kosten vom Arbeitgeber übernommen wurden6. Vor der Herausgabe ist dem Arbeitnehmer allerdings in jedem Fall Gelegenheit zu geben, etwaige private 1 Lützeler/Bissels, ArbRAktuell 2011, 322670; Gabriel/Cornels, MMR-Aktuell 2011, 316759; Göpfert/Wilke, ArbRAktuell 2011, 315865. 2 BAG v. 28.10.2010 – 2 AZR 293/09, NZA 2011, 112 (113). 3 Lützeler/Bissels, ArbRAktuell 2011, 322670; Gabriel/Cornels, MMR-Aktuell 2011, 316759; Göpfert/Wilke, ArbRAktuell 2011, 315865. 4 BAG v. 28.10.2010 – 2 AZR 293/09, NZA 2011, 112 (113). 5 Byers/Mößner, BB 2012, 1665 (1670); Oberwetter, NJW 2011, 417 (420). 6 Oberwetter, NJW 2011, 417 (420).
Weberndörfer/Zieger
|
679
19
Teil 4 VII
Rz. 20
Social Media-Richtlinie
Daten zu löschen1. Im Übrigen kann der Arbeitnehmer allenfalls verpflichtet werden, dem Arbeitgeber dienstliche Daten (z.B. Geschäftskorrespondenz, Kundendaten) herauszugeben2.
3. Kontrolle der Social Media-Nutzung 20
Eng verbunden mit den Regelungsbefugnissen bei der Social Media-Nutzung durch den Arbeitnehmer ist die Frage, inwieweit dem Arbeitgeber eine Kontrolle der Einhaltung der betreffenden Regelungen, d.h. im Wesentlichen der Veröffentlichungen des Arbeitnehmers in sozialen Medien gestattet ist. Datenschutzrechtlich ist dies bzw. sind die Erhebung und Verwendung der betreffenden personenbezogenen Arbeitnehmerdaten grundsätzlich an den Vorgaben des BDSG zu messen3. Eine Verwendung personenbezogener Daten ist gem. § 4 Abs. 1 BDSG nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat. Dabei sind gem. § 4 Abs. 2 BDSG personenbezogene Daten außer in den dort genannten Ausnahmefällen grundsätzlich unmittelbar bei dem Betroffenen zu erheben.
21
Als Erlaubnis für die Verwendung personenbezogener Daten bei der arbeitgeberseitigen Kontrolle der Social Media-Nutzung des Arbeitnehmers kommen innerhalb des BDSG insbesondere die §§ 32 Abs. 1 und 28 Abs. 1 Satz 1 Nr. 3 Alt. 1 BDSG in Betracht. § 32 Abs. 1 Satz 1 BDSG erlaubt die Verwendung personenbezogener Daten von Arbeitnehmern, soweit dies für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich ist. Auch die Kontrolle der Erfüllung der arbeitsvertraglichen Pflichten durch den Arbeitnehmer oder präventive Kontrollmaßnahmen zur Verhinderung von Pflichtverstößen können von dieser Erlaubnisvorschrift gedeckt sein4. Im Rahmen der Erforderlichkeitsprüfung ist eine Abwägung der gegenläufigen Interessen von Arbeitgeber und Arbeitnehmer hinsichtlich der Datenverwendung vorzunehmen5.
22
Darüber hinaus dürfen gem. § 32 Abs. 1 Satz 2 BDSG personenbezogene Daten von Arbeitnehmern zur Aufdeckung von Straftaten – wie z.B. einem gem. § 17 UWG strafbaren Verrat von Betriebs- und Geschäftsgeheimnissen – verwendet werden. Voraussetzung ist, dass zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Arbeitnehmer im Arbeitsverhältnis eine Straftat begangen hat, die Datenverwendung zur Aufdeckung der Straftat erforderlich ist und das schutzwürdige Interesse des Arbeitnehmers an dem Ausschluss der Datenverwendung nicht überwiegt.
23
Daneben ist zur Rechtfertigung der Datenverwendung auch ein Rückgriff auf § 28 Abs. 1 Satz 1 Nr. 3 Alt. 1 BDSG denkbar. Dieser bleibt nach wohl herr1 Oberwetter, NJW 2011, 417 (420). 2 Oberwetter, NJW 2011, 417 (420). 3 Zur Abgrenzung von den datenschutzrechtlichen Vorgaben des TKG und TMG vgl. etwa Ernst, NJOZ 2011, 953. 4 Gola/Schomerus, § 32 BDSG Rz. 24. 5 Plath/Stamer/Kuhnke, § 32 BDSG Rz. 16 ff.; Simitis/Seifert, § 32 BDSG Rz. 11.
680
|
Weberndörfer/Zieger
Social Media-Richtlinie
Rz. 26 Teil 4 VII
schender Ansicht neben § 32 BDSG anwendbar1. Hiernach kann die Verwendung personenbezogener Daten zur Erfüllung eigener Geschäftszwecke zulässig sein, wenn die Daten allgemein zugänglich sind, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt. Allgemein zugänglich sind Daten dann, wenn die Datenquelle „geeignet und bestimmt ist, der Allgemeinheit, also einem individuell nicht bestimmbaren Personenkreis, Informationen zu verschaffen“2. Für Daten aus sozialen Medien, die auch über eine Internet-Suchmaschine aufgefunden werden können, dürfte dies ohne Weiteres zu bejahen sein3. Für sonstige Daten aus sozialen Netzen ist die allgemeine Zugänglichkeit dagegen umstritten. Teils wird dies bejaht, teils wird nach dem Charakter des sozialen Mediums (privat/beruflich) differenziert, teils auf die Nutzungsbedingungen abgestellt4.
24
Nach der hier vertretenen Ansicht sind neben den in Suchmaschinen auffindbaren Daten auch solche Informationen aus sozialen Medien allgemein zugänglich, zu denen letztlich jeder Zugang erlangt, der sich bei dem betreffenden sozialen Medium anmeldet5. Eine Differenzierung nach dem Charakter des sozialen Mediums lässt sich in der Realität kaum trennscharf vornehmen, Privates und Geschäftliches wird insoweit mehr und mehr vermischt (vgl. hierzu auch Rz. 14)6. Die Nutzungsbedingungen des sozialen Mediums sind insoweit ebenso kein taugliches Abgrenzungskriterium, da sie faktisch meist nicht „gelebt“ bzw. durchgesetzt werden7. Auch angesichts der jeweils hohen Zahl von Mitgliedern, die für den Arbeitnehmer letztlich nicht individuell bestimmbar sind, muss im Übrigen davon ausgegangen werden, dass der Arbeitnehmer sich bewusst ist, dass er die betreffenden Informationen der Allgemeinheit zugänglich macht8.
25
Etwas anderes sollte aber dann gelten, wenn der Arbeitnehmer den Zugriff auf Informationen auf einen für ihn tatsächlich überschaubaren Nutzerkreis beschränkt9. In diesem Fall wird man nicht mehr von allgemein zugänglichen Daten sprechen können. Ob eine solche, die allgemeine Zugänglichkeit ausschließende Einschränkung vorliegt, wird allerdings in vielen Fällen zweifelhaft sein. So kann man dies z.B. bei einer Zugriffsbeschränkung auf einen zahlenmäßig begrenzten Kreis von „Freunden“ des Arbeitnehmers noch annehmen. Bereits für eine Beschränkung auf einen weiteren „Freundeskreis“, z.B.
26
1 Ernst, NJOZ 2011, 953 (954); Gola/Schomerus, § 32 BDSG Rz. 35. 2 BVerfG v. 24.1.2001 – 1 BvR 2623/95, NJW 2001, 1633. 3 Braun, NJ 2013, 104 (109); Kania/Sansone, NZA 2012, 360 (363); Ernst, NJOZ 2011, 953 (954); Ernst, NJW 2011, 1712; Bissels/Lützeler/Wisskirchen, BB 2010, 2433 (2437); Plath/Plath, § 28 BDSG Rz. 76; Gola/Schomerus, § 28 BDSG Rz. 33a. 4 Braun, NJ 2013, 104 (109); Kania/Sansone, NZA 2012, 360 (363); Bissels/Lützeler/ Wisskirchen, BB 2010, 2433 (2437); Forst, NZA 2010, 427 (431). 5 So wohl auch Ernst, NJOZ 2011, 953 (954); Plath/Plath, § 28 BDSG Rz. 83. 6 So wohl auch Ernst, NJOZ 2011, 953 (954). 7 So wohl auch Ernst, NJOZ 2011, 953 (954). 8 So wohl auch Plath/Plath, § 28 BDSG Rz. 83. 9 Anders wohl Ernst, NJOZ 2011, 953 (954).
Weberndörfer/Zieger
|
681
Teil 4 VII
Rz. 27
Social Media-Richtlinie
auf „Freunde von Freunden“, erscheint dies aufgrund der dann dem Arbeitnehmer tatsächlich unbekannten Zugriffsberechtigten allerdings wiederum zweifelhaft. 27
Allein die allgemeine Zugänglichkeit der Daten bedeutet allerdings nicht, dass diese durch den Arbeitgeber frei verwendet werden dürften. Vielmehr ist im Rahmen von § 28 Abs. 1 Satz 1 Nr. 3 Alt. 1 BDSG stets zu prüfen, ob der Verwendung ein offensichtlich überwiegendes schutzwürdiges Interesse des Arbeitnehmers entgegensteht. Bei der insoweit vorzunehmenden Interessenabwägung sind insbesondere auch der Charakter und die Nutzungsbedingungen des sozialen Mediums sowie etwaige Zugriffsbeschränkungen durch den Arbeitnehmer einzubeziehen1.
28
Nach zutreffender Auffassung liegt in § 28 Abs. 1 Satz 1 Nr. 3 Alt 1 BDSG eine spezialgesetzliche Ausnahme i.S.d. § 4 Abs. 2 Satz 2 Nr. 1 BDSG vom Direkterhebungsgrundsatz2. Im Übrigen kann bei § 28 Abs. 1 Satz 1 Nr. 3 Alt. 1 BDSG und bei § 32 BDSG die Ausnahmevorschrift des § 4 Abs. 2 Satz 2 Nr. 2 BDSG über den Grundsatz der Direkterhebung hinweghelfen3. Hiernach dürfen personenbezogene Daten auch ohne Mitwirkung des Betroffenen erhoben werden, wenn der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder die Erhebung bei dem Betroffenen einen unverhältnismäßigen Aufwand bedeuten würde und keine Anhaltspunkte bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden. Der Geschäftszweck wird insbesondere im Rahmen des § 32 Abs. 1 Satz 2 BDSG regelmäßig eine Erhebung bei Dritten rechtfertigen, weil im Falle einer Direkterhebung in der Praxis eine Aufdeckung der Straftat nicht erreicht werden könnte. Insbesondere bei allgemein zugänglichen Quellen würde die Direkterhebung einen unverhältnismäßigen Aufwand bedeuten4.
29
Auch eine Betriebsvereinbarung kann als „andere Rechtsvorschrift“ i.S.d. § 4 Abs. 1 BDSG die arbeitgeberseitige Kontrolle der Social Media-Nutzung durch den Arbeitnehmer erlauben5. Dies allerdings nur, soweit die dienstliche Nutzung von sozialen Medien in Frage steht. Die private Nutzung sozialer Medien ist der Regelung durch die Betriebspartner entzogen. Eine Unterschreitung des Schutzniveaus des BDSG durch die Betriebsvereinbarung wird dabei vielfach abgelehnt6; lediglich Konkretisierungen der gesetzlichen Regelung und Abweichungen zugunsten der Arbeitnehmer seien gestattet. Richtigerweise7 ist die Betriebsvereinbarung aber nicht an den Vorgaben des BDSG zu messen, da § 4 Abs. 1 BDSG insoweit gerade eine Abweichung erlaubt. Auch das BAG8 ist der gegenteiligen Ansicht daher nicht gefolgt. Die Betriebsvereinbarung hat gem. 1 2 3 4 5 6 7
Ernst, NJOZ 2011, 953 (954). Gola/Schomerus, § 4 BDSG Rz. 24, § 32 BDSG Rz. 35a. Gola/Schomerus, § 4 BDSG Rz. 24 und 28, § 32 BDSG Rz. 30a. Gola/Schomerus, § 4 BDSG Rz. 24 und 28. H.M. vgl. nur Gola/Schomerus, § 4 BDSG Rz. 10. Simitis/Sokol, § 4 BDSG Rz. 17; Gola/Schomerus, § 4 BDSG Rz. 10 f.; jeweils m.w.N. Plath/Stamer/Kuhnke, § 32 BDSG Rz. 85; Erfurter Kommentar zum Arbeitsrecht/ Kania, § 87 BetrVG Rz. 61. 8 BAG v. 27.5.1986 – 1 ABR 48/84, NZA 1986, 643 (646).
682
|
Weberndörfer/Zieger
Rz. 31 Teil 4 VII
Vertragstext
§ 75 Abs. 2 Satz 1 BetrVG allerdings insbesondere die Persönlichkeitsrechte der Arbeitnehmer zu wahren1. Insoweit ist das Interesse des Arbeitgebers an der Datenverwendung gegen die entgegenstehenden Interessen des Arbeitnehmers abzuwägen2. Letztlich wird eine nach dem BDSG unzulässige Datenverarbeitung daher regelmäßig auch auf Grundlage einer Betriebsvereinbarung nicht erlaubt sein3. Mit einer Einwilligung des Arbeitnehmers gem. § 4a BDSG wird sich die arbeitgeberseitige Kontrolle der Social Media-Nutzung des Arbeitnehmers oftmals nicht sicher rechtfertigen lassen. Zunächst müsste die Einwilligung gem. § 4a Abs. 1 Satz 1 BDSG auf einer freien Entscheidung des Arbeitnehmers beruhen. Zwar ist dies nicht allgemein ausgeschlossen, kann aber innerhalb eines Arbeitsverhältnisses durchaus problematisch sein4. Zudem muss es sich um eine informierte Einwilligung des Arbeitnehmers handeln. Der Arbeitnehmer muss sich über die Tragweite seiner Einwilligung bewusst sein. Dies wird gerade in Bezug auf eine bei Abschluss des Arbeitsverhältnisses erteilte Pauschaleinwilligung häufig zweifelhaft sein5. Soweit man in der Einwilligung eine rechtsgeschäftliche Erklärung sieht6, ist sie zudem, sofern – wie in der Regel – vom Arbeitgeber formularmäßig vorgegeben, an den §§ 305 ff. BGB zu messen7. Der Arbeitnehmer darf gem. § 307 Abs. 1 BGB insbesondere nicht unangemessen benachteiligt werden. Insoweit sind die beiderseitigen Interessen des Arbeitgebers und des Arbeitnehmers im Einzelfall gegeneinander abzuwägen.
30
B. Muster E Social Media-Richtlinie
31 der […]
Mit den folgenden Handlungsanweisungen und -empfehlungen wollen wir unseren Mitarbeitern eine Orientierungshilfe für den privaten Umgang mit sozialen Medien, wie Facebook, Xing oder Twitter bieten. 1. Handeln Sie verantwortungsvoll. Handeln Sie bei Veröffentlichungen in sozialen Medien bitte in Ihrem eigenen Interesse besonnen und verantwortungsvoll. 1 Erfurter Kommentar zum Arbeitsrecht/Kania, § 77 BetrVG Rz. 38, § 87 BetrVG Rz. 61; Plath/Stamer/Kuhnke, § 32 BDSG Rz. 86. 2 BAG v. 27.5.1986 – 1 ABR 48/84, NZA 1986, 643 (647). 3 Erfurter Kommentar zum Arbeitsrecht/Kania, § 87 BetrVG Rz. 61; Plath/Stamer/ Kuhnke, § 32 BDSG Rz. 86; Gola/Schomerus, § 4 BDSG Rz. 10. 4 Simitis/Simitis, § 4a BDSG Rz. 62; Gola/Schomerus, § 4a BDSG Rz. 22, Plath/Plath, § 4a BDSG Rz. 27, § 32 BDSG Rz. 12, 87. 5 Plath/Plath, § 4a BDSG Rz. 31. 6 Vgl. hierzu etwa Plath/Plath, § 4a BDSG Rz. 7 ff. m.w.N.; KG v. 26.8.2010 – 23 U 34/10, NJW 2011, 466. 7 Plath/Plath, § 4a BDSG Rz. 39.
Weberndörfer/Zieger
|
683
Teil 4 VII
Rz. 31
Social Media-Richtlinie
Bitte informieren Sie sich über die Regeln der von Ihnen genutzten sozialen Medien und halten Sie diese ein. Bitte begegnen Sie anderen Personen mit Respekt. Bedenken Sie: Für Ihre Veröffentlichungen sind Sie allein verantwortlich. Veröffentlichungen in sozialen Medien können schnell unkontrolliert einer breiten Öffentlichkeit zugänglich werden. Einmal veröffentlicht, können Inhalte in sozialen Medien häufig nicht oder nur sehr schwer wieder gelöscht werden. 2. Sprechen Sie für sich selbst. Erwecken Sie bei der Nutzung sozialer Medien nicht den Anschein, für unser Unternehmen zu sprechen. Kommunizieren Sie bspw. nur in der ersten Person und hinterlegen Sie an geeigneter Stelle den Hinweis „Dies ist mein privates Benutzerkonto“. Erklärungen in unserem Namen sind in sozialen Medien ausschließlich durch besonders autorisierte Mitarbeiter und über unsere Unternehmens-Accounts zulässig. Andere Erklärungen in unserem Namen in sozialen Medien sind untersagt. 3. Trennen Sie Privates von Dienstlichem. Nutzen Sie soziale Medien ausschließlich in Ihrer Freizeit und verwenden Sie hierfür ausschließlich Ihre eigenen Geräte. Ihre Arbeitszeit dient allein der Erledigung Ihrer Arbeitsaufgaben. Das Gleiche gilt für unsere PCs, Laptops, Handys und sonstige IT- und TelekommunikationsRessourcen. Die private (Mit-)Nutzung dieser Ressourcen ist verboten. 4. Behalten Sie Vertrauliches für sich. Behandeln Sie vertrauliche Informationen auch bei der Nutzung sozialer Medien vertraulich. Sie sind verpflichtet, über unsere vertraulichen Angelegenheiten – insbesondere über unsere Betriebs- und Geschäftsgeheimnisse – Stillschweigen zu wahren. Zudem haben Sie das Datengeheimnis zu wahren. Hiernach ist es Ihnen untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Diese Verpflichtungen gelten selbstverständlich auch im Internet. 5. Unterlassen Sie unternehmensschädigende Äußerungen. Sagen Sie Ihre Meinung, gerne auch über unser Unternehmen. Geschäfts- oder rufschädigende Äußerungen, Drohungen, Beleidigungen oder falsche Tatsachenbehauptungen sind allerdings zu unterlassen. 6. Respektieren Sie das geltende Recht. Respektieren Sie bei der Nutzung sozialer Medien das geltende Recht. Beachten Sie insbesondere bestehende Rechte Dritter und holen Sie für Veröffentlichungen ggf. erforderliche Zustimmungen vorab ein. 684
|
Weberndörfer/Zieger
Rz. 33 Teil 4 VII
Erläuterungen
Das Internet ist kein rechtsfreier Raum. Insbesondere Persönlichkeitsrechte sowie Urheber-, Marken- und sonstige Schutzrechte haben Sie auch hier zu beachten. Geltende strafrechtliche Grenzen müssen Sie auch im Internet einhalten. 7. Seien Sie sich der Konsequenzen von Rechtsverstößen bewusst. Im Falle von Rechtsverstößen können Sie Unterlassungs- und Schadensersatzansprüchen sowie strafrechtlichen Konsequenzen ausgesetzt sein. Verstoßen Sie gegen Ihre arbeitsvertraglichen Pflichten, kann dies auch arbeitsrechtliche Folgen – bis hin zu einer fristlosen Kündigung – haben. Rechtsverstöße können zudem auf uns zurückfallen und unseren Ruf – insbesondere bei Geschäftspartnern, Kunden und in der Öffentlichkeit – beschädigen. Dies kann zu einem erheblichen wirtschaftlichen Schaden führen. 8. Kontaktieren Sie uns bei Fragen. Wir haben immer ein offenes Ohr für Ihre Fragen. Kontaktieren Sie uns einfach unter [E-Mail-Adresse]. Wir kommen schnellstmöglich auf Sie zurück. Weitere Erläuterungen zu dieser Social Media-Richtlinie finden Sie in unserem Intranet unter http://[link].
C. Erläuterungen I. Vorbemerkung Das Muster stellt eine einseitig im Rahmen des Weisungsrechts des Arbeitgebers einzuführende Social Media-Richtlinie dar. Es geht davon aus, dass soziale Medien nur von bestimmten, gesondert autorisierten Mitarbeitern dienstlich genutzt werden dürfen. Ferner geht es davon aus, dass die Privatnutzung betrieblicher IT- und Telekommunikations-Ressourcen untersagt ist. Die Social Media-Richtlinie soll dies gegenüber den Mitarbeitern klarstellen und diesen Handlungsanweisungen und -empfehlungen für die private Nutzung sozialer Medien geben.
32
II. Erläuterungen 1. Erläuterungen zu Ziffer 1 E 1. Handeln Sie verantwortungsvoll.
33
Handeln Sie bei Veröffentlichungen in sozialen Medien bitte in Ihrem eigenen Interesse besonnen und verantwortungsvoll. Bitte informieren Sie sich über die Regeln der von Ihnen genutzten sozialen Medien und halten Sie diese ein. Bitte begegnen Sie anderen Personen mit Respekt. Weberndörfer/Zieger
|
685
Teil 4 VII
Rz. 34
Social Media-Richtlinie
Bedenken Sie: Für Ihre Veröffentlichungen sind Sie allein verantwortlich. Veröffentlichungen in sozialen Medien können schnell unkontrolliert einer breiten Öffentlichkeit zugänglich werden. Einmal veröffentlicht, können Inhalte in sozialen Medien häufig nicht oder nur sehr schwer wieder gelöscht werden. 34
Ziffer 1 soll auf die Eigenverantwortung der Arbeitnehmer für ihr Handeln hinweisen. Ferner soll die Regelung die Arbeitnehmer dafür sensibilisieren, dass „das Internet nicht vergisst“. Vor diesem Hintergrund werden die Mitarbeiter gebeten, bei Veröffentlichungen in sozialen Medien besonnen und verantwortungsvoll zu handeln.
2. Erläuterungen zu Ziffer 2 35
E 2. Sprechen Sie für sich selbst. Erwecken Sie bei der Nutzung sozialer Medien nicht den Anschein, für unser Unternehmen zu sprechen. Kommunizieren Sie bspw. nur in der ersten Person und hinterlegen Sie an geeigneter Stelle den Hinweis „Dies ist mein privates Benutzerkonto“. Erklärungen in unserem Namen sind in sozialen Medien ausschließlich durch besonders autorisierte Mitarbeiter und über unsere Unternehmens-Accounts zulässig. Andere Erklärungen in unserem Namen in sozialen Medien sind untersagt.
36
Ziffer 2 stellt klar, dass in sozialen Medien Erklärungen im Namen des Arbeitgebers nur von diesem gesteuert über bestimmte Unternehmens-Accounts erfolgen. Ansonsten sind in sozialen Medien Erklärungen im Namen des Arbeitsgebers untersagt. Die Regelung ist mit der Kommunikationsstrategie des Unternehmens in Einklang zu bringen. Erfolgt offizielle Kommunikation hiernach gängigerweise auch über soziale Medien, wäre das vollständige Verbot in Ziffer 2 anzupassen.
37
Offizielle Kommunikation über soziale Medien kann durch den Arbeitgeber verboten werden. Eine dahingehende Weisung des Arbeitgebers ist ohne Weiteres von § 106 GewO gedeckt. Der Arbeitgeber allein bestimmt, welche Arbeitnehmer in welcher Art und Weise Erklärungen für das Unternehmen abgeben dürfen. Dies muss allein deswegen der Fall sein, weil der Arbeitgeber andernfalls unübersehbaren Haftungsrisiken ausgesetzt wäre. So läge bei unkontrollierten Internetaktivitäten der Arbeitnehmer etwa die Gefahr von Verstößen gegen das UWG (bspw. durch irreführende Werbung oder Nichtbeachtung der Impressumspflicht) nahe.
38
Im Falle einer unzulässigen Weitergabe personenbezogener Daten, etwa Mitarbeiter- oder Kundendaten, durch den Arbeitnehmer über soziale Medien wäre der Arbeitgeber ggf. auch Schadensersatzansprüchen der Betroffenen ausgesetzt (§ 7 BDSG, vgl. aber auch § 280 Abs. 1 i.V.m. § 241 Abs. 2 BGB, § 311 Abs. 2 BGB und §§ 823 ff. BGB). Eine unzulässige Datenweitergabe kann zudem gem. § 42a BDSG Mitteilungspflichten gegenüber den Aufsichtsbehörden, den Betroffenen und sogar der Öffentlichkeit auslösen. Darüber hinaus kommt jeden686
|
Weberndörfer/Zieger
Erläuterungen
Rz. 44 Teil 4 VII
falls eine Bußgeldhaftung gem. § 43 BDSG in Betracht. Letztlich können derartige „Datenlecks“ dem Arbeitgeber auch gravierende Reputationsschäden zufügen und bei diesem auch deswegen erheblichen wirtschaftlichen Schaden verursachen. Verbotswidrige Unternehmenskommunikation über soziale Medien kann ggf. eine Abmahnung oder Kündigung des Arbeitnehmers rechtfertigen.
39
Über ein solches Verbot hinaus kann der Arbeitgeber dem Arbeitnehmer bei der privaten Nutzung sozialer Medien aber grundsätzlich nicht vorschreiben, in einer bestimmten Weise klarzustellen, dass er nicht für das Unternehmen handelt1. Dies ist grundsätzlich Sache des Arbeitnehmers, größtenteils wird auch überhaupt keine Klarstellung erforderlich sein. Die Regelung beschränkt sich insoweit daher nur auf ein Beispiel.
40
3. Erläuterungen zu Ziffer 3 E 3. Trennen Sie Privates von Dienstlichem.
41
Nutzen Sie soziale Medien ausschließlich in Ihrer Freizeit und verwenden Sie hierfür ausschließlich Ihre eigenen Geräte. Ihre Arbeitszeit dient allein der Erledigung Ihrer Arbeitsaufgaben. Das Gleiche gilt für unsere PCs, Laptops, Handys und sonstige IT- und TelekommunikationsRessourcen. Die private (Mit-)Nutzung dieser Ressourcen ist verboten. Ziffer 3 untersagt die private Nutzung sozialer Medien innerhalb der Arbeitszeit und von betrieblichen Geräten aus. Insoweit ist die Richtlinie an etwaig bestehende betriebliche Regelungen anzupassen. Haben die Arbeitnehmer einen Anspruch auf die private Nutzung des betrieblichen Internetzugangs2, wäre das Verbot unter Ziffer 3 bspw. unwirksam.
42
Arbeitnehmer haben grundsätzlich keinen Anspruch auf eine private Nutzung betrieblicher IT- und Telekommunikations-Ressourcen3. Etwas anderes gilt bei ausdrücklicher Gestattung durch den Arbeitgeber4. Auch kann im Falle der Duldung der privaten Nutzung ggf. ein Anspruch aus betrieblicher Übung entstehen5. Um das Entstehen derartiger Ansprüche zu verhindern, sollte die verbotswidrige Privatnutzung durch den Arbeitgeber kontrolliert und auch sanktioniert werden.
43
Die verbotswidrige private Nutzung betrieblicher IT- und TelekommunikationsRessourcen kann ggf. eine Abmahnung oder Kündigung des Arbeitsverhältnis-
44
1 A.A. wohl Byers/Mößner, BB 2012, 1665 (1668). 2 S. hierzu das Muster einer Betriebsvereinbarung zur Internet- und E-Mail-Nutzung in Teil 4 V. 3 Bertram, GWR 2012, 336986, m.w.N. 4 Bertram, GWR 2012, 336986. 5 Umstritten, vgl. Bertram, GWR 2012, 336986, m.w.N.
Weberndörfer/Zieger
|
687
Teil 4 VII
Rz. 45
Social Media-Richtlinie
ses rechtfertigen1. Der Arbeitnehmer verletzt durch sein Verhalten insbesondere seine Arbeitspflicht. Aber auch bei grundsätzlich erlaubter Privatnutzung können etwa in exzessiven Fällen oder bei drohender Rufschädigung für den Arbeitgeber (z.B. im Falle des Downloads pornografischer Inhalte) derartige arbeitsrechtliche Schritte gerechtfertigt sein2.
4. Erläuterungen zu Ziffer 4 45
E 4. Behalten Sie Vertrauliches für sich. Behandeln Sie vertrauliche Informationen auch bei der Nutzung sozialer Medien vertraulich. Sie sind verpflichtet, über unsere vertraulichen Angelegenheiten – insbesondere über unsere Betriebs- und Geschäftsgeheimnisse – Stillschweigen zu wahren. Zudem haben Sie das Datengeheimnis zu wahren. Hiernach ist es Ihnen untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Diese Verpflichtungen gelten selbstverständlich auch im Internet.
46
Ziffer 4 stellt klar, dass die Arbeitnehmer auch bei der Nutzung sozialer Medien Betriebs- und Geschäftsgeheimnisse des Unternehmens zu wahren haben. Die Regelung ist rein klarstellender Natur. Die Verschwiegenheitspflicht gilt auch ohne arbeitsvertragliche Vereinbarung während der gesamten Dauer und nach Beendigung des Arbeitsverhältnisses3. Der Verrat von Betriebs- und Geschäftsgeheimnissen während des Arbeitsverhältnisses ist gem. § 17 UWG sogar strafrechtlich sanktioniert. Ob soziale Medien privat oder dienstlich genutzt werden, ist dabei irrelevant.
47
Darüber hinaus verweist Ziffer 4 auf das Datengeheimnis gem. § 5 BDSG, welches von den mit der Verarbeitung personenbezogener Daten beschäftigten Personen zu wahren ist. Dieses untersagt allgemein jede unbefugte Verwendung personenbezogener Daten. Es geht damit über die allgemeinen arbeitsvertraglichen Verschwiegenheitspflichten hinaus4. Verletzungen des Datengeheimnisses können in Einzelfällen die Bußgeld- und Straftatbestände der §§ 43, 44 BDSG erfüllen. Möglich ist insbesondere auch eine strafrechtliche Relevanz gem. §§ 203 und 206 StGB.
48
Verstöße gegen die vorstehenden Verpflichtungen können ggf. eine Abmahnung oder Kündigung des Arbeitnehmers rechtfertigen5.
1 Vgl. bspw. BAG v. 31.5.2007 – 2 AZR 200/06, NZA 2007, 922; BAG v. 27.4.2006 – 2 AZR 386/05, NZA 2006, 977; BAG v. 12.1.2006 – 2 AZR 179/05, NZA 2006, 980; BAG v. 7.7.2005 – 2 AZR 581/04, NZA 2006, 98. 2 Vgl. nur BAG v. 7.7.2005 – 2 AZR 581/04, NZA 2006, 98 (100). 3 Erfurter Kommentar zum Arbeitsrecht/Preis, § 611 BGB Rz. 711 ff.; Byers/Mößner, BB 2012, 1665 (1667); Lützeler/Bissels, ArbRAktuell 2011, 322670. 4 Gola/Schomerus, § 5 BDSG Rz. 1. 5 Erfurter Kommentar zum Arbeitsrecht/Müller-Glöge, § 626 BGB Rz. 154.
688
|
Weberndörfer/Zieger
Erläuterungen
Rz. 53 Teil 4 VII
5. Erläuterungen zu Ziffer 5 E 5. Unterlassen Sie unternehmensschädigende Äußerungen.
49
Sagen Sie Ihre Meinung, gerne auch über unser Unternehmen. Geschäfts- oder rufschädigende Äußerungen, Drohungen, Beleidigungen oder falsche Tatsachenbehauptungen sind allerdings zu unterlassen. Ziffer 5 stellt die Pflichten des Arbeitnehmers betreffend unternehmensschädigender Äußerungen klar. Solche Äußerungen lassen sich rechtlich in weiten Teilen nicht verhindern1. Rein praktisch werden sie auch durch eine Social Media-Richtlinie nicht völlig ausgeschlossen werden. Die Regelung ist aber gleichwohl sinnvoll, da sie den Arbeitnehmern die Grenzen zwischen zulässiger und unzulässiger Kritik aufzeigt.
50
Der Arbeitgeber kann kritische Werturteile des Arbeitnehmers über das Unternehmen bei der Nutzung sozialer Medien grundsätzlich nicht unterbinden2. Dies gilt auch dann, wenn sie den Interessen des Arbeitgebers zuwiderlaufen. Derartige Äußerungen unterfallen dem Schutz der Meinungsäußerungsfreiheit gem. Art. 5 Abs. 1 GG. Dies gilt jedenfalls für die private Nutzung sozialer Medien außerhalb der Arbeitszeit über eigene Geräte des Arbeitnehmers.
51
Bei der dienstlichen Nutzung sozialer Medien sind kritische Äußerungen über das Unternehmen dagegen generell zu unterlassen3. Gleiches dürfte für die private Nutzung sozialer Medien während der Arbeitszeit oder über Geräte des Arbeitgebers gelten4. Ist die Privatnutzung allgemein untersagt, ist schon der Verstoß des Arbeitnehmers gegen das Verbot an sich pflichtwidrig5. Erst recht verhält sich der Arbeitnehmer daher pflichtwidrig, wenn er im Rahmen der verbotenen Privatnutzung darüber hinaus unternehmenskritische Äußerungen veröffentlicht. Aber auch im Falle einer erlaubten Privatnutzung ist die Erlaubnis des Arbeitgebers nicht dahingehend auszulegen, dass dem Arbeitnehmer jedwede Privatnutzung gestattet ist. Vielmehr kann man davon ausgehen, dass unternehmenskritische Äußerungen während der Arbeitszeit oder über Geräte des Arbeitgebers nicht von der Erlaubnis gedeckt sind. Der Arbeitgeber hat für den Arbeitnehmer erkennbar kein Interesse an einer Förderung und Finanzierung derartiger unternehmensschädlicher Äußerungen.
52
Vorsätzliche geschäfts- oder rufschädigende Äußerungen, Drohungen, Beleidigungen oder falsche Tatsachenbehauptungen muss der Arbeitgeber in keinem Fall hinnehmen6. Solche Äußerungen sind nicht durch Art. 5 Abs. 1 GG ge-
53
1 2 3 4 5
Vgl. hierzu ausführlich Kort, NZA 2012, 1321; Wiese, NZA 2012, 1. Oberwetter, NJW 2011, 417 (419). Byers/Mößner, BB 2012, 1665 (1669). Byers/Mößner, BB 2012, 1665 (1665 f.). Lützeler/Bissels, ArbRAktuell 2011, 322670; Göpfert/Wilke, ArbRAktuell 2011, 315865. 6 Byers/Mößner, BB 2012, 1665; Lützeler/Bissels, ArbRAktuell 2011, 322670; Oberwetter, NJW 2011, 417 (419); Göpfert/Wilke, NZA 2010, 1329 (1331).
Weberndörfer/Zieger
|
689
Teil 4 VII
Rz. 54
Social Media-Richtlinie
schützt. Dabei ist gleichgültig, ob es sich um Äußerungen bei der privaten oder dienstlichen Nutzung sozialer Medien handelt. Die Grenzen zwischen zulässigen und unzulässigen Äußerungen sind insoweit fließend. Allgemein wird der Meinungsäußerungsfreiheit gem. Art. 5 Abs. 1 GG ein hoher Stellenwert eingeräumt. Allerdings wird man auch beachten müssen, dass gerade Äußerungen in sozialen Medien die Gefahr einer unkontrollierbaren Verbreitung an einen breiten Empfängerkreis in sich bergen1. 54
Auch unerlaubte kritische Äußerungen des Arbeitnehmers über den Arbeitgeber können abhängig vom Einzelfall ggf. eine Abmahnung oder Kündigung rechtfertigen2.
6. Erläuterungen zu Ziffer 6 und 7 55
E 6. Respektieren Sie das geltende Recht. Respektieren Sie bei der Nutzung sozialer Medien das geltende Recht. Beachten Sie insbesondere bestehende Rechte Dritter und holen Sie für Veröffentlichungen ggf. erforderliche Zustimmungen vorab ein. Das Internet ist kein rechtsfreier Raum. Insbesondere Persönlichkeitsrechte sowie Urheber-, Marken- und sonstige Schutzrechte haben Sie auch hier zu beachten. Geltende strafrechtliche Grenzen müssen Sie auch im Internet einhalten.
56
E 7. Seien Sie sich der Konsequenzen von Rechtsverstößen bewusst. Im Falle von Rechtsverstößen können Sie Unterlassungs- und Schadensersatzansprüchen sowie strafrechtlichen Konsequenzen ausgesetzt sein. Verstoßen Sie gegen Ihre arbeitsvertraglichen Pflichten, kann dies auch arbeitsrechtliche Folgen – bis hin zu einer fristlosen Kündigung – haben. Rechtsverstöße können zudem auf uns zurückfallen und unseren Ruf – insbesondere bei Geschäftspartnern, Kunden und in der Öffentlichkeit – beschädigen. Dies kann zu einem erheblichen wirtschaftlichen Schaden führen.
57
Ziffer 6 hält den Arbeitnehmer allgemein zu rechtstreuem Verhalten an. Ziffer 7 hält dem Arbeitnehmer die möglichen Konsequenzen von Rechtsverstößen vor Augen. Die Regelungen sollen den Arbeitnehmer sensibilisieren und dazu beitragen, dass der Arbeitnehmer sich bei der Nutzung sozialer Medien allgemein besonnen verhält.
1 Göpfert/Wilke, ArbRAktuell 2011, 315865. 2 Vgl. hierzu bspw. VGH München v. 29.2.2012 – 12 C 12 264, NZA-RR 2012, 302; LAG Hamm v. 10.10.2012 – 3 Sa 644/12; BeckRS 2012, 74357; ArbG Duisburg v. 26.9.2012 – 5 Ca 949/12, BeckRS 2012, 74872; ArbG Bochum v. 29.3.2012 – 3 Ca 1283/11, ZD 2012, 343; ArbG Dessau-Roßlau v. 21.3.2012 – 1 Ca 148/11, ZD 2012, 344; Kort, NZA 2012, 1321.
690
|
Weberndörfer/Zieger
Erläuterungen
Rz. 60 Teil 4 VII
7. Erläuterungen zu Ziffer 8 58
E 8. Kontaktieren Sie uns bei Fragen. Wir haben immer ein offenes Ohr für Ihre Fragen. Kontaktieren Sie uns einfach unter [Email-Adresse]. Wir kommen schnellstmöglich auf Sie zurück. Weitere Erläuterungen zu dieser Social Media-Richtlinie finden Sie in unserem Intranet unter http://[link]. Seitens des Arbeitgebers sollte sinnvollerweise eine kompetente Anlaufstelle für Fragen der Arbeitnehmer zu der Richtlinie benannt werden.
59
Es bietet sich ebenfalls an, an geeigneter Stelle – etwa im Intranet des Unternehmens – weitere Erläuterungen zu der Richtlinie zu hinterlegen. Dort kann bspw. das nach den einzelnen Regelungen zulässige oder verbotene Verhalten anhand von Beispielen veranschaulicht werden. Die vorliegende Richtlinie soll den Arbeitnehmern ihre Rechte und Pflichten auf einen Blick verdeutlichen. Sie ist entsprechend diesem Zweck eher knapp gefasst.
60
Weberndörfer/Zieger
|
691
Teil 5 Verträge über internationale Datentransfers I. EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Standardvertrag I) Literaturverzeichnis: Backes/Eul/Guthmann/Martwich/Schmidt, Entscheidungshilfe
für die Übermittlung personenbezogener Daten in Drittländer, RDV 2004, 156; Dammann/ Simitis, EG-Datenschutzrichtlinie, 1997; Däubler/Klebe/Wedde/Weichert, Bundesdatenschutzgesetz, 4. Aufl. 2013; Duhr/Naujok/Peter/Seiffert, Neues Datenschutzrecht für die Wirtschaft, Erläuterungen und praktische Hinweise zu § 1 bis § 11 BDSG, DuD 2002, 5; Gola/Schomerus, BDSG, 11. Aufl. 2012; Hillenbrand-Beck, Aktuelle Fragestellungen des internationalen Datenverkehrs, RDV 2007, 231; Hoeren, EU-Standardvertragsklauseln, BCR und Safe Harbor Principles – Instrumente für ein angemessenes Datenschutzniveau, RDV 2012, 271; Innenministerium des Landes Baden-Württemberg, Hinweise des Innenministeriums zum Datenschutz für private Unternehmen und Organisationen (Nr. 40), Bekanntmachung vom 18.2.2002, Az. 2-0552.1/17; Kuner/Hladjk, Die alternativen Standardvertragsklauseln der EU für internationale Datenübermittlungen, RDV 2005, 193; Moos, Die EU-Standardvertragsklauseln für Auftragsverarbeiter 2010, CR 2010, 281; Räther/Seitz, Ausnahmen bei Datentransfers in Drittstaaten, MMR 2002, 520; Plath, BDSG, 2013; Regierungspräsidium Darmstadt, Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“, 2005; Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2011; Taeger/Gabel, Kommentar zum BDSG, 2010.
A. Einleitung EU-Standardvertragsklauseln1 bieten nicht-öffentlichen Stellen für die Übermittlung personenbezogener Daten in sog. Drittländer, also Länder außerhalb der Europäischen Union (EU) und der anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum (EWR), eine relativ einfache und rechtssichere Möglichkeit, die insoweit zusätzlichen rechtlichen Anforderungen zu erfüllen. Die Standardvertragsklauseln enthalten eine rechtlich durchsetzbare Verpflichtung der Vertragsparteien, die in den Klauseln festgelegten Datenschutzgrundsätze einzuhalten.
1
I. Datenübermittlung in Drittländer Die Übermittlung personenbezogener Daten aus Staaten der EU in Drittländer unterliegt besonderen rechtlichen Vorgaben (vgl. Art. 25 und 26 Richtlinie 95/46/EG2). Diese Anforderungen müssen zusätzlich zu den allgemeinen Voraus1 Nachfolgend auch „Standardvertragsklauseln“. 2 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr v. 24.10.1995, ABl. EG Nr. L 281/31 v. 23.11.1995 (nachfolgend „Richtlinie 95/46/EG“).
Lang
|
693
2
Teil 5 I
Rz. 3
Standardvertrag I
setzungen für eine rechtmäßige Datenverarbeitung erfüllt sein. Die insoweit relevanten Vorschriften für grenzüberschreitende Datenübermittlungen durch verantwortliche Stellen in Deutschland sind §§ 4b und 4c BDSG. Sie bilden keine eigenständige Rechtsgrundlage, sondern enthalten lediglich zusätzliche Anforderungen an Datenübermittlungen ins Ausland. Die Zulässigkeit einer Datenübermittlung in Drittländer wird daher regelmäßig zweistufig geprüft1. 3
Auf der ersten Stufe wird die Frage der Zulässigkeit der Datenübermittlung – unabhängig von deren Bestimmungsort – nach den jeweils anwendbaren nationalen Datenschutzvorschriften gestellt. Insoweit gelten die gleichen Regelungen wie für Datenübermittlungen innerhalb des jeweiligen EU-Mitgliedstaates. Das folgt aus Art. 25 Abs. 1 Richtlinie 95/46/EG2, dessen Vorgaben an die nationalen Gesetzgeber in Deutschland mit § 4b Abs. 2 Satz 1 und Abs. 1 BDSG umgesetzt worden sind. Kommt deutsches Datenschutzrecht zur Anwendung3, bedarf es auf der ersten Stufe eines Erlaubnistatbestands in Form einer Rechtsvorschrift oder einer Einwilligung des Betroffenen. Die in § 4b Abs. 1 BDSG für eine Datenübermittlung genannten Rechtsgrundlagen sind insoweit nicht abschließend. Als weitere Erlaubnistatbestände kommen insbesondere die bereits erwähnte Einwilligung des Betroffenen, aber auch jede andere Rechtsvorschrift in Betracht. Für den mit dieser Auslegung verbundenen Rückgriff auf die Regelung in § 4 Abs. 1 BDSG sprechen im Gegensatz zum Wortlaut von § 4b Abs. 1 BDSG sowohl die historische Auslegung4 als auch systematische Gründe5.
4
Auf der zweiten Stufe ist die Einhaltung der zusätzlichen Anforderungen für eine Datenübermittlung in Drittländer zu prüfen. Die entsprechenden Vorgaben gem. Art. 25 und 26 Richtlinie 95/46/EG sind geregelt in § 4b Abs. 2 Satz 2, Abs. 3–6 und § 4c BDSG. Einer Datenübermittlung in Drittländer dürfen keine schutzwürdigen Interessen der Betroffenen entgegenstehen. Das ist vor allem der Fall, wenn im Drittland des Datenempfängers kein angemessenes Datenschutzniveau gewährleistet ist6. Das Schutzniveau ist angemessen, 1 Vgl. nur Taeger/Gabel/Gabel, § 4b BDSG Rz. 9; Regierungspräsidium Darmstadt, Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“, Abschn. 7 (S. 14). 2 S. auch Erwägungsgrund 60 der Richtlinie 95/46/EG. 3 Die Anwendbarkeit des BDSG richtet sich in Fällen grenzüberschreitender Datenverarbeitung nach § 1 Abs. 5 BDSG (Simitis/Simitis, § 4b BDSG Rz. 8, 19; Taeger/Gabel/ Gabel, § 4b BDSG Rz. 8). Daneben ist auch § 1 Abs. 2–4 BDSG mit weiteren Regelungen zum Anwendungsbereich des BDSG zu beachten. 4 Vgl. BT-Drucks. 14/4329, 34. 5 So auch Duhr/Naujok/Peter/Seiffert, DuD, 2002, 5 (15); Gola/Schomerus, § 4b BDSG Rz. 3 f.; Taeger/Gabel/Gabel, § 4b BDSG Rz. 12, 18, § 4c BDSG Rz. 4; Simitis/Simitis, § 4b BDSG Rz. 36, § 4c BDSG Rz. 6. 6 Taeger/Gabel/Gabel, § 4b BDSG Rz. 21 m.w.N.; a.A. Simitis/Simitis, § 4b BDSG Rz. 46, und Backes/Eul/Guthmann/Martwich/Schmidt, RDV 2004, 156 (156), die auf das Datenschutzniveau bei der verantwortlichen Stelle und nicht im Drittland insgesamt abstellen; gegen diesen Ansatz sprechen systematische Gründe (Verhältnis von § 4b Abs. 2 Satz 2 und § 4c Abs. 3 BDSG) und eine richtlinienkonforme Auslegung (s. auch Working Paper der Artikel-29-Datenschutzgruppe der EU-Kommission, Arbeitspapier über eine gemeinsame Auslegung des Artikels 26 Absatz 1 der Richtlinie 95/46/EG v. 24.10.1995, v. 25.11.2005, Dok. 2093–01/05-DE – WP 114, S. 5; abrufbar unter http://ec.europa.eu/ justice/policies/privacy/docs/wpdocs/2005/wp114_de.pdf (Stand 31.8.2013)).
694
|
Lang
Standardvertrag I
Rz. 5 Teil 5 I
wenn es auf Regeln und Verfahren beruht, die den Grundsätzen der Richtlinie 95/46/EG im Wesentlichen entsprechen1. Die Angemessenheit des Schutzniveaus im Drittland ist unter Berücksichtigung aller Umstände zu beurteilen, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind2. Es bedarf grundsätzlich einer Einzelfallbetrachtung, bei der insbesondere die in § 4b Abs. 3 BDSG genannten und Art. 25 Abs. 2 Richtlinie 95/46/EG entnommenen Kriterien wie die Art der Daten, die Zweckbestimmung, die Dauer der Datenverarbeitung und das Bestimmungsland mit den dort geltenden Rechtsvorschriften zu berücksichtigen sind. Die Einzelfallprüfung kann entfallen, soweit die EU-Kommission auf Basis von Art. 25 Abs. 6 Richtlinie 95/46/EG formell ein angemessenes Datenschutzniveau für ein Drittland festgestellt hat3. Darüber hinaus darf grundsätzlich von einem angemessenen Schutzniveau in den USA bei den verantwortlichen Stellen ausgegangen werden, die als Datenempfänger den Grundsätzen des Safe Harbor beigetreten sind und diese Grundsätze entsprechend umgesetzt haben4. Allerdings verlangen die deutschen Datenschutzaufsichtsbehörden weitergehende Maßnahmen des Datenexporteurs zur Kontrolle der Selbst-Zertifizierung des Datenimporteurs in den USA, die zum Zwecke des Nachweises zu dokumentieren sind. Können diese Maßnahmen nicht belegbar umgesetzt werden oder bestehen Zweifel an der Einhaltung der Safe Harbor-Kriterien durch das US-Unternehmen, empfehlen die Datenschutzaufsichtsbehörden zur Gewährleistung eines angemessenen Datenschutzniveaus, auf die EU-Standardvertragsklauseln oder verbindliche Unternehmensregelungen zurückzugreifen5. 1 Vgl. Working Paper der Artikel-29-Datenschutzgruppe der EU-Kommission, Arbeitsunterlage: Übermittlungen personenbezogener Daten an Drittländer: Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU, v. 24.7.1998, Dok. GD XV D/5025/98 – WP 12, S. 5; abrufbar unter http://ec.europa.eu/justice/policies/privacy/ docs/wpdocs/1998/wp12_de.pdf (Stand 31.8.2013); Taeger/Gabel/Gabel, § 4b BDSG Rz. 21; vgl. auch Simitis/Simitis, § 4b BDSG Rz. 52, der allerdings auf die deutschen Regeln als Maßstab abstellt, was einer richtlinienkonformen Auslegung widerspricht. 2 Weitere Ansatzpunkte enthält das Working Paper der Artikel-29-Datenschutzgruppe der EU-Kommission, Erste Leitlinien für die Übermittlung personenbezogener Daten in Drittländer – Mögliche Ansätze für eine Bewertung der Angemessenheit, v. 26.6.1997, Dok. XV D/5020/97-DE – WP 4; abrufbar unter http://ec.europa.eu/justice/ policies/privacy/docs/wpdocs/1997/wp4_de.pdf (Stand 31.8.2013); dazu auch Simitis/ Simitis, § 4b BDSG Rz. 52 ff. 3 Zuletzt für Neuseeland mit Beschluss C (2012) 9557 der Kommission vom 19.12.2012 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzniveaus Neuseelands, ABl. L 28 v. 30.1.2013, S. 12. Eine Übersicht mit allen Drittländern, für die von der EU-Kommission ein angemessenes Datenschutzniveau festgestellt wurde, ist abrufbar unter http://ec.europa.eu/ justice/data-protection/document/international-transfers/adequacy/index_en.htm (Stand 31.8.2013). 4 Zu Safe Harbor s. Taeger/Gabel/Gabel, § 4b BDSG Rz. 23; Simitis/Simitis, § 4b BDSG Rz. 70 ff. 5 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) am 28./29.4.2010 (Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem Safe Harbor-Abkommen durch das Daten exportierende Unternehmen).
Lang
|
695
5
Teil 5 I
Rz. 6
Standardvertrag I
6
Eine Übermittlung personenbezogener Daten in Drittländer ohne angemessenes Datenschutzniveau darf ausnahmsweise nur dann erfolgen, wenn ein Ausnahmetatbestand gem. § 4c BDSG vorliegt. Hierzu zählen zum einen die in Anlehnung an Art. 26 Abs. 1 Richtlinie 95/46/EG enumerativ aufgeführten Tatbestände in § 4c Abs. 1 BDSG wie z.B. die Einwilligung des Betroffenen (Nr. 1) oder die Übermittlung für die Erfüllung eines Vertrags mit dem Betroffenen (Nr. 2). Zum anderen können einzelne Übermittlungen oder bestimmte Arten von Übermittlungen personenbezogener Daten an Stellen in Drittländer von der zuständigen Aufsichtsbehörde genehmigt werden, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des auf die konkrete Datenübermittlung bezogenen Datenschutzniveaus vorweist, die sich insbesondere aus Vertragsklauseln oder verbindlichen Unternehmensregelungen (Binding Corporate Rules) ergeben können (§ 4c Abs. 2 Satz 1 BDSG).
7
Dem Vorteil individueller, auf die speziellen Bedürfnisse abstimmbarer Vertragslösungen und Binding Corporate Rules steht der Nachteil des Aufwands für die erforderliche Abstimmung mit den Aufsichtsbehörden gegenüber. Zudem stehen individuelle Vertragslösungen bzw. Binding Corporate Rules unter einem Genehmigungsvorbehalt, d.h. sie dürfen erst ein- und umgesetzt werden, wenn die zuständige Datenschutzaufsichtsbehörde sie genehmigt hat. Schließlich kann die Genehmigung als Verwaltungsakt von den Aufsichtsbehörden unter bestimmten Voraussetzungen gem. §§ 48 ff. VwVfG bzw. den entsprechenden Vorschriften der jeweils anzuwendenden Landesverwaltungsverfahrensgesetze zurückgenommen oder widerrufen werden1.
II. Vorteile von EU-Standardvertragsklauseln 8
Im Gegensatz zu individuellen Vertragslösungen und Binding Corporate Rules bieten die EU-Standardvertragsklauseln eine relativ einfache rechtssichere Möglichkeit, die zusätzlichen rechtlichen Anforderungen für die Übermittlung personenbezogener Daten in Drittländer zu erfüllen. Die Standardvertragsklauseln enthalten eine rechtlich durchsetzbare Verpflichtung der Vertragsparteien auf eine Verarbeitung der personenbezogenen Daten nach Maßgabe bestimmter Datenschutzgrundsätze. Die EU-Kommission hat im Wege des in Art. 31 Abs. 2 Richtlinie 95/46/EG geregelten Ausschussverfahrens festgelegt, dass die Standardvertragsklauseln bei der Übermittlung personenbezogener Daten aus EU-Staaten in Drittländer ausreichende Garantien für den Schutz des Persönlichkeitsrechts und der damit verbundenen Rechte gem. Art. 26 Abs. 2 Richtlinie 95/46/EG bieten2. 1 Vgl. Duhr/Naujok/Peter/Seiffert, DuD 2002, 5 (18); Innenministerium des Landes Baden-Württemberg, Abschn. B 2.6; Simitis/Simitis, § 4c BDSG Rz. 37. 2 Art. 1 Abs. 1 und Art. 2 Abs. 1 Satz 1 der Entscheidung 2001/497/EG der Kommission v. 15.6.2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG, ABl. L 181 v. 4.7.2001, S. 19 (nachfolgend auch „Entscheidung 2001/497/EG“) geändert durch Art. 1 Ziff. 1 Entscheidung 2004/915/EG der Kommission v. 27.12.2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, ABl. L 385 v. 29.12.2004, S. 74; s. auch Erwägungsgründe 5 Satz 1 und 7 Satz 1 der Entscheidung 2001/497/EG. Die Entscheidungen der EU-Kommission zu allen Standardvertragsklauseln sind unter Rz. 12 aufgeführt.
696
|
Lang
Standardvertrag I
Rz. 10 Teil 5 I
Kommen EU-Standardvertragsklauseln vollständig und inhaltlich unverändert zum Einsatz, bedarf es in Deutschland keiner Genehmigung der Datenübermittlung durch die zuständige Datenschutzaufsichtsbehörde1. Die von der EUKommission ausdrücklich als ausreichende Garantien für die Datenübermittlung in Drittländer anerkannten Standardvertragsklauseln sind insoweit europarechtlich bindend (vgl. Art. 26 Abs. 4 Richtlinie 95/46/EG). In diesem Fall besteht auch keine allgemeine Vorlage- oder Informationspflicht2. Sowohl die Genehmigungs- als auch die Vorlage- oder Informationspflicht würden eine überflüssige Förmlichkeit bedeuten. Etwas anderes gilt, wenn sich die Aufsichtsbehörde im Rahmen ihrer Aufsichtstätigkeit nach § 38 BDSG die Verträge im Einzelfall vorlegen lässt. Die insoweit geübte Praxis der deutschen Aufsichtsbehörden ist nicht einheitlich3.
9
Es besteht jedoch die Möglichkeit, dass Datenübermittlungen in Drittländer auf Grundlage der Standardvertragsklauseln, konkret der Standardverträge I und II4, von der zuständigen Datenschutzaufsichtsbehörde untersagt oder ausgesetzt werden, wenn eine Übermittlung auf Vertragsbasis sich wahrscheinlich sehr nachteilig auf die Garantien auswirkt, die den Betroffenen angemessenen (Daten-)Schutz bieten sollen. Es muss feststehen, dass der Datenimporteur nach den für ihn geltenden Rechtsvorschriften solchen Anforderungen unterliegt, die ihn zwingen, vom anwendbaren Datenschutzrecht in einem Maß abzuweichen, das über die Beschränkungen hinausgeht, die i.S.v. Art. 13 Richtlinie 95/46/EG für eine demokratische Gesellschaft erforderlich sind, und dass sich diese Auswirkungen wahrscheinlich sehr nachteilig auf die Garantien auswirken würden, die das anwendbare Datenschutzrecht und die Standardvertragsklauseln bieten. Diese Möglichkeit, Datenübermittlungen auf Basis von Standardvertragsklauseln im – besonders gelagerten – Einzelfall zu untersagen oder auszusetzen, wird explizit in Artikel 4 Abs. 1 Buchst. a Entscheidung 2001/ 497/EG geregelt5. Diskutiert wird diese Konstellation z.B. für Datenübermittlungen an Datenimporteure in China6. Für Datenübermittlungen in entsprechende
10
1 Zur Genehmigungsfreiheit bei Änderungen an den Standardvertragsklauseln s. Rz. 17 ff. 2 Landesregierung Hessen, Fünfzehnter Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 15/4659, Abschn. 7.2 (S. 15 f.); Innenministerium des Landes Baden-Württemberg, Abschn. B 2.8; Gola/Schomerus, § 4c BDSG Rz. 14; Taeger/ Gabel/Gabel, § 4c BDSG Rz. 22 alle m.w.N.; zweifelnd hinsichtlich des Wegfalls der Genehmigungspflicht Duhr/Naujok/Peter/Seiffert, DuD 2002, 5 (18); für eine Information der Aufsichtsbehörde Simitis/Simitis, § 4c BDSG Rz. 51; Däubler/Klebe/Wedde/ Weichert/Däubler, § 4c BDSG Rz. 18. 3 So auch Moos, CR 2010, 281 (286). 4 Zu den Arten und Bezeichnungen der Standardvertragsklauseln s. Rz. 12 ff. 5 S. auch Erwägungsgrund 15 Satz 2 der Entscheidung 2001/497/EG. Die mit dem Text der Entscheidung als eigentlicher Rechtsakt beschlossenen Erwägungsgründe bilden einen wichtigen Ausgangspunkt für das Verständnis der Vorschriften. Sie sind eine bei der Auslegung zu berücksichtigende Interpretationshilfe. Die auf das Formerfordernis des Art. 296 Abs. 2 AEUV (ex-Art. 253 EG-Vertrag) zurückgehenden Erwägungsgründe sollen die wichtigsten rechtlichen und tatsächlichen Erwägungen darlegen, die dem Rechtsakt, hier der Entscheidung, zugrunde liegen. 6 Vgl. Moos, CR 2010, 281 (286).
Lang
|
697
Teil 5 I
Rz. 11
Standardvertrag I
Drittländer können ergänzende Sicherungsinstrumente erforderlich sein, z.B. besondere technische Zugangssicherungen wie Datenverschlüsselung1. 11
Darüber hinaus kann die zuständige Datenschutzaufsichtsbehörde die Datenübermittlung an für die Verarbeitung Verantwortliche in Drittländern auf Basis der nationalen Datenschutzvorschriften verbieten oder aussetzen, wenn sie einen Verstoß des Datenimporteurs gegen eine der Standardvertragsklauseln feststellt oder eine hohe Wahrscheinlichkeit dafür besteht, dass die Vertragsklauseln nicht eingehalten werden (Art. 4 Abs. 1 Buchst. b und c der Entscheidung 2001/497/EG)2. Allerdings bedarf es im letztgenannten Fall, bei dem noch kein Verstoß ermittelt worden ist, auch der Feststellung, dass die Fortsetzung der Datenübermittlung den Betroffenen einen nicht wieder gutzumachenden Schaden zufügen würde. Der insoweit anzuwendende Maßstab ist relativ hoch.
III. Arten der EU-Standardvertragsklauseln 12
Es wurden bislang drei Arten von Standardverträgen von der EU-Kommission gem. Art. 26 Abs. 4 Richtlinie 95/46/EG nach dem Verfahren des Art. 31 Richtlinie 95/46/EG verabschiedet3: – Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer vom 15.6.2001 (sog. Standardvertrag I)4 – alternative Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer vom 27.12.2004 (sog. Standardvertrag II)5 – Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern vom 5.2.20106.
13
Die in diesem Kapitel kommentierten Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer vom 15.6.2001 (sog. Standardvertrag I) und die alternativen Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer vom 27.12.2004 (sog. Standardvertrag II) sind für Datenübermittlungen von verantwortlichen Stellen in der 1 Moos, CR 2010, 281 (286). 2 Bei Wahl der alternativen Standardvertragsklauseln (Standardvertrag II) bestehen weitere Eingriffsbefugnisse der Datenschutzaufsichtsbehörde; dazu s. Kommentierung zum Standardvertrag II in Teil 5 II Rz. 15. 3 Zur Geschichte der Erarbeitung und Verhandlung der Standardvertragsklauseln Kuner/ Hladjk, RDV 2005, 193 (193 f.). 4 Entscheidung 2001/497/EG der Kommission v. 15.6.2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG, ABl. L 181 v. 4.7.2001, S. 19 (nachfolgend „Entscheidung 2001/497/EG“). 5 Entscheidung 2004/915/EG der Kommission v. 27.12.2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, ABl. L 385 v. 29.12.2004, S. 74 (nachfolgend „Entscheidung 2004/915/EG“). 6 Beschluss K(2010) 593 der Kommission v. 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG, ABl. L 39 v. 12.2.2010, S. 5.
698
|
Lang
Standardvertrag I
Rz. 16 Teil 5 I
EU an verantwortliche Stellen in einem Drittland vorgesehen, einem sog. Controller-Controller-Verhältnis1. Der Standardvertrag II, der von mehreren Wirtschaftsverbänden gemeinsam vorgeschlagen wurde2, ist wahlweise neben dem Standardvertrag I anwendbar. Eine Kombination der Klauseln beider Standardverträge ist gem. Art. 1 Abs. 2 und Erwägungsgrund 3 Satz 2 der Entscheidung 2001/497/EG in der Fassung vom 27.12.2004 unzulässig3. Ziel des alternativen Vertragstextes ist es, der zunehmenden Ausweitung von Datenverarbeitungstätigkeiten und neuen Geschäftsmodellen für die internationale Verarbeitung personenbezogener Daten Rechnung zu tragen4.
14
Schließlich gibt es Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, also für eine Datenweitergabe zu Zwecken einer Auftragsdatenverarbeitung in Drittländer, sog. Controller-Processor-Verhältnis5. Diese Klauseln tragen den Besonderheiten einer Auftragsdatenverarbeitung Rechnung, ungeachtet der Tatsache, dass die Regelung in § 11 BDSG wegen § 3 Abs. 8 Satz 3 BDSG nicht zur Anwendung gelangt6. Eine neue Fassung der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern hat die EUKommission am 5.2.2010 beschlossen7. Die bisherigen Standardvertragsklauseln für die Auftragsdatenverarbeitung in Drittländer8 sind für Verträge, die seit dem 15.5.2010 geschlossen werden, nicht mehr anwendbar.
15
Die Entscheidung, welche Standardvertragsklauseln zum Einsatz kommen, hängt von der Rolle des Datenimporteurs und dem Charakter der beabsichtigten Datenverarbeitung ab. Die Standvertragsklauseln für die Übermittlung an Auftragsverarbeiter sind einschlägig, wenn die Datenübermittlung zum Zweck einer Datenverarbeitung erfolgt, die dem Charakter einer Auftragsdatenverarbeitung i.S.d. § 11 BDSG entspricht (Controller-Processor-Verhältnis). Hat der Datenempfänger im Drittland dagegen die Befugnis, zumindest zum Teil eigenverantwortlich mitzuentscheiden, für welchen Zweck und wie die Daten verarbeitet werden, so ist er neben dem Exporteur selbst verantwortliche Stelle (Controller-Controller-Verhältnis). Die Abgrenzung beider Konstellationen kann schwierig sein und erfordert eine umfassende Berücksichtigung der konkreten Umstände, genauso, wie es im nationalen Recht bei der Abgrenzung
16
1 2 3 4 5 6 7 8
S. Art. 2 Abs. 2 und Erwägungsgrund 8 der Entscheidung 2001/497/EG. Details bei Kuner/Hladjk, RDV 2005, 193 (193 f.). Vgl. die Änderung durch Art. 1 Ziff. 1 Entscheidung 2004/915/EG. Die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer vom 27.12.2004 (Standardvertrag II) werden kommentiert in Teil 5 II. Die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern werden kommentiert in Teil 5 III. Gola/Schomerus, § 11 BDSG Rz. 16; Taeger/Gabel/Gabel, § 11 BDSG Rz. 25. Beschluss K(2010) 593 der Kommission v. 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG, ABl. L 39 v. 12.2.2010, S. 5. Entscheidung 2002/16/EG der Kommission v. 27.12.2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG, ABl. EG L 6/52 v. 10.1.2002.
Lang
|
699
Teil 5 I
Rz. 17
Standardvertrag I
zwischen Auftragsdatenverarbeitung und der sog. Funktionsübertragung der Fall ist1.
IV. Änderung der EU-Standardvertragsklauseln und Genehmigungsfreiheit 17
Ein Vorteil von Standardvertragsklauseln besteht darin, dass Datenübermittlungen auf dieser Basis grundsätzlich ohne Genehmigung der Datenschutzaufsichtsbehörden nach § 4c Abs. 2 BDSG erfolgen können. Die Genehmigungsfreiheit gilt zumindest dann, wenn die Standardvertragsklauseln vollständig, mit den vorgesehenen Ergänzungen und inhaltlich unverändert zum Einsatz kommen.
18
Eine Änderung der Standardverträge I und II ist ebenso wenig zulässig wie eine Kombination ihrer Klauseln2. Allerdings darf das Änderungsverbot nicht absolut und formal verstanden werden. Bereits die Entscheidung 2001/497/EG enthält den ausdrücklichen Hinweis, dass es den Vertragsparteien freigestellt ist, zusätzliche Garantien oder Sicherheiten in die Verträge einzubeziehen. Es können weitere geschäftsbezogene und als vertragsrelevant eingeschätzte Klauseln aufgenommen werden, sofern sie den Standardvertragsklauseln nicht widersprechen3, z.B. Klauseln über eine gegenseitige Unterstützung bei Streitigkeiten mit einer betroffenen Person oder einer Kontrollstelle oder auch Regelungen über wechselseitige Entschädigung, Streitbeilegung, Kostenteilung und Vertragsbeendigung, wie sie für den Standardvertrag II in Form von „veranschaulichenden Geschäftsklauseln“ fakultativer Art von der EU-Kommission explizit bestimmt worden sind4. Damit wird zugleich der entscheidende Aspekt benannt. Die Standardvertragsklauseln dürfen nicht dahingehend geändert werden, dass ein Regelungselement entfällt oder eine widersprüchliche oder mit Blick auf die vorgegebenen Regelungen im Standardvertrag auch nur missverständliche Regelung aufgenommen wird. Daher sind rein redaktionelle Anpassungen bzw. Änderungen wie die Ergänzung der Bezeichnung der Vertragsparteien um die „Partei“ und „Parteien“ (s. Rz. 26) oder die Beschränkung auf die Wiedergabe der von den Vertragsparteien gewählten Alternative in Klausel 5 Buchst. b) des Standardvertrags I und insoweit angezeigte sprachliche Anpassungen von Klausel 5 Buchst. b) des Standardvertrags I (s. Rz. 27) möglich, ohne dass die Genehmigungsfreiheit entfällt. Das gilt auch für Änderungen im Rahmen von besonderen Konstellationen wie unselbständige Niederlassungen als Datenexporteur oder Mehrparteienverhältnisse, um die Vertragsklauseln in diesen Konstellationen entsprechend anwenden zu können, z.B. die 1 Vgl. zur Abgrenzung zwischen Auftragsdatenverarbeitung und Funktionsübertragung Gola/Schomerus, § 11 BDSG Rz. 6 ff.; Taeger/Gabel/Gabel, § 11 BDSG Rz. 11 ff. sowie Teil 2 I und Teil 6 I Rz.10 f. 2 Art. 1 Abs. 2 Satz 2 und Erwägungsgrund 3 Satz 2 der Entscheidung 2001/497/EG in der Fassung v. 27.12.2004 (Änderung durch Art. 1 Ziff. 1 der Entscheidung 2004/915/EG). 3 Erwägungsgrund 5 Satz 3 der Entscheidung 2001/497/EG. 4 Ebenso Moos, CR 2010, 281 (285) für die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern vom 5.2.2010.
700
|
Lang
Standardvertrag I
Rz. 20 Teil 5 I
Ausgestaltung als einseitige Garantieerklärung bei unselbständigen Niederlassungen (siehe Rz. 28 ff. und 34 ff.). Schließlich müssen auch Änderungen der Standardverträge genehmigungsfrei möglich sein, soweit es sich eindeutig um zusätzliche, die Betroffenenrechte nicht einschränkende Klauseln handelt1. Die Standardvertragsklauseln bilden nach Ansicht der EU-Kommission ein ausgewogenes Regelungskonstrukt, dessen Nutzung als Grundlage einer Datenübermittlung in Drittländer ausreichende Garantien hinsichtlich des auf die konkrete Datenübermittlung bezogenen Datenschutzniveaus gewährleistet. Das setzt zwangsläufig voraus, dass das Regelungskonstrukt grundsätzlich unverändert zur Anwendung gelangt. Allerdings können rein redaktionelle Änderungen oder zusätzliche Regelungen mit materiellen Verbesserungen für die Rechte der Betroffenen den Garantiecharakter nicht in Frage stellen, da sie allenfalls zu Verbesserungen hinsichtlich des Datenschutzniveaus führen.
19
Dagegen vertreten die deutschen Aufsichtsbehörden hinsichtlich der Genehmigungsfreiheit eine restriktive Auffassung. Die Verwendung von Standardvertragsklauseln macht zwar grundsätzlich eine Genehmigung der Datenschutzaufsichtsbehörden entbehrlich. Ansatzpunkt für eine Genehmigungsfreiheit sind vollständig ergänzte und im Übrigen unveränderte Standardvertragsklauseln, was im Zweifel nur bei einer wörtlichen Übernahme der Fall sein soll2. Allerdings sollen „redaktionelle Änderungen“ die Genehmigungsfreiheit nicht berühren, wenn sie
20
– erforderlich sind, um besonderen Konstellationen wie unselbständigen Niederlassungen als Datenexporteur oder Mehrparteienverhältnissen gerecht zu werden, – minimal sind und – auf den ersten Blick erkennbar bleibt, dass die Standardvertragsklauseln unverändert gelten. Sollte diese Feststellung aufgrund umfangreicher Änderungen eine eingehende Prüfung erfordern, soll im Zweifel eine Genehmigungspflicht bestehen3. Bei Änderungen eines Standardvertrags, die eindeutig zugunsten der Betroffenen ausfallen, besteht „unter Umständen“ keine Genehmigungspflicht nach 1 So auch Plath/v. d. Bussche, § 4c BDSG Rz. 29; Taeger/Gabel/Gabel, § 4c BDSG Rz. 27 mit der Einschränkung, diese Frage ggf. vorab mit der Aufsichtsbehörde zu klären; a.A. Simitis/Simitis, § 4c BDSG Rz. 51. 2 Innenministerium des Landes Baden-Württemberg, Abschn. B 2.8. 3 So ausdrücklich Landesregierung Hessen, Neunzehnter Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 16/5892, Abschn. 11.2 (S. 27); Landesregierung Hessen, Zwanzigster Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 16/7646, Abschn. 9.1 (S. 18); Landesregierung Hessen, Dreiundzwanzigster Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nichtöffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 18/2942, Abschn. 11.2 (S. 19); a.A. Hoeren, RDV 2012, 271 (277) ohne Begründung und Nachweise.
Lang
|
701
Teil 5 I
Rz. 21
Standardvertrag I
§ 4c Abs. 2 BDSG, was durch Rückfrage bei der zuständigen Aufsichtsbehörde geklärt werden soll1. 21
Vor diesem Hintergrund ist grundsätzlich eine wörtliche Übernahme des hier wiedergegebenen Vertragstextes zu empfehlen, der der Entscheidung 2001/ 497/EG entnommen wurde. Das ist zwar hinsichtlich der Vertragsgestaltung und -anwendung durchaus unbefriedigend, führt aber im Ergebnis zu mehr Rechtssicherheit. Bei Änderungen sollte die zuständige Datenschutzaufsichtsbehörde ebenfalls aus Gründen der Rechtssicherheit zuvor konsultiert werden. Das gilt nicht zuletzt mit Blick darauf, dass eine Datenübermittlung ohne erforderliche Genehmigung eine bußgeldbewehrte Ordnungswidrigkeit ist (§ 43 Abs. 2 Nr. 1 BDSG).
B. Muster 22
E Standardvertragsklauseln im Sinne von Art. 26 Abs. 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten in Drittländer, die kein angemessenes Schutzniveau gewährleisten (Standardvertrag I) Bezeichnung der Daten exportierenden Organisation: … Adresse: … Tel.: …, Fax: …, E-Mail: … Weitere Angaben zur Identifizierung der Organisation: … (nachstehend: Datenexporteur) und Bezeichnung der Daten importierenden Organisation: … Adresse: … Tel.: …, Fax: …, E-Mail: … Weitere Angaben zur Identifizierung der Organisation: … (nachstehend: Datenimporteur) vereinbaren folgende Vertragsklauseln (nachstehend: Klauseln), um ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen für die Übermittlung der in Anlage 1 zu diesen Vertragsklauseln spezifizierten personenbezogenen Daten vom Exporteur an den Importeur bereitzustellen.
1 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) am 19./20.4.2007 (Internationaler Datenverkehr) i.V.m. Positionspapier der Aufsichtsbehörden in der AG „Internationaler Datenverkehr“ am 12./13.2.2007 v. 28.3.2007, Abschn. II.2, für die Übermittlung von Mitarbeiterdaten im Konzern.
702
|
Lang
Vertragstext
Rz. 22 Teil 5 I
1. Begriffsbestimmungen Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen: a) „personenbezogene Daten“, „besondere Kategorien personenbezogener Daten“, „Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Kontrollstelle“: es gelten die Begriffsbestimmungen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (nachstehend: Richtlinie); b) „Datenexporteur“: der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt; c) „Datenimporteur“: der für die Verarbeitung Verantwortliche, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten für die Verarbeitung gemäß den Bestimmungen dieser Vertragsklauseln entgegenzunehmen und der nicht an ein System eines Drittlandes gebunden ist, das angemessenen Schutz gewährleistet. 2. Einzelheiten der Übermittlung Die Einzelheiten der Übermittlung, insbesondere die Kategorien personenbezogener Daten und ihre Übermittlungszwecke, sind in Anlage 1 aufgeführt, die Bestandteil der Klauseln ist. 3. Drittbegünstigtenklausel Die betroffenen Personen können diese Klausel und die Klausel 4 Buchstaben b), c) und d), Klausel 5 Buchstaben a), b), c) und e), Klausel 6 Absätze 1 und 2 sowie Klauseln 7, 9 und 11 als Drittbegünstigte geltend machen. Die Parteien haben keine Einwände dagegen, dass die betroffenen Personen, sofern sie dies wünschen und das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtungen vertreten werden. 4. Pflichten des Datenexporteurs Der Datenexporteur verpflichtet sich und garantiert: a) dass die Verarbeitung der personenbezogenen Daten, einschließlich der Übermittlung durch ihn entsprechend den einschlägigen Vorschriften des Mitgliedstaates, in dem der Datenexporteur ansässig ist, erfolgt ist bzw. bis zum Zeitpunkt der Übermittlung erfolgen wird (ggf. einschließlich der Mitteilung an die zuständige Stelle dieses Mitgliedstaats) und dass sie nicht gegen die einschlägigen Vorschriften dieses Staates verstößt; b) dass die betroffene Person, sofern die Übermittlung besondere Datenkategorien einbezieht, davon in Kenntnis gesetzt worden ist oder vor der Übermittlung wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau bietet; Lang
|
703
Teil 5 I
Rz. 22
Standardvertrag I
c) dass er den betroffenen Personen auf Anforderung eine Kopie dieser Klauseln, wie sie vereinbart wurden, zur Verfügung stellt und d) Anfragen der Kontrollstelle bezüglich der Verarbeitung einschlägiger personenbezogener Daten durch den Datenimporteur sowie Anfragen betroffener Personen bezüglich der Verarbeitung ihrer personenbezogenen Daten durch den Datenimporteur innerhalb eines angemessenen Zeitraums und in zumutbarem Maße beantwortet. 5. Pflichten des Datenimporteurs Der Datenimporteur verpflichtet sich und garantiert: a) dass er seines Wissens keinen nationalen Gesetzen unterliegt, die ihm die Erfüllung seiner Vertragsverpflichtungen unmöglich machen und dass er im Fall einer Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf die Garantien auswirkt, die die Klauseln bieten, den Datenexporteur und die Kontrollstelle des Landes, in dem der Datenexporteur ansässig ist, hiervon informieren wird. In einem solchen Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten; b) dass er die personenbezogenen Daten verarbeitet in Übereinstimmung mit den verbindlichen Datenschutzgrundsätzen der Anlage 2 oder dass er, falls sich die Parteien durch Ankreuzen des entsprechenden Kästchens weiter unten ausdrücklich damit einverstanden erklärt haben und vorausgesetzt, dass die Verbindlichen Datenschutzgrundsätze der Anlage 3 beachtet werden, die Daten in jeder anderen Hinsicht verarbeitet in Übereinstimmung mit: l den einschlägigen nationalen Rechtsvorschriften (in der Anlage zu diesen Klauseln) zum Schutz der Grundrechte und -freiheiten natürlicher Personen, insbesondere des Rechts auf Schutz der Privatsphäre, im Hinblick auf die Verarbeitung personenbezogener Daten, die in dem Land, in dem der Datenexporteur ansässig ist, auf die für die Verarbeitung Verantwortlichen anzuwenden sind oder l den einschlägigen Bestimmungen in Entscheidungen der Kommission nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG, mit denen festgestellt wird, dass ein Drittland nur für bestimmte Tätigkeitsbereiche ein angemessenes Schutzniveau gewährleistet, vorausgesetzt, dass der Datenimporteur in diesem Drittland ansässig ist und nicht unter diese Bestimmungen fällt, sofern diese Bestimmungen dergestalt sind, dass sie auf die Übermittlung anwendbar sind; c) dass er alle sachdienlichen Anfragen, die sich auf die von ihm durchgeführte Verarbeitung der personenbezogenen Daten, die Gegenstand der Übermittlung sind, beziehen und die der Datenexporteur oder die betroffenen Personen an ihn richten, unverzüglich und genau bearbeitet und bei allen Anfragen der zuständigen Kontrollstelle mit dieser kooperiert und die Feststellung der Kontrollstelle im Hinblick auf die Verarbeitung der übermittelten Daten respektiert; 704
|
Lang
Vertragstext
Rz. 22 Teil 5 I
d) dass er auf Verlangen des Datenexporteurs seine für die Verarbeitung erforderlichen Datenverarbeitungseinrichtungen zur Prüfung zur Verfügung stellt; die Prüfung wird vom Datenexporteur oder einem vom Datenexporteur gegebenenfalls in Absprache mit der Kontrollstelle ausgewählten Prüfgremium durchgeführt, dessen Mitglieder unabhängig sind und über die erforderlichen Qualifikationen verfügen; e) dass er den betroffenen Personen auf Anfrage eine Kopie der Vertragsklauseln zur Verfügung stellt und die Stelle benennt, die für Beschwerden zuständig ist. 6. Haftung 1. Die Parteien vereinbaren, dass betroffene Personen, die durch eine Verletzung der Bestimmungen in Klausel 3 Schaden erlitten haben, berechtigt sind, von den Parteien Schadensersatz für den erlittenen Schaden zu verlangen. Die Parteien vereinbaren, dass sie nur von der Haftung befreit werden können, wenn sie nachweisen, dass keine von ihnen für die Verletzung dieser Bestimmungen verantwortlich ist. 2. Der Datenexporteur und der Datenimporteur vereinbaren, dass sie gesamtschuldnerisch für Schäden der betroffenen Personen haften, die durch eine Verletzung im Sinne von Absatz 1 entstehen. Im Falle einer Verletzung dieser Bestimmungen kann die betroffene Person gegen den Datenexporteur oder den Datemimporteur oder beide gerichtlich vorgehen. 3. Die Parteien vereinbaren, dass, wenn eine Partei haftbar gemacht wird für eine Verletzung im Sinne von Absatz 1 durch die andere Partei, die zweite Partei der ersten Partei alle Kosten, Schäden, Ausgaben und Verluste, die der ersten Partei entstanden sind, in dem Umfang ersetzt, in dem die zweite Partei haftbar ist. 7. Schlichtungsverfahren und Zuständigkeit 1. Die Parteien vereinbaren, dass sie im Falle einer Streitigkeit zwischen einer betroffenen Person und einer der Vertragsparteien, die unter Berufung auf die Drittbegünstigung nach Klausel 3 nicht auf gütlichem Wege beigelegt wird, die Entscheidung der betroffenen Person akzeptieren entweder: a) an einem Schlichtungsverfahren durch eine unabhängige Person oder ggf. durch die Kontrollstelle teilzunehmen; oder; b) den Streitfall den Gerichten des Mitgliedstaates zu unterbreiten, in dem der Datenexporteur ansässig ist. 2. Die Parteien vereinbaren, dass nach Absprache zwischen der betroffenen Person und der relevanten Partei die Klärung eines bestimmten Streitfalls einem Schiedsgericht unterbreitet werden kann, vorausgesetzt, dass diese Partei in einem Land ansässig ist, das das New-Yorker-Übereinkommen über die Vollstreckung von Schiedssprüchen ratifiziert hat. 3. Die Parteien vereinbaren, dass die Absätze 1 und 2 unbeschadet der materiellen oder Verfahrensrechte der betroffenen Person gelten, nach anderen Lang
|
705
Teil 5 I
Rz. 22
Standardvertrag I
Bestimmungen des nationalen oder internationalen Rechts Rechtsbehelfe einzulegen. 8. Zusammenarbeit mit Kontrollstellen Die Parteien verpflichten sich, eine Kopie dieses Vertrags bei der Kontrollstelle zu hinterlegen, wenn diese es verlangt oder das nationale Recht es so vorsieht. 9. Kündigung der Klauseln Die Parteien vereinbaren, dass sie durch die Kündigung dieser Klauseln, wann, unter welchen Umständen und aus welchen Gründen auch immer sie erfolgt, nicht von den Verpflichtungen und/oder Bestimmungen dieser Klauseln in Bezug auf die Verarbeitung der übermittelten Daten befreit werden. 10. Anwendbares Recht Für diese Klauseln gilt das Recht des Mitgliedstaates, in dem der Datenexporteur ansässig ist: … 11. Änderung des Vertrags Die Parteien verpflichten sich, den Wortlaut dieser Klauseln, wie sie vereinbart wurden, nicht zu ändern. Für den Datenexporteur: Name (ausgeschrieben): … Stellung: … Anschrift: … Ggf. weitere Angaben, die für das Vorliegen eines verbindlichen Vertrags erforderlich sind: … … (Unterschrift)
… (Stempel der Organisation)
Für den Datenimporteur: Name (ausgeschrieben): … Stellung: … Anschrift: … Ggf. weitere Angaben, die für das Vorliegen eines verbindlichen Vertrags erforderlich sind: … … (Unterschrift)
706
|
Lang
… (Stempel der Organisation)
Vertragstext
Rz. 22 Teil 5 I
Anlage 1 zu den Standardvertragsklauseln Diese Anlage ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden. Datenexporteur Der Datenexporteur ist (bitte erläutern Sie kurz Ihre Tätigkeiten, die für die Übermittlung von Belang sind): … … Datenimporteur Der Datenimporteur ist (bitte erläutern Sie kurz Ihre Tätigkeiten, die für die Übermittlung von Belang sind): … … Betroffene Personen Die übermittelten personenbezogenen Daten beziehen sich auf folgende Kategorien von betroffenen Personen (bitte erläutern): … … Übermittlungszwecke Die Übermittlung ist zu folgenden Zwecken erforderlich (bitte angeben): … … Kategorie übermittelter Daten Die übermittelten personenbezogenen Daten gehören zu folgenden Datenkategorien (bitte angeben): … … Sensible Daten (ggf.) Die übermittelten personenbezogenen Daten gehören zu folgenden Kategorien sensibler Daten (bitte angeben): … … Empfänger Die übermittelten personenbezogenen Daten dürfen nur folgenden Empfängern oder Kategorien von Empfängern bekannt gemacht werden (bitte angeben): … … Lang
|
707
Teil 5 I
Rz. 22
Standardvertrag I
Aufbewahrungszeitraum Die übermittelten personenbezogenen Daten dürfen nur (bitte angeben): … (Monate/Jahre) aufbewahrt werden. Datenexporteur
Datenimporteur
Name: …
Name: …
… (Unterschrift des/der Bevollmächtigten)
… (Unterschrift des/der Bevollmächtigten)
Anlage 2 zu den Standardvertragsklauseln Verbindliche Datenschutzgrundsätze im Sinne von Klausel 5 Buchstabe b) Absatz 1 Diese Datenschutzgrundsätze sind im Lichte der Bestimmungen (Grundsätze und entsprechende Ausnahmen) der Richtlinie 95/46/EG auszulegen. Sie gelten vorbehaltlich der nach den nationalen Rechtsvorschriften für den Datenimporteur geltenden zwingenden Anforderungen, die nicht weitergehen, als es in einer demokratischen Gesellschaft unter Zugrundelegung der in Artikel 13 Absatz 1 der Richtlinie 95/46/EG aufgeführten Interessen erforderlich ist; d.h. die Anforderungen müssen notwendig sein für die Sicherheit des Staates, die Landesverteidigung, die öffentliche Sicherheit, die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen oder den Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen. 1. Zweckbindung: Die Daten sind für die spezifischen Zwecke in Anlage 1 der Klauseln zu verarbeiten und anschließend zu verwenden oder weiter zu übermitteln. Die Daten dürfen nicht länger aufbewahrt werden, als es für die Zwecke erforderlich ist, für die sie übermittelt werden. 2. Datenqualität und -verhältnismäßigkeit: Die Daten müssen sachlich richtig und, wenn nötig, auf dem neuesten Stand sein. Sie müssen angemessen, relevant und im Hinblick auf die Zweckbestimmung, für die sie übertragen oder weiterverarbeitet werden, nicht exzessiv sein. 3. Transparenz: Die betroffenen Personen müssen Informationen über die Zweckbestimmungen der Verarbeitung und die Identität des im Drittland für die Verarbeitung Verantwortlichen sowie andere Informationen erhalten, sofern dies erforderlich ist, um eine angemessene Verarbeitung sicherzustellen, und sofern diese Informationen nicht bereits vom Datenexporteur erteilt wurden. 4. Sicherheit und Vertraulichkeit: Der für die Verarbeitung Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen gegen die Risiken der Verarbeitung zu treffen, bspw. gegen den unzulässigen Zugriff auf Daten. Alle unter die Verantwortung des für die Verarbeitung Verantwortlichen tätigen Personen, darunter auch Auftragsverarbei708
|
Lang
Vertragstext
Rz. 22 Teil 5 I
ter, dürfen die Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen verarbeiten. 5. Recht auf Zugriff, Berichtigung, Löschung und Widerspruch: Nach Artikel 12 der Richtlinie 95/46/EG muss die betroffene Person das Recht haben, auf alle sie betreffenden Daten, die verarbeitet werden, zuzugreifen sowie je nach Fall das Recht haben auf Berichtigung, Löschung oder Sperrung von Daten, deren Verarbeitung gegen die in dieser Anlage aufgeführten Grundsätze verstößt, insbesondere wenn diese Daten unvollständig oder unrichtig sind. Die betreffende Person muss auch aus zwingenden berechtigten Gründen, die mit ihrer persönlichen Situation zusammenhängen, Widerspruch gegen die Verarbeitung der sie betreffenden Daten einlegen können. 6. Beschränkung der Weiterübermittlung: Weiterübermittlungen personenbezogener Daten vom Datenimporteur an einen anderen für die Verarbeitung Verantwortlichen, der in einem Drittland ansässig ist, das weder angemessenen Schutz bietet noch unter eine von der Kommission gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassene Entscheidung fällt (nachstehend: Weiterübermittlung), dürfen nur stattfinden, wenn eine der folgenden Bedingungen erfüllt ist: a) Die betroffenen Personen haben der Weiterübermittlung eindeutig zugestimmt, falls bestimmte Datenkategorien betroffen sind, oder haben in anderen Fällen die Möglichkeit erhalten, sich dagegen auszusprechen. Die betroffenen Personen müssen mindestens folgende Informationen erhalten und zwar in einer Sprache, die sie verstehen: – die Zwecke der Weiterübermittlung, – die Identität des in der Gemeinschaft ansässigen Datenexporteurs, – die Kategorien weiterer Empfänger der Daten und Empfängerländer sowie – eine Erklärung darüber, dass die Daten, nach der Weiterübermittlung von einem für die Verarbeitung Verantwortlichen verarbeitet werden können, der in einem Land ansässig ist, das kein angemessenes Schutzniveau für die Privatsphäre des Einzelnen gewährleistet; oder b) der Datenexporteur und der Datenimporteur stimmen dem Beitritt eines weiteren, für die Verarbeitung Verantwortlichen zu den Klauseln zu, der dadurch zu einer Partei dieser Klauseln wird und dieselben Verpflichtungen wie der Datenimporteur eingeht. 7. Besondere Datenkategorien: Werden Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie Daten über Gesundheit oder Sexualleben und Daten über Straftaten, strafrechtliche Verurteilungen oder Sicherheitsmaßnahmen verarbeitet, so sollten zusätzliche Garantien entsprechend der Richtlinie 95/46/EG vorliegen, insbesondere angemessene Sicherheitsmaßnahmen wie die strenge VerschlüsseLang
|
709
Teil 5 I
Rz. 22
Standardvertrag I
lung für Übermittlungszwecke oder Aufzeichnungen über Zugriffe auf sensible Daten. 8. Direktmarketing: Werden Daten zum Zwecke des Direktmarketings verarbeitet, müssen wirksame Verfahren vorgesehen sein, die der betroffenen Person jederzeit die Möglichkeit des „Opt-out“ geben, so dass sie sich gegen die Verwendung ihrer Daten für derartige Zwecke entscheiden kann. 9. Automatisierte Einzelentscheidungen: Die betroffenen Personen haben das Recht, keiner Entscheidung unterworfen zu werden, die allein auf der automatisierten Datenverarbeitung beruht, wenn keine anderen Maßnahmen zur Wahrung der berechtigten Interessen der Person nach Artikel 15 Absatz 2 der Richtlinie 95/46/EG ergriffen werden. Erfolgt die Übermittlung mit dem Ziel eine automatisierte Einzelentscheidung im Sinne von Artikel 15 Richtlinie 95/46/EG, d.h. eine Entscheidung, die rechtliche Folgen für die Person nach sich zieht oder sie erheblich beeinträchtigt und die ausschließlich aufgrund einer automatisierten Verarbeitung von Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person ergeht, wie bspw. ihrer beruflichen Leistungsfähigkeit, ihrer Kreditwürdigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens usw., zu treffen, so muss die natürliche Person das Recht haben, die Gründe für diese Entscheidung zu erfahren. Anlage 3 zu den Standardvertragsklauseln Verbindliche Datenschutzgrundsätze im Sinne von Klausel 5 Buchstabe b) Absatz 2 1. Zweckbindung: Die Daten sind für die spezifischen Zwecke in Anlage 1 der Klauseln zu verarbeiten und anschließend zu verwenden oder weiter zu übermitteln. Die Daten dürfen nicht länger aufbewahrt werden, als es für die Zwecke erforderlich ist, für die sie übermittelt werden. 2. Recht auf Zugriff, Berichtigung, Löschung und Widerspruch: Nach Artikel 12 der Richtlinie 95/46/EG muss die betroffene Person das Recht haben, auf alle sie betreffenden Daten, die verarbeitet werden, zuzugreifen sowie je nach Fall das Recht haben auf Berichtigung, Löschung oder Sperrung von Daten, deren Verarbeitung gegen die in dieser Anlage aufgeführten Grundsätze verstößt, insbesondere wenn diese Daten unvollständig oder unrichtig sind. Die betreffende Person muss auch aus zwingenden berechtigten Gründen, die mit ihrer persönlichen Situation zusammenhängen, Widerspruch gegen die Verarbeitung der sie betreffenden Daten einlegen können. 3. Beschränkung der Weiterübermittlung: Weiterübermittlungen personenbezogener Daten vom Datenimporteur an einen anderen für die Verarbeitung Verantwortlichen, der in einem Drittland ansässig ist, das weder angemessenen Schutz bietet noch unter eine von der Kommission gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassene Entscheidung fällt (nachstehend: Weiterübermittlungen), dürfen nur stattfinden, wenn eine der folgenden Bedingungen erfüllt ist: 710
|
Lang
Rz. 25 Teil 5 I
Erläuterungen
a) Die betroffenen Personen haben der Weiterübermittlung ausdrücklich zugestimmt, falls bestimmte Datenkategorien betroffen sind, oder haben in anderen Fällen die Möglichkeit erhalten, sich dagegen auszusprechen. Die betroffenen Personen müssen mindestens folgende Informationen erhalten und zwar in einer Sprache, die sie verstehen: – die Zwecke der Weiterübermittlung, – die Identität des in der Gemeinschaft ansässigen Datenexporteurs, – die Kategorien weiterer Empfänger der Daten und Empfängerländer sowie – eine Erklärung darüber, dass die Daten, nach der Weiterübermittlung von einem für die Verarbeitung Verantwortlichen verarbeitet werden können, der in einem Land ansässig ist, das kein angemessenes Schutzniveau für die Privatsphäre des Einzelnen gewährleistet; oder b) der Datenexporteur und der Datenimporteur stimmen dem Beitritt eines weiteren, für die Verarbeitung Verantwortlichen zu den Klauseln zu, der dadurch zu einer Partei dieser Klauseln wird und dieselben Verpflichtungen wie der Datenimporteur eingeht.
C. Erläuterungen I. Inhalt und Aufbau von Standardvertrag I Die Standardvertragsklauseln sind im Wesentlichen gleichartig aufgebaut. Sie bestehen aus dem Mustervertragstext mit den Regelungen der Rechte und Pflichten der Vertragsparteien. Davon umfasst sind u.a. die Haftung von Datenexporteur und Datenimporteur, die Zusammenarbeit mit den Kontrollstellen, die Rechte der Betroffenen in Form einer Drittbegünstigungsklausel und das anwendbare Recht. Die verbindlichen Datenschutzgrundsätze und die zu konkretisierenden Informationen und Besonderheiten der geplanten Datenübermittlung finden im Wesentlichen in den jeweiligen Anlagen Berücksichtigung.
23
Die Gliederung des Musters entspricht dem von der EU-Kommission verabschiedeten Standardvertrag I. Sie wurde unverändert beibehalten, um eine einfachere Orientierung und eine Nutzung des im Amtsblatt der EU veröffentlichten Dokuments zu ermöglichen.
24
II. Erläuterung der einzelnen Klauseln 1. Erläuterungen zur Bezeichnung der Vertragsparteien und zur Präambel E Präambel
25
Bezeichnung der Daten exportierenden Organisation: … Adresse: … Lang
|
711
Teil 5 I
Rz. 26
Standardvertrag I
Tel.: …, Fax: …, E-Mail: … Weitere Angaben zur Identifizierung der Organisation:… (nachstehend: Datenexporteur) und Bezeichnung der Daten importierenden Organisation: … Adresse: … Tel.: …, Fax: …, E-Mail: … Weitere Angaben zur Identifizierung der Organisation: … (nachstehend: Datenimporteur) vereinbaren folgende Vertragsklauseln (nachstehend: Klauseln), um ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen für die Übermittlung der in Anlage 1 zu diesen Vertragsklauseln spezifizierten personenbezogenen Daten vom Exporteur an den Importeur bereitzustellen. 26
Der Standardvertrag I beginnt mit der genauen Bezeichnung der Vertragsparteien und Angaben wie Adresse, Telefonnummer, Faxnummer und E-MailAdresse, die zur näheren Bestimmung und Identifizierung der Vertragsparteien dienen sollen. Weitere Angaben zur Identifizierung der Vertragsparteien sollten ergänzt werden, soweit es zu diesem Zweck erforderlich und sinnvoll ist. Schließlich sollten die Begriffe „Partei“ und „Parteien“ als Bezeichnung für den Datenimporteur oder den Datenexporteur bzw. für beide gemeinsam aufgenommen werden, da diese Termini im Standardvertrag I mehrfach zu finden sind, z.B. in Klausel 6. Diese Ergänzung des Standardvertrags I begründet keine Genehmigungspflicht hinsichtlich der Datenübermittlung (siehe Rz. 18, 20 f.).
27
Die Vertragsparteien werden je nach Stellung als Datenexporteur und Datenimporteur bezeichnet. Der in der EU angesiedelte Datenexporteur übermittelt als für die Datenverarbeitung Verantwortlicher personenbezogene Daten an den ebenfalls für die Datenverarbeitung verantwortlichen Datenimporteur, der seinen Sitz in einem Drittland hat. Die Begriffsbestimmungen für „Datenimporteur“ und „Datenexporteur“ enthält Klausel 1 Buchst. b) und c) des Standardvertrags I (Erläuterung zur Klausel 1 Buchst. b) und c) siehe Rz. 37).
a) Vertragsparteien bei der Datenweitergabe im Konzern 28
Bei weltweiten Datenübermittlungen innerhalb eines Konzerns, z.B. im Rahmen eines konzernweiten Datenverarbeitungssystems, kommt der Frage, welche Stellen des Konzerns in der EU Datenexporteur sind und damit Vertragsparteien werden müssen, eine besondere Bedeutung zu. Die deutschen Datenschutzaufsichtsbehörden stellen auf die tatsächliche Entscheidungsbefugnis im Hinblick auf die Datenübermittlung in die Drittländer ab. Es sei grundsätzlich davon auszugehen, dass die Entscheidungsbefugnis bei der jeweiligen datenverarbeitenden Stelle in der EU verbleibt, von der die Daten stammen. 712
|
Lang
Erläuterungen
Rz. 31 Teil 5 I
Kommen mehrere datenverarbeitende Stellen in der EU in Betracht, die personenbezogene Daten an eine Stelle in einem Drittland übermitteln, sind diese übermittelnden Stellen als Datenexporteure zu qualifizieren und müssen als solche Vertragsparteien des Standardvertrags werden. Die Verwendung von Standardvertragsklauseln mit mehr als zwei Vertragsparteien ist grundsätzlich möglich1. Dabei sind jedoch einige Besonderheiten zu beachten, die in Abschnitt b (siehe Rz. 34 ff.) erläutert werden. Liegt die Verantwortung für die Entscheidung über den Datenexport in Drittländer dagegen bei der Konzernmutter oder einer bestimmten Niederlassung, ist nur die Konzernmutter bzw. die bestimmte Niederlassung übermittelnde Stelle i.S.d. §§ 4b und 4c BDSG und somit Datenexporteur im Sinne der Standardvertragsklauseln. Von den Unternehmen ist darzulegen, ob die vorstehend umschriebene Verantwortung bei einer Stelle liegt oder auf mehrere bzw. alle Niederlassungen verteilt ist2.
29
Anhand dieser Kriterien haben die deutschen Datenschutzaufsichtsbehörden diverse Einzelfälle entschieden. Übermittelt bspw. eine zu einem US-Konzern gehörige GmbH mit Sitz in Deutschland personenbezogene Daten von Mitarbeitern ihrer Kunden an die Europazentrale des US-Konzerns in London, die sich für eine Datenverarbeitung in Drittländern entscheidet, ist die Europazentrale die datenexportierende Stelle. In einem weiteren von den deutschen Aufsichtsbehörden behandelten Fall wurde eine Konzernmutter in Deutschland als datenexportierende Stelle für den weltweiten konzerninternen Datentransfer angesehen, da sämtliche personenbezogenen Daten von den europäischen Tochtergesellschaften in eine zentrale Datenbank bei der Konzernmutter übermittelt wurden und anschließend die Konzernmutter über Inhalt und Umgang mit dieser Datenbank sowie über die Datenübermittlungen an die Tochtergesellschaften, insbesondere auch in Drittländer entschieden hat3.
30
Eine weitere Besonderheit bei weltweiten Datenübermittlungen innerhalb eines Konzerns besteht in Fällen rechtlich unselbständiger Niederlassungen. Sie
31
1 Vgl. nur Landesregierung Hessen, Dreiundzwanzigster Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 18/2942, Abschn. 11.2 (S. 19); Working Paper der Artikel-29-Datenschutzgruppe der EU-Kommission, Arbeitsdokument: Übermittlung personenbezogener Daten in Drittländer: Anwendung von Artikel 26 Absatz 2 der EUDatenschutzrichtlinie auf verbindliche unternehmensinterne Vorschriften für den internationalen Datentransfer v. 3.6.2003, Dok. 11639/02/DE – WP 74, Abschn. 2 (S. 6); abrufbar unter http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2003/wp74_de.pdf (Stand 31.8.2013); Taeger/Gabel/Gabel, § 4c BDSG Rz. 25. 2 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) am 19./20.4.2007 (Internationaler Datenverkehr) i.V.m. Positionspapier der Aufsichtsbehörden in der AG „Internationaler Datenverkehr“ am 12./13.2.2007 v. 28.3.2007, Abschn. I.1 und 2; vgl. auch Landesregierung Hessen, Zwanzigster Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 16/7646, Abschn. 9.1 (S. 17 f.); Hillenbrand-Beck, RDV 2007, 231 (231 f.). 3 Landesregierung Hessen, Zwanzigster Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 16/7646, Abschn. 9.1 (S. 17 f.)
Lang
|
713
Teil 5 I
Rz. 32
Standardvertrag I
können nach Auffassung der deutschen Aufsichtsbehörden entsprechend den oben in Rz. 28 f. dargestellten Kriterien auch datenexportierende Stellen i.S.d. §§ 4b und 4c BDSG sein. Das gebiete eine richtlinienkonforme Auslegung ungeachtet des Umstands, dass es sich um keine Übermittlung handelt, wenn von der unselbständigen Niederlassung in Deutschland personenbezogene Daten an das in einem Drittland ansässige Unternehmen weitergegeben werden1. 32
Allerdings scheidet eine vertragliche Lösung zur Schaffung angemessener Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte i.S.d. § 4c Abs. 2 Satz BDSG grundsätzlich aus. Der Abschluss von Standardvertragsklauseln ist als Insichgeschäft nicht möglich. Ungeachtet dessen können die (Vorteile der) Standardverträge I und II genutzt werden. Die von den Aufsichtsbehörden vorgeschlagene Lösung basiert auf Nutzung der Standardvertragsklauseln flankiert von weiteren Maßnahmen zur Herstellung der internen und externen Verbindlichkeit wie sie für Unternehmensregeln zum Drittländertransfer aufgestellt worden sind2. Hierzu wird bspw. eine zugangs-, aber nicht annahmebedürftige Garantieerklärung durch den Datenimporteur gezählt, die je nach betroffenem Personenkreis z.B. im Internet oder Intranet veröffentlicht oder anderweitig zugänglich gemacht werden muss. Auf diese Weise soll im Wege eines Garantievertrags mit den von der Datenübermittlung Betroffenen vor allem zu deren Gunsten die rechtliche Verbindlichkeit geschaffen werden, die mit einem bloßen Abschluss des Standardvertrags wegen des Charakters als Insichgeschäft nicht hergestellt werden kann3.
33
Dieses Vorgehen, also die Nutzung der Standardvertragsklauseln flankiert von weiteren Maßnahmen zur Herstellung der internen und externen Verbindlichkeit wie sie für Unternehmensregeln zum Drittländertransfer aufgestellt worden sind, ist auch aus Sicht der Aufsichtsbehörden grundsätzlich weder geneh1 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) am 19./20.4.2007 (Internationaler Datenverkehr) i.V.m. Positionspapier der Aufsichtsbehörden in der AG „Internationaler Datenverkehr“ am 12./13.2.2007 v. 28.3.2007, Abschn. I.3. 2 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) am 19./20.4.2007 (Internationaler Datenverkehr) i.V.m. Positionspapier der Aufsichtsbehörden in der AG „Internationaler Datenverkehr“ am 12./13.2.2007 v. 28.3.2007, Abschn. I.4; zur Herstellung der Verbindlichkeit von Unternehmensregeln vgl. Working Paper der Artikel-29-Datenschutzgruppe der EU-Kommission, Arbeitsdokument „Muster-Checkliste für Anträge auf Genehmigungen verbindlicher unternehmensinterner Datenschutzregelungen“ v. 14.4.2005, Dok. 05/DE – WP 108, Abschn. 5 (S. 5 ff.); abrufbar unter http://ec.europa.eu/justice/policies/privacy/ docs/wpdocs/2005/wp108_de.pdf (Stand 31.8.2013). 3 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) am 19./20.4.2007 (Internationaler Datenverkehr) i.V.m. Positionspapier der Aufsichtsbehörden in der AG „Internationaler Datenverkehr“ am 12./13.2.2007 v. 28.3.2007, Abschn. I.4; Hillenbrand-Beck, RDV 2007, 231 (231 f.); Landesregierung Hessen, Neunzehnter Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 16/5892, Abschn. 11.2 (S. 26 f.); Zwanzigster Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 16/7646, Abschn. 9.1 (S. 18).
714
|
Lang
Erläuterungen
Rz. 34 Teil 5 I
migungs- noch vorlagepflichtig1. Aus Gründen der Rechtssicherheit sollte jedoch die jeweils zuständige Datenschutzaufsichtsbehörde konsultiert werden (siehe Rz. 20 f.). Das gilt auch für etwaige zusätzliche Konsultations- und Genehmigungspflichten im EU-Ausland, da nicht sicher ist, ob die anderen europäischen Aufsichtsbehörden die Auffassung der deutschen Datenschutzaufsichtsbehörden teilen2.
b) Mehrparteienverhältnis beim Standardvertrag I Standardvertragsklauseln können grundsätzlich auch genutzt werden, wenn mehr als zwei Parteien an der Datenübermittlung beteiligt sind3. Dabei sind die aus dem Mehrparteienverhältnis folgenden Besonderheiten zu beachten und vertraglich abzubilden. Die im Rahmen der Standardvertragsklauseln vorzunehmende Konkretisierung ist für jede einzelne Vertragspartei entsprechend ihrer Rolle – entweder als Datenimporteur oder Datenexporteur oder ggf. beides – sorgfältig zu prüfen und umzusetzen. Das gilt insbesondere für die jeweilige Rolle der Vertragspartei, die Art und den Umfang der Datenübermittlung sowie den Zweck der Datenverarbeitung4. Das wird sich aufgrund des Mehrparteienverhältnisses regelmäßig nicht im Wege einfacher Vertragskonstruktionen, z.B. durch eine Auflistung der Vertragsparteien entsprechend ihrer Rollen, sondern nur durch komplexe Vertragskonstrukte lösen lassen. Es sind z.B. Verträge denkbar, bei denen Stellen sowohl als verantwortliche Stelle (Controller) als auch als Auftragsverarbeiter (Processor) tätig sind. In diesem Fall bedarf es einer zweifelsfreien konkreten Zuordnung der einschlägigen Standardvertragsklauseln zu der jeweiligen Datenübermittlung (zu den verschiedenen Arten von Standardvertragsklauseln siehe Rz. 12 ff.). Zudem kann es in dieser Konstellation zu einer – den jeweiligen Datenübermittlungen entsprechenden – Vielzahl von Anhängen zu den Standardvertragsklauseln kommen. Hier ist es angezeigt, den Standardvertragsklauseln einen Haupt- bzw. Rahmenvertrag mit Vorgaben zur praktischen Umsetzung voranzustellen, zu dem die jeweils 1 So ausdrücklich Landesregierung Hessen, Neunzehnter Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 16/5892, Abschn. 11.2 (S. 27), bestätigt in: Landesregierung Hessen, Zwanzigster Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 16/7646, Abschn. 9.1 (S. 18). 2 So auch Taeger/Gabel/Gabel, § 4b BDSG Rz. 28. 3 Vgl. nur Landesregierung Hessen, Dreiundzwanzigster Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 18/2942, Abschn. 11.2 (S. 19); Working Paper der Artikel-29-Datenschutzgruppe der EU-Kommission, Arbeitsdokument: Übermittlung personenbezogener Daten in Drittländer: Anwendung von Artikel 26 Absatz 2 der EUDatenschutzrichtlinie auf verbindliche unternehmensinterne Vorschriften für den internationalen Datentransfer v. 3.6.2003, Dok. 11639/02/DE – WP 74, Abschn. 2 (S. 6); abrufbar unter http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2003/wp74_de.pdf (Stand 31.8.2013); Taeger/Gabel/Gabel, § 4c BDSG Rz. 25. 4 Vgl. auch EU-Kommission (Hrsg.), Commission Staff Working Document on the implementation of the Commission decisions on standard contractual clauses for the transfer of personal data to third countries (2001/497/EC and 2002/16/EC), SEC(2006) 95 v. 20.1.2006, S. 8.
Lang
|
715
34
Teil 5 I
Rz. 35
Standardvertrag I
einschlägigen Standardvertragsklauseln als Anlage genommen werden1. Diese Vorgehensweise ist auch nach Auffassung der deutschen Aufsichtsbehörden zulässig, ohne dass die Genehmigungsfreiheit für die Datenübermittlung in Frage gestellt wird2. 35
Kommen die Standardvertragsklauseln vollständig und inhaltlich unverändert zum Einsatz, ist die Datenübermittlung auch bei mehr als zwei Vertragsparteien genehmigungsfrei. Allerdings legen die Datenschutzaufsichtsbehörden insoweit einen strengen Maßstab an. Zwar werden die zwingend erforderlichen redaktionellen Änderungen akzeptiert, die dem Umstand Rechnung tragen, dass mehr als ein Datenimporteur und ein Datenexporteur Vertragsparteien sind. Handelt es sich allerdings um so umfangreiche Änderungen, dass deren ausschließlich redaktioneller Charakter erst durch eine eingehende Prüfung festgestellt werden kann, ist im Zweifel von einer Genehmigungspflicht auszugehen; entscheidend sei, ob auf den ersten Blick erkennbar bleibt, dass der Standardvertrag unverändert gilt3. Aus Gründen der Rechtssicherheit sollte die zuständige Datenschutzaufsichtsbehörde konsultiert werden4. Schließlich ist bei einer Vertragsgestaltung mit einem Haupt- bzw. Rahmenvertrag eine klarstellende Regelung angezeigt, wonach die Standardvertragsklauseln inhaltlich unberührt bleiben und die Interpretation der Standardvertragsklauseln maßgeblich ist5.
2. Erläuterungen zu Klausel 1 36
E 1. Begriffsbestimmungen Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen: a) „personenbezogene Daten“, „besondere Kategorien personenbezogener Daten“, „Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Kontrollstelle“: es gelten die Begriffsbestimmungen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (nachstehend: Richtlinie); b) „Datenexporteur“: der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt; c) „Datenimporteur“: der für die Verarbeitung Verantwortliche, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten für die Ver1 Das Muster eines solchen Rahmenvertrags wird kommentiert in Teil 5 IV. 2 Landesregierung Hessen, Dreiundzwanzigster Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 18/2942, Abschn. 11.2 (S. 19). 3 Landesregierung Hessen, Dreiundzwanzigster Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 18/2942, Abschn. 11.2 (S. 19); zur Genehmigungsfreiheit insgesamt s. Rz. 17 ff. 4 S. Rz. 20 f.; zur Frage der zuständigen Datenschutzaufsichtsbehörde (Kontrollstelle) s. Rz. 107. 5 Für ein Beispiel einer entsprechende Regelung s. Teil 5 IV Rz. 40.
716
|
Lang
Erläuterungen
Rz. 40 Teil 5 I
arbeitung gemäß den Bestimmungen dieser Vertragsklauseln entgegenzunehmen und der nicht an ein System eines Drittlandes gebunden ist, das angemessenen Schutz gewährleistet. Klausel 1 enthält die Begriffsbestimmungen, die im Rahmen des Standardvertrags I gelten. Die Bestimmungen der Termini „personenbezogene Daten“, „besonderen Kategorien personenbezogener Daten“, „Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Kontrollstelle“ entsprechen den Definitionen in der Richtlinie 94/46/EG. Darüber hinaus werden die Begriffe des Datenexporteuers und des Datenimporteurs definiert. Der in der EU angesiedelte Datenexporteur übermittelt als für die Datenverarbeitung Verantwortlicher personenbezogene Daten an den ebenfalls für die Datenverarbeitung verantwortlichen Datenimporteur, der seinen Sitz in einem Drittland hat. Eine Mehrzahl von Datenexporteuren und Datenimporteuren ist möglich1.
37
3. Erläuterungen zu Klausel 2 und Anlage 1 zum Standardvertrag I a) Erläuterungen zu Klausel 2 E 2. Einzelheiten der Übermittlung
38
Die Einzelheiten der Übermittlung, insbesondere die Kategorien personenbezogener Daten und ihre Übermittlungszwecke, sind in Anlage 1 aufgeführt, die Bestandteil der Klauseln ist. Klausel 2 regelt die Einzelheiten der Übermittlung personenbezogener Daten im Wege eines Verweises auf Anlage 1 des Standardvertrags I, die nachfolgend erläutert wird.
39
b) Erläuterungen zu Anlage 1 zum Standardvertrag I E Anlage 1 zu den Standardvertragsklauseln
40
Diese Anlage ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden. Datenexporteur Der Datenexporteur ist (bitte erläutern Sie kurz Ihre Tätigkeiten, die für die Übermittlung von Belang sind): … … Datenimporteur Der Datenimporteur ist (bitte erläutern Sie kurz Ihre Tätigkeiten, die für die Übermittlung von Belang sind): 1 Zu den Rollen des Datenexporteurs und des Datenimporteurs in Konzernen und Mehrparteienverhältnissen s. Rz. 28 ff. und Rz. 34 ff.
Lang
|
717
Teil 5 I
Rz. 40
Standardvertrag I
… … Betroffene Personen Die übermittelten personenbezogenen Daten beziehen sich auf folgende Kategorien von betroffenen Personen (bitte erläutern): … … Übermittlungszwecke Die Übermittlung ist zu folgenden Zwecken erforderlich (bitte angeben): … … Kategorie übermittelter Daten Die übermittelten personenbezogenen Daten gehören zu folgenden Datenkategorien (bitte angeben): … … Sensible Daten (ggf.) Die übermittelten personenbezogenen Daten gehören zu folgenden Kategorien sensibler Daten (bitte angeben): … … Empfänger Die übermittelten personenbezogenen Daten dürfen nur folgenden Empfängern oder Kategorien von Empfängern bekannt gemacht werden (bitte angeben): … … Aufbewahrungszeitraum Die übermittelten personenbezogenen Daten dürfen nur (bitte angeben): … (Monate/Jahre) aufbewahrt werden. Datenexporteur
Datenimporteur
Name: …
Name: …
… (Unterschrift des/der Bevollmächtigten)
… (Unterschrift des/der Bevollmächtigten)
718
|
Lang
Erläuterungen
Rz. 45 Teil 5 I
Anlage 1 des Standardvertrags ist Bestandteil der Standardvertragsklauseln. Sie muss von den Vertragsparteien den Vorgaben entsprechend ergänzt und – separat – unterschrieben werden.
41
Von der Möglichkeit der EU-Mitgliedstaaten, weitere Informationen als erforderlich zu bestimmen oder zu spezifizieren1, hat Deutschland keinen Gebrauch gemacht.
42
Die in Anlage 1 zu ergänzenden Informationen sind soweit wie möglich zu präzisieren, um die erforderliche Bestimmtheit zu gewährleisten. Der zuweilen vertretenen Ansicht, etwas allgemeinere Ausführungen können bei zukünftigen Änderungen der tatsächlichen Umstände dazu dienen, eine Neufassung der Anlagen zu vermeiden2, kann nicht gefolgt werden. Die Kategorien betroffener Personen und Daten, die Übermittlungszwecke und die Empfänger der Daten müssen so bestimmt gefasst werden, dass sie eine konkrete Umsetzung der vereinbarten Vorgaben gemäß den Standardvertragsklauseln ermöglichen. Das gilt insbesondere mit Blick auf den in Ziffer 1 der Anlage 2 und Ziffer 1 der Anlage 3 des Standardvertrags festgeschriebenen Zweckbindungsgrundsatz. Neben den Vertragsparteien müssen auch die zuständige Aufsichtsbehörde im Rahmen ihrer Kontrolltätigkeit und nicht zuletzt die Betroffenen erkennen können, ob ihre Daten und welche Kategorien von Daten von der Übermittlung erfasst sind, zu welchem Zweck der Datentransfer erfolgt und an welche Stelle die Daten übermittelt werden. Allgemeine Umschreibungen wie z.B. „Daten zur Personalverwaltung“ oder „Daten zur Kundenbetreuung“ für die Datenkategorien reichen nicht aus. Zur Vermeidung späterer Vertragsergänzungen ist es jedoch möglich, zeitlich absehbare Entwicklungen wie z.B. eine (konkrete) Erweiterung der Datenkategorien oder der Übermittlungszwecke bereits zum Zeitpunkt des Vertragsschluss zu berücksichtigen.
43
Folgende Informationen zur Datenübermittlung sind von den Vertragsparteien zu konkretisieren.
aa) Datenexporteur und Datenimporteur Der Datenexporteur und der Datenimporteur müssen jeweils ihre Tätigkeiten erläutern, die für die Datenübermittlung relevant sind. Diese Informationen können zwar kurz gehalten werden. Sie müssen aber die Tätigkeiten hinreichend erkennen lassen, mit denen die Übermittlung der Daten verbunden ist bzw. für die sie erfolgt.
44
bb) Betroffene Personen Es sind die Kategorien von Personen anzugeben, auf die sich die personenbezogenen Daten beziehen, die übermittelt werden. Betroffene Personen können bspw. sein: 1 Erwägungsgrund 9 Satz 2 der Entscheidung 2001/497/EG; vgl. auch Satz 2 in Klammern der Anlage 1 zu den Standardvertragsklauseln im Anhang der Entscheidung 2001/497/EG in ABl. L 181 v. 4.7.2001, S. 19, 28. 2 Hoeren, RDV 2012, 271 (277).
Lang
|
719
45
Teil 5 I
Rz. 46
Standardvertrag I
– Teilnehmer einer Meinungsumfrage, die sich hierfür registriert haben, – Arbeitnehmer des Datenexporteuers oder eines anderen Unternehmens oder – Bestandskunden oder zu werbende Neukunden (Interessenten) des Datenexporteurs oder eines anderen Unternehmens.
cc) Übermittlungszwecke 46
Es sind die Zwecke anzugeben, zu denen die Datenübermittlung erforderlich ist. Da die Einzelheiten der Übermittlung personenbezogener Daten in Anlage 1 über den Verweis in Klausel 2 des Standardvertrags I abschließend geregelt werden, darf eine Datenübermittlung nach Vertragsschluss nur zu den in Anlage 1 vereinbarten Zwecken erfolgen. Vor diesem Hintergrund sollten die Vertragsparteien prüfen, ob alle in Betracht kommenden Zwecke berücksichtigt wurden. Anderenfalls wird eine nachträgliche Vertragsänderung erforderlich. Allerdings sollte dieser Aspekt nicht zur Beliebigkeit bei der Angabe der Zwecke führen. Vielmehr müssen die Zwecke tatsächlich relevant und einschlägig sein1. Schließlich darf es sich nur um Zwecke handeln, zu denen die Datenübermittlung erforderlich ist, also um Zwecke, die ohne die Übermittlung der personenbezogenen Daten nicht erreicht werden können.
dd) Kategorie übermittelter Daten 47
Es sind die Kategorien der personenbezogenen Daten aufzulisten, die übermittelt werden sollen. Gibt es mehrere Kategorien von Personen, auf die sich die zu übermittelnden personenbezogenen Daten beziehen, ist schon aus Gründen der Transparenz eine entsprechende Zuordnung vorzunehmen. Eine konkrete Aufschlüsselung könnte bspw. wie folgt vorgenommen werden: – Daten von Arbeitnehmern des Datenexporteuers oder eines anderen Unternehmens: Nachname, Vorname, Unternehmen, Bereich, Personalnummer – Daten von Teilnehmern einer Meinungsumfrage, die sich hierfür registriert haben: Nachname, Vorname, Stadt, Telefonnummer
48
Sind auch sensible Daten i.S.v. Art. 8 Abs. 1 Richtlinie 95/46/EG bzw. die entsprechenden besonderen Arten personenbezogener Daten gemäß der Legaldefinition in § 3 Abs. 9 BDSG betroffen, sind diese in dem hierfür vorgesehenen Feld in Anlage 1 des Standardvertrags I separat aufzuführen (dazu siehe Rz. 49).
ee) Sensible Daten 49
Umfassen die personenbezogenen Daten, die übermittelt werden sollen, auch Angaben, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder Daten über die Gesundheit und das Sexualleben, handelt es sich um besondere Kategorien personenbezogener Daten i.S.v. Art. 8 Abs. 1 Richtlinie 95/46/EG bzw. die entsprechenden besonderen Arten per1 Insoweit missverständlich Räther/Seitz, MMR 2002, 520 (523).
720
|
Lang
Erläuterungen
Rz. 54 Teil 5 I
sonenbezogener Daten gem. § 3 Abs. 9 BDSG1. Das folgt aus Nr. 7 der Anlage 2 des Standardvertrags I mit der Bezugnahme auf die Richtlinie 95/46/EG im Zusammenspiel mit Art. 3 Buchst. b der Entscheidung 2001/497/EG, wenngleich weder die Richtlinie 95/46/EG noch der Standardvertrag I eine Definition des Begriffs „sensible Daten“ enthalten. Die vorstehend umschriebenen Daten bzw. Datenarten sind in Anlage 1 gesondert auszuweisen.
ff) Empfänger Es ist der Kreis der Personen bzw. der Kategorien der Personen zu bestimmen, denen die personenbezogenen Daten übermittelt werden sollen. Bei der Durchführung des Vertrags dürfen die Daten allein den an dieser Stelle des Standardvertrags I genannten Empfängern bzw. Kategorien von Empfängern bekannt gemacht werden. Eine spätere Erweiterung oder Verkleinerung des Empfängerkreises macht eine nachträgliche Vertragsänderung erforderlich.
50
gg) Aufbewahrungszeitraum Es ist die Zeitspanne anzugeben, wie lange die übermittelten Daten vom Datenimporteur aufbewahrt werden dürfen. Mit dem in Monaten und Jahren zu bestimmenden Aufbewahrungszeitraum wird zugleich die Löschfrist für die zu übermittelnden Daten festgelegt.
51
4. Erläuterungen zu Klausel 3 E 3. Drittbegünstigtenklausel
52
Die betroffenen Personen können diese Klausel und die Klausel 4 Buchstaben b), c) und d), Klausel 5 Buchstaben a), b), c) und e), Klausel 6 Absätze 1 und 2 sowie Klauseln 7, 9 und 11 als Drittbegünstigte geltend machen. Die Parteien haben keine Einwände dagegen, dass die betroffenen Personen, sofern sie dies wünschen und das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtungen vertreten werden. Klausel 3 Satz 1 des Standardvertrags I enthält die auch als solche bezeichnete Drittbegünstigtenklausel. Diese Regelung räumt den betroffenen Personen, die nicht Vertragspartei sind, eine Vielzahl von Rechten ein und macht sie damit zu Drittbegünstigten. Der Standardvertrag I ist insoweit als Vertrag zugunsten Dritter einzuordnen. Zu den durch die Bezugnahme auf die entsprechenden Regelungen abschließend aufgeführten Rechten zählen bspw. die Information vor Übermittlung besonderer Datenkategorien, die Zurverfügungstellung einer Kopie des konkret geschlossenen Standardvertrags I, die Auskunft über die Datenverarbeitung des Datenimporteurs und Schadensersatz.
53
Die Drittbegünstigtenklausel ruft insbesondere bei amerikanischen Unternehmen Vorbehalte gegenüber den Standardvertragsklauseln hervor, da ein Vertrag
54
1 Zu den besonderen Kategorien bzw. Arten personenbezogener Daten s. Dammann/Simitis, Art. 8 Rz. 1 ff.; Gola/Schomerus, § 3 BDSG Rz. 18; Simitis/Simitis, § 3 BDSG Rz. 250.
Lang
|
721
Teil 5 I
Rz. 55
Standardvertrag I
zugunsten Dritter im angloamerikanischen Rechtsraum nicht gleichermaßen wie im kontinentaleuropäischen Rechtkreis anerkannt ist. 55
Satz 2 der Klausel 3 enthält schließlich eines der in Satz 1 abschließend aufgeführten Rechte, das die betroffenen Personen geltend machen können. Danach sind die Vertragsparteien einverstanden, dass sich betroffene Personen durch Vereinigungen oder Einrichtungen vertreten lassen, soweit sie es wünschen und es das jeweils anwendbare nationale Recht zulässt. Damit wird den Betroffenen das Recht gesichert, unter den vorstehend genannten Voraussetzungen sich bei der Geltendmachung ihrer Rechte z.B. von Verbraucherschutzverbänden vertreten lassen zu können.
5. Erläuterungen zu Klausel 4 56
E 4. Pflichten des Datenexporteurs Der Datenexporteur verpflichtet sich und garantiert: a) dass die Verarbeitung der personenbezogenen Daten, einschließlich der Übermittlung durch ihn entsprechend den einschlägigen Vorschriften des Mitgliedstaates, in dem der Datenexporteur ansässig ist, erfolgt ist bzw. bis zum Zeitpunkt der Übermittlung erfolgen wird (ggf. einschließlich der Mitteilung an die zuständige Stelle dieses Mitgliedstaats) und dass sie nicht gegen die einschlägigen Vorschriften dieses Staates verstößt; b) dass die betroffene Person, sofern die Übermittlung besondere Datenkategorien einbezieht, davon in Kenntnis gesetzt worden ist oder vor der Übermittlung wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau bietet; c) dass er den betroffenen Personen auf Anforderung eine Kopie dieser Klauseln, wie sie vereinbart wurden, zur Verfügung stellt und d) Anfragen der Kontrollstelle bezüglich der Verarbeitung einschlägiger personenbezogener Daten durch den Datenimporteur sowie Anfragen betroffener Personen bezüglich der Verarbeitung ihrer personenbezogenen Daten durch den Datenimporteur innerhalb eines angemessenen Zeitraums und in zumutbarem Maße beantwortet.
57
Klausel 4 des Standardvertrags I regelt die Pflichten des Datenexporteurs. Es muss sichergestellt werden, dass nicht nur die Übermittlung, sondern die gesamte Verarbeitung der personenbezogenen Daten den nationalen Regelungen des Landes entspricht, in dem der Datenexporteur ansässig ist (Klausel 4 Buchst. a)). Das gilt auch für den Vorgang der Datenerhebung, der gem. Art. 2 Buchst. b Richtlinie 96/45/EG anders als nach § 3 Abs. 3 und 4 BDSG vom Begriff der „Verarbeitung“ umfasst ist.
58
Mit diesem unabdingbaren Regelungsgegenstand zwischen den Vertragsparteien geht die Entscheidung 2001/497/EG über den in Art. 25 Abs. 1 Richtlinie 95/46/EG und entsprechend in § 4b Abs. 2 Satz 1 BDSG verankerten zweistufigen Ansatz der Zulässigkeitsvoraussetzungen für die Datenübermittlung 722
|
Lang
Erläuterungen
Rz. 62 Teil 5 I
hinaus1. Ein in Deutschland ansässiges Unternehmen hat als Datenexporteur das BDSG als sog. Auffanggesetz und einschlägige spezialrechtliche Regelungen wie z.B. das TMG oder das TKG nicht nur für die Übermittlung selbst, sondern auch im Vorfeld der Datenübermittlung, also für seine gesamte Datenverarbeitung zu beachten. Die vertragliche Verpflichtung, Daten auch im Vorfeld der Übermittlung in Einklang mit den geltenden Gesetzen zu verarbeiten, steht als gesetzliche Vorgabe selbstverständlich nicht in Frage. Weiter hat der Datenexporteur bei einer Übermittlung besonderer Datenkategorien zu garantieren, dass die betroffene Person vorab darüber informiert wird, dass ihre Daten in ein Land ohne angemessenes Schutzniveau übermittelt werden (Klausel 4 Buchst. b)). Diese Information muss auch eine Konkretisierung der besonderen Datenkategorien beinhalten.
59
Darüber hinaus ist den Betroffenen auf deren Anforderung eine Kopie der vereinbarten Standardvertragsklauseln zur Verfügung zu stellen (Klausel 4 Buchst. c)). Diese Pflicht wird nur erfüllt, wenn eine Kopie der im Einzelfall konkretisierten Standardvertragsklauseln einschließlich vollständig ausgefüllter Anlagen ausgehändigt wird.
60
Schließlich enthält Klausel 4 Buchst. d) die Verpflichtung, Anfragen sowohl von Kontrollstellen, also der zuständigen Datenschutzaufsichtsbehörden bzw. -gremien2, als auch von Betroffenen innerhalb eines angemessenen Zeitraums zu beantworten. Die Angemessenheit des Zeitraums lässt sich nicht pauschal bestimmen, da er von dem Umfang der Anfrage und der Komplexität der in Frage stehenden Datenverarbeitung abhängt. Entsprechend der Auffassung der deutschen Datenschutzaufsichtsbehörden zu Auskunftsersuchen nach deutschem Datenschutzrecht wird ein Zeitraum von ca. zwei Wochen angemessen sein3. Abhängig von dem Umfang oder der Art der begehrten Auskunft kann im Einzelfall eine längere Frist angezeigt sein. Ist eine längere Bearbeitungsdauer oder eine Verzögerung absehbar, sollte in jedem Fall eine Zwischeninformation an die betroffene Person ergehen.
61
6. Erläuterungen zu Klausel 5 sowie zu Anlage 2 und 3 des Standardvertrags I a) Erläuterungen zu Klausel 5 E 5. Pflichten des Datenimporteurs
62
Der Datenimporteur verpflichtet sich und garantiert: a) dass er seines Wissens keinen nationalen Gesetzen unterliegt, die ihm die Erfüllung seiner Vertragsverpflichtungen unmöglich machen und dass er im 1 Zum zweistufigen Ansatz (Zulässigkeit der Übermittlung als Teil der Datenverarbeitung nach nationalen Vorschriften und zusätzliche Voraussetzungen für die Übermittlung in Drittländer) s. Rz. 2 ff.; zur Einbeziehung der gesamten Datenverarbeitung auf der ersten Stufe s. auch Erwägungsgrund 1 der Entscheidung 2001/497/EG. 2 Zur Frage der zuständigen Datenschutzaufsichtsbehörde (Kontrollstelle) s. Rz. 108. 3 Ähnlich Räther/Seitz, MMR 2002, 520 (523).
Lang
|
723
Teil 5 I
Rz. 63
Standardvertrag I
Fall einer Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf die Garantien auswirkt, die die Klauseln bieten, den Datenexporteur und die Kontrollstelle des Landes, in dem der Datenexporteur ansässig ist, hiervon informieren wird. In einem solchen Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten; b) dass er die personenbezogenen Daten verarbeitet in Übereinstimmung mit den verbindlichen Datenschutzgrundsätzen der Anlage 2 oder dass er, falls sich die Parteien durch Ankreuzen des entsprechenden Kästchens weiter unten ausdrücklich damit einverstanden erklärt haben und vorausgesetzt, dass die Verbindlichen Datenschutzgrundsätze der Anlage 3 beachtet werden, die Daten in jeder anderen Hinsicht verarbeitet in Übereinstimmung mit: l den einschlägigen nationalen Rechtsvorschriften (in der Anlage zu diesen Klauseln) zum Schutz der Grundrechte und -freiheiten natürlicher Personen, insbesondere des Rechts auf Schutz der Privatsphäre, im Hinblick auf die Verarbeitung personenbezogener Daten, die in dem Land, in dem der Datenexporteur ansässig ist, auf die für die Verarbeitung Verantwortlichen anzuwenden sind oder l den einschlägigen Bestimmungen in Entscheidungen der Kommission nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG, mit denen festgestellt wird, dass ein Drittland nur für bestimmte Tätigkeitsbereiche ein angemessenes Schutzniveau gewährleistet, vorausgesetzt, dass der Datenimporteur in diesem Drittland ansässig ist und nicht unter diese Bestimmungen fällt, sofern diese Bestimmungen dergestalt sind, dass sie auf die Übermittlung anwendbar sind; c) dass er alle sachdienlichen Anfragen, die sich auf die von ihm durchgeführte Verarbeitung der personenbezogenen Daten, die Gegenstand der Übermittlung sind, beziehen und die der Datenexporteur oder die betroffenen Personen an ihn richten, unverzüglich und genau bearbeitet und bei allen Anfragen der zuständigen Kontrollstelle mit dieser kooperiert und die Feststellung der Kontrollstelle im Hinblick auf die Verarbeitung der übermittelten Daten respektiert; d) dass er auf Verlangen des Datenexporteurs seine für die Verarbeitung erforderlichen Datenverarbeitungseinrichtungen zur Prüfung zur Verfügung stellt; die Prüfung wird vom Datenexporteur oder einem vom Datenexporteur gegebenenfalls in Absprache mit der Kontrollstelle ausgewählten Prüfgremium durchgeführt, dessen Mitglieder unabhängig sind und über die erforderlichen Qualifikationen verfügen; e) dass er den betroffenen Personen auf Anfrage eine Kopie der Vertragsklauseln zur Verfügung stellt und die Stelle benennt, die für Beschwerden zuständig ist. 63
Klausel 5 des Standardvertrags I regelt die in den nachfolgenden Abschnitten (Rz. 64 ff.) erläuterten Pflichten des Datenimporteurs. 724
|
Lang
Erläuterungen
Rz. 67 Teil 5 I
aa) Erläuterungen zu Klausel 5 Buchst. a) Der Datenimporteur garantiert, nach seiner Kenntnis keinen nationalen Vorschriften zu unterliegen, die ihm die Erfüllung seiner Vertragspflichten unmöglich machen. Der Datenexporteur ist bei einer sich entsprechend auswirkenden Gesetzesänderung hierüber zu informieren. In diesem Fall steht dem Datenexporteur nach Klausel 5 Buchst. a) Satz 2 des Standardvertrags I das Recht zu, die Datenübermittlung auszusetzen und vom Vertrag zurückzutreten.
64
Diese Klausel begründet für den Datenimporteur faktisch eine umfassende Überwachungspflicht bezüglich gesetzlicher und sonstiger staatlicher Vorgaben für die gesamte Vertragsdauer, um sicherstellen zu können, dass ihm die staatlichen Vorgaben die Erfüllung seiner Vertragsverpflichtungen nicht unmöglich machen. Daher wurde die Klausel 5 Buchst. a) stark kritisiert, was mit Blick auf die Haftungsrisiken nachvollziehbar ist. Diese Kritik führte zu einer flexibleren Regelung im Standardvertrag II, die eine für den Datenimporteur auf den Zeitpunkt des Vertragsschlusses begrenzte Verpflichtung enthält1.
65
bb) Erläuterungen zu Klausel 5 Buchst. b) Klausel 5 Buchst. b) regelt, wie der Datenimporteur bei der gesamten Verarbeitung der zu übermittelnden personenbezogenen Daten ein angemessenes Datenschutzniveau sicherstellt. Der Datenimporteur muss bei Abschluss des Standardvertrags I zwischen den in der Klausel 5 Buchst. b) aufgeführten drei Alternativen wählen:
66
– Datenverarbeitung gemäß den verbindlichen Datenschutzgrundsätzen in Anlage 2 des Standardvertrags I (Klausel 5 Buchst. b) Abs. 1; „Alternative 1“) – Datenverarbeitung gemäß den verbindlichen Datenschutzgrundsätzen der Anlage 3 des Standardvertrags I und überdies gemäß den nationalen Datenschutzvorschriften, die im Land des Datenexporteurs gelten, also in Deutschland die Vorschriften des BDSG, aber auch spezielle Regelungen wie z.B. im TKG und TMG; die einschlägigen nationalen Vorschriften sind als Anlage zum Standardvertrag I zu nehmen (Klausel 5 Buchst. b) Abs. 2, erster Spiegelstrich; „Alternative 2“) – Datenverarbeitung gemäß den verbindlichen Datenschutzgrundsätzen der Anlage 3 des Standardvertrags I und überdies gemäß den einschlägigen Bestimmungen in den Entscheidungen der EU-Kommission nach Art. 25 Abs. 6 Richtlinie 95/46/EG, mit denen festgestellt wurde, dass ein Drittland nur für bestimmte Tätigkeitsbereiche ein angemessenes Datenschutzniveau gewährleistet (Klausel 5 Buchst. b) Abs. 2, zweiter Spiegelstrich; „Alternative 3“) Im Rahmen der formalen Vertragsgestaltung bedarf es bei der Wahl von Alternative 1 keiner besonderen Kennzeichnung; bei einer Entscheidung für Alternative 2 oder 3 ist die entsprechende Alternative anzukreuzen. Bei der Wieder1 Dazu s. Erläuterungen zu Klausel II Buchst. c des Standardvertrags II in Teil 5 II Rz. 46.
Lang
|
725
67
Teil 5 I
Rz. 68
Standardvertrag I
gabe des Klauseltextes kann sich jedoch auch auf den Inhalt der gewählten Alternative beschränkt werden. Eine Aufnahme der gesamten Klausel in den Vertrag ist nicht erforderlich und eine insoweit angezeigte sprachliche Anpassung zulässig, ohne dass die Genehmigungsfreiheit für die Datenübermittlung entfällt. Dabei ist darauf zu achten, dass keine inhaltliche Änderung der gewählten Variante erfolgt. Aus Gründen der Rechtssicherheit sollte jedoch die zuständige Datenschutzaufsichtsbehörde zuvor konsultiert werden1. 68
Von den vorstehenden drei Möglichkeiten ist lediglich die Alternative 1 praxistauglich. Der Datenimporteur garantiert und verpflichtet sich lediglich, dass die Datenverarbeitung gemäß den Datenschutzgrundsätzen der Anlage 2 des Standardvertrags I erfolgt2. Die rechtlichen Vorgaben stehen fest. Formell sind keine weiteren Schritte zu unternehmen. Dagegen sind bei Alternative 2 und 3 neben der Einhaltung der Datenschutzgrundsätze gemäß Anlage 3 des Standardvertrags I3 weitere Voraussetzungen zu erfüllen, die den Datenexporteur regelmäßig vor erhebliche Schwierigkeiten stellen werden und Rechtsunsicherheit begründen können4.
69
Bei Alternative 2 sind neben den Datenschutzgrundsätzen gemäß Anlage 3 des Standardvertrags I die nationalen Vorschriften zu beachten, die im Land des Datenexporteurs gelten. Die einschlägigen Vorschriften sind als Anlage zum Standardvertrag zu nehmen. Allerdings ist es ein relativ hohes Risiko für den Datenexporteur, die Einhaltung von Vorschriften eines anderen Staates zu garantieren, wenn der Datenimporteur mit diesen Vorgaben und der Rechtsordnung bzw. dem Rechtssystem nicht vertraut ist. Darauf wird sich regelmäßig kein Unternehmen einlassen.
70
Alternative 3 kann nur zur Anwendung gelangen, wenn der Datenimporteur in einem Drittland ansässig ist, für das die EU-Kommission gem. Art. 25 Abs. 6 Richtlinie 95/46/EG ein angemessenes Datenschutzniveau lediglich für bestimmte Tätigkeitsbereiche festgestellt hat und der Datenimporteur nicht in diesen Bereich fällt, aber die für angemessen erachteten Bestimmungen auf die in Frage stehende Datenübermittlung anwendbar sind. In diesem Fall hat der Datenimporteur neben den Datenschutzgrundsätzen der Anlage 3 des Standardvertrags I die einschlägigen Bestimmungen zu beachten, die nach der Entscheidung der EU-Kommission nach Art. 25 Abs. 6 Richtlinie 95/46/EG ein angemessenes Datenschutzniveau gewährleisten. Die Vertragspartner müssen die einschlägigen Bestimmungen herausarbeiten und ebenfalls zur Anlage des Standardvertrags I nehmen. Abgesehen von dem insoweit relativ hohen Rechtsrisiko kommt diese Alternative zum Zeitpunkt August 2013 lediglich für in Kanada ansässige Datenimporteure in Betracht. In allen anderen bis August 2013 entschiedenen Fällen des Art. 25 Abs. 6 Richtlinie 95/46/EG hat die 1 Zur Genehmigungsfreiheit bei Änderung der Standardvertragsklauseln s. Rz. 18 ff. 2 Erläuterung zur Anlage 2 zu den Standardvertragsklauseln (Verbindliche Datenschutzgrundsätze i.S.v. Klausel 5 Buchst. b) Abs. 1) s. Rz. 75 ff. 3 Erläuterung zur Anlage 3 zu den Standardvertragsklauseln (Verbindliche Datenschutzgrundsätze i.S.v. Klausel 5 Buchst. b) Abs. 2) s. Rz. 96 ff. 4 Ähnlich Räther/Seitz, MMR 2002, 520 (524).
726
|
Lang
Erläuterungen
Rz. 73 Teil 5 I
EU-Kommission die Angemessenheit des Datenschutzniveaus für die Drittländer vorbehaltlos anerkannt1 oder ist Alternative 3 nicht anwendbar2. Bei einer Datenübermittlung an ein Unternehmen mit Sitz in den USA, das nicht den Grundsätzen des Safe Harbor beigetreten ist, sollte die Lösung ungeachtet der Fragen der Anwendbarkeit und der damit verbundenen dogmatischen Einordnung von „Safe Harbor“3 nicht in der Alternative 2 der Klausel 5 Buchst. b) gesucht werden, sondern direkt über einen Beitritt zu den Safe Harbor-Grundsätzen erfolgen4. Bei einer – wie auch immer gearteten – entsprechenden Anwendung müsste zumindest derselbe Maßstab gelten, so dass die Anforderungen de jure dieselben sind. Die Rechtsunsicherheit darüber, wie bzw. ob überhaupt eine entsprechende Anwendung der Grundsätze des Safe Harbor erfolgen kann, entfällt mit einem Beitritt zu den Grundsätzen.
71
cc) Erläuterungen zu Klausel 5 Buchst. c) Klausel 5 Buchst. c) enthält eine Kooperationspflicht des Datenimporteurs. Er ist verpflichtet, sachdienliche Anfragen des Datenexporteurs oder der Betroffenen unverzüglich, also ohne schuldhaftes Zögern, und genau zu bearbeiten und zu beantworten. Zudem muss der Datenimporteur mit der zuständigen Kontrollstelle kooperieren und deren Feststellungen hinsichtlich der Verarbeitung der übermittelten Daten respektieren.
72
dd) Erläuterungen zu Klausel 5 Buchst. d) Der Datenimporteur garantiert, seine Datenverarbeitungseinrichtungen auf Verlangen des Datenexporteurs durch diesen oder einen unabhängigen qualifizierten Dritten prüfen zu lassen. Das damit einhergehende Prüfungsrecht des Datenexporteurs ist weder sachlich noch zeitlich beschränkt. Allerdings würde eine durchaus angezeigte Einschränkung dieser Regelung dazu führen, dass die Standardvertragsklauseln ihr entscheidendes Merkmal verlieren. Die Nutzung entsprechend geänderter Standardvertragsklauseln bzw. eine darauf basierende Datenübermittlung dürfte nicht ohne vorherige Zustimmung der Datenschutzaufsichtsbehörden erfolgen, da mit der Regelung in Klausel 5 Buchst. d) indirekt auch die Rechte der betroffenen Personen gesichert werden sollen5. Insoweit sind die alternativen Standardvertragsklauseln mit der entsprechenden Klausel II Buchst. g) zu bevorzugen6. 1 Überblick über die Entscheidungen der EU-Kommission zur Angemessenheit in Drittländern unter http://ec.europa.eu/justice/data-protection/document/internationaltransfers/adequacy/index_en.htm (Stand: 31.8.2013). 2 Das gilt insbesondere für die Angemessenheitsentscheidung bzgl. der Übermittlung von Flugpassagierdaten in verschiedene Drittländer wie z.B. Australien. 3 Zur Angemessenheit des Datenschutzniveaus bei Datenübermittlungen an Unternehmen mit Sitz in den USA, die den Grundsätzen des Safe Harbor beigetreten sind s. Rz. 5. 4 Ob in dieser Konstellation dennoch Standardvertragsklauseln zum Einsatz kommen, wie es teilweise insbesondere von einigen Datenschutzaufsichtsbehörden verlangt wird, ist eine andere Frage. 5 In diese Richtung auch Räther/Seitz, MMR 2002, 520 (524). 6 Dazu s. Erläuterung von Klausel II Buchst. g) des Standardvertrags II in Teil 5 II Rz. 51.
Lang
|
727
73
Teil 5 I
Rz. 74
Standardvertrag I
ee) Erläuterungen zu Klausel 5 Buchst. e) 74
Der Datenimporteur wird verpflichtet, den Betroffenen auf deren Anforderung eine Kopie der vereinbarten Standardvertragsklauseln zur Verfügung zu stellen. Diese Verpflichtung entspricht der Regelung in Klausel 4 Buchst. c), deren Adressat der Datenexporteur ist (dazu Rz. 60). Darüber hinaus ist den Betroffenen die für Beschwerden zuständige Stelle zu benennen.
b) Erläuterungen zu Anlage 2 zum Standardvertrag I 75
E Anlage 2 zu den Standardvertragsklauseln Verbindliche Datenschutzgrundsätze im Sinne von Klausel 5 Buchstabe b) Absatz 1 Diese Datenschutzgrundsätze sind im Lichte der Bestimmungen (Grundsätze und entsprechende Ausnahmen) der Richtlinie 95/46/EG auszulegen. Sie gelten vorbehaltlich der nach den nationalen Rechtsvorschriften für den Datenimporteur geltenden zwingenden Anforderungen, die nicht weitergehen, als es in einer demokratischen Gesellschaft unter Zugrundelegung der in Artikel 13 Absatz 1 der Richtlinie 95/46/EG aufgeführten Interessen erforderlich ist; d.h. die Anforderungen müssen notwendig sein für die Sicherheit des Staates, die Landesverteidigung, die öffentliche Sicherheit, die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen oder den Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen. 1. Zweckbindung: Die Daten sind für die spezifischen Zwecke in Anlage 1 der Klauseln zu verarbeiten und anschließend zu verwenden oder weiter zu übermitteln. Die Daten dürfen nicht länger aufbewahrt werden, als es für die Zwecke erforderlich ist, für die sie übermittelt werden. 2. Datenqualität und -verhältnismäßigkeit: Die Daten müssen sachlich richtig und, wenn nötig, auf dem neuesten Stand sein. Sie müssen angemessen, relevant und im Hinblick auf die Zweckbestimmung, für die sie übertragen oder weiterverarbeitet werden, nicht exzessiv sein. 3. Transparenz: Die betroffenen Personen müssen Informationen über die Zweckbestimmungen der Verarbeitung und die Identität des im Drittland für die Verarbeitung Verantwortlichen sowie andere Informationen erhalten, sofern dies erforderlich ist, um eine angemessene Verarbeitung sicherzustellen, und sofern diese Informationen nicht bereits vom Datenexporteur erteilt wurden. 4. Sicherheit und Vertraulichkeit: Der für die Verarbeitung Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen gegen die Risiken der Verarbeitung zu treffen, bspw. gegen den unzulässigen Zugriff auf Daten. Alle unter die Verantwortung des für die Verarbeitung Verantwortlichen tätigen Personen, darunter auch Auftragsverarbeiter, dürfen die Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen verarbeiten. 728
|
Lang
Erläuterungen
Rz. 75 Teil 5 I
5. Recht auf Zugriff, Berichtigung, Löschung und Widerspruch: Nach Artikel 12 der Richtlinie 95/46/EG muss die betroffene Person das Recht haben, auf alle sie betreffenden Daten, die verarbeitet werden, zuzugreifen sowie je nach Fall das Recht haben auf Berichtigung, Löschung oder Sperrung von Daten, deren Verarbeitung gegen die in dieser Anlage aufgeführten Grundsätze verstößt, insbesondere wenn diese Daten unvollständig oder unrichtig sind. Die betreffende Person muss auch aus zwingenden berechtigten Gründen, die mit ihrer persönlichen Situation zusammenhängen, Widerspruch gegen die Verarbeitung der sie betreffenden Daten einlegen können. 6. Beschränkung der Weiterübermittlung: Weiterübermittlungen personenbezogener Daten vom Datenimporteur an einen anderen für die Verarbeitung Verantwortlichen, der in einem Drittland ansässig ist, das weder angemessenen Schutz bietet noch unter eine von der Kommission gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassene Entscheidung fällt (nachstehend: Weiterübermittlung), dürfen nur stattfinden, wenn eine der folgenden Bedingungen erfüllt ist: a) Die betroffenen Personen haben der Weiterübermittlung eindeutig zugestimmt, falls bestimmte Datenkategorien betroffen sind, oder haben in anderen Fällen die Möglichkeit erhalten, sich dagegen auszusprechen. Die betroffenen Personen müssen mindestens folgende Informationen erhalten und zwar in einer Sprache, die sie verstehen: – die Zwecke der Weiterübermittlung, – die Identität des in der Gemeinschaft ansässigen Datenexporteurs, – die Kategorien weiterer Empfänger der Daten und Empfängerländer sowie – eine Erklärung darüber, dass die Daten, nach der Weiterübermittlung von einem für die Verarbeitung Verantwortlichen verarbeitet werden können, der in einem Land ansässig ist, das kein angemessenes Schutzniveau für die Privatsphäre des Einzelnen gewährleistet; oder b) der Datenexporteur und der Datenimporteur stimmen dem Beitritt eines weiteren, für die Verarbeitung Verantwortlichen zu den Klauseln zu, der dadurch zu einer Partei dieser Klauseln wird und dieselben Verpflichtungen wie der Datenimporteur eingeht. 7. Besondere Datenkategorien: Werden Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie Daten über Gesundheit oder Sexualleben und Daten über Straftaten, strafrechtliche Verurteilungen oder Sicherheitsmaßnahmen verarbeitet, so sollten zusätzliche Garantien entsprechend der Richtlinie 95/46/EG vorliegen, insbesondere angemessene Sicherheitsmaßnahmen wie die strenge Verschlüsselung für Übermittlungszwecke oder Aufzeichnungen über Zugriffe auf sensible Daten. Lang
|
729
Teil 5 I
Rz. 76
Standardvertrag I
8. Direktmarketing: Werden Daten zum Zwecke des Direktmarketings verarbeitet, müssen wirksame Verfahren vorgesehen sein, die der betroffenen Person jederzeit die Möglichkeit des „Opt-out“ geben, so dass sie sich gegen die Verwendung ihrer Daten für derartige Zwecke entscheiden kann. 9. Automatisierte Einzelentscheidungen: Die betroffenen Personen haben das Recht, keiner Entscheidung unterworfen zu werden, die allein auf der automatisierten Datenverarbeitung beruht, wenn keine anderen Maßnahmen zur Wahrung der berechtigten Interessen der Person nach Artikel 15 Absatz 2 der Richtlinie 95/46/EG ergriffen werden. Erfolgt die Übermittlung mit dem Ziel eine automatisierte Einzelentscheidung im Sinne von Artikel 15 Richtlinie 95/46/EG, d.h. eine Entscheidung, die rechtliche Folgen für die Person nach sich zieht oder sie erheblich beeinträchtigt und die ausschließlich aufgrund einer automatisierten Verarbeitung von Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person ergeht, wie bspw. ihrer beruflichen Leistungsfähigkeit, ihrer Kreditwürdigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens usw., zu treffen, so muss die natürliche Person das Recht haben, die Gründe für diese Entscheidung zu erfahren. 76
In Anlage 2 zum Standardvertrag I sind die verbindlichen Datenschutzgrundsätze geregelt, die vom Datenimporteur einzuhalten sind, wenn er sich für die erste Alternative in Klausel 5 Buchst. b) entscheidet (siehe Rz. 66). Es handelt sich um: Zweckbindung, Datenqualität und -verhältnismäßigkeit, Transparenz, Sicherheit und Vertraulichkeit, Betroffenenrechte (Recht auf Zugriff, Berichtigung, Löschung und Widerspruch), Vorgaben für eine Weiterübermittlung der Daten durch den Datenimporteur an einen anderen für die Verarbeitung Verantwortlichen, der in einem Drittland ohne angemessenes Datenschutzniveau ansässig ist, Anforderungen für das Direktmarketing und Voraussetzungen für automatisierte Einzelentscheidungen.
77
Diese Datenschutzgrundsätze sind im Lichte der Bestimmungen, insbesondere von Art. 6, 8, 11, 12, 14, 15, 16 und 17 der Richtlinie 95/46/EG auszulegen. Sie gelten vorbehaltlich der nach den nationalen Rechtsvorschriften für den Datenimporteur zwingenden Ausnahmen und Einschränkungen unter Zugrundelegung der in Art. 13 Abs. 1 der Richtlinie 95/46/EG aufgeführten Interessen1.
aa) Zweckbindung (Ziffer 1) 78
Der Grundsatz der Zweckbindung ist ein zentrales Element der Richtlinie 95/ 46/EG, wo er in Art. 6 Buchst. b geregelt ist. Die personenbezogenen Daten dürfen nur zu den in Anlage des Standardvertrags I festgelegten Zwecken verarbeitet werden. Darüber hinaus enthält Ziffer 1 Satz 2 die Vorgabe, dass die Daten nicht länger gespeichert werden dürfen, als es für die Zwecke erforderlich ist.
bb) Datenqualität und -verhältnismäßigkeit (Ziffer 2) 79
Nach dem Grundsatz in Ziffer 2 müssen die Daten sachlich richtig sein und, „wenn nötig“, aktualisiert werden. Für die Richtigkeit ist die zeitliche Kom1 Dazu im Einzelnen Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 13 Rz. 1 ff.
730
|
Lang
Erläuterungen
Rz. 82 Teil 5 I
ponente entscheidend. Es kommt darauf an, ob ein Zeitpunkt, für den die Richtigkeit der Daten behauptet wird, den Daten explizit zugeordnet ist oder dem Kontext entnommen werden kann. Zeitbezogene Informationen werden durch eine spätere Veränderung des Sachverhalts nicht unrichtig. Allerdings kann eine weitere Verarbeitung nach dem Grundsatz in Ziffer 1 der Anlage 2 (siehe Rz. 78) ausgeschlossen sein, weil eine andauernde Speicherung für die festgelegten Zwecke nicht mehr erforderlich ist. Es hängt vom Zweckzusammenhang ab, ob die Daten auf den neuesten Stand gebracht oder gelöscht werden müssen. Sollte ein Fehlen von Daten aufgrund ihrer Löschung zu Fehlschlüssen im Kontext und damit zu sachlich unrichtigen Informationen führen, sind die Daten zu aktualisieren und nicht zu löschen1. Die Richtigkeit der Daten ist stets im Hinblick auf die Zwecke zu beurteilen, für die sie erhoben oder weiterverarbeitet werden, was sich mit Blick auf Art. 6 Abs. 1 Buchst. d Halbs. 2 Richtlinie 95/46/EG aus einer richtlinienkonformen Auslegung ergibt. Entsprechend hohe Anforderungen an die Aktualität bestehen bspw. an Daten für Kreditauskünfte2.
80
Schließlich wird der Datenumfang nochmals dahingehend begrenzt, dass die Zuordnung zu den festgelegten Zwecken bei einer wertenden Betrachtung nicht beanstandet werden kann. „Exzessiv“ ist eine Datenverarbeitung im Hinblick auf die Zweckbestimmung, wenn sie mit einem größeren Detailgrad oder einer größeren Dichte erfolgt als es durch den Zweck gerechtfertigt ist, z.B. umfassende Protokollierung von Aktivitäten statt einer Protokollierung einzelner Aktivitäten3.
81
cc) Transparenz (Ziffer 3) Der Grundsatz in Ziffer 3 ist der Regelung in Art. 10 Richtlinie 95/46/EG nachgebildet. Die betroffenen Personen sind im Zuge der Datenübermittlung zu informieren über die – in Anlage 1 des Standardvertrags I festgelegten – Zweckbestimmungen und die Identität des Datenimporteurs. Zur Identität des Datenimporteurs zählen der Name oder die Firma und die Anschrift, unter der Zustellungen vorgenommen werden können. Auf diese Weise wird den betroffenen Personen ermöglicht, ihre Rechte geltend machen zu können4. Darüber hinaus sind weitere Informationen zur Verfügung zu stellen, soweit es erforderlich ist, eine angemessene Verarbeitung sicherzustellen. Das ist anzunehmen, wenn die betroffenen Personen die Informationen benötigen, um die Folgen der Datenübermittlung (besser) abschätzen und ihre Rechte wirksam wahrnehmen zu können. Hierzu kann z.B. die Angabe über etwaige besondere Datenkategorien zählen, wenngleich eine entsprechende Informationspflicht bereits dem Datenexporteur obliegt (Klausel 4 Buchst. b) Standardvertrag I)5. 1 2 3 4
Vgl. Dammann/Simitis, Art. 6 Rz. 14 zu Art. 6 Abs. Vgl. Dammann/Simitis, Art. 6 Rz. 15 zu Art. 6 Abs. Vgl. Dammann/Simitis, Art. 6 Rz. 12 zu Art. 6 Abs. Vgl. Dammann/Simitis, Art. 10 Rz. 6 und Art. 11 Richtlinie 95/46/EG. 5 S. Rz. 59.
1 Buchst. d Richtlinie 95/46/EG. 1 Buchst. d Richtlinie 95/46/EG. 1 Buchst. c Richtlinie 95/46/EG. Rz. 1 f. und 4 zu Art. 10 und 11
Lang
|
731
82
Teil 5 I
Rz. 83
Standardvertrag I
83
Die Informationspflicht steht unter dem Vorbehalt der Erforderlichkeit, um eine angemessene Verarbeitung sicherzustellen. Er kommt für die Zweckbestimmung und die Identität des Datenimporteurs jedoch nicht zum Tragen. Diese Informationen sind erforderlich, damit die betroffenen Personen ihre Rechte geltend machen können. Daher kommt es auf die Frage, ob sich der Vorbehalt der Erforderlichkeit zumindest aus systematischen Gründen und anders als in Art. 10 Richtlinie 95/46/EG auf alle in Ziffer 3 aufgeführten Informationen statt lediglich auf „andere Informationen“ bezieht, nicht an. Schließlich bedarf es keiner Information durch den Datenimporteur, wenn die betroffenen Personen bereits vom Datenexporteur informiert worden sind. Insoweit kommt es nicht auf etwaige Verpflichtungen aus dem Standardvertrag I an, z.B. Klausel 4 Buchst. a), sondern auf die tatsächliche Erteilung der Information.
84
Einzelheiten bezüglich des Verfahrens und der Form der Information sind nicht vorgeschrieben. Daher ist es zulässig, die erforderlichen Informationen mündlich zur Verfügung zu stellen. Allerdings sollte aus Gründen der Rechtssicherheit eine nachweisbare Form gewählt werden.
dd) Sicherheit und Vertraulichkeit (Ziffer 4) 85
Der Grundsatz in Ziffer 4 ist zumindest im Ansatz an die Regelung in Art. 17 Richtlinie 95/46/EG angelehnt. Der Datenimporteur hat geeignete technische und organisatorische Maßnahmen zu ergreifen, um eine unrechtmäßige Datenverarbeitung zu verhindern oder die Wahrscheinlichkeit eines entsprechenden Ereignisses weitgehend zu reduzieren. Insoweit kann sich an den Vorgaben gemäß Anlage zu § 9 Satz 1 BDSG sowie den einschlägigen Kommentierungen und Aussagen der Aufsichtsbehörden orientiert werden1. Die Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist2.
86
Ziffer 4 Satz 2 ist an die Regelung in Art. 16 Richtlinie 95/46/EG angelehnt und enthält den Grundsatz, dass Mitarbeiter des Datenimporteurs, aber auch Auftragsverarbeiter3 Daten nur auf Weisung des Datenimporteurs verarbeiten dürfen. Das setzt eine entsprechende Verpflichtung der genannten Personenkreise voraus, die z.B. im Rahmen von Arbeitsverträgen oder Vereinbarungen zur Auftrags(daten)verarbeitung erfolgen kann.
1 Vgl. nur Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 35 ff.; Simitis/Ernestus, § 9 BDSG Rz. 47 ff. 2 Vgl. Art. 17 Abs. 1 Satz 2 und Erwägungsgrund 46 Satz 3 der Richtlinie 95/46/EG. 3 Auftragsverarbeiter ist gemäß Legaldefinition in Art. 2 Buchst. e Richtlinie 95/46/EG eine natürliche oder juristische Person oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. Der Rückgriff auf die Legaldefinition in Art. 2 Buchst. e Richtlinie 95/46/EG ist auf Basis von Art. 3 Buchst. a der Entscheidung 2001/497/EG möglich.
732
|
Lang
Erläuterungen
Rz. 91 Teil 5 I
ee) Rechte auf Zugriff, Berichtigung, Löschung, Sperrung und Widerspruch (Ziffer 5) Ziffer 5 enthält den Grundsatz der Rechte auf Zugriff, Berichtigung und Löschung sowie Sperrung und Widerspruch von Daten. Insoweit verweist die Regelung explizit auf Art. 12 Richtlinie 95/46/EG. Danach umfasst das als Recht auf Zugriff bezeichnete Auskunftsrecht die Frage, ob Daten der betroffenen Person verarbeitet werden, Informationen über den Inhalt und Zweck der Daten und ihre Verarbeitung, die Mitteilung über die konkret zur betroffenen Person gespeicherten und übermittelten Daten sowie Angaben über deren Herkunft und auch Informationen über den logischen Aufbau der automatisierten Datenverarbeitung im Fall automatisierter Entscheidungen i.S.v. Art. 15 Abs. 1 Richtlinie 95/46/EG.
87
Die Auskunft muss ohne unzumutbare Verzögerung (vgl. dazu Rz. 61) und in verständlicher Form erfolgen. Dabei kommt es auf die Verständlichkeit aus Sicht eines typischen Betroffenen an1. Das Auskunftsrecht soll nur in angemessenen zeitlichen Abständen geltend gemacht werden dürfen. Eine rechtsmissbräuchliche Inanspruchnahme des Datenimporteurs ist ausgeschlossen2.
88
Soweit die Verarbeitung von personenbezogenen Daten gegen die in Anlage 2 des Standardvertrags I enthaltenen Grundsätze verstößt, haben die betroffenen Personen das Recht auf Berichtigung, Löschung oder Sperrung dieser Daten. Das gilt insbesondere, wenn die Daten unvollständig oder unrichtig sind3.
89
Die Grundsätze in Ziffer 5 werden in Satz 2 vervollständigt durch das Recht auf Widerspruch. Es kommt zum Tragen, wenn sich aus der besonderen Situation der betroffenen Person schutzwürdige Gründe ergeben, die das Interesse an der Datenverarbeitung überwiegen. Entsprechend der Regelung in Art. 14 Buchst. a Satz 2 Richtlinie 95/46/EG führt ein berechtigter Widerspruch zu der Rechtsfolge, dass eine weitere Datenverarbeitung unterbleiben muss, weil sie nicht rechtmäßig wäre4. Ein Widerspruchsrecht im Fall von Direktwerbung ist in Ziffer 8 von Anlage 2 verankert (dazu Rz. 94).
90
ff) Beschränkung der Weiterübermittlung (Ziffer 6) Ziffer 6 enthält Beschränkungen der Weiterübermittlung personenbezogener Daten vom Datenimporteur an einen anderen für die Verarbeitung Verantwortlichen, der in einem Drittland ohne angemessenes Schutzniveau ansässig ist. Diese Weiterübermittlungen sind unter bestimmten Voraussetzungen nach lediglich zwei Alternativen zulässig. Die nicht sehr präzise formulierte Regelung der Weiterübermittlung nach Ziffer 6 Buchst. a) hat folgenden Inhalt5: Eine Wei1 Vgl. Dammann/Simitis, Art. 12 Rz. 5 zu Art. 12 Buchst. a Richtlinie 95/46/EG. 2 Vgl. Dammann/Simitis, Art. 12 Rz. 22 zu Art. 12 Richtlinie 95/46/EG. 3 Zur Richtigkeit der Daten s. Rz. 79 f.; zur Berichtigung, Löschung und Sperrung insgesamt vgl. nur Dammann/Simitis, Art. 12 Rz. 14 ff.; Gola/Schomerus, § 35 BDSG Rz. 1 ff.; Simitis/Dix, § 35 BDSG Rz. 1 ff. 4 Vgl. Dammann/Simitis, Art. 14 Rz. 4 zu Art. 14 Buchst. a Richtlinie 95/46/EG. 5 Vgl. die insoweit bessere Formulierung in Klausel II Buchst. i Unterbuchst. iii und iv des Standardvertrags II.
Lang
|
733
91
Teil 5 I
Rz. 92
Standardvertrag I
terübermittlung von besonderen Datenkategorien1 ist nur mit vorheriger Zustimmung der Betroffenen gestattet; bei sonstigen personenbezogenen Daten dürfen die Betroffenen nicht widersprochen haben, nachdem ihnen eine Möglichkeit zum Widerspruch eingeräumt worden ist. In jedem Fall sind die Betroffenen zuvor über die in Ziffer 6 Buchst. a) genannten Punkte zu informieren. 92
Alternativ ist eine Weiterübermittlung nach Ziffer 6 Buchst. b) zulässig, wenn der weitere für die Verarbeitung Verantwortliche unter Zustimmung des Datenexporteurs und des Datenimporteurs dem Standardvertrag I beitritt und dadurch zu einer weiteren Vertragspartei wird und dieselben Verpflichtungen wie der Datenimporteur eingeht.
gg) Besondere Datenkategorien (Ziffer 7) 93
Eine Verarbeitung besonderer Datenkategorien2 erfordert zusätzliche Garantien des Datenimporteurs, insbesondere angemessene technische und organisatorische Maßnahmen. Die Angemessenheit der Maßnahmen ist danach zu beurteilen, ob sie im Einzelfall dem besonderen Charakter der Daten im Hinblick auf den jeweiligen Verarbeitungszusammenhang und insoweit einem wirksamen Schutz der betroffenen Person Rechnung tragen3. Da es sich um zusätzliche Garantien handelt, müssen die entsprechenden Maßnahmen über das hinausgehen, was bereits aus den anderen Grundsätzen der Anlage 2 folgt, insbesondere über die Maßnahmen zur Sicherheit und Vertraulichkeit gemäß Ziffer 4. Beispielhaft genannt werden eine starke Verschlüsselung und Aufzeichnung von Zugriffen auf die besonderen Datenkategorien.
hh) Direktmarketing (Ziffer 8) 94
Der Grundsatz in Ziffer 8 sieht ein Widerspruchsrecht der betroffenen Personen vor, wenn Daten zum Zweck des Direktmarketings verarbeitet werden. Dieses Recht soll jederzeit und ohne Angabe von Gründen ausgeübt werden können; es ist an keine Voraussetzungen gebunden. Eine weitere Verarbeitung zu Zwecken des Direktmarketings trotz Widerspruchs ist unzulässig.
ii) Automatisierte Einzelentscheidungen (Ziffer 9) 95
Der Grundsatz in Ziffer 9 von Anlage 2 begrenzt die Zulässigkeit der Datenverarbeitung zum Zweck von automatisierten Einzelentscheidungen i.S.v. Art. 15 Abs. 1 Richtlinie 95/46/EG. Entscheidungen, die allein auf automatisierter Datenverarbeitung beruhen, sind nur unter den engen Voraussetzungen von Art. 15 Abs. 2 Richtlinie 95/46/EG zulässig4. Bei einer Datenübermittlung 1 Zu den Begriffen „besondere Datenkategorien“ und „sensible Daten“ s. Rz. 49; zu zusätzlichen Vorgaben für die Verarbeitung dieser Daten s. Rz. 93. 2 Zu den Begriffen „besondere Datenkategorien“ und „sensible Daten“ s. Rz. 49; zur Beschränkung der Weiterübermittlung dieser Daten s. Rz. 91 f. 3 Vgl. Dammann/Simitis, Art. 8 Rz. 26 f. für Art. 8 Richtlinie 95/46/EG. 4 Zu Art. 15 Richtlinie 95/46/EG s. Dammann/Simitis, Art. 15 Rz. 1 ff.; zu § 6a BDSG, mit dem die Vorgaben von Art. 15 Richtlinie 95/46/EG umgesetzt worden sind, Taeger/Gabel/Mackenthun, § 6a BDSG Rz. 1 ff.
734
|
Lang
Erläuterungen
Rz. 96 Teil 5 I
zum Zweck einer automatisierten Einzelentscheidung i.S.v. Art. 15 Abs. 1 Richtlinie 95/46/EG haben die betroffenen Personen das Recht, die Gründe für diese Entscheidung zu erfahren.
c) Erläuterungen zu Anlage 3 zum Standardvertrag I 96
E Anlage 3 zu den Standardvertragsklauseln Verbindliche Datenschutzgrundsätze im Sinne von Klausel 5 Buchstabe b) Absatz 2 1. Zweckbindung: Die Daten sind für die spezifischen Zwecke in Anlage 1 der Klauseln zu verarbeiten und anschließend zu verwenden oder weiter zu übermitteln. Die Daten dürfen nicht länger aufbewahrt werden, als es für die Zwecke erforderlich ist, für die sie übermittelt werden. 2. Recht auf Zugriff, Berichtigung, Löschung und Widerspruch: Nach Artikel 12 der Richtlinie 95/46/EG muss die betroffene Person das Recht haben, auf alle sie betreffenden Daten, die verarbeitet werden, zuzugreifen sowie je nach Fall das Recht haben auf Berichtigung, Löschung oder Sperrung von Daten, deren Verarbeitung gegen die in dieser Anlage aufgeführten Grundsätze verstößt, insbesondere wenn diese Daten unvollständig oder unrichtig sind. Die betreffende Person muss auch aus zwingenden berechtigten Gründen, die mit ihrer persönlichen Situation zusammenhängen, Widerspruch gegen die Verarbeitung der sie betreffenden Daten einlegen können. 3. Beschränkung der Weiterübermittlung: Weiterübermittlungen personenbezogener Daten vom Datenimporteur an einen anderen für die Verarbeitung Verantwortlichen, der in einem Drittland ansässig ist, das weder angemessenen Schutz bietet noch unter eine von der Kommission gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassene Entscheidung fällt (nachstehend: Weiterübermittlungen), dürfen nur stattfinden, wenn eine der folgenden Bedingungen erfüllt ist: a) Die betroffenen Personen haben der Weiterübermittlung ausdrücklich zugestimmt, falls bestimmte Datenkategorien betroffen sind, oder haben in anderen Fällen die Möglichkeit erhalten, sich dagegen auszusprechen. Die betroffenen Personen müssen mindestens folgende Informationen erhalten und zwar in einer Sprache, die sie verstehen: – die Zwecke der Weiterübermittlung, – die Identität des in der Gemeinschaft ansässigen Datenexporteurs, – die Kategorien weiterer Empfänger der Daten und Empfängerländer sowie – eine Erklärung darüber, dass die Daten, nach der Weiterübermittlung von einem für die Verarbeitung Verantwortlichen verarbeitet werden können, der in einem Land ansässig ist, das kein angemessenes Schutzniveau für die Privatsphäre des Einzelnen gewährleistet; oder Lang
|
735
Teil 5 I
Rz. 97
Standardvertrag I
b) der Datenexporteur und der Datenimporteur stimmen dem Beitritt eines weiteren, für die Verarbeitung Verantwortlichen zu den Klauseln zu, der dadurch zu einer Partei dieser Klauseln wird und dieselben Verpflichtungen wie der Datenimporteur eingeht. 97
In Anlage 3 zum Standardvertrag I sind die verbindlichen Datenschutzgrundsätze geregelt, die vom Datenimporteur einzuhalten sind, wenn er sich für die zweite oder dritte Alternative in Klausel 5 Buchst. b) entscheidet1. Es handelt sich um die Zweckbindung (Ziffer 1), die Betroffenenrechte (Recht auf Zugriff, Berichtigung, Löschung und Widerspruch; Ziffer 2) und die Anforderungen für eine Weiterübermittlung der Daten durch den Datenimporteur an einen anderen für die Verarbeitung Verantwortlichen, der in einem Drittland ohne angemessenes Datenschutzniveau ansässig ist (Ziffer 3). Insoweit kann auf die Kommentierung zu den entsprechenden Ziffern 1, 5 und 6 von Anlage 2 verwiesen werden (siehe Rz. 77, 87 ff. und 97 ff.).
98
Anlage 3 enthält im Gegensatz zu Anlage 2 nicht die explizite Vorgabe, dass die Datenschutzgrundsätze im Lichte der Bestimmungen der Richtlinie 95/46/EG auszulegen sind (vgl. Rz. 77). Dennoch ist für die Datenschutzgrundsätze der Zweckbindung und der Betroffenenrechte auf die entsprechende Auslegung der Vorschriften der Richtlinie 95/46/EG zurückzugreifen. Das ergibt sich nicht nur daraus, dass zumindest für die Betroffenenrechte in Ziffer 2 direkt auf Art. 12 Richtlinie 95/46/EG verwiesen wird. Vielmehr hat die EUKommission die Entscheidung 2001/497/EG insgesamt auf Grundlage und in Erwägung der Richtlinie 95/46/EG erlassen2.
7. Erläuterungen zu Klausel 6 99
E 6. Haftung 1. Die Parteien vereinbaren, dass betroffene Personen, die durch eine Verletzung der Bestimmungen in Klausel 3 Schaden erlitten haben, berechtigt sind, von den Parteien Schadensersatz für den erlittenen Schaden zu verlangen. Die Parteien vereinbaren, dass sie nur von der Haftung befreit werden können, wenn sie nachweisen, dass keine von ihnen für die Verletzung dieser Bestimmungen verantwortlich ist. 2. Der Datenexporteur und der Datenimporteur vereinbaren, dass sie gesamtschuldnerisch für Schäden der betroffenen Personen haften, die durch eine Verletzung im Sinne von Absatz 1 entstehen. Im Falle einer Verletzung dieser Bestimmungen kann die betroffene Person gegen den Datenexporteur oder den Datenimporteur oder beide gerichtlich vorgehen. 3. Die Parteien vereinbaren, dass, wenn eine Partei haftbar gemacht wird für eine Verletzung im Sinne von Absatz 1 durch die andere Partei, die zweite Partei der ersten Partei alle Kosten, Schäden, Ausgaben und Verluste, die 1 Zu den Alternativen gem. Klausel 5 Buchst. b) des Standardvertrags I s. Rz. 6 ff. 2 Vgl. nur Erwägungsgründe 12, 13 und 14 sowie Art. 3 Buchst. a der Entscheidung 2001/497/EG.
736
|
Lang
Erläuterungen
Rz. 103 Teil 5 I
der ersten Partei entstanden sind, in dem Umfang ersetzt, in dem die zweite Partei haftbar ist. Klausel 6 regelt die Haftung für den Fall, dass eine der drittschützenden Bestimmungen in Klausel 3 verletzt wird. Betroffene können im Schadensfall von den Vertragsparteien Schadensersatz verlangen. Allerdings besteht gemäß Klausel 6 Abs. 1 die Möglichkeit einer Haftungsbefreiung, wenn keine der Vertragsparteien, also weder Datenexporteur noch Datenimporteur die Verletzung der drittschützenden Bestimmungen in Klausel 3 zu vertreten hat.
100
Datenexporteur und Datenimporteur haften gem. Klausel 6 Abs. 2 gesamtschuldnerisch und es steht den Betroffenen frei, gegen eine der Vertragsparteien oder beide gemeinsam vorzugehen1.
101
Absatz 3 der Klausel 6 regelt den Ausgleich im Innenverhältnis der Vertragsparteien. Allerdings steht diese Regelung zur Disposition der Vertragsparteien, ohne dass die Sicherstellung eines angemessenen Datenschutzniveaus durch die Standardvertragsklauseln in Frage gestellt wird. Die Verwendung dieser Bestimmung ist den Vertragsparteien ausdrücklich freigestellt. Sie wurde im Interesse der Rechtsklarheit aufgenommen. Zudem soll sie den Parteien die Möglichkeit bieten, auf eine Verhandlung von Ausgleichsklauseln im Einzelfall verzichten zu können2.
102
8. Erläuterungen zu Klausel 7 E 7. Schlichtungsverfahren und Zuständigkeit
103
1. Die Parteien vereinbaren, dass sie im Falle einer Streitigkeit zwischen einer betroffenen Person und einer der Vertragsparteien, die unter Berufung auf die Drittbegünstigung nach Klausel 3 nicht auf gütlichem Wege beigelegt wird, die Entscheidung der betroffenen Person akzeptieren entweder: a) an einem Schlichtungsverfahren durch eine unabhängige Person oder ggf. durch die Kontrollstelle teilzunehmen; oder b) den Streitfall den Gerichten des Mitgliedstaates zu unterbreiten, in dem der Datenexporteur ansässig ist. 2. Die Parteien vereinbaren, dass nach Absprache zwischen der betroffenen Person und der relevanten Partei die Klärung eines bestimmten Streitfalls einem Schiedsgericht unterbreitet werden kann, vorausgesetzt, dass diese Partei in einem Land ansässig ist, das das New-Yorker-Übereinkommen über die Vollstreckung von Schiedssprüchen ratifiziert hat. 3. Die Parteien vereinbaren, dass die Absätze 1 und 2 unbeschadet der materiellen oder Verfahrensrechte der betroffenen Person gelten, nach anderen Bestimmungen des nationalen oder internationalen Rechts Rechtsbehelfe einzulegen. 1 Zu den Gründen und Nachteilen dieser Regelung s. Kommentierung zum Standardvertrag II in Teil 5 II Rz. 11 f., 62. 2 Erwägungsgrund 20 Satz 2 und 3 der Entscheidung 2001/497/EG.
Lang
|
737
Teil 5 I
Rz. 104
Standardvertrag I
104
Klausel 7 enthält Regelungen über ein etwaiges Schlichtungs- und Schiedsverfahren. Die Vertragsparteien akzeptieren das Wahlrecht des Betroffenen, dass ein Schlichtungsverfahren durch eine unabhängige Stelle durchgeführt wird oder der Streitfall den Gerichten des Staates unterbreitet wird, in dem der Datenexporteur ansässig ist (Abs. 1). Alternativ kann gemäß Absprache zwischen dem Betroffenen und der Vertragspartei, von der Schadensersatz verlangt wird, ein Schiedsgericht angerufen werden (Abs. 2). Die tatsächlichen Wahlmöglichkeiten hängen von dem Vorhandensein zuverlässiger und anerkannter Schlichtungs- und Schiedsgerichtssysteme ab1.
105
Schließlich soll es den Betroffenen nach Klausel 7 Abs. 3 weiterhin offen stehen, Rechtsbehelfe nach anderen Rechtsvorschriften einzulegen. Diese Regelung ist zwar insoweit fraglich, als ein Schiedsgericht den gerichtlichen Rechtsweg ersetzen soll2. Allerdings können die Vertragsparteien auf diese Bestimmung aufgrund ihres drittbegünstigenden Charakters nicht verzichten, ohne dass die Genehmigungsfreiheit der Datenübermittlung entfallen würde3.
9. Erläuterungen zu Klausel 8 106
E 8. Zusammenarbeit mit Kontrollstellen Die Parteien verpflichten sich, eine Kopie dieses Vertrags bei der Kontrollstelle zu hinterlegen, wenn diese es verlangt oder das nationale Recht es so vorsieht.
107
Nach Klausel 8 sind sowohl der Datenexporteur als auch der Datenimporteur verpflichtet, auf Anfrage oder wenn eine entsprechende nationale Vorschrift es vorsieht, der Kontrollstelle eine Kopie des konkreten, also des ausgefüllten und unterzeichneten Vertrags einschließlich seiner Anlagen zu übergeben. Die Kontrollstelle ist die nationale Datenschutzaufsichtsbehörde bzw. ein entsprechendes Gremium, die für das Land zuständig ist, in dem der Datenexporteur seinen Sitz hat4.
10. Erläuterungen zu Klausel 9 108
E 9. Kündigung der Klauseln Die Parteien vereinbaren, dass sie durch die Kündigung dieser Klauseln, wann, unter welchen Umständen und aus welchen Gründen auch immer sie erfolgt, nicht von den Verpflichtungen und/oder Bestimmungen dieser Klauseln in Bezug auf die Verarbeitung der übermittelten Daten befreit werden.
109
Klausel 9 bestimmt, dass eine Kündigung des Standardvertrags I die Vertragsparteien nicht davon entbindet, die aus den Klauseln folgenden Verpflichtun1 Vgl. Erwägungsgrund 21 Satz 2 der Entscheidung 2001/497/EG. 2 So auch Räther/Seitz, MMR 2002, 520 (525). 3 So wohl auch Räther/Seitz, MMR 2002, 520 (524). Zur Genehmigungsfreiheit bei Änderungen an den Standardvertragsklauseln s. Rz. 17 ff. 4 Vgl. Klausel 5 Buchst. a des Standardvertrags I und Begriffsbestimmung Buchst. a) in Standardvertrag II; dazu s. Kommentierung zum Standardvertrag II in Teil 5 II Rz. 30.
738
|
Lang
Erläuterungen
Rz. 113 Teil 5 I
gen in Bezug auf die Verarbeitung der übermittelten Daten über das Vertragsende hinaus weiter zu beachten. Relevant sind in diesem Zusammenhang insbesondere die Zweckbindung, Speicherdauer/Löschung, Vertraulichkeit und Sicherheit, Haftungsregelungen und nicht zuletzt die Rechte der Betroffenen.
11. Erläuterungen zu Klausel 10 110
E 10. Anwendbares Recht Für diese Klauseln gilt das Recht des Mitgliedstaates, in dem der Datenexporteur ansässig ist: … Klausel 10 bestimmt das anwendbare Recht, das nicht zur Disposition der Vertragsparteien steht. Es ist das Recht des Staates, in dem der Datenexporteur ansässig ist. Das entsprechende Land ist in dieser Klausel zu ergänzen.
111
12. Erläuterungen zu Klausel 11 und zum Feld für die Unterschriften 112
E 11. Änderung des Vertrags Die Parteien verpflichten sich, den Wortlaut dieser Klauseln, wie sie vereinbart wurden, nicht zu ändern. Für den Datenexporteur: Name (ausgeschrieben): … Stellung: … Anschrift: … Ggf. weitere Angaben, die für das Vorliegen eines verbindlichen Vertrags erforderlich sind: … … (Unterschrift)
… (Stempel der Organisation)
Für den Datenimporteur: Name (ausgeschrieben): … Stellung: … Anschrift: … Ggf. weitere Angaben, die für das Vorliegen eines verbindlichen Vertrags erforderlich sind: … … (Unterschrift)
… (Stempel der Organisation)
Klausel 11 ist eine „Unabänderbarkeitsklausel“, d.h. der vereinbarte Standardvertrag I darf von den Vertragsparteien nach Vertragsschluss nicht geändert werden. Sollte eine inhaltliche Änderung erforderlich werden, ist ein neuer Vertrag abzuschließen. Lang
|
739
113
Teil 5 I 114
Rz. 114
Standardvertrag I
Am Ende des Vertragsdokuments befinden sich die Felder für die Unterzeichnung, also jeweils Name, Stellung des Unterzeichnenden und Anschrift der Vertragsparteien, die auszufüllen und um weitere Angaben zu ergänzen sind, soweit dies für das Vorliegen eines verbindlichen Vertrags nach nationalem Recht erforderlich ist.
740
|
Lang
II. Alternative EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Standardvertrag II) Literaturverzeichnis: Dammann/Simitis, EG-Datenschutzrichtlinie, 1997; Däubler/ Klebe/Wedde/Weichert, Bundesdatenschutzgesetz, 4. Aufl. 2013; Duhr/Naujok/Peter/ Seiffert, Neues Datenschutzrecht für die Wirtschaft, Erläuterungen und praktische Hinweise zu § 1 bis § 11 BDSG, DuD 2002, 5; Gola/Schomerus, BDSG, 11. Aufl. 2012; Hillenbrand-Beck, Aktuelle Fragestellungen des internationalen Datenverkehrs, RDV 2007, 231; Innenministerium des Landes Baden-Württemberg, Hinweise des Innenministeriums zum Datenschutz für private Unternehmen und Organisationen (Nr. 40), Bekanntmachung vom 18.2.2002, Az. 2-0552.1/17; Kuner/Hladjk, Die alternativen Standardvertragsklauseln der EU für internationale Datenübermittlungen, RDV 2005, 193; Moos, Die EU-Standardvertragsklauseln für Auftragsverarbeiter 2010, CR 2010, 281; Räther/Seitz, Ausnahmen bei Datentransfers in Drittstaaten, MMR 2002, 520; Schmidl, Übermittlung von Arbeitnehmerdaten auf Grundlage des Standardvertrags Set II, DuD 2008, 258; Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2011; Taeger/Gabel, Kommentar zum BDSG, 2010.
A. Einleitung EU-Standardvertragsklauseln1 gewinnen seit Jahren zunehmend an Bedeutung für die Übermittlung personenbezogener Daten an Empfänger in sog. Drittländern, also Ländern außerhalb der Europäischen Union (EU) und der anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum (EWR). Sie bieten eine relative leicht umsetzbare und rechtssichere Lösung auf vertraglicher Basis, um die insoweit zusätzlichen rechtlichen Vorgaben umzusetzen und das erforderliche Datenschutzniveau zu gewährleisten.
1
Für eine Übermittlung personenbezogener Daten an Stellen in Drittländer gelten in Deutschland neben den allgemeinen Zulässigkeitsvoraussetzungen nach § 4 Abs. 1 BDSG die besonderen Anforderungen der Regelungen in § 4b Abs. 2 Satz 2, Abs. 3–6 und § 4c BDSG, mit denen Art. 25 und 26 Richtlinie 95/46/EG2 umgesetzt worden sind. Daher ist die Prüfung der Zulässigkeit einer Datenübermittlung in Drittstaaten in zwei Stufen durchzuführen.
2
Auf der ersten Stufe ist die Zulässigkeit der Datenübermittlung – unabhängig von deren Bestimmungsort – nach den jeweils anwendbaren nationalen Datenschutzvorschriften zu untersuchen. Auf der zweiten Stufe kommen die zusätzlichen Anforderungen für eine Datenübermittlung in Drittländer zum Tragen, die in Deutschland in § 4b Abs. 2 Satz 2, Abs. 3–6 und § 4c BDSG geregelt sind. Der Datenübermittlung dürfen keine Interessen des Betroffenen ent-
3
1 Nachfolgend auch „Standardvertragsklauseln“. 2 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr v. 24.10.1995, ABl. EG Nr. L 281/31 v. 23.11.1995 (nachfolgend „Richtlinie 95/46/EG“).
Lang
|
741
Teil 5 II Rz. 4
Standardvertrag II
gegenstehen. Daher muss beim Empfänger der Daten im Drittland ein angemessenes Datenschutzniveau existieren1. 4
Besteht in einem Drittland kein angemessenes Datenschutzniveau, kann eine Datenübermittlung ausnahmsweise zulässig sein, wenn einer der Ausnahmetatbestände gem. § 4c Abs. 1 BDSG vorliegt oder die zuständige Aufsichtsbehörde gem. § 4c Abs. 2 BDSG einzelne Übermittlungen oder bestimmte Arten von Übermittlungen personenbezogener Daten genehmigt hat. Hierzu bedarf es ausreichender Garantien hinsichtlich des auf die konkrete Datenübermittlung bezogenen Datenschutzniveaus. Diese Garantien sind von der verantwortlichen Stelle nachzuweisen und können sich insbesondere aus Vertragsklauseln oder verbindlichen Unternehmensregelungen (Binding Corporate Rules) ergeben (§ 4c Abs. 2 Satz 1 BDSG).
I. Vorteile von EU-Standardvertragsklauseln 5
Die Standardvertragsklauseln bieten anders als individuelle Vertragslösungen und Binding Corporate Rules eine relativ praktikable und rechtssichere Möglichkeit, die zusätzlichen rechtlichen Anforderungen an die Übermittlung personenbezogener Daten in Drittländer zu erfüllen.
6
Eine Datenübermittlung in Drittländer auf Basis von EU-Standardvertragsklauseln bedarf in Deutschland keiner Genehmigung durch die zuständige Datenschutzaufsichtsbehörde, wenn die Standardvertragsklauseln vollständig und inhaltlich unverändert zum Einsatz kommen2. Die von der EU-Kommission ausdrücklich als ausreichende Garantien i.S.d. Art. 26 Abs. 2 der Richtlinie 95/46/EG für die Datenübermittlung in Drittländer anerkannten Standardvertragsklauseln sind insoweit europarechtlich bindend3. Es besteht grundsätzlich auch keine allgemeine Vorlage- oder Informationspflicht4. Davon unberührt bleibt das Recht der Aufsichtsbehörde, sich im Rahmen ihrer Aufsichtstätigkeit nach § 38 BDSG die Verträge im Einzelfall vorlegen zu lassen. Allerdings ist die Praxis der deutschen Aufsichtsbehörden insoweit nicht einheitlich5. 1 Zur zweistufigen Prüfung von Datenübermittlungen in Drittländer s. Teil 5 I Rz. 2 ff. Zur Frage der Angemessenheit des Schutzniveaus in einem Drittland und dessen Beurteilung s. Teil 5 I Rz. 4 f. 2 Zur Genehmigungsfreiheit bei Änderungen an den Standardvertragsklauseln siehe unten Rz. 17 f. 3 Dazu ausführlich die Erläuterungen zum Standardvertrag I in Teil 5 I Rz. 9. Die entsprechenden Entscheidungen der EU-Kommission sind in diesem Kapitel in Rz. 8 aufgeführt. 4 Landesregierung Hessen, Fünfzehnter Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 15/4659, Abschn. 7.2 (S. 15 f.); Innenministerium des Landes Baden-Württemberg, Abschn. B 2.8; Gola/Schomerus, § 4c BDSG Rz. 14; Taeger/ Gabel/Gabel, § 4c BDSG Rz. 22 alle m.w.N.; zweifelnd hinsichtlich des Wegfalls der Genehmigungspflicht Duhr/Naujok/Peter/Seiffert, DuD 2002, 5 (18); für eine Information der Aufsichtsbehörde Simitis/Simitis, § 4c BDSG Rz. 51; Däubler/Klebe/Wedde/ Weichert/Däubler, § 4c BDSG Rz. 18; s. auch die Erläuterungen zum Standardvertrag I in Teil 5 I Rz. 9. 5 So auch Moos, CR 2010, 281 (286).
742
|
Lang
Standardvertrag II
Rz. 8 Teil 5 II
Ungeachtet der grundsätzlichen Genehmigungs- und Vorlagefreiheit darf die zuständige Datenschutzaufsichtsbehörde Datenübermittlungen an für die Verarbeitung Verantwortliche in Drittländern auf Basis der Standardverträge I und II1 unter bestimmten Voraussetzungen verbieten oder aussetzen. Das ist nach Art. 4 Abs. 1 Entscheidung 2001/497/EG in der Fassung vom 27.12.20042 für die genannten Standardverträge der Fall, wenn
7
– eine Übermittlung auf Vertragsbasis sich wahrscheinlich sehr nachteilig auf die Garantien auswirkt, die den Betroffenen angemessenen (Daten-)Schutz bieten sollen, – die Datenschutzaufsichtsbehörde einen Verstoß des Datenimporteurs gegen eine der Standardvertragsklauseln feststellt oder – eine hohe Wahrscheinlichkeit dafür besteht, dass die Standardvertragsklauseln nicht eingehalten werden3. Darüber hinaus bestehen für die Datenschutzaufsichtsbehörde weitere Eingriffsbefugnisse, wenn der in diesem Kapitel kommentierte Standardvertrag II zum Einsatz kommt (siehe Rz. 15).
II. Arten der EU-Standardvertragsklauseln Die EU-Kommission hat bislang drei Arten von Standardverträgen gem. Art. 26 Abs. 4 Richtlinie 95/46/EG nach dem Verfahren des Art. 31 Richtlinie 95/46/EG verabschiedet4: – Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer vom 15.6.2001 (sog. Standardvertrag I)5 – alternative Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer vom 27.12.2004 (sog. Standardvertrag II)6
1 Zu den Arten und Bezeichnungen der Standardvertragsklauseln siehe unten Rz. 8 ff. 2 Entscheidung 2001/497/EG der Kommission v. 15.6.2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG, ABl. L 181 v. 4.7.2001, S. 19 geändert durch Art. 1 Ziff. 1 Entscheidung 2004/915/EG der Kommission v. 27.12.2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, ABl. L 385 v. 29.12.2004, S. 74. 3 S. auch die Erläuterungen in Teil 5 I Rz. 10 f. 4 Zur Geschichte der Erarbeitung und Verhandlung der Standardvertragsklauseln Kuner/ Hladjk, RDV 2005, 193 (193 f.). 5 Entscheidung 2001/497/EG der Kommission v. 15.6.2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG, ABl. L 181 v. 4.7.2001, S. 19 (nachfolgend „Entscheidung 2001/497/EG“). Der Standardvertrag I wird kommentiert in Teil 5 I. 6 Entscheidung 2004/915/EG der Kommission v. 27.12.2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, ABl. L 385 v. 29.12.2004, S. 74 (nachfolgend „Entscheidung 2004/915/EG“).
Lang
|
743
8
Teil 5 II Rz. 9
Standardvertrag II
– Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern vom 5.2.20101 9
Standardvertrag I und Standardvertrag II sind für Datenübermittlungen aus einem Land der EU an verantwortliche Stellen in einem Drittland vorgesehen, sog. Controller-Controller-Verhältnis2. Dagegen kommen die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ausschließlich für eine Datenweitergabe zu Zwecken der Auftragsdatenverarbeitung in Drittländer zum Tragen, sog. Controller-Processor-Verhältnis. Die richtige Auswahl zwischen den Standardvertragsklauseln bestimmt sich grundsätzlich anhand der am Datentransfer beteiligten Stellen und dem Charakter der geplanten Datenverarbeitung3.
10
Die in diesem Kapitel kommentierten alternativen EU-Standardvertragsklauseln (Standardvertrag II) sind entsprechend ihrer Bezeichnung eine Alternative zum Standardvertrag I. Die alternativen Standardvertragsklauseln gewährleisten ein Datenschutzniveau, das dem Niveau des Standardvertrags I vergleichbar ist4. Daher können die Vertragsparteien zwischen diesen Standardverträgen wählen, wenn ein Controller-Controller-Verhältnis vorliegt.
11
Allerdings sehen die deutschen Datenschutzaufsichtsbehörden den Standardvertrag II als nur bedingt taugliche Grundlage für eine Übermittlung von Arbeitnehmerdaten, da er die Rechte der betroffenen Arbeitnehmer nicht hinreichend sichere. Die alternativen Standardvertragsklauseln bieten mit den Klauseln I Buchst. d) und III Buchst. b) (dazu s. Rz. 37 f. und 63 f.) – anders als Standardvertrag I – die Möglichkeit, das Auskunftsrecht der Betroffenen gegenüber dem Datenexporteur einzuschränken und eine ausschließliche Haftung des Datenimporteurs zu vereinbaren. Insoweit wird eine Unvereinbarkeit mit den Pflichten der übermittelnden Stelle als Arbeitgeber konstatiert. Der Widerspruch zwischen den in Frage stehenden Klauseln in Standardvertrag II (zweite Stufe) und den allgemeinen Anforderungen an die Verarbeitung personenbezogener Arbeitnehmerdaten (erste Stufe) sei zugunsten der Vorgaben auf der ersten Stufe aufzulösen. Der Standardvertrag II kann nach Ansicht der deutschen Aufsichtsbehörden nur dann eine zulässige Grundlage für die Übermittlung
1 Beschluss K (2010) 593 der Kommission v. 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG, ABl. L 39 v. 12.2.2010, S. 5. Die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern werden kommentiert in Teil 5 III. 2 S. Art. 2 Abs. 2 und Erwägungsgrund 8 der Entscheidung 2001/497/EG. Die mit dem Text der Entscheidung als eigentlicher Rechtsakt beschlossenen Erwägungsgründe bilden einen wichtigen Ausgangspunkt für das Verständnis der Vorschriften. Sie sind eine bei der Auslegung zu berücksichtigende Interpretationshilfe. Die auf das Formerfordernis des Art. 296 Abs. 2 AEUV (ex-Art. 253 EG-Vertrag) zurückgehenden Erwägungsgründe sollen die wichtigsten rechtlichen und tatsächlichen Erwägungen darlegen, die dem Rechtsakt, hier der Entscheidung, zugrunde liegen. 3 Dazu s. Erläuterungen zum Standardvertrag I in Teil 5 I Rz. 16. 4 S. Erwägungsgrund 2 und 9 der Entscheidung 2004/915/EG.
744
|
Lang
Standardvertrag II
Rz. 15 Teil 5 II
von Arbeitnehmerdaten in Drittstaaten sein, wenn er entsprechend angepasst wird1. Die Frage der Haftung ist nach Auffassung der deutschen Datenschutzaufsichtsbehörden dahingehend zu lösen, dass der Standardvertrag II um eine Garantieerklärung des Datenexporteurs für Direktansprüche der betroffenen Arbeitnehmer ergänzt wird. Diese Erklärung kann auch Element einer Betriebsvereinbarung sein. In diesem Fall bedarf es im Rahmen des Standardvertrags II keiner Unterwerfung des Datenimporteurs unter die Regelung der Betriebsvereinbarung, da der Datenexporteur für dieses Recht der Betroffenen allein einstehen muss2.
12
Außerdem dürfen die Vertragsparteien von der möglichen Begrenzung des direkten Auskunftsrechts gegenüber dem Datenexporteur in Klausel I Buchst. d) des Standardvertrags II keinen Gebrauch machen. Das ist in einer Fußnote zu Klausel I Buchst. d) des Standardvertrags II kenntlich zu machen. Alternativ kann eine entsprechende Garantieerklärung abgegeben werden3.
13
Die alternativen Standardvertragsklauseln (Standardvertrag II), die gemeinsam mit mehreren Wirtschaftsverbänden ausgearbeitet wurden, werden überwiegend als flexibler und pragmatischer beurteilt4. Das ist darauf zurückzuführen, dass sie u.a. flexiblere Prüfungspflichten, eine präzisiere Regelung des Auskunftsrechts und ein differenzierteres Haftungssystem enthalten. Der Standardvertrag II soll der zunehmenden Ausweitung von Datenverarbeitungstätigkeiten und neuen Geschäftsmodellen für die internationale Verarbeitung personenbezogener Daten Rechnung tragen.
14
Auf der anderen Seite wurden für die alternativen Standardvertragsklauseln die Eingriffsbefugnisse der Datenschutzaufsichtsbehörden erweitert. Kommt der Standardvertrag II zum Einsatz, können die Datenschutzaufsichtsbehörden nach Art. 4 Abs. 2 Entscheidung 2001/497/EG in der Fassung vom 27.12.20045 eine Datenübermittlung in Drittländer verbieten oder aussetzen, wenn
15
– der Datenexporteur sich trotz Aufforderung weigert, gegenüber dem Datenimporteur geeignete Maßnahmen zur Durchsetzung der Vertragspflichten zu ergreifen, oder – der Datenimporteur sich weigert, eindeutige Vertragspflichten zu erfüllen oder mit den Datenschutzaufsichtsbehörden „redlich“ zusammenzuarbei1 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) am 19./20.4.2007 (Internationaler Datenverkehr) i.V.m. Positionspapier der Aufsichtsbehörden in der AG „Internationaler Datenverkehr“ am 12./13.2.2007 v. 28.3.2007, Abschn. II.2 und 3; Hillenbrand-Beck, RDV 2007, 231 (234); ebenso Simitis/Simitis, § 4c BDSG Rz. 57; zum Ganzen ausführlich Schmidl, DuD 2008, 258 (258 f.). 2 Landesregierung Hessen, Zweiundzwanzigster Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 18/1015, Abschn. 11 (S. 32). 3 Landesregierung Hessen, Zweiundzwanzigster Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 18/1015, Abschn. 11 (S. 32). 4 Kuner/Hladjk, RDV 2005, 193 (194). 5 Geändert durch Art. 1 Ziff. 1 Entscheidung 2004/915/EG.
Lang
|
745
Teil 5 II Rz. 16
Standardvertrag II
ten (insbesondere bei einer Überprüfung der Datenverarbeitungseinrichtungen und hinsichtlich der Befolgung von Empfehlungen).
III. Änderung der EU-Standardvertragsklauseln und Genehmigungsfreiheit 16
Eine Datenübermittlung in Drittländer auf Basis von Standardvertragsklauseln bedarf keiner Genehmigung der Aufsichtsbehörden, wenn die Standardvertragsklauseln vollständig, mit den vorgesehenen Einträgen bzw. Ergänzungen und inhaltlich unverändert zum Einsatz kommen. Die Klauseln der Standardverträge I und II dürfen nicht geändert oder miteinander kombiniert werden (Art. 1 Abs. 2 und Erwägungsgrund 3 Satz 2 Entscheidung 2001/497/EG in der Fassung vom 27.12.20041).
17
Das Änderungsverbot wird aber in Einzelfällen durchbrochen bzw. gelockert, ohne dass die Genehmigungspflicht für die Datenübermittlung wieder auflebt. Unzulässig sind inhaltliche Änderungen der Standardvertragsklauseln dahingehend, dass ein Regelungselement entfällt oder eine widersprüchliche oder missverständliche Regelung aufgenommen wird. Dagegen sind rein redaktionelle Änderungen, um besonderen Konstellationen wie unselbständige Niederlassungen als Datenexporteur oder Mehrparteienverhältnisse berücksichtigen zu können, oder zusätzliche Regelungen mit materiellen Verbesserungen für die Rechte der Betroffenen grundsätzlich genehmigungsfrei möglich2.
18
Aus Gründen der Rechtssicherheit sollte der hier wiedergegebene und der Entscheidung 2004/915/EG entnommene Vertragstext grundsätzlich wörtlich übernommen werden und bei Änderungen die zuständige Datenschutzaufsichtsbehörde konsultiert werden. Zum einen ist eine Datenübermittlung ohne erforderliche Genehmigung eine bußgeldbewehrte Ordnungswidrigkeit nach § 43 Abs. 2 Nr. 1 BDSG. Zum anderen vertreten die deutschen Aufsichtsbehörden hinsichtlich der Genehmigungsfreiheit eine restriktive Auffassung. Genehmigungsfrei sind grundsätzlich nur vollständig ergänzte und im Übrigen unveränderte Standardvertragsklauseln, was im Zweifel nur bei einer wörtlichen Übernahme der Fall sein soll3. Als solche bezeichnete redaktionelle Änderungen werden im Hinblick auf die Genehmigungsfreiheit nur unter engen Voraussetzungen akzeptiert4. Eindeutig zugunsten der Betroffenen ausfallende Änderungen lassen „unter Umständen“ die Genehmigungsfreiheit unberührt, was aber zuvor durch Rückfrage bei der zuständigen Aufsichtsbehörde geklärt werden soll. Das gilt auch in den Fällen, in denen der Standardvertrag II als Grundlage für die Übermittlung von Arbeitnehmerdaten herangezogen wird5. 1 2 3 4 5
Geändert durch Art. 1 Ziff. 1 Entscheidung 2004/915/EG. Dazu ausführlich Erläuterungen zum Standardvertrag I in Teil 5 I Rz. 18 ff. Innenministerium des Landes Baden-Württemberg, Abschn. B 2.8. S. Erläuterungen in Teil 5 I Rz. 20 f. Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) am 19./20.4.2007 (Internationaler Datenverkehr) i.V.m. Positionspapier der Aufsichtsbehörden in der AG „Internationaler Datenverkehr“ am 12./13.2.2007 v. 28.3.2007, Abschn. II.2.
746
|
Lang
Rz. 19 Teil 5 II
Vertragstext
B. Muster E Alternative Standardvertragsklauseln im Sinne von Art. 26 Abs. 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten in Drittländer, die kein angemessenes Schutzniveau gewährleisten (Standardvertrag II) Vereinbarung über die Datenübermittlung zwischen … (Name) … (Adresse und Sitzland) – nachstehend als „Datenexporteur“ bezeichnet – und … (Name) … (Adresse und Sitzland) – nachstehend als „Datenimporteur“ bezeichnet – – beide nachstehend als „Partei“, zusammen als „Parteien“ bezeichnet – Begriffsbestimmungen Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen: a) Die Begriffe „personenbezogene Daten“, „besondere Kategorien personenbezogener Daten/sensible Daten“, „verarbeiten/Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Kontrollstelle“ werden entsprechend den Begriffsbestimmungen der Richtlinie 95/46/EG vom 24. Oktober 1995 verwendet (wobei mit „Kontrollstelle“ die Datenschutzkontrollstelle gemeint ist, die für das Sitzland des Datenexporteurs zuständig ist). b) „Datenexporteur“ bezeichnet den für die Verarbeitung Verantwortlichen, der die personenbezogenen Daten übermittelt. c) „Datenimporteur“ bezeichnet den für die Verarbeitung Verantwortlichen, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten für die Verarbeitung gemäß den Bestimmungen dieser Vertragsklauseln entgegenzunehmen, und der nicht an ein System eines Drittlandes gebunden ist, das angemessenen Schutz gewährleistet. d) „Klauseln“ bezeichnet diese Standardvertragsklauseln als eigenständiges Dokument, das keine Geschäftsbedingungen beinhaltet, die von den Parteien im Rahmen getrennter geschäftlicher Vereinbarungen getroffen wurden. Die Einzelheiten der Übermittlung (sowie die abgedeckten personenbezogenen Daten) sind in Anhang B aufgeführt, der integraler Bestandteil dieser Klauseln ist. Lang
|
747
19
Teil 5 II Rz. 19
Standardvertrag II
I. Pflichten des Datenexporteurs Der Datenexporteur gibt folgende Zusicherungen: a) Die personenbezogenen Daten wurden nach den für den Datenexporteur geltenden Gesetzen gesammelt, verarbeitet und übermittelt. b) Er hat sich im Rahmen des Zumutbaren davon überzeugt, dass der Datenimporteur seine Rechtspflichten aus diesen Klauseln zu erfüllen in der Lage ist. c) Er stellt dem Datenimporteur auf Antrag Exemplare der einschlägigen Datenschutzgesetze oder entsprechende Fundstellennachweise seines Sitzlandes zur Verfügung, erteilt aber keine Rechtsberatung. d) Er beantwortet Anfragen der betroffenen Personen und der Kontrollstelle bezüglich der Verarbeitung der personenbezogenen Daten durch den Datenimporteur, es sei denn, die Parteien haben vereinbart, dass der Datenimporteur die Beantwortung übernimmt; der Datenexporteur übernimmt die Beantwortung im Rahmen der Zumutbarkeit und aufgrund der ihm zugänglichen Informationen auch dann, wenn der Datenimporteur nicht antworten will oder kann. Sie erfolgt innerhalb einer angemessenen Frist. e) Er stellt betroffenen Personen, die Drittbegünstigte im Sinne von Klausel III sind, auf Verlangen ein Exemplar der Klauseln zur Verfügung, es sei denn, die Klauseln enthalten vertrauliche Angaben; in diesem Fall hat er das Recht, diese Angaben zu entfernen. Werden Angaben entfernt, teilt der Datenexporteur den betroffenen Personen schriftlich die Gründe für die Entfernung mit und belehrt sie über ihr Recht, die Kontrollstelle auf die Entfernung aufmerksam zu machen. Der Datenexporteur leistet indessen der Entscheidung der Kontrollstelle Folge, den betroffenen Personen Zugang zum Volltext der Klauseln zu gewähren, wenn diese sich zur Geheimhaltung der entfernten vertraulichen Informationen verpflichten. Der Datenexporteur stellt ferner auch der Kontrollstelle auf Antrag ein Exemplar der Klauseln zur Verfügung. II. Pflichten des Datenimporteurs Der Datenimporteur gibt folgende Zusicherungen: a) Er verfügt über die technischen und organisatorischen Voraussetzungen zum Schutz der personenbezogenen Daten gegen die unbeabsichtigte oder rechtswidrige Zerstörung oder gegen den unbeabsichtigten Verlust oder die unbeabsichtigte Änderung, die unberechtigte Offenlegung oder den unberechtigten Zugriff; damit ist ein Sicherheitsniveau gewährleistet, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten gerecht wird. b) Seine Verfahrensregeln gewährleisten, dass von ihm zum Zugriff auf die personenbezogenen Daten befugte Dritte, einschließlich des Auftragsverarbeiters, die Geheimhaltung und Sicherheit der personenbezogenen Daten beachten und wahren. Die unter der Verantwortung des Datenimpor748
|
Lang
Vertragstext
Rz. 19 Teil 5 II
teurs tätigen Personen, darunter auch Auftragsverarbeiter, dürfen die personenbezogenen Daten nur auf seine Anweisung verarbeiten. Diese Bestimmung gilt nicht für Personen, die von Rechts wegen zum Zugriff auf die personenbezogenen Daten befugt oder verpflichtet sind. c) Zum Zeitpunkt des Vertragsabschlusses bestehen seines Wissens in seinem Land keine entgegenstehenden Rechtsvorschriften, die die Garantien aus diesen Klauseln in gravierender Weise beeinträchtigen; er benachrichtigt den Datenexporteur (der die Benachrichtigung erforderlichenfalls an die Kontrollstelle weiterleitet), wenn er Kenntnis von derartigen Rechtsvorschriften erlangt. d) Er verarbeitet die personenbezogenen Daten zu den in Anhang B dargelegten Zwecken und ist ermächtigt, die Zusicherungen zu geben und die Verpflichtungen zu erfüllen, die sich aus diesem Vertrag ergeben. e) Er nennt dem Datenexporteur eine Anlaufstelle innerhalb seiner Organisation, die befugt ist, Anfragen bezüglich der Verarbeitung der personenbezogenen Daten zu behandeln, und arbeitet redlich mit dem Datenexporteur, der betroffenen Person und der Kontrollstelle zusammen, damit derartige Anfragen innerhalb einer angemessenen Frist beantwortet werden. Wenn der Datenexporteur nicht mehr besteht oder wenn die Parteien Entsprechendes vereinbaren, verpflichtet sich der Datenimporteur zur Einhaltung der Bestimmungen von Klausel I Buchstabe e). f) Auf Antrag des Datenexporteurs weist er nach, dass er über ausreichende Finanzmittel verfügt, um die Verpflichtungen aus Klausel III zu erfüllen (wozu auch Versicherungsschutz zählen kann). g) Auf Antrag des Datenexporteurs und sofern dies nicht willkürlich ist, überlässt er seine zur Verarbeitung benötigten Datenverarbeitungseinrichtungen, Dateien und Unterlagen der Überprüfung, dem Audit und/oder der Zertifizierung durch den Datenexporteur (oder von ihm ausgewählte unabhängige oder unparteiische Prüfer oder Auditoren, gegen die der Datenimporteur keine begründeten Einwände erhebt), um zu gewährleisten, dass die Zusicherungen in diesen Klauseln eingehalten werden, wobei die Überprüfung rechtzeitig anzukündigen und während der üblichen Geschäftszeiten durchzuführen ist. Sofern die Zustimmung oder Genehmigung durch eine Regulierungs- oder Kontrollstelle im Land des Datenimporteurs erforderlich ist, bemüht sich dieser, die Zustimmung oder Genehmigung zügig zu erhalten. h) Er verarbeitet die personenbezogenen Daten gemäß i)
den Datenschutzbestimmungen des Landes, in dem der Datenexporteur ansässig ist, oder
ii) den einschlägigen Bestimmungen1 etwaiger Kommissionsentscheidungen nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG, sofern der Daten1 „Einschlägige Bestimmungen“ sind sämtliche unter diese Klauseln fallende Genehmigungen oder Entscheidungen mit Ausnahme der Vollzugsbestimmungen.
Lang
|
749
Teil 5 II Rz. 19
Standardvertrag II
importeur die einschlägigen Bestimmungen derartiger Genehmigungen bzw. Entscheidungen einhält und in einem Land ansässig ist, für das diese Genehmigungen oder Entscheidungen gelten, obwohl diese hinsichtlich der Übermittlung personenbezogener Daten auf ihn keine Anwendung finden1, oder iii) den Grundsätzen für die Datenverarbeitung in Anhang A. Der Datenimporteur wählt die Möglichkeit: … Paraphe des Datenimporteurs: … i) Er verzichtet auf die Offenlegung oder Übermittlung personenbezogener Daten an für die Verarbeitung Verantwortliche Dritte, die außerhalb des Europäischen Wirtschaftsraums (EWR) ansässig sind, es sei denn, er setzt den Datenexporteur von der Übermittlung in Kenntnis und i)
der für die Verarbeitung Verantwortliche Dritte verarbeitet die personenbezogenen Daten im Einklang mit einer Kommissionsentscheidung, in der die Kommission einem Drittland ein angemessenes Datenschutzniveau zuerkennt, oder
ii) der für die Verarbeitung Verantwortliche Dritte unterzeichnet diese Klauseln oder eine andere, von einer zuständigen Stelle in der EU genehmigte Datenübermittlungsvereinbarung oder iii) die betroffenen Personen haben das Recht zum Widerspruch, nachdem sie über den Zweck der Übermittlung informiert wurden, ferner über die Empfängerkategorien und darüber, dass das Empfängerland der Daten möglicherweise andere Datenschutzstandards aufweist, oder iv) die betroffenen Personen haben im Hinblick auf die Weiterübermittlung sensibler Daten zweifelsfrei ihre Zustimmung zu der Weiterübermittlung erteilt. III. Haftung und Rechte Dritter a) Jede Partei haftet gegenüber der anderen Partei für Schäden, die sie durch einen Verstoß gegen diese Klauseln verursacht. Die gegenseitige Haftung der Parteien ist auf den tatsächlich erlittenen Schaden begrenzt. Strafschadenersatzansprüche (d.h. die Zahlung von Strafen für grobes Fehlverhalten einer Partei) sind ausdrücklich ausgeschlossen. Jede Partei haftet gegenüber der betroffenen Person für Schäden, die sie durch die Verletzung von Rechten Dritter im Rahmen dieser Klauseln verursacht. Die Haftung des Datenexporteurs gemäß den für ihn maßgeblichen Datenschutzvorschriften bleibt davon unberührt. b) Die Parteien räumen den betroffenen Personen das Recht ein, diese Klausel sowie Klausel I Buchstaben b), d) und e), Klausel II Buchstaben a), c), d), e), 1 Wird diese Möglichkeit gewählt, sind jedoch die Bestimmungen von Anhang A Ziffer 5 über das Recht auf Zugriff, Berichtigung, Löschung und Widerspruch anzuwenden, die dann vergleichbaren Bestimmungen der gewählten Kommissionsentscheidung vorgehen.
750
|
Lang
Vertragstext
Rz. 19 Teil 5 II
h), i), Klausel III Buchstabe a) sowie die Klauseln V, VI Buchstabe d) und VII als Drittbegünstigte gegenüber dem Datenimporteur oder dem Datenexporteur durchzusetzen, wenn diese im Hinblick auf die Daten der betroffenen Personen ihre Vertragspflichten verletzen; zu diesem Zweck erkennen sie die Zuständigkeit der Gerichte im Sitzland des Datenexporteurs an. Wirft die betroffene Person dem Datenimporteur Vertragsverletzung vor, muss sie den Datenexporteur zunächst auffordern, ihre Rechte gegenüber dem Datenimporteur durchzusetzen; wird der Datenexporteur nicht innerhalb einer angemessenen Frist tätig (im Regelfall innerhalb eines Monats), kann die betroffene Person ihre Rechte direkt gegenüber dem Datenimporteur durchsetzen. Eine betroffene Person kann direkt gegen einen Datenexporteur vorgehen, wenn dieser sich im Rahmen des Zumutbaren nicht davon überzeugt hat, dass der Datenimporteur seine rechtlichen Verpflichtungen aus diesen Klauseln zu erfüllen in der Lage ist (der Datenexporteur muss beweisen, dass er alle zumutbaren Anstrengungen unternommen hat). IV. Anwendbares Recht Diese Klauseln unterliegen dem Recht des Landes, in dem der Datenexporteur ansässig ist; davon ausgenommen sind die Rechtsvorschriften über die Verarbeitung der personenbezogenen Daten durch den Datenimporteur gemäß Klausel II Buchstabe h), die nur gelten, wenn sich der Datenimporteur nach dieser Klausel dafür entschieden hat. V. Beilegung von Streitigkeiten mit betroffenen Personen oder der Kontrollstelle a) Bei einer Streitigkeit oder einer Klage der betroffenen Person oder der Kontrollstelle gegen eine Partei oder beide Parteien bezüglich der Verarbeitung personenbezogener Daten setzen die Parteien einander davon in Kenntnis und bemühen sich gemeinsam um eine zügige, gütliche Beilegung. b) Die Parteien erklären sich bereit, sich jedem allgemein zugänglichen, nicht bindenden Schlichtungsverfahren zu unterwerfen, das von einer betroffenen Person oder der Kontrollstelle angestrengt wird. Beteiligen sie sich an dem Verfahren, können sie dies auf dem Weg der Telekommunikation tun (z.B. per Telefon oder anderer elektronischer Mittel). Die Parteien erklären sich ferner bereit, eine Beteiligung an anderen Vermittlungsverfahren, Schiedsverfahren oder sonstigen Verfahren der Streitbeilegung zu erwägen, die für die Zwecke des Datenschutzes entwickelt werden. c) Die Parteien unterwerfen sich den rechtskräftigen Endentscheidungen des zuständigen Gerichts im Sitzland des Datenexporteurs oder der Kontrollstelle. VI. Beendigung des Vertrags a) Verstößt der Datenimporteur gegen seine Verpflichtungen aus diesen Klauseln, kann der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur vorläufig aussetzen, bis der Verstoß beseitigt oder der Vertrag beendet ist. Lang
|
751
Teil 5 II Rz. 19
Standardvertrag II
b) Tritt einer der folgenden Fälle ein: i)
Die Übermittlung personenbezogener Daten an den Datenimporteur wird vom Datenexporteur gemäß Buchstabe a) länger als einen Monat ausgesetzt;
ii) die Einhaltung dieser Klauseln durch den Datenimporteur verstößt gegen Rechtsvorschriften des Importlandes; iii) der Datenimporteur missachtet Zusicherungen, die er im Rahmen dieser Klauseln gegeben hat, in erheblichem Umfang oder fortdauernd; iv) das zuständige Gericht im Sitzland des Datenexporteurs oder der Kontrollstelle stellt rechtskräftig fest, dass der Datenimporteur oder der Datenexporteur gegen die Klauseln verstoßen haben, oder v) es wird ein Antrag auf Insolvenzverwaltung oder Abwicklung des Datenimporteurs in dessen privater oder geschäftlicher Eigenschaft gestellt, der nicht innerhalb der nach geltendem Recht vorgesehenen Frist abgewiesen wird; die Abwicklung wird gerichtlich angeordnet; für einen beliebigen Teil seines Vermögens wird ein Zwangsverwalter bestellt; ein Treuhänder wird bestellt, falls es sich bei dem Datenimporteur um eine Privatperson handelt; dieser leitet einen außergerichtlichen Vergleich ein, oder es kommt zu einem je nach Rechtsordnung gleichwertigen Verfahren, so ist der Datenexporteur berechtigt, unbeschadet etwaiger sonstiger Ansprüche gegen den Datenimporteur, diesen Vertrag zu kündigen, wovon er gegebenenfalls die Kontrollstelle in Kenntnis setzt. Tritt einer der in Ziffer i), ii) oder iv) genannten Fälle ein, kann der Datenimporteur seinerseits den Vertrag kündigen. c) Jede Partei kann den Vertrag kündigen, wenn i) die Kommission eine positive Angemessenheitsfeststellung gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG (oder einer Vorschrift, die diese Vorschrift ersetzt) in Bezug auf das Land (oder einen Bereich davon) trifft, in das die Daten übermittelt und in dem sie vom Datenimporteur verarbeitet werden, oder ii) die Richtlinie 95/46/EG (oder eine Vorschrift, die diese Vorschrift ersetzt) in dem betreffenden Land unmittelbar zur Anwendung gelangt. d) Die Parteien vereinbaren, dass sie auch nach der Beendigung dieses Vertrags, ungeachtet des Zeitpunkts, der Umstände oder der Gründe (ausgenommen die Kündigung gemäß Klausel VI Buchstabe c), weiterhin an die Verpflichtungen und/oder Bestimmungen dieser Klauseln in Bezug auf die Verarbeitung der übermittelten Daten gebunden sind. VII. Änderung der Klauseln Die Parteien dürfen diese Klauseln nur zum Zwecke der Aktualisierung von Anhang B ändern; gegebenenfalls müssen sie die Kontrollstelle davon in Kenntnis setzen. Es steht den Parteien allerdings frei, erforderlichenfalls weitere Geschäftsklauseln hinzuzufügen. 752
|
Lang
Rz. 19 Teil 5 II
Vertragstext
VIII. Beschreibung der Übermittlung Die Einzelheiten zur Übermittlung und zu den personenbezogenen Daten sind in Anhang B aufgeführt. Die Parteien vereinbaren, dass sie gegebenenfalls in Anhang B enthaltene vertrauliche Informationen nicht gegenüber Dritten offen legen, es sei denn, sie sind gesetzlich dazu verpflichtet oder handeln auf Aufforderung einer zuständigen Regulierungsstelle oder staatlichen Einrichtung oder gemäß Klausel I Buchstabe e). Die Parteien können weitere Anhänge vereinbaren, die zusätzliche Übermittlungen betreffen; diese sind gegebenenfalls der Kontrollstelle zu unterbreiten. Ersatzweise kann Anhang B so formuliert werden, dass er eine Vielzahl von Übermittlungen abdeckt. Datum: … Für den Datenimporteur …
Für den Datenexporteur …
Anhang A Grundsätze für die Datenverarbeitung 1. Zweckbindung: Personenbezogene Daten dürfen nur für die in Anhang B festgelegten oder anschließend von der betroffenen Person genehmigten Zwecke verarbeitet und danach verwendet oder weiter übermittelt werden. 2. Datenqualität und Verhältnismäßigkeit: Personenbezogene Daten müssen sachlich richtig sein und nötigenfalls auf dem neuesten Stand gehalten werden. Sie müssen den Übermittlungs- und Verarbeitungszwecken angemessen und dafür erheblich sein und dürfen nicht über das erforderliche Maß hinausgehen. 3. Transparenz: Die betroffenen Personen müssen Informationen erhalten, die eine Verarbeitung nach Treu und Glauben gewährleisten (beispielsweise Angaben zum Verarbeitungszweck und zur Übermittlung), sofern diese Informationen nicht bereits vom Datenexporteur erteilt wurden. 4. Sicherheit und Geheimhaltung: Der für die Verarbeitung Verantwortliche muss geeignete technische und organisatorische Sicherheitsvorkehrungen gegen die Risiken der Verarbeitung treffen, beispielsweise gegen die unbeabsichtigte oder rechtswidrige Zerstörung oder gegen den unbeabsichtigten Verlust oder die unbeabsichtigte Änderung, die unberechtigte Offenlegung oder den unberechtigten Zugriff. Alle unter der Verantwortung des für die Verarbeitung Verantwortlichen tätigen Personen, darunter auch Auftragsverarbeiter, dürfen die Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen verarbeiten. 5. Recht auf Auskunft, Berichtigung, Löschung und Widerspruch: Nach Artikel 12 der Richtlinie 95/46/EG hat die betroffene Person das Recht, entweder direkt oder durch Dritte, Auskunft über alle ihre personenbezogenen Daten zu erhalten, die von einer Organisation vorgehalten werden; dies Lang
|
753
Teil 5 II Rz. 19
Standardvertrag II
gilt nicht für Auskunftsersuchen, die aufgrund ihrer unzumutbaren Periodizität oder ihrer Zahl, Wiederholung oder Systematik offensichtlich übertrieben sind, oder für Daten, über die nach dem für den Datenexporteur geltenden Recht keine Auskunft erteilt werden muss. Vorbehaltlich der vorherigen Genehmigung durch die Kontrollstelle muss auch dann keine Auskunft erteilt werden, wenn die Interessen des Datenimporteurs oder anderer Organisationen, die mit dem Datenimporteur in Geschäftsverkehr stehen, dadurch ernsthaft geschädigt würden und die Grundrechte und Grundfreiheiten der betroffenen Personen hierdurch nicht beeinträchtigt werden. Die Quellen der personenbezogenen Daten müssen nicht angegeben werden, wenn dazu unzumutbare Anstrengungen erforderlich wären oder die Rechte Dritter dadurch verletzt würden. Die betroffene Person muss das Recht haben, ihre personenbezogenen Daten berichtigen, ändern oder löschen zu lassen, wenn diese unzutreffend sind oder entgegen den vorliegenden Grundsätzen verarbeitet wurden. Bei begründeten Zweifeln an der Rechtmäßigkeit des Ersuchens kann die Organisation weitere Belege verlangen, bevor die Berichtigung, Änderung oder Löschung erfolgt. Dritte, gegenüber denen die Daten offen gelegt wurden, müssen von der Berichtigung, Änderung oder Löschung nicht in Kenntnis gesetzt werden, wenn dies mit einem unverhältnismäßigen Aufwand verbunden wäre. Die betroffene Person muss auch aus zwingenden legitimen Gründen, die mit ihrer persönlichen Situation zusammenhängen, Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten einlegen können. Die Beweislast liegt im Fall einer Ablehnung beim Datenimporteur; die betroffene Person kann eine Ablehnung jederzeit vor der Kontrollstelle anfechten. 6. Sensible Daten: Der Datenimporteur trifft die zusätzlichen Vorkehrungen (bspw. sicherheitsbezogener Art), die entsprechend seinen Verpflichtungen nach Klausel II zum Schutz sensibler Daten erforderlich sind. 7. Direktmarketing: Werden Daten zum Zwecke des Direktmarketings verarbeitet, sind wirksame Verfahren vorzusehen, damit die betroffene Person sich jederzeit gegen die Verwendung ihrer Daten für derartige Zwecke entscheiden kann („Opt-out“). 8. Automatisierte Entscheidungen: „Automatisierte Entscheidungen“ im Sinne dieser Klauseln sind mit Rechtsfolgen behaftete Entscheidungen des Datenexporteurs oder des Datenimporteurs bezüglich einer betroffenen Person, die allein auf der automatisierten Verarbeitung personenbezogener Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person beruhen, beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrer Kreditwürdigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens. Der Datenimporteur darf keine automatisierten Entscheidungen über eine betroffene Person fällen, es sei denn: a) i) Der Datenimporteur fällt die Entscheidungen im Rahmen eines Vertragsabschlusses oder der Ausführung eines Vertrags mit der betroffenen Person, und ii) die betroffene Person erhält die Möglichkeit, die Ergebnisse einer einschlägigen automatisierten Entscheidung mit einem Vertreter der ent754
|
Lang
Vertragstext
Rz. 19 Teil 5 II
scheidungtreffenden Partei zu erörtern, oder aber Erklärungen gegenüber dieser Partei abzugeben, oder b) die für den Datenexporteur geltenden Rechtsvorschriften sehen etwas anderes vor. Anhang B Beschreibung der Übermittlung (von den Parteien auszufüllen) Betroffene Personen Die übermittelten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen: … … Übermittlungszwecke Die Übermittlung ist zu folgenden Zwecken erforderlich: … … Kategorien übermittelter Daten Die übermittelten personenbezogenen Daten betreffen folgende Datenkategorien: … … Empfänger Die übermittelten personenbezogenen Daten dürfen nur folgenden Empfängern oder Kategorien von Empfängern offen gelegt werden: … … Sensible Daten (falls zutreffend) Die übermittelten personenbezogenen Daten betreffen folgende Kategorien sensibler Daten: … … Datenschutzmelderegister-Angaben des Datenexporteurs (falls zutreffend) … … Lang
|
755
Teil 5 II Rz. 19
Standardvertrag II
Sonstige nützliche Informationen (Aufbewahrungszeitraum und sonstige einschlägige Angaben) … … Anlaufstelle für Datenschutzauskünfte Datenimporteur
Datenexporteur
…
…
…
…
Veranschaulichende Geschäftsklauseln (Fakultativ) Wechselseitige Entschädigung von Datenexporteur und Datenimporteur: Die Parteien entschädigen sich wechselseitig oder halten sich wechselseitig schadlos für alle Kosten, Ausgaben, Schäden, Auslagen oder Verluste, die die andere Partei durch Verletzung einer dieser Vertragsklauseln verursacht. Der Entschädigungsanspruch setzt voraus, dass a) die zu entschädigenden Parteien die entschädigenden Parteien unverzüglich von dem Bestehen einer Forderung in Kenntnis setzen und b) die entschädigenden Parteien allein dazu berechtigt sind, sich gegen einen solchen Anspruch zu verteidigen oder den Streit beizulegen und c) die zu entschädigenden Parteien bei der Abwehr derartiger Rechtsansprüche redlich mit den entschädigenden Parteien zusammenarbeiten und diese unterstützen. Streitbeilegung zwischen Datenexporteur und Datenimporteur (die Parteien können selbstverständlich eine andere alternative Streitbeilegung oder die Zuständigkeit eines Gerichts vereinbaren): Alle Rechtsstreitigkeiten zwischen dem Datenimporteur und dem Datenexporteur aus dem vorliegenden Vertrag werden gemäß dem Schlichtungsund Schiedsreglement der Internationalen Handelskammer endgültig durch einen oder mehrere Schiedsrichter entschieden, die in Übereinstimmung mit diesem Reglement ernannt werden. Ort des Schiedsverfahrens ist […]. Die Zahl der Schiedsrichter beträgt […]. Kostenteilung: Jede Partei trägt die Kosten für die Erfüllung ihrer Vertragspflichten. Zusätzliche Beendigungsklausel: Bei Beendigung dieses Vertrags gibt der Datenimporteur alle personenbezogenen Daten sowie alle Kopien der personenbezogenen Daten, die Gegenstand dieser Klauseln sind, unverzüglich an den Datenexporteur zurück, oder aber der Datenimporteur vernichtet auf Antrag des Datenexporteurs alle Exemplare derselben und bescheinigt dem Datenexporteur die Vernichtung, es sei denn, der nationale Gesetzgeber oder die nationale Regulierungsbehörde verbietet die vollständige oder teilweise Rückübermittlung oder Zerstörung dieser Daten; in diesem Fall werden die Daten geheim gehalten und zu keinem weiteren Zweck 756
|
Lang
Rz. 23 Teil 5 II
Erläuterungen
aktiv verarbeitet. Auf Verlangen des Datenexporteurs erlaubt der Datenimporteur dem Datenexporteur oder einem vom Datenexporteur ausgewählten Prüfer, gegen den der Datenimporteur keine begründeten Einwände erhebt, den Zugang zu seinen Räumlichkeiten, damit die Ausführung dieser Bestimmungen überprüft werden kann; die Überprüfung ist rechtzeitig anzukündigen und während der üblichen Geschäftszeiten durchzuführen.
C. Erläuterungen I. Inhalt und Aufbau von Standardvertrag II Der Standardvertrag II ist im Wesentlichen wie der Standardvertrag I aufgebaut1. Er besteht aus dem Mustervertragstext mit den Regelungen der Rechte und Pflichten der Vertragsparteien. Die Informationen und Besonderheiten der geplanten Datenübermittlung sind im Wesentlichen in Anhang B des Standardvertrags II zu konkretisieren.
20
Das Muster entspricht dem von der EU-Kommission verabschiedeten Standardvertrag II. Die Gliederung wurde unverändert beibehalten, um eine einfachere Orientierung und eine Nutzung des im Amtsblatt der EU veröffentlichten Dokuments zu ermöglichen.
21
II. Erläuterung der einzelnen Klauseln 1. Erläuterungen zur Bezeichnung der Vertragsparteien und zur Präambel E Bezeichnung der Vertragsparteien und Präambel
22
Vereinbarung über die Datenübermittlung zwischen … (Name) … (Adresse und Sitzland) – nachstehend als „Datenexporteur“ bezeichnet – und … (Name) … (Adresse und Sitzland) – nachstehend als „Datenimporteur“ bezeichnet – – beide nachstehend als „Partei“, zusammen als „Parteien“ bezeichnet – Der Standardvertrag II beginnt mit der exakten Bezeichnung der Vertragsparteien. Die Vorlage der EU-Kommission beschränkt sich im Gegensatz zum Standardvertrag I auf die Angabe des Namens, der Adresse und des Landes, in dem 1 S. Teil 5 I Rz. 22.
Lang
|
757
23
Teil 5 II Rz. 24
Standardvertrag II
die jeweilige Vertragspartei ihren Sitz hat. Es bleibt den Vertragsparteien unbenommen, weitere Informationen wie z.B. Telefonnummern, Faxnummern und E-Mail-Adressen zu ergänzen. Das ist zu empfehlen, soweit es für die Identifizierung der Vertragsparteien und für die Durchführung des Standardvertrags erforderlich und sinnvoll ist. 24
Die Bezeichnung der Vertragsparteien als Datenexporteur und Datenimporteur muss ihrer jeweiligen Stellung entsprechen. Der Datenexporteur mit Sitz in der EU übermittelt als für die Datenverarbeitung Verantwortlicher personenbezogene Daten an den ebenfalls für die Datenverarbeitung verantwortlichen Datenimporteur in einem Drittland. Die Definitionen der Termini „Datenexporteur“ und „Datenimporteur“ sind in der Klausel mit den Begriffsbestimmungen enthalten (Buchstaben b) und c)).
a) Vertragsparteien bei der Datenweitergabe im Konzern 25
Die Frage, welche Stelle bei einer weltweiten Datenübermittlung im Konzern als Datenexporteur zu qualifizieren ist und in dieser Eigenschaft Vertragspartei des Standardvertrags II werden muss, ist anhand der tatsächlichen Entscheidungsbefugnis im Hinblick auf die Datenübermittlung in die Drittländer zu beantworten. Die deutschen Aufsichtsbehörden stellen darauf ab, dass die Entscheidungsbefugnis grundsätzlich bei der jeweiligen Daten verarbeitenden Stelle in der EU verbleibt, von der die zu übermittelnden Daten stammen. Es ist von den Unternehmen darzulegen, bei welcher Stelle bzw. welchen Stellen die vorstehend umschriebene Verantwortung liegt1.
26
Rechtlich unselbständige Niederlassungen können ebenfalls als Datenexporteure qualifiziert werden. Allerdings lassen sich die Standardvertragsklauseln für rechtlich unselbständige Niederlassungen nur unter bestimmten Bedingungen nutzen. Die Standardverträge müssen flankiert werden von weiteren Maßnahmen zur Herstellung der internen und externen Verbindlichkeit wie sie für Unternehmensregeln zum Drittländertransfer aufgestellt worden sind2. Eine flankierende Maßnahme ist z.B. eine zugangs-, aber nicht annahmebedürftige Garantieerklärung durch den Datenimporteur, die je nach betroffenem Per1 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) am 19./20.4.2007 (Internationaler Datenverkehr) i.V.m. Positionspapier der Aufsichtsbehörden in der AG „Internationaler Datenverkehr“ am 12./13.2.2007 v. 28.3.2007, Abschn. I.1 und 2; vgl. auch Landesregierung Hessen, Zwanzigster Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 16/7646, Abschn. 9.1 (S. 17 f.); Hillenbrand-Beck, RDV 2007, 231 (231 f.). 2 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) am 19./20.4.2007 (Internationaler Datenverkehr) i.V.m. Positionspapier der Aufsichtsbehörden in der AG „Internationaler Datenverkehr“ am 12./13.2.2007 v. 28.3.2007, Abschn. I.4; zur Herstellung der Verbindlichkeit von Unternehmensregeln vgl. Working Paper der Artikel-29-Datenschutzgruppe der EU-Kommission, Arbeitsdokument „Muster-Checkliste für Anträge auf Genehmigungen verbindlicher unternehmensinterner Datenschutzregelungen“ v. 14.4.2005, Dok. 05/DE – WP 108, Abschn. 5 (S. 5 ff.); abrufbar unter http://ec.europa.eu/justice/policies/privacy/ docs/wpdocs/2005/wp108_de.pdf (Stand 31.8.2013).
758
|
Lang
Erläuterungen
Rz. 29 Teil 5 II
sonenkreis im Internet oder Intranet veröffentlicht oder anderweitig zugänglich gemacht werden muss1.
b) Mehrparteienverhältnis beim Standardvertrag II Standardvertragsklauseln können grundsätzlich mit zwei oder mehr Vertragsparteien verwendet werden2. Die aus dem Mehrparteienverhältnis folgenden Besonderheiten müssen vertraglich abgebildet werden. Dabei können komplexe Vertragskonstruktionen entstehen, bei denen Stellen sowohl als verantwortliche Stelle (Controller) als auch als Auftragsverarbeiter (Processor) tätig sind. In diesem Fall müssen die einschlägigen Standardvertragsklauseln der jeweiligen Datenübermittlung sorgfältig zugeordnet werden3. Schließlich können den Standardvertragsklauseln Haupt- bzw. Rahmenverträge vorangestellt werden4.
27
Die Datenübermittlung bleibt genehmigungsfrei, wenn die Standardvertragsklauseln vollständig und inhaltlich unverändert zum Einsatz kommen5. Bei der Nutzung eines Haupt- bzw. Rahmenvertrags muss hinsichtlich der Genehmigungsfreiheit gewährleistet werden, dass in jedem Fall die Standardvertragsklauseln inhaltlich unberührt bleiben und bei einem Rechtsstreit die Interpretation der Standardvertragsklauseln maßgeblich ist.
28
Aus Gründen der Rechtssicherheit sollte grundsätzlich die zuständige Datenschutzaufsichtsbehörde konsultiert werden (siehe Rz. 19 f.)6.
2. Erläuterungen zu den Begriffsbestimmungen E Begriffsbestimmungen
29
Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen: a) Die Begriffe „personenbezogene Daten“, „besondere Kategorien personenbezogener Daten/sensible Daten“, „verarbeiten/Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene 1 Weitere Details zu Vertragsparteien bei weltweiter Datenübermittlung im Konzern einschließlich der flankierenden Maßnahmen bei unselbständigen Niederlassungen und zu Einzelfällen, die von Datenschutzaufsichtsbehörden entschieden worden sind, in Teil 5 I Rz. 28 ff. 2 Vgl. nur Landesregierung Hessen, Dreiundzwanzigster Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 18/2942, Abschn. 11.2 (S. 19); Working Paper der Artikel-29-Datenschutzgruppe der EU-Kommission, Arbeitsdokument: Übermittlung personenbezogener Daten in Drittländer: Anwendung von Artikel 26 Absatz 2 der EUDatenschutzrichtlinie auf verbindliche unternehmensinterne Vorschriften für den internationalen Datentransfer v. 3.6.2003, Dok. 11639/02/DE _ WP 74, Abschn. 2 (S. 6); abrufbar unter http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2003/wp74_de.pdf (Stand 31.8.2013); Taeger/Gabel/Gabel, § 4c BDSG Rz. 25. 3 Zu den verschiedenen Arten von Standardvertragsklauseln s. Rz. 8 ff. 4 Das Muster eines solchen Rahmenvertrages wird kommentiert in Teil 5 IV. 5 Landesregierung Hessen, Dreiundzwanzigster Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 18/2942, Abschn. 11.2 (S. 19). 6 Zu weiteren Details und Besonderheiten beim Mehrparteienverhältnis s. Teil 5 I Rz. 34 ff.
Lang
|
759
Teil 5 II Rz. 30
Standardvertrag II
Person“ und „Kontrollstelle“ werden entsprechend den Begriffsbestimmungen der Richtlinie 95/46/EG vom 24. Oktober 1995 verwendet (wobei mit „Kontrollstelle“ die Datenschutzkontrollstelle gemeint ist, die für das Sitzland des Datenexporteurs zuständig ist). b) „Datenexporteur“ bezeichnet den für die Verarbeitung Verantwortlichen, der die personenbezogenen Daten übermittelt. c) „Datenimporteur“ bezeichnet den für die Verarbeitung Verantwortlichen, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten für die Verarbeitung gemäß den Bestimmungen dieser Vertragsklauseln entgegenzunehmen, und der nicht an ein System eines Drittlandes gebunden ist, das angemessenen Schutz gewährleistet. d) „Klauseln“ bezeichnet diese Standardvertragsklauseln als eigenständiges Dokument, das keine Geschäftsbedingungen beinhaltet, die von den Parteien im Rahmen getrennter geschäftlicher Vereinbarungen getroffen wurden. Die Einzelheiten der Übermittlung (sowie die abgedeckten personenbezogenen Daten) sind in Anhang B aufgeführt, der integraler Bestandteil dieser Klauseln ist. 30
Die Begriffsbestimmungen sind gegenüber dem Standardvertrag I ergänzt und präzisiert worden. Es werden – wie im Standardvertrag I – die Begriffe des Datenexporteurs und des Datenimporteurs definiert. Für die um sprachliche Varianten erweiterten Termini „personenbezogene Daten“, „besondere Kategorien personenbezogener Daten/sensible Daten“, „verarbeiten/Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Kontrollstelle“ erfolgt ein Verweis auf die Definitionen der Richtlinie 95/46/EG. Allerdings wird der Begriff „Kontrollstelle“ dahingehend präzisiert, dass er die für das Land zuständige Kontrollstelle bezeichnet, in dem der Datenexporteur seinen Sitz hat.
31
Neu aufgenommen wurde eine Definition des Begriffs „Klauseln“, der ausschließlich den Standardvertrag II als ein abgeschlossenes Regelwerk bezeichnet und insoweit etwaige Allgemeine Geschäftsbedingungen der Vertragsparteien explizit nicht erfasst.
32
Schließlich wird – systematisch fraglich – am Ende der Begriffsbestimmungen ebenso wie in Klausel VIII Satz 1 darauf hingewiesen, dass die Einzelheiten der Datenübermittlung in Anhang B des Standardvertrags II aufgeführt sind (zu Klausel VIII siehe Rz. 74 ff.). Zudem wird vereinbart, dass dieser Anhang Bestandteil der Klauseln ist.
3. Erläuterungen zu Klausel I 33
E I. Pflichten des Datenexporteurs Der Datenexporteur gibt folgende Zusicherungen: a) Die personenbezogenen Daten wurden nach den für den Datenexporteur geltenden Gesetzen gesammelt, verarbeitet und übermittelt. 760
|
Lang
Erläuterungen
Rz. 36 Teil 5 II
b) Er hat sich im Rahmen des Zumutbaren davon überzeugt, dass der Datenimporteur seine Rechtspflichten aus diesen Klauseln zu erfüllen in der Lage ist. c) Er stellt dem Datenimporteur auf Antrag Exemplare der einschlägigen Datenschutzgesetze oder entsprechende Fundstellennachweise seines Sitzlandes zur Verfügung, erteilt aber keine Rechtsberatung. d) Er beantwortet Anfragen der betroffenen Personen und der Kontrollstelle bezüglich der Verarbeitung der personenbezogenen Daten durch den Datenimporteur, es sei denn, die Parteien haben vereinbart, dass der Datenimporteur die Beantwortung übernimmt; der Datenexporteur übernimmt die Beantwortung im Rahmen der Zumutbarkeit und aufgrund der ihm zugänglichen Informationen auch dann, wenn der Datenimporteur nicht antworten will oder kann. Sie erfolgt innerhalb einer angemessenen Frist. e) Er stellt betroffenen Personen, die Drittbegünstigte im Sinne von Klausel III sind, auf Verlangen ein Exemplar der Klauseln zur Verfügung, es sei denn, die Klauseln enthalten vertrauliche Angaben; in diesem Fall hat er das Recht, diese Angaben zu entfernen. Werden Angaben entfernt, teilt der Datenexporteur den betroffenen Personen schriftlich die Gründe für die Entfernung mit und belehrt sie über ihr Recht, die Kontrollstelle auf die Entfernung aufmerksam zu machen. Der Datenexporteur leistet indessen der Entscheidung der Kontrollstelle Folge, den betroffenen Personen Zugang zum Volltext der Klauseln zu gewähren, wenn diese sich zur Geheimhaltung der entfernten vertraulichen Informationen verpflichten. Der Datenexporteur stellt ferner auch der Kontrollstelle auf Antrag ein Exemplar der Klauseln zur Verfügung. Klausel I regelt die Pflichten des Datenexporteurs. Klausel I Buchst. a) entspricht der Regelung in Klausel 4 Buchst. a) des Standardvertrags I1. Danach muss nicht nur die Datenerhebung, sondern der gesamte Umgang mit den personenbezogenen Daten in Einklang mit den nationalen Rechtsvorschriften des Landes stehen, in dem der Datenexporteur ansässig ist.
34
Der Datenexporteur hat sich im Rahmen des Zumutbaren davon zu überzeugen, dass der Datenimporteur in der Lage ist, seine Rechtspflichten aus dem konkret geschlossenen Standardvertrag zu erfüllen (Klausel I Buchst. b)). Diese Verpflichtung kann – aber nicht ausschließlich und überwiegend – durch wirtschaftliche Erwägungen begrenzt werden. Die Formulierung „ökonomisch zumutbar“ wurde von der EU-Kommission abgelehnt2.
35
Die Regelung in Klausel I Buchst. c) sichert dem Datenimporteur die Möglichkeit, die relevanten Informationen zu den einschlägigen Rechtsvorschriften im Land des Datenexporteurs zu erhalten. Das kann vor allem relevant werden, wenn sich der Datenimporteur gem. Klausel II Buchst. h) Unterbuchst. i des Standardvertrags II für die Variante entscheidet, die übermittelten Daten nach
36
1 Dazu s. Teil 5 I Rz. 57. 2 Vgl. Kuner/Hladjk, RDV 2005, 193 (195). Zu Klausel 4 Buchst. a) des Standardvertrags I s. Teil 5 I Rz. 57 f.
Lang
|
761
Teil 5 II Rz. 37
Standardvertrag II
dem Recht des Landes zu verarbeiten, in dem der Datenexporteur seinen Sitz hat. Der Ausschluss von etwaiger Rechtsberatung dient der Klarstellung, dass jede Vertragspartei rechtlich eigenverantwortlich handelt. 37
Die Verpflichtung, Anfragen von Datenschutzaufsichtsbehörden und Betroffenen innerhalb eines angemessenen Zeitraums zu beantworten (Klausel I Buchst. d)) ist im Vergleich zu der entsprechenden Regelung in Klausel 4 Buchst. d) des Standardvertrags I flexibler gestaltet1. Die Vertragsparteien können vereinbaren, dass der Datenimporteur die Beantwortung der Anfragen übernimmt. Eine Verlagerung der Auskunftspflicht auf den Datenimporteur wird regelmäßig aus Gründen der Praktikabilität und Sachnähe angezeigt sein, da die Datenverarbeitung durch den Datenimporteur im Mittelpunkt steht. Eine entsprechende Vereinbarung muss im Standardvertrag aufgenommen werden. Dazu kann folgende beispielhafte Regelung direkt in Klausel I Buchst. d) als neuer Satz 3 integriert werden: E Die Parteien vereinbaren gemäß Satz 1 Halbsatz 1 dieser Klausel, dass der Datenexporteur Anfragen der betroffenen Personen und der Kontrollstelle bezüglich der Verarbeitung der personenbezogenen Daten durch den Datenimporteur beantwortet.
38
Alternativ kann für eine Verlagerung der Auskunftspflicht auf den Datenimporteur in Klausel I Buchst. d) auf Anhang B des Standardvertrags II verwiesen werden, wo unter Bezugnahme auf Klausel I Buchst. d) eine entsprechende Vereinbarung im Zusammenhang mit der Benennung der Anlaufstellen für Datenschutzauskünfte aufzunehmen ist. Diese Alternative kann z.B. wie folgt umgesetzt werden (Ergänzungen des Textes sind kursiv hervorgehoben): E Klausel I d) Er beantwortet Anfragen der betroffenen Personen und der Kontrollstelle bezüglich der Verarbeitung der personenbezogenen Daten durch den Datenimporteur, es sei denn, die Parteien haben in Anhang B vereinbart, dass der Datenimporteur die Beantwortung übernimmt; der Datenexporteur übernimmt die Beantwortung im Rahmen der Zumutbarkeit und aufgrund der ihm zugänglichen Informationen auch dann, wenn der Datenimporteur nicht antworten will oder kann. Sie erfolgt innerhalb einer angemessenen Frist. E Anhang B … Anlaufstelle für Datenschutzauskünfte Datenimporteur
Datenexporteur
…
…
…
…
1 Zu der Frage, was ein angemessener Zeitraum ist s. Erläuterung zu Klausel 4 Buchst. d) des Standardvertrags I in Teil 5 I Rz. 61.
762
|
Lang
Erläuterungen
Rz. 42 Teil 5 II
Die Parteien vereinbaren gem. Klausel I Buchst. d Satz 1 Halbs. 1, dass der Datenimporteur Anfragen der betroffenen Personen und der Kontrollstelle bezüglich der Verarbeitung der personenbezogenen Daten durch den Datenimporteur beantwortet. Ungeachtet einer Vereinbarung zwischen den Vertragsparteien über die Auskunftspflicht bleibt der Datenexporteur gegenüber den Betroffenen und der Kontrollstelle in der Verantwortung, wenn der Datenimporteur seiner vertraglichen Pflicht zur Beantwortung der Anfragen nicht nachkommt oder nicht nachkommen kann. Die Pflicht des Datenexporteurs ist aber begrenzt durch die Kriterien der Zumutbarkeit und der Zugänglichkeit der relevanten Informationen (Klausel I Buchst. d) Satz 1 Halbs. 2).
39
Klausel I Buchst. e) enthält schließlich die Pflicht des Datenexporteurs, Betroffenen und der zuständigen Datenschutzbehörde auf Anforderung eine Kopie der vereinbarten Standardvertragsklauseln zur Verfügung zu stellen. Allerdings können die Vertragsparteien vereinbaren, dass der Datenimporteur die Pflicht des Datenexporteurs übernimmt, was sich aus Klausel II Buchst. e) ergibt1.
40
Die Klausel I Buchst. e) enthält anders als die entsprechende Regelung in Klausel 4 Buchst. c) des Standardvertrags I eine gestufte Regelung in Bezug auf die Offenlegung etwaiger vertraulicher Angaben in den Standardvertragsklauseln. Verlangen betroffene Personen als Drittbegünstigte ein Exemplar des vereinbarten Standardvertrags II, können etwaige vertrauliche Angaben grundsätzlich entfernt werden. Die betroffenen Personen sind jedoch über die Gründe und ihr Recht, die Datenschutzaufsichtsbehörde einzuschalten, schriftlich zu informieren. Die Aufsichtsbehörde kann entscheiden, dass den betroffenen Personen Zugang zum vollständigen Vertragstext einschließlich der vertraulichen Informationen zu gewähren ist, wenn sich die Betroffenen zur Geheimhaltung verpflichten.
41
4. Erläuterungen zu Klausel II und Anhang A des Standardvertrags II a) Erläuterungen zu Klausel II E II. Pflichten des Datenimporteurs
42
Der Datenimporteur gibt folgende Zusicherungen: a) Er verfügt über die technischen und organisatorischen Voraussetzungen zum Schutz der personenbezogenen Daten gegen die unbeabsichtigte oder rechtswidrige Zerstörung oder gegen den unbeabsichtigten Verlust oder die unbeabsichtigte Änderung, die unberechtigte Offenlegung oder den unberechtigten Zugriff; damit ist ein Sicherheitsniveau gewährleistet, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten gerecht wird. b) Seine Verfahrensregeln gewährleisten, dass von ihm zum Zugriff auf die personenbezogenen Daten befugte Dritte, einschließlich des Auftragsverarbeiters, die Geheimhaltung und Sicherheit der personenbezogenen Da1 Dazu s. Erläuterungen zu Klausel II Buchst. e) unter Rz. 49.
Lang
|
763
Teil 5 II Rz. 42
Standardvertrag II
ten beachten und wahren. Die unter der Verantwortung des Datenimporteurs tätigen Personen, darunter auch Auftragsverarbeiter, dürfen die personenbezogenen Daten nur auf seine Anweisung verarbeiten. Diese Bestimmung gilt nicht für Personen, die von Rechts wegen zum Zugriff auf die personenbezogenen Daten befugt oder verpflichtet sind. c) Zum Zeitpunkt des Vertragsabschlusses bestehen seines Wissens in seinem Land keine entgegenstehenden Rechtsvorschriften, die die Garantien aus diesen Klauseln in gravierender Weise beeinträchtigen; er benachrichtigt den Datenexporteur (der die Benachrichtigung erforderlichenfalls an die Kontrollstelle weiterleitet), wenn er Kenntnis von derartigen Rechtsvorschriften erlangt. d) Er verarbeitet die personenbezogenen Daten zu den in Anhang B dargelegten Zwecken und ist ermächtigt, die Zusicherungen zu geben und die Verpflichtungen zu erfüllen, die sich aus diesem Vertrag ergeben. e) Er nennt dem Datenexporteur eine Anlaufstelle innerhalb seiner Organisation, die befugt ist, Anfragen bezüglich der Verarbeitung der personenbezogenen Daten zu behandeln, und arbeitet redlich mit dem Datenexporteur, der betroffenen Person und der Kontrollstelle zusammen, damit derartige Anfragen innerhalb einer angemessenen Frist beantwortet werden. Wenn der Datenexporteur nicht mehr besteht oder wenn die Parteien Entsprechendes vereinbaren, verpflichtet sich der Datenimporteur zur Einhaltung der Bestimmungen von Klausel I Buchstabe e). f) Auf Antrag des Datenexporteurs weist er nach, dass er über ausreichende Finanzmittel verfügt, um die Verpflichtungen aus Klausel III zu erfüllen (wozu auch Versicherungsschutz zählen kann). g) Auf Antrag des Datenexporteurs und sofern dies nicht willkürlich ist, überlässt er seine zur Verarbeitung benötigten Datenverarbeitungseinrichtungen, Dateien und Unterlagen der Überprüfung, dem Audit und/oder der Zertifizierung durch den Datenexporteur (oder von ihm ausgewählte unabhängige oder unparteiische Prüfer oder Auditoren, gegen die der Datenimporteur keine begründeten Einwände erhebt), um zu gewährleisten, dass die Zusicherungen in diesen Klauseln eingehalten werden, wobei die Überprüfung rechtzeitig anzukündigen und während der üblichen Geschäftszeiten durchzuführen ist. Sofern die Zustimmung oder Genehmigung durch eine Regulierungs- oder Kontrollstelle im Land des Datenimporteurs erforderlich ist, bemüht sich dieser, die Zustimmung oder Genehmigung zügig zu erhalten. h) Er verarbeitet die personenbezogenen Daten gemäß i)
den Datenschutzbestimmungen des Landes, in dem der Datenexporteur ansässig ist, oder
ii) den einschlägigen Bestimmungen* etwaiger Kommissionsentscheidungen nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG, sofern der Daten* „Einschlägige Bestimmungen“ sind sämtliche unter diese Klauseln fallende Genehmigungen oder Entscheidungen mit Ausnahme der Vollzugsbestimmungen.
764
|
Lang
Erläuterungen
Rz. 44 Teil 5 II
importeur die einschlägigen Bestimmungen derartiger Genehmigungen bzw. Entscheidungen einhält und in einem Land ansässig ist, für das diese Genehmigungen oder Entscheidungen gelten, obwohl diese hinsichtlich der Übermittlung personenbezogener Daten auf ihn keine Anwendung finden*, oder iii) den Grundsätzen für die Datenverarbeitung in Anhang A. Der Datenimporteur wählt die Möglichkeit: … Paraphe des Datenimporteurs: … i) Er verzichtet auf die Offenlegung oder Übermittlung personenbezogener Daten an für die Verarbeitung Verantwortliche Dritte, die außerhalb des Europäischen Wirtschaftsraums (EWR) ansässig sind, es sei denn, er setzt den Datenexporteur von der Übermittlung in Kenntnis und i)
der für die Verarbeitung Verantwortliche Dritte verarbeitet die personenbezogenen Daten im Einklang mit einer Kommissionsentscheidung, in der die Kommission einem Drittland ein angemessenes Datenschutzniveau zuerkennt, oder
ii) der für die Verarbeitung Verantwortliche Dritte unterzeichnet diese Klauseln oder eine andere, von einer zuständigen Stelle in der EU genehmigte Datenübermittlungsvereinbarung oder iii) die betroffenen Personen haben das Recht zum Widerspruch, nachdem sie über den Zweck der Übermittlung informiert wurden, ferner über die Empfängerkategorien und darüber, dass das Empfängerland der Daten möglicherweise andere Datenschutzstandards aufweist, oder iv) die betroffenen Personen haben im Hinblick auf die Weiterübermittlung sensibler Daten zweifelsfrei ihre Zustimmung zu der Weiterübermittlung erteilt. * Wird diese Möglichkeit gewählt, sind jedoch die Bestimmungen von Anhang A Ziffer 5 über das Recht auf Zugriff, Berichtigung, Löschung und Widerspruch anzuwenden, die dann vergleichbaren Bestimmungen der gewählten Kommissionsentscheidung vorgehen.
Klausel II regelt die Pflichten des Datenimporteurs.
43
aa) Erläuterungen zu Klausel II Buchst. a) Klausel II Buchst. a) enthält die Verpflichtung zu geeigneten und angemessenen technischen und organisatorischen Maßnahmen, die sowohl nach Art. 17 Richtlinie 95/46/EG als auch nach § 9 BDSG den Verantwortlichen der Datenverarbeitung auferlegt wird. Vor diesem Hintergrund ist eine Orientierung an den Vorgaben gemäß Anlage zu § 9 Satz 1 BDSG sowie den einschlägigen Kommentierungen und Aussagen der Aufsichtsbehörden möglich1. 1 Vgl. nur Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 35 ff.; Simitis/Ernestus, § 9 BDSG Rz. 47 ff.; vgl. auch Erläuterungen zu Ziff. 4 der Anlage 2 des Standardvertrags I in Teil 5 I Rz. 85 f.
Lang
|
765
44
Teil 5 II Rz. 45
Standardvertrag II
bb) Erläuterungen zu Klausel II Buchst. b) 45
In Klausel II Buchst. b) verpflichtet sich der Datenimporteur, dass die Geheimhaltung und Sicherheit der personenbezogenen Daten durch seine Verfahrensregeln gewährleistet sind und die Daten nur nach seinen Weisungen verarbeitet werden. Diese Vorgaben gelten insbesondere auch im Falle einer etwaigen Auftragsdatenverarbeitung für den Datenimporteur, nicht aber bei einem Datenzugriff auf gesetzlicher Grundlage1.
cc) Erläuterungen zu Klausel II Buchst. c) 46
Nach Klausel II Buchst. c) sichert der Datenimporteur zu, dass in seinem Land seiner Kenntnis nach keine entgegenstehenden Rechtsvorschriften bestehen, die die Garantien aus dem Standardvertrag II in „gravierender Weise“ beeinträchtigen. Diese Klausel ist für den Datenimporteur deutlich vorteilhafter und insgesamt praktikabler als die entsprechende Klausel 5 Buchst. a) des Standardvertrags I2. Es kommt lediglich auf den Zeitpunkt des Vertragsschlusses an; eine darüber hinausgehende Überwachungspflicht wird – anders als in Klausel 5 Buchst. a) des Standardvertrags I – nicht begründet. Schließlich ist nur eine nicht unerhebliche Beeinträchtigung durch etwaige entgegenstehende Rechtsvorschriften relevant.
dd) Erläuterungen zu Klausel II Buchst. d) 47
In Klausel II Buchst. d) wird der Zweckbindungsgrundsatz für den Datenimporteur unter Verweis auf die in Anlage B des Standardvertrags II dargelegten Verarbeitungszwecke explizit festgeschrieben. Diese Verpflichtung enthält auch der Standardvertrag I3.
ee) Erläuterungen zu Klausel II Buchst. e) 48
Der Datenimporteur ist im Rahmen von Anfragen bezüglich der Datenverarbeitung zur Zusammenarbeit mit dem Datenexporteur, der Datenschutzbehörde und den Betroffenen verpflichtet. Diese Verpflichtung kann im Einzelfall auch über eine Kooperationspflicht hinausgehen, wenn die Vertragsparteien entsprechend Klausel I Buchst. d) vereinbaren, dass der Datenimporteur die Beantwortung der Anfragen übernimmt (dazu siehe Rz. 37 f.)4. Der Datenimporteur hat in jedem Fall eine Anlaufstelle innerhalb seiner Organisation für Anfragen bezüglich der Datenverarbeitung zu benennen. Diese ist wie auch eine entsprechende Anlaufstelle auf Seiten des Datenexporteurs in Anhang B 1 Vgl. auch Erläuterungen zu Ziff. 4 Satz 2 der Anlage 2 des Standardvertrags I in Teil 5 I Rz. 86. 2 Zu Klausel 5 Buchst. a) des Standardvertrags I s. Erläuterungen in Teil 5 I Rz. 64 f. 3 Klausel 5 Buchst. b) Abs. 1 (Alt. 1) i.V.m. Anlage 2 Abs. 1 des Standardvertrags I bzw. Klausel 5 Buchst. b) Abs. 2 (Alt. 2 und 3) i.V.m. Anlage 3 Abs. 1 des Standardvertrags I. Zu Anhang B von Standardvertrag II s. Rz. 77 ff. 4 Zu der Frage, was eine angemessene Frist ist, s. Erläuterungen zu Klausel 4 Buchst. d) des Standardvertrags I in Teil 5 I Rz. 61.
766
|
Lang
Erläuterungen
Rz. 52 Teil 5 II
einzutragen. Insoweit sollte ein Funktionsbezug gewählt werden, da Personen regelmäßig nur für begrenzte Dauer in derselben Funktion tätig sind. Schließlich muss der Datenimporteur die in Klausel I Buchst. e) festgeschriebene Pflicht des Datenexporteurs übernehmen und Betroffenen sowie der zuständigen Datenschutzbehörde auf Anforderung eine Kopie der vereinbarten Standardvertragsklauseln zur Verfügung stellen, wenn der Datenexporteur nicht existiert oder die Vertragsparteien eine entsprechende Vereinbarung getroffen haben. Eine solche Regelung kann als neuer Satz 3 direkt in Klausel II Buchst. e) integriert werden. Alternativ kann in Klausel II Buchst. e) auf Anlage B verwiesen werden, wo unter Bezugnahme auf Klausel II Buchst. e) eine entsprechende Vereinbarung im Zusammenhang mit der Benennung der Anlaufstellen für Datenschutzauskünfte aufzunehmen wäre1.
49
ff) Erläuterungen zu Klausel II Buchst. f) Der Datenimporteur hat auf Anfrage des Datenexporteurs nachzuweisen, dass er über hinreichend Finanzmittel verfügt, um seine Verpflichtungen aus Klausel III (Haftung) erfüllen zu können. Die Art und Form des Nachweises werden nicht vorgegeben. Ein Nachweis über einen entsprechenden Versicherungsschutz durch Vorlage des Versicherungsscheins kann ausreichen.
50
gg) Erläuterungen zu Klausel II Buchst. g) Der Datenimporteur räumt dem Datenexporteur ein Prüfungs- und Zertifizierungsrecht ein. Im Gegensatz zur Regelung in Klausel 5 Buchst. d) des Standardvertrags I unterliegt dieses Recht mehreren Schranken. Es steht explizit unter dem Verbot der Willkür. Der Datenimporteur kann gegen die vom Datenexporteur ausgewählten Dritten begründete Einwände erheben. Die Überprüfung muss rechtzeitig angekündigt und darf nur während der üblichen Geschäftszeiten durchgeführt werden. Schließlich darf eine Überprüfung nur mit Zustimmung oder Genehmigung der staatlichen Stellen im Land des Datenimporteurs erfolgen, soweit diese vorgesehen sind.
51
hh) Erläuterungen zu Klausel II Buchst. h) In Klausel II Buchst. h) wird bestimmt, welches Recht auf die gesamte Verarbeitung der übermittelten personenbezogenen Daten durch den Datenimporteur zur Anwendung kommt. Während sich die Formulierungen und die Reihenfolge der Alternativen von denen im Standardvertrag I unterscheiden, enthalten die möglichen Optionen im Vergleich zum Standardvertrag I bis auf eine Ausnahme keine inhaltliche Abweichung. Das gilt auch mit Blick auf den Inhalt der Anhänge, auf die verwiesen wird. Die Regelungen der Zweckbindung und Weiterübermittlung in Ziffer 1 und 6 der Anlage 2 sowie Ziffer 1 und 3 der Anlage 3 zum Standardvertrag I sind in Klausel II Buchst. d) und Buchst. i) des 1 Zu dem vergleichbaren Formulierungsbeispiel einer abweichenden Vereinbarung über die Auskunftspflicht gem. Klausel I Buchst. d) s. Rz. 37 f. Zur Pflicht nach Klausel I Buchst. e), eine Kopie des Standardvertrags II zur Verfügung zu stellen s. Rz. 40 f.
Lang
|
767
52
Teil 5 II Rz. 53
Standardvertrag II
Standardvertrags II zusätzlich aufgenommen worden bzw. aufgegangen. Die Regelung der Rechte der Betroffenen in Ziffer 5 der Anlage 2 und Ziffer 2 der Anlage 3 zum Standardvertrag I werden in der Alternative gem. Klausel II Buchst. h) Unterbuchst. ii des Standardvertrags II über die dort eingefügte Fußnote 2 integriert; bei der Variante „Datenverarbeitung gemäß den nationalen Rechtsvorschriften, die im Land des Datenexporteurs gelten“ (Klausel II Buchst. h) Unterbuchst. i), sind die Bestimmungen über die Rechte der Betroffenen nach Art. 12 Richtlinie 95/46/EG bereits aufgrund der nationalen Vorschriften anzuwenden, mit denen die Richtlinie 95/46/EG umgesetzt wurde. 53
Der Datenimporteur kann und muss bei Abschluss des Standardvertrags II zwischen den in der Klausel II Buchst. h) aufgeführten drei Möglichkeiten wählen: – Datenverarbeitung gemäß den nationalen Datenschutzvorschriften, die im Land des Datenexporteurs gelten, also in Deutschland die Vorschriften des BDSG, aber auch spezielle Regelungen wie z.B. im TKG und TMG (i)1; – Datenverarbeitung gemäß den unter die Standardvertragsklauseln fallenden Genehmigungen und Entscheidungen mit Ausnahme von Vollzugsbestimmungen in den Entscheidungen der EU-Kommission nach Art. 25 Abs. 6 Richtlinie 95/46/EG, mit denen festgestellt wurde, dass ein Drittland nur für bestimmte Tätigkeitsbereiche ein angemessenes Datenschutzniveau gewährleistet; allerdings sind gemäß Fußnote 2 in Klausel II Buchst. h) die Bestimmungen über die Rechte der Betroffenen gemäß Ziffer 5 des Anhangs A zum Standardvertrag II vorrangig anzuwenden (ii)2; oder – Datenverarbeitung gemäß den verbindlichen Datenschutzgrundsätzen in Anhang A zum Standardvertrag II (iii)3
54
Von den vorstehenden drei Möglichkeiten ist lediglich die Alternative 3 praxistauglich4.
55
Im Rahmen der Vertragsgestaltung sieht die Vorlage des Standardvertrags II vor, dass die Wahl explizit in der Klausel getroffen und an dieser Stelle vom Datenimporteur unterzeichnet wird. Zwar spricht grundsätzlich nichts dagegen, sich bei der formalen Vertragsgestaltung auf den Inhalt der gewählten Alternative zu beschränken. Allerdings sollte aus Gründen der Rechtssicherheit insoweit die zuständige Datenschutzaufsichtsbehörde konsultiert werden5.
ii) Erläuterungen zu Klausel II Buchst. i) 56
Die Klausel II Buchst. i) regelt die Weiterübermittlung der Daten durch den Datenimporteur in ein Drittland. Diese Regelung ist im Gegensatz zur entspre1 Vgl. Klausel 5 Buchst. b) Abs. 2, erster Spiegelstrich (Alt. 2) des Standardvertrags I; s. Teil 5 I Rz. 66, 69. 2 Vgl. Klausel 5 Buchst. b) Abs. 2, zweiter Spiegelstrich (Alt. 3) des Standardvertrags I; s. Teil 5 I Rz. 66, 70; zu Ziff. 5 des Anhangs A von Standardvertrag II s. Rz. 59. 3 Vgl. Klausel 5 Buchst. b) Abs. 1 des Standardvertrags I; s. Teil 5 I Rz. 66, 68. 4 Vgl. Erläuterungen in Teil 5 I Rz. 68 ff. 5 Zur Genehmigungsfreiheit bei Änderung der Standardvertragsklauseln s. Rz. 16 ff.
768
|
Lang
Erläuterungen
Rz. 57 Teil 5 II
chenden Regelung in Ziffer 6 der Anlage 2 und Ziffer 3 der Anlage 3 des Standardvertrags I systematischer und inhaltlich flexibler. Eine Weiterübermittlung ist nur zulässig, wenn der Datenexporteur zuvor informiert wird und eine der vier enumerativ aufgeführten Alternativen vorliegt.
b) Erläuterungen zu Anhang A des Standardvertrags II 57
E Anhang A Grundsätze für die Datenverarbeitung 1. Zweckbindung: Personenbezogene Daten dürfen nur für die in Anhang B festgelegten oder anschließend von der betroffenen Person genehmigten Zwecke verarbeitet und danach verwendet oder weiter übermittelt werden. 2. Datenqualität und Verhältnismäßigkeit: Personenbezogene Daten müssen sachlich richtig sein und nötigenfalls auf dem neuesten Stand gehalten werden. Sie müssen den Übermittlungs- und Verarbeitungszwecken angemessen und dafür erheblich sein und dürfen nicht über das erforderliche Maß hinausgehen. 3. Transparenz: Die betroffenen Personen müssen Informationen erhalten, die eine Verarbeitung nach Treu und Glauben gewährleisten (beispielsweise Angaben zum Verarbeitungszweck und zur Übermittlung), sofern diese Informationen nicht bereits vom Datenexporteur erteilt wurden. 4. Sicherheit und Geheimhaltung: Der für die Verarbeitung Verantwortliche muss geeignete technische und organisatorische Sicherheitsvorkehrungen gegen die Risiken der Verarbeitung treffen, beispielsweise gegen die unbeabsichtigte oder rechtswidrige Zerstörung oder gegen den unbeabsichtigten Verlust oder die unbeabsichtigte Änderung, die unberechtigte Offenlegung oder den unberechtigten Zugriff. Alle unter der Verantwortung des für die Verarbeitung Verantwortlichen tätigen Personen, darunter auch Auftragsverarbeiter, dürfen die Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen verarbeiten. 5. Recht auf Auskunft, Berichtigung, Löschung und Widerspruch: Nach Artikel 12 der Richtlinie 95/46/EG hat die betroffene Person das Recht, entweder direkt oder durch Dritte, Auskunft über alle ihre personenbezogenen Daten zu erhalten, die von einer Organisation vorgehalten werden; dies gilt nicht für Auskunftsersuchen, die aufgrund ihrer unzumutbaren Periodizität oder ihrer Zahl, Wiederholung oder Systematik offensichtlich übertrieben sind, oder für Daten, über die nach dem für den Datenexporteur geltenden Recht keine Auskunft erteilt werden muss. Vorbehaltlich der vorherigen Genehmigung durch die Kontrollstelle muss auch dann keine Auskunft erteilt werden, wenn die Interessen des Datenimporteurs oder anderer Organisationen, die mit dem Datenimporteur in Geschäftsverkehr stehen, dadurch ernsthaft geschädigt würden und die Grundrechte und Grundfreiheiten der betroffenen Personen hierdurch nicht beeinträchtigt werden. Die Quellen der personenbezogenen Daten müssen nicht angegeLang
|
769
Teil 5 II Rz. 58
Standardvertrag II
ben werden, wenn dazu unzumutbare Anstrengungen erforderlich wären oder die Rechte Dritter dadurch verletzt würden. Die betroffene Person muss das Recht haben, ihre personenbezogenen Daten berichtigen, ändern oder löschen zu lassen, wenn diese unzutreffend sind oder entgegen den vorliegenden Grundsätzen verarbeitet wurden. Bei begründeten Zweifeln an der Rechtmäßigkeit des Ersuchens kann die Organisation weitere Belege verlangen, bevor die Berichtigung, Änderung oder Löschung erfolgt. Dritte, gegenüber denen die Daten offen gelegt wurden, müssen von der Berichtigung, Änderung oder Löschung nicht in Kenntnis gesetzt werden, wenn dies mit einem unverhältnismäßigen Aufwand verbunden wäre. Die betroffene Person muss auch aus zwingenden legitimen Gründen, die mit ihrer persönlichen Situation zusammenhängen, Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten einlegen können. Die Beweislast liegt im Fall einer Ablehnung beim Datenimporteur; die betroffene Person kann eine Ablehnung jederzeit vor der Kontrollstelle anfechten. 6. Sensible Daten: Der Datenimporteur trifft die zusätzlichen Vorkehrungen (bspw. sicherheitsbezogener Art), die entsprechend seinen Verpflichtungen nach Klausel II zum Schutz sensibler Daten erforderlich sind. 7. Direktmarketing: Werden Daten zum Zwecke des Direktmarketings verarbeitet, sind wirksame Verfahren vorzusehen, damit die betroffene Person sich jederzeit gegen die Verwendung ihrer Daten für derartige Zwecke entscheiden kann („Opt-out“). 8. Automatisierte Entscheidungen: „Automatisierte Entscheidungen“ im Sinne dieser Klauseln sind mit Rechtsfolgen behaftete Entscheidungen des Datenexporteurs oder des Datenimporteurs bezüglich einer betroffenen Person, die allein auf der automatisierten Verarbeitung personenbezogener Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person beruhen, beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrer Kreditwürdigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens. Der Datenimporteur darf keine automatisierten Entscheidungen über eine betroffene Person fällen, es sei denn: a) i) Der Datenimporteur fällt die Entscheidungen im Rahmen eines Vertragsabschlusses oder der Ausführung eines Vertrags mit der betroffenen Person, und ii) die betroffene Person erhält die Möglichkeit, die Ergebnisse einer einschlägigen automatisierten Entscheidung mit einem Vertreter der entscheidungstreffenden Partei zu erörtern, oder aber Erklärungen gegenüber dieser Partei abzugeben, oder b) die für den Datenexporteur geltenden Rechtsvorschriften sehen etwas anderes vor. 58
Anhang A enthält die Datenschutzgrundsätze, die zum Tragen kommen, wenn sich der Datenexporteur für die Alternative nach Klausel II Buchst. h) Unter770
|
Lang
Erläuterungen
Rz. 60 Teil 5 II
buchst. iii entscheidet (dazu siehe Rz. 52 ff.). Diese Grundsätze bilden die Basis für die Datenverarbeitung. Sie entsprechen im Wesentlichen den Vorgaben der Anlage 2 zum Standardvertrag I1. Der Grundsatz der Beschränkung der Weiterübermittlung gemäß Ziffer 6 der Anlage 2 zum Standardvertrag I ist in Klausel II Buchst. d) des Standardvertrags II aufgegangen. Kleinere inhaltliche Abweichungen enthält insbesondere der Grundsatz in Ziffer 4 (Sicherheit und Geheimhaltung). Diese Regelung wurde geschärft durch eine stärkere Anlehnung an den Wortlaut von Art. 17 Abs. 1 Richtlinie 95/46/EG und die beispielhafte Nennung von Risiken. Der Grundsatz in Ziffer 5 (Recht auf Auskunft, Berichtigung, Löschung und Widerspruch) wurde ebenfalls präzisiert. Er enthält im Gegensatz zu der entsprechenden Regelung in Ziffer 5 der Anlage 2 zum Standardvertrag I den ausdrücklichen Vorbehalt, dass eine Auskunft bei missbräuchlicher Anfrage aufgrund unzumutbarer Periodizität, Zahl, Wiederholung oder Systematik verweigert werden darf. Zudem muss der Datenimporteur vorbehaltlich einer vorherigen Zustimmung der Datenschutzaufsichtsbehörde keine Auskunft erteilen, wenn die Interessen des Datenimporteurs oder seiner Geschäftspartner ernsthaft geschädigt würden und die Grundrechte und Grundfreiheiten der betroffenen Personen dadurch nicht beeinträchtigt werden. Schließlich sind die Voraussetzungen in Ziffer 8 (Grundsatz zu automatisierten Entscheidungen) im Vergleich zu der entsprechenden Regelung in Ziffer 9 der Anlage 2 zum Standardvertrag I konkretisiert worden.
59
5. Erläuterungen zu Klausel III E III. Haftung und Rechte Dritter
60
a) Jede Partei haftet gegenüber der anderen Partei für Schäden, die sie durch einen Verstoß gegen diese Klauseln verursacht. Die gegenseitige Haftung der Parteien ist auf den tatsächlich erlittenen Schaden begrenzt. Strafschadenersatzansprüche (d.h. die Zahlung von Strafen für grobes Fehlverhalten einer Partei) sind ausdrücklich ausgeschlossen. Jede Partei haftet gegenüber der betroffenen Person für Schäden, die sie durch die Verletzung von Rechten Dritter im Rahmen dieser Klauseln verursacht. Die Haftung des Datenexporteurs gemäß den für ihn maßgeblichen Datenschutzvorschriften bleibt davon unberührt. b) Die Parteien räumen den betroffenen Personen das Recht ein, diese Klausel sowie Klausel I Buchstaben b), d) und e), Klausel II Buchstaben a), c), d), e), h), i), Klausel III Buchstabe a) sowie die Klauseln V, VI Buchstabe d) und VII als Drittbegünstigte gegenüber dem Datenimporteur oder dem Datenexporteur durchzusetzen, wenn diese im Hinblick auf die Daten der betroffenen Personen ihre Vertragspflichten verletzen; zu diesem Zweck erkennen sie die Zuständigkeit der Gerichte im Sitzland des Datenexporteurs an. Wirft die betroffene Person dem Datenimporteur Vertragsverletzung vor, muss sie den Datenexporteur zunächst auffordern, ihre Rechte gegenüber 1 S. Erläuterungen zu Anlage 2 des Standardvertrags I in Teil 5 I Rz. 76 ff.
Lang
|
771
Teil 5 II Rz. 61
Standardvertrag II
dem Datenimporteur durchzusetzen; wird der Datenexporteur nicht innerhalb einer angemessenen Frist tätig (im Regelfall innerhalb eines Monats), kann die betroffene Person ihre Rechte direkt gegenüber dem Datenimporteur durchsetzen. Eine betroffene Person kann direkt gegen einen Datenexporteur vorgehen, wenn dieser sich im Rahmen des Zumutbaren nicht davon überzeugt hat, dass der Datenimporteur seine rechtlichen Verpflichtungen aus diesen Klauseln zu erfüllen in der Lage ist (der Datenexporteur muss beweisen, dass er alle zumutbaren Anstrengungen unternommen hat).
a) Haftung (Klausel III Buchst. a) 61
Klausel III Buchst. a) enthält im Gegensatz zu der entsprechenden Regelung im Standardvertrag I keine gesamtschuldnerische Haftung, bei der die betroffenen Personen nach ihrer Wahl eine der Vertragsparteien in Anspruch nehmen können. Datenexporteur und Datenimporteur haften gegenüber der jeweils anderen Vertragspartei und gegenüber den betroffenen Personen für tatsächlich eingetretene Schäden, die sie verursacht haben. Die Haftung des Datenexporteurs nach den geltenden nationalen Vorschriften bleibt unberührt. Vertragsstrafen sind unzulässig.
62
Die Haftungsklausel ist der gravierendste Unterschied zwischen den Standardverträgen I und II. Die Abkehr von der gesamtschuldnerischen Haftung steht in Widerspruch zu Erwägungsgrund 18 Entscheidung 2001/497/EG, wonach die gesamtschuldnerische Haftung der betroffenen Personen gewählt wurde. Die Artikel-29-Datenschutzgruppe der EU-Kommission ist sogar der Ansicht, dass jegliche Einschränkung dieser Bestimmung zu einem Wegfall des angemessenen Schutzniveaus führen würde1. Dieser Auffassung hat sich die EUKommission zu Recht nicht angeschlossen. Eine gesamtschuldnerische Haftung von Datenexporteur und Datenimporteur, wie sie im Standardvertrag I enthalten ist, ist zwar für den Betroffenen von Vorteil. Zum einen ist es für ihn äußerst schwierig, den für eine Rechtsverletzung Verantwortlichen festzustellen. Zum anderen ist die Durchsetzung von Schadensersatzansprüchen im Ausland häufig problematisch. Allerdings wurde im Entscheidungsprozess über die alternativen Standardvertragsklauseln die Kritik der beteiligten Unternehmensverbände berücksichtigt und eine Haftungsregelung geschaffen, die sich an den jeweils auferlegten Sorgfaltspflichten der Vertragsparteien und deren tatsächlichen Verhalten orientiert2.
1 Working Paper der Artikel-29-Datenschutzgruppe der EU-Kommission, Stellungnahme 1/2001 zum Entwurf einer Entscheidung der Kommission betreffend die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach Artikel 26 Absatz 4 der Richtlinie 95/46, v. 26.1.2001, Dok. 5006/02/DE –; WP 38, S. 6; abrufbar unter http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2001/ wp38de.pdf (Stand 31.8.2013). 2 Zu den Kritikpunkten gegen eine gesamtschuldnerische Haftung vgl. Räther/Seitz, MMR 2002, 520 (524); Kuner/Hladjk, RDV 2005, 193 (197).
772
|
Lang
Erläuterungen
Rz. 67 Teil 5 II
b) Drittbegünstigtenklausel (Klausel III Buchst. b) Klausel III Buchst. b) Satz 1 räumt den betroffenen Personen, die nicht Vertragspartei sind, eine Vielzahl von Rechten ein und macht sie damit zu Drittbegünstigten. Der in einem Drittland ansässige Datenimporteur kann von den betroffenen Personen in der EU, nämlich im Land des Datenexporteurs verklagt werden, was eine Neuerung gegenüber dem Standardvertrag I darstellt. Die Parteien erkennen zu diesem Zweck die Zuständigkeit der Gerichte im Sitzland des Datenexporteurs an.
63
Klausel III Buchst. b) Satz 2 und 3 regelt das Verfahren im Fall einer Vertragsverletzung. Zunächst muss die betroffene Person den Datenexporteur auffordern, ihre Rechte durchzusetzen. Hierzu sind die nach Lage des Einzelfalls angezeigten und angemessenen Maßnahmen zu ergreifen1. Nach fruchtlosem Verstreichen einer angemessenen Frist, die hier regelmäßig einen Monat beträgt, kann die betroffene Person ihre Rechte gegenüber dem Datenimporteur geltend machen.
64
6. Erläuterungen zu Klausel IV E IV. Anwendbares Recht
65
Diese Klauseln unterliegen dem Recht des Landes, in dem der Datenexporteur ansässig ist; davon ausgenommen sind die Rechtsvorschriften über die Verarbeitung der personenbezogenen Daten durch den Datenimporteur gemäß Klausel II Buchstabe h), die nur gelten, wenn sich der Datenimporteur nach dieser Klausel dafür entschieden hat. Nach Klausel IV unterliegt der Standardvertrag II dem Recht des Staates, in dem der Datenexporteur ansässig ist. Das entspricht insoweit der Regelung in Standardvertrag I. Klausel IV stellt aber klar, dass für die Datenverarbeitung durch den Datenimporteur die Regelung in Klausel II Buchst. h) zum Tragen kommt, wenn sich der Datenimporteur für eine Alternative entschieden hat. Daher muss sich ein Datenimporteur auch bei mehreren Datenexporteuren aus verschiedenen EU-Staaten nur nach den Datenschutzvorschriften eines Landes richten. Die Regelung über das anwendbare Recht steht nicht zur Disposition der Vertragsparteien.
66
7. Erläuterungen zu Klausel V E V. Beilegung von Streitigkeiten mit betroffenen Personen oder der Kontrollstelle a) Bei einer Streitigkeit oder einer Klage der betroffenen Person oder der Kontrollstelle gegen eine Partei oder beide Parteien bezüglich der Verarbeitung personenbezogener Daten setzen die Parteien einander davon in Kenntnis und bemühen sich gemeinsam um eine zügige, gütliche Beilegung. 1 Vgl. Kuner/Hladjk, RDV 2005, 193 (197).
Lang
|
773
67
Teil 5 II Rz. 68
Standardvertrag II
b) Die Parteien erklären sich bereit, sich jedem allgemein zugänglichen, nicht bindenden Schlichtungsverfahren zu unterwerfen, das von einer betroffenen Person oder der Kontrollstelle angestrengt wird. Beteiligen sie sich an dem Verfahren, können sie dies auf dem Weg der Telekommunikation tun (z.B. per Telefon oder anderer elektronischer Mittel). Die Parteien erklären sich ferner bereit, eine Beteiligung an anderen Vermittlungsverfahren, Schiedsverfahren oder sonstigen Verfahren der Streitbeilegung zu erwägen, die für die Zwecke des Datenschutzes entwickelt werden. c) Die Parteien unterwerfen sich den rechtskräftigen Endentscheidungen des zuständigen Gerichts im Sitzland des Datenexporteurs oder der Kontrollstelle. 68
Klausel V regelt die Zusammenarbeit und Unterstützung zwischen den Vertragsparteien bei Streitigkeiten mit betroffenen Personen oder der zuständigen Datenschutzaufsichtsbehörde (Buchst. a). Außerdem enthält Klausel V die Regelung, dass sich Datenexporteur und Datenimporteur jedem nicht bindenden Schlichtungsverfahren unterwerfen (Buchst. b). Schließlich sind die Vertragsparteien verpflichtet, Entscheidungen eines Gerichts oder der zuständigen Datenschutzaufsichtsbehörde im Sitzland des Datenexporteurs zu akzeptieren (Buchst. c). Diese Pflicht korrespondiert mit der Regelung in Klausel III Buchst. b), wonach die Vertragsparteien die Zuständigkeit der Gerichte im Sitzland des Datenexporteurs anerkennen (siehe Rz. 63).
8. Erläuterungen zu Klausel VI 69
E VI. Beendigung des Vertrags a) Verstößt der Datenimporteur gegen seine Verpflichtungen aus diesen Klauseln, kann der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur vorläufig aussetzen, bis der Verstoß beseitigt oder der Vertrag beendet ist. b) Tritt einer der folgenden Fälle ein: i)
Die Übermittlung personenbezogener Daten an den Datenimporteur wird vom Datenexporteur gemäß Buchstabe a) länger als einen Monat ausgesetzt;
ii) die Einhaltung dieser Klauseln durch den Datenimporteur verstößt gegen Rechtsvorschriften des Importlandes; iii) der Datenimporteur missachtet Zusicherungen, die er im Rahmen dieser Klauseln gegeben hat, in erheblichem Umfang oder fortdauernd; iv) das zuständige Gericht im Sitzland des Datenexporteurs oder der Kontrollstelle stellt rechtskräftig fest, dass der Datenimporteur oder der Datenexporteur gegen die Klauseln verstoßen haben, oder v) es wird ein Antrag auf Insolvenzverwaltung oder Abwicklung des Datenimporteurs in dessen privater oder geschäftlicher Eigenschaft gestellt, der nicht innerhalb der nach geltendem Recht vorgesehenen Frist 774
|
Lang
Erläuterungen
Rz. 73 Teil 5 II
abgewiesen wird; die Abwicklung wird gerichtlich angeordnet; für einen beliebigen Teil seines Vermögens wird ein Zwangsverwalter bestellt; ein Treuhänder wird bestellt, falls es sich bei dem Datenimporteur um eine Privatperson handelt; dieser leitet einen außergerichtlichen Vergleich ein, oder es kommt zu einem je nach Rechtsordnung gleichwertigen Verfahren, so ist der Datenexporteur berechtigt, unbeschadet etwaiger sonstiger Ansprüche gegen den Datenimporteur, diesen Vertrag zu kündigen, wovon er gegebenenfalls die Kontrollstelle in Kenntnis setzt. Tritt einer der in Ziffer i), ii) oder iv) genannten Fälle ein, kann der Datenimporteur seinerseits den Vertrag kündigen. c) Jede Partei kann den Vertrag kündigen, wenn i) die Kommission eine positive Angemessenheitsfeststellung gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG (oder einer Vorschrift, die diese Vorschrift ersetzt) in Bezug auf das Land (oder einen Bereich davon) trifft, in das die Daten übermittelt und in dem sie vom Datenimporteur verarbeitet werden, oder ii) die Richtlinie 95/46/EG (oder eine Vorschrift, die diese Vorschrift ersetzt) in dem betreffenden Land unmittelbar zur Anwendung gelangt. d) Die Parteien vereinbaren, dass sie auch nach der Beendigung dieses Vertrags, ungeachtet des Zeitpunkts, der Umstände oder der Gründe (ausgenommen die Kündigung gemäß Klausel VI Buchstabe c), weiterhin an die Verpflichtungen und/oder Bestimmungen dieser Klauseln in Bezug auf die Verarbeitung der übermittelten Daten gebunden sind. Klausel VI regelt wesentliche Fälle der Beendigung des Vertrags. Die Bestimmungen sind detailliert und enthalten auch Aussagen zu den Rechten und Pflichten der Vertragsparteien in diesen Konstellationen (Buchst. b) und c)). Allerdings berechtigt allein ein Verstoß des Datenimporteurs gegen seine Vertragspflichten den Datenexporteur noch nicht zur Kündigung, sondern zunächst lediglich dazu, die Datenübermittlung auszusetzen (Buchst. a)).
70
Die Regelungen in Klausel VI können und sollten ergänzt werden durch die zusätzliche Beendigungsklausel, die insbesondere den Umgang mit den personenbezogenen Daten und den Datenträgern im Beendigungsfall regelt (siehe Rz. 87).
71
9. Erläuterungen zu Klausel VII 72
E VII. Änderung der Klauseln Die Parteien dürfen diese Klauseln nur zum Zwecke der Aktualisierung von Anhang B ändern; gegebenenfalls müssen sie die Kontrollstelle davon in Kenntnis setzen. Es steht den Parteien allerdings frei, erforderlichenfalls weitere Geschäftsklauseln hinzuzufügen. Klausel VII gestattet explizit eine Änderung des Standardvertrags II. Diese Änderungsmöglichkeit ist aber exklusiv auf Anhang B beschränkt und darf nur zum Zweck der Aktualisierung erfolgen. Ändern sich die Bedingungen der Datenverarbeitung, z.B. neuer Zweck oder weitere betroffene Personengruppen, Lang
|
775
73
Teil 5 II Rz. 74
Standardvertrag II
dürfen diese Änderungen direkt in Anhang B übertragen werden. Ein neuer Vertragsschluss ist nicht erforderlich. Schließlich können die Vertragsparteien zusätzliche Klauseln zur Durchführung des Geschäfts aufnehmen, die keine datenschutz(rechtlichen) Aspekte regeln und den Standardvertragsklauseln nicht widersprechen.
10. Erläuterungen zu Klausel VIII und Anhang B des Standardvertrags II 74
E VIII. Beschreibung der Übermittlung Die Einzelheiten zur Übermittlung und zu den personenbezogenen Daten sind in Anhang B aufgeführt. Die Parteien vereinbaren, dass sie gegebenenfalls in Anhang B enthaltene vertrauliche Informationen nicht gegenüber Dritten offen legen, es sei denn, sie sind gesetzlich dazu verpflichtet oder handeln auf Aufforderung einer zuständigen Regulierungsstelle oder staatlichen Einrichtung oder gemäß Klausel I Buchstabe e). Die Parteien können weitere Anhänge vereinbaren, die zusätzliche Übermittlungen betreffen; diese sind gegebenenfalls der Kontrollstelle zu unterbreiten. Ersatzweise kann Anhang B so formuliert werden, dass er eine Vielzahl von Übermittlungen abdeckt. Datum: … Für den Datenimporteur …
Für den Datenexporteur …
a) Erläuterungen zu Klausel VIII 75
Klausel VIII verweist für die Einzelheiten der Datenübermittlung auf Anhang B, wie es bereits in dem Abschnitt mit den Begriffsbestimmungen erfolgt. Die Regelung in Satz 2 verpflichtet die Vertragsparteien, vertrauliche Informationen, die in Anhang B enthalten sind, gegenüber Dritten nicht offen zu legen. Ausnahmen sind gesetzliche Verpflichtungen, hoheitliche Anordnungen und die Vorlagepflicht des Datenexporteurs gem. Klausel I Buchst. e) des Standardvertrags II. Verlangen betroffene Personen als Drittbegünstigte ein Exemplar des vereinbarten Standardvertrags II, kommt ein gestuftes Verfahren zum Tragen1.
76
Klausel VIII ermöglicht den Vertragsparteien, zu Zwecken der Aktualisierung weitere Anhänge zu vereinbaren, um zusätzliche Datenübermittlungen abzudecken (Satz 3). Darüber hinaus kann Anhang B so formuliert werden, dass er eine Vielzahl von Übermittlungen abdeckt (Satz 4). Das darf aber nicht zu ganz allgemeinen Beschreibungen z.B. der Zwecke der Datenübermittlung führen2. Vielmehr soll Klausel VIII Satz 4 dahingehend Rechtssicherheit schaffen, dass ein Standardvertrag mit mehreren Anhängen abgeschlossen werden kann. Ein Hauptanwendungsfall sind Haupt- bzw. Rahmenverträge mit mehreren Anhängen im Mehrparteienverhältnis (dazu siehe Rz. 27 f.). Die Frage der Vorlage- oder Informationspflicht gegenüber der zuständigen Datenschutzaufsichtsbehörde 1 Zu dem gestuften Verfahren gem. Klausel I Buchst. e) s. Rz. 41. 2 Zur erforderlichen Konkretisierung und Bestimmtheit s. Rz. 79.
776
|
Lang
Erläuterungen
Rz. 77 Teil 5 II
wird nicht beantwortet, sondern den Mitgliedstaaten überlassen. Insoweit besteht kein Unterschied zu der Rechtsunsicherheit beim Standardvertrag I1.
b) Erläuterungen zu Anhang B des Standardvertrags II E Anhang B
77
Beschreibung der Übermittlung (von den Parteien auszufüllen) Betroffene Personen Die übermittelten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen: … … Übermittlungszwecke Die Übermittlung ist zu folgenden Zwecken erforderlich: … … Kategorien übermittelter Daten Die übermittelten personenbezogenen Daten betreffen folgende Datenkategorien: … … Empfänger Die übermittelten personenbezogenen Daten dürfen nur folgenden Empfängern oder Kategorien von Empfängern offen gelegt werden: … … Sensible Daten (falls zutreffend) Die übermittelten personenbezogenen Daten betreffen folgende Kategorien sensibler Daten: … … Datenschutzmelderegister-Angaben des Datenexporteurs (falls zutreffend) … … 1 Dazu s. Teil 5 I Rz. 18 ff. Zur Genehmigungs- und Vorlagepflicht s. auch Rz. 17 ff.
Lang
|
777
Teil 5 II Rz. 78
Standardvertrag II
Sonstige nützliche Informationen (Aufbewahrungszeitraum und sonstige einschlägige Angaben) … … Anlaufstelle für Datenschutzauskünfte Datenimporteur
Datenexporteur
…
…
…
…
78
Anhang B ist ebenso wie Anhang A Bestandteil des Standardvertrags II. Er ist von den Vertragsparteien um die Einzelheiten zur Datenübermittlung zu ergänzen. Eine separate Unterschrift ist anders als bei der entsprechenden Anlage 1 zum Standardvertrag I nicht vorgesehen.
79
Die erforderlichen Informationen sind soweit wie möglich zu präzisieren, um die erforderliche Bestimmtheit zu gewährleisten. Eine in diesem Zusammenhang in der Literatur erwähnte „informelle Zusage“ der EU-Kommission, dass die Zwecke der Verarbeitung in Anlage B sehr allgemein beschrieben werden können1, steht im Widerspruch zum Sinn des Zweckbindungsgrundsatzes, der ohne eine hinreichende Konkretisierung der Zwecke nicht wirksam umgesetzt werden kann. Auf einen – abzulehnenden – Versuch, die Ausführungen etwas allgemeiner zu halten, kann beim Standardvertrag auch deshalb verzichtet werden, weil gem. Klausel VII eine Änderung von Anhang B zu Zwecken der Aktualisierung zulässig ist2.
80
Der Inhalt von Anhang B entspricht Anlage 1 des Standardvertrags I, soweit Informationen über betroffene Personen, Übermittlungszwecke, Kategorien übermittelter Daten, Empfänger und sensible Daten erfragt werden. Insoweit wird auf die Kommentierung von Anlage 1 des Standardvertrags I verwiesen3.
81
Darüber hinaus enthält Anhang B Textfelder, die nicht in Anlage 1 des Standardvertrags I vorhanden sind. Hierzu zählen Angaben des Datenexporteurs zum Datenschutzmelderegister, soweit eine entsprechende Meldepflicht für den Datenexporteur existiert4. Weiterhin sind als solche bezeichnete sonstige nützliche Informationen zu ergänzen. Dazu zählt insbesondere der Aufbewahrungszeitraum, der in Anlage 1 des Standardvertrags I als separates Textfeld explizit ausgewiesen ist. Es ist die Zeitspanne anzugeben, wie lange die übermittelten Daten vom Datenimporteur aufbewahrt werden dürfen. Schließlich ist eine konkrete Stelle für Datenschutzauskünfte beim Datenimporteur und Datenexporteur zu bestimmen. 1 So Kuner/Hladjk, RDV 2005, 193 (196). 2 Zum Erfordernis der Bestimmtheit vgl. Erläuterungen zu Anlage 1 des Standardvertrags I in Teil 5 I Rz. 43. Zur Klausel VII s. Rz. 73 f. 3 Teil 5 I Rz. 45 ff. 4 Zur Meldepflicht in Deutschland s. § 4d BDSG.
778
|
Lang
Erläuterungen
Rz. 83 Teil 5 II
11. Erläuterungen zu den veranschaulichenden Geschäftsklauseln 82
E Veranschaulichende Geschäftsklauseln (Fakultativ) Wechselseitige Entschädigung von Datenexporteur und Datenimporteur: Die Parteien entschädigen sich wechselseitig oder halten sich wechselseitig schadlos für alle Kosten, Ausgaben, Schäden, Auslagen oder Verluste, die die andere Partei durch Verletzung einer dieser Vertragsklauseln verursacht. Der Entschädigungsanspruch setzt voraus, dass a) die zu entschädigenden Parteien die entschädigenden Parteien unverzüglich von dem Bestehen einer Forderung in Kenntnis setzen und b) die entschädigenden Parteien allein dazu berechtigt sind, sich gegen einen solchen Anspruch zu verteidigen oder den Streit beizulegen und c) die zu entschädigenden Parteien bei der Abwehr derartiger Rechtsansprüche redlich mit den entschädigenden Parteien zusammenarbeiten und diese unterstützen. Streitbeilegung zwischen Datenexporteur und Datenimporteur (die Parteien können selbstverständlich eine andere alternative Streitbeilegung oder die Zuständigkeit eines Gerichts vereinbaren): Alle Rechtsstreitigkeiten zwischen dem Datenimporteur und dem Datenexporteur aus dem vorliegenden Vertrag werden gemäß dem Schlichtungsund Schiedsreglement der Internationalen Handelskammer endgültig durch einen oder mehrere Schiedsrichter entschieden, die in Übereinstimmung mit diesem Reglement ernannt werden. Ort des Schiedsverfahrens ist […]. Die Zahl der Schiedsrichter beträgt […]. Kostenteilung: Jede Partei trägt die Kosten für die Erfüllung ihrer Vertragspflichten. Zusätzliche Beendigungsklausel: Bei Beendigung dieses Vertrags gibt der Datenimporteur alle personenbezogenen Daten sowie alle Kopien der personenbezogenen Daten, die Gegenstand dieser Klauseln sind, unverzüglich an den Datenexporteur zurück, oder aber der Datenimporteur vernichtet auf Antrag des Datenexporteurs alle Exemplare derselben und bescheinigt dem Datenexporteur die Vernichtung, es sei denn, der nationale Gesetzgeber oder die nationale Regulierungsbehörde verbietet die vollständige oder teilweise Rückübermittlung oder Zerstörung dieser Daten; in diesem Fall werden die Daten geheim gehalten und zu keinem weiteren Zweck aktiv verarbeitet. Auf Verlangen des Datenexporteurs erlaubt der Datenimporteur dem Datenexporteur oder einem vom Datenexporteur ausgewählten Prüfer, gegen den der Datenimporteur keine begründeten Einwände erhebt, den Zugang zu seinen Räumlichkeiten, damit die Ausführung dieser Bestimmungen überprüft werden kann; die Überprüfung ist rechtzeitig anzukündigen und während der üblichen Geschäftszeiten durchzuführen. Die veranschaulichenden Geschäftsklauseln sind beispielhaft formulierte Vereinbarungen kaufmännischer Art. Ihre Verwendung in der vorliegenden oder einer geänderten Form steht den Vertragsparteien frei. Die fakultativen Klauseln können geändert oder durch andere Regelungen ersetzt werden, soweit sie Lang
|
779
83
Teil 5 II Rz. 84
Standardvertrag II
keine datenschutz(rechtlichen) Aspekte regeln und den Standardvertragsklauseln nicht widersprechen. Das folgt aus Klausel VII folgt (siehe Rz. 73). Es gelten die allgemeinen Hinweise zur Änderung der Standardvertragsklauseln im Zusammenhang mit der Genehmigungsfreiheit der Datenübermittlung (siehe Rz. 16 ff.).
a) Erläuterungen zur Klausel „Wechselseitige Entschädigung von Datenexporteur und Datenimporteur“ 84
Die Klausel enthält eine Regelung, dass sich die Vertragsparteien wechselseitig entschädigen bzw. schadlos halten.
b) Erläuterungen zur Klausel „Streitbeilegung zwischen Datenexporteur und Datenimporteur“ 85
Die Klausel enthält einen Regelungsvorschlag für die Streitbeilegung und ergänzt die umfangreiche Klausel V. Den Vertragsparteien steht es frei, statt der fakultativen Klausel zur Streitbeilegung lediglich einen Gerichtsstand zu vereinbaren.
c) Erläuterungen zur Klausel „Kostenteilung“ 86
Die Klausel zur Kostenteilung bestimmt, dass jede Partei die Kosten für die Erfüllung ihrer Vertragspflichten selbst trägt.
d) Erläuterungen zur Klausel „Zusätzliche Beendigungsklausel“ 87
Die zusätzliche Beendigungsklausel regelt den Umgang mit personenbezogenen Daten, die Gegenstand des Standardvertrags II sind, und mit den entsprechenden Datenträgern bei Vertragsbeendigung. Grundsätzlich hat der Datenimporteur alle Daten und Datenträger unverzüglich an den Datenexporteur zurückzugeben oder zu vernichten, wenn es der Datenexporteur wünscht. Überdies wird dem Datenimporteur ein besonderes Recht zur Überprüfung dieser Vorgaben eingeräumt.
780
|
Lang
III. EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern Literaturverzeichnis: Bierekoven, Aktuelle Entwicklungen zur Auftragsdatenverarbeitung – Präzisierte Anforderungen der Datenschutzaufsichtsbehörden, ITRB 2012, 280; Duhr/Naujok/Peter/Seiffert, Neues Datenschutzrecht für die Wirtschaft, DuD 2002, 5; Elbel, Zur Abgrenzung von Auftragsdatenverarbeitung und Übermittlung, RDV 2010, 203; Fischer/Steidle, Brauchen wir neue EG-Standardvertragsklauseln für das „Global Outsourcing“?, CR 2009, 632; Freise, Erfahrungen mit der Umsetzung des neuen § 11 BDSG nach einem Jahr, DSRI-Tagungsband 2010, 161; Gosche, 1 Jahr Praxiserfahrung mit dem novellierten § 11 Abs. 2 BDSG, DSRI-Tagungsband 2010, 73; Gola/Schomerus, BDSG, 11. Aufl. 2012; Hillenbrandt-Beck, Aktuelle Fragestellungen des internationalen Datenverkehrs, RDV 2007, 231; Kuner/Hladjk, Die alternativen Standardvertragsklauseln der EU für internationale Datenübermittlungen, RDV 2005, 193; Lensdorf, Auftragsdatenverarbeitung in der EU/EWR und Unterauftragsverarbeitung in Drittländern – Besonderheiten der neuen EU-Standardvertragsklauseln, CR 2010, 735; Moos, Die EU-Standardvertragsklauseln für Auftragsverarbeiter 2010 – Die wesentlichen Neuerungen und Kritikpunkte im Überblick, CR 2010, 281; Nielen/Thum, Auftragsdatenverarbeitung durch Unternehmen im Nicht-EU-Ausland, K&R 2006, 171; Niemann/Hennrich, Kontrolle in den Wolken? Auftragsdatenverarbeitung in Zeiten des Cloud Computing, CR 2010, 686; Plath, BDSG, 2013; Räther, Datenschutz und Outsourcing, DuD 2005, 461; Räther/Seitz, Ausnahmen bei Datentransfer in Drittstaaten – Die beiden Ausnahmen nach § 4c Abs. 2 BDSG: Vertragslösung und Code of Conduct, MMR 2002, 520; Redeker, Handbuch der IT-Verträge, Loseblattwerk, Stand 24. Ergänzungslieferung 2012; Rittweger/ Schmidl, Einwirkung von Standardvertragsklauseln auf § 28 BDSG, DuD 2004, 617; Schmidl/Krone, Standardvertragsklauseln als Basis intra-europäischer Auftragsdatenverarbeitung DuD 2010, 838; Scholz/Lutz, Standardvertragsklauseln für Auftragsverarbeiter und § 11 BDSG – Ein Plädoyer für die Unanwendbarkeit der §§ 11 Abs. 2, 43 Abs. 1 Nr. 2b) BDSG auf die Auftragsverarbeitung außerhalb des EWR, CR 2011, 424; Schreibauer/Moritz, Neue EU-Standardvertragsklauseln für die Auftragsdatenverarbeitung, ITRB 2010, 73; Schröder/Haag, Internationale Anforderungen an Cloud Computing, ZD 2012, 362; Schröder/Haag, Stellungnahme der Art. 29-Datenschutzgruppe zum Cloud Computing, ZD 2012, 495; Schröder/Haag, Neue Anforderungen an Cloud Computing für die Praxis – Zusammenfassung und erste Bewertung der „Orientierungshilfe – Cloud Computing“, ZD 2011, 147; Schulz, Die Unzulässigkeit von Datenübertragungen innerhalb verbundener Unternehmen, BB 2011, 2552; Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2011; Sutschet, Auftragsdatenverarbeitung und Funktionsübertragung, RDV 2004, 97; Taeger/ Gabel, Kommentar zum BDSG, 2010; Voigt, Verträge zur Auftragsdatenverarbeitung mit ausländischen Auftragnehmern, ZD 2012, 546; Voigt/Klein, Deutsches Datenschutzrecht als „blocking statute“?, ZD 2013, 8; Wagner/Blaufuß, Datenexport als juristische Herausforderung: Cloud Computing, BB 2012, 1751; Weber/Voigt, Internationale Auftragsdatenverarbeitung, ZD 2011, 74; Wisskirchen, Grenzüberschreitender Transfer von Arbeitnehmerdaten – Welche Anforderungen müssen Global Player beim internationalen Datentransfer erfüllen?, CR 2004, 862; Wybitul/Patzak, Neue Anforderungen beim grenzüberschreitenden Datenverkehr, RDV 2011, 11.
A. Einleitung Für ein besseres Verständnis des Anwenders der hier behandelten EU-Standardvertragsklauseln für Auftragsdatenverarbeitung (im Sprachgebrauch der EUvon dem Bussche
|
781
1
Teil 5 III
Rz. 2
Standardvertragsklauseln Auftragsverarbeiter
Kommission: „Auftragsverarbeitung“) in Drittländern, ist es empfehlenswert, sich einleitend mit den rechtlichen Anforderungen sowohl der Datenübermittlung in sog. Drittländer als auch der Auftragsdatenverarbeitung zu befassen.
I. Die Übermittlung personenbezogener Daten in Drittländer 2
Sollen personenbezogene Daten in Drittländer, also in Staaten außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) übermittelt werden, so bedarf dies einer besonderen gesetzlichen Rechtfertigung, §§ 4b, 4c BDSG1. Personenbezogene Daten sind gem. § 3 Abs. 1 BDSG alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmbaren oder bestimmten natürlichen Person.
3
Die Zulässigkeit der Übermittlung personenbezogener Daten in Drittländer ist nach einer zweistufigen Prüfung zu beurteilen.
4
In einem ersten Schritt ist zu prüfen, ob die Übermittlung nach nationalem Recht zulässig ist – Prüfung erste Stufe. Das ist gem. § 4 Abs. 1 BDSG der Fall, wenn entweder eine gesetzliche Rechtfertigung vorliegt (§ 4 Abs. 1 i.V.m. § 15 Abs. 1, § 16 Abs. 1, §§ 28–30 und § 32 BDSG) oder der Betroffene einwilligt (§ 4 Abs. 1 i.V.m. § 4a BDSG)2.
5
In einem zweiten Schritt – Prüfung zweite Stufe – ist gem. § 4b Abs. 2 Satz 2 BDSG sicherzustellen, dass durch die Übermittlung ins Drittland kein schutzwürdiges Interesse der Betroffenen verletzt wird. Eine solche Verletzung schutzwürdiger Betroffeneninteressen liegt gem. § 4b Abs. 2 Satz 2 BDSG regelmäßig dann vor, wenn bei den Empfängerstellen kein angemessenes Datenschutzniveau gewährleistet ist. Entgegen dem Wortlaut der Norm, welcher sich auf das Schutzniveau bei der Empfängerstelle selbst, und nicht auf das Schutzniveau des jeweiligen Empfängerstaats an sich bezieht, ist die Norm europarechtskonform dahingehend auszulegen, dass auf ein angemessenes Schutzniveau des Drittlandes abzustellen ist, in dem sich die Empfängerstelle befindet3. Dies ergibt sich ebenfalls aus der Gesetzesbegründung4 sowie der systematischen Beziehung des § 4b Abs. 3 zu § 4c Abs. 2 BDSG5.
6
Nach welchen Kriterien sich die Angemessenheit des Schutzniveaus beurteilt, normiert § 4b Abs. 3 BDSG. Dieser transformiert den Wortlaut von Art. 25 Abs. 2 EG-Datenschutzrichtlinie6 ins nationale Recht. Hiernach wird die An1 Vgl. i.Erg. Plath/v. d. Bussche, § 4b BDSG Rz. 15. 2 Vgl. zur Einwilligung als Rechtfertigungstatbestand in § 4b Abs. 1 bei BDSG bei Plath/ v. d. Bussche, § 4b BDSG Rz. 13. 3 Ausführlich Plath/v. d. Bussche, § 4b BDSG Rz. 24, 28; Duhr/Naujok/Peter/Seiffert, DuD 2002, 5 (16). 4 BT-Drucks. 14/4329, 34 f. 5 Ausführlich zur systematischen Beziehung der Normen bei Plath/v. d. Bussche, § 4b BDSG Rz. 23–27. 6 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
782
|
von dem Bussche
Standardvertragsklauseln Auftragsverarbeiter
Rz. 8 Teil 5 III
gemessenheit des Schutzniveaus, das ein Drittland bietet, unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung eine Rolle spielen; in erster Linie sind jedoch die im Drittland einschlägigen datenschutzrelevanten gesetzlichen Vorschriften maßgeblich. Für den Datenexporteur in Deutschland bedeutet dies, dass eine umfassende Analyse des im jeweiligen Drittland herrschenden Datenschutzregimes im Einzelfall erforderlich ist; ein Aufwand, der häufig nicht geleistet werden kann1. Zur Erleichterung befindet daher die EU-Kommission gem. Art. 25 Abs. 6 EG-Datenschutzrichtlinie darüber, welche Drittländer ein solches angemessenes Schutzniveau besitzen2. Sofern die EU-Kommission einem Drittland ein angemessenes Schutzniveau attestiert, kann sich ein Datenexporteur darauf berufen und die Daten ohne weitere Prüfung seinerseits, vorausgesetzt dass keine sonstigen schutzwürdigen Interessen der Betroffenen entgegenstehen3, im Rahmen der zweiten Prüfungsstufe übermitteln4. Soweit ein Drittland kein angemessenes Schutzniveau bietet, bestimmt sich die Rechtmäßigkeit der Übermittlung von personenbezogenen Daten in dieses Drittland nach der Ausnahmeregelung des § 4c BDSG. Hiernach ist eine Übermittlung zulässig, sofern einer der in § 4c Abs. 1 Satz 1 Nr. 1 bis 6 BDSG abschließend aufgezählten Ausnahmetatbestände vorliegt. Dies ist dann der Fall, wenn (Nr. 1) der Betroffene seine Einwilligung gegeben hat, (Nr. 2) die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle bzw. (Nr. 3) eines im Interesse des Betroffenen liegenden Vertrags erforderlich ist, (Nr. 4) zur Wahrung wichtiger öffentlicher Interessen bzw. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht oder (Nr. 5) zur Wahrung lebenswichtiger Interessen des Betroffenen sowie (Nr. 6) bei Übermittlung von Daten aus öffentlichen Registern. Sind diese Voraussetzungen nicht erfüllt, ist die Übermittlung gem. § 4c Abs. 2 Satz 1 BDSG grundsätzlich nur möglich, wenn die gem. § 38 BDSG zuständigen Aufsichtsbehörden die Übermittlung genehmigen. Für eine behördliche Genehmigung müssen ausreichende Garantien bezüglich des Schutzes des Persönlichkeitsrechts erbracht werden, § 4c Abs. 2 Satz 1 BDSG. Garantien können „insbesondere“ in Form von verbindlichen Unternehmensregelungen (sog. Binding Corporate Rules5), aber auch in Form von Verträgen vorliegen. Die von der EU-Kommission beschlossenen EU-Standardvertragsklauseln stellen, als in der Praxis wichtigster Anwendungsfall, solche Vertragsgarantien dar (vgl. Art. 26 Abs. 2 i.V.m. Abs. 4 EG-Datenschutzrichtlinie).
7
Werden die EU-Standardvertragsklauseln verwendet, ist die Übermittlung in unsichere Drittländer jedoch ausnahmsweise genehmigungsfrei möglich, da selbst nach Ansicht der deutschen Aufsichtsbehörden eine nach dem Gesetzeswortlaut des § 4c Abs. 2 BDSG eigentlich erforderliche behördliche Genehmigung
8
1 Plath/v. d. Bussche, § 4b BDSG Rz. 28. 2 Drittländer mit angemessenem Schutzniveau sind einsehbar unter http://ec.europa.eu/ justice/data-protection/document/international-transfers/adequacy/index_en.htm (Stand Februar 2013). 3 Vgl. Taeger/Gabel/Gabel, § 4b BDSG Rz. 19. 4 Plath/v. d. Bussche, § 4b BDSG Rz. 29. 5 S. hierzu das Muster in Teil 5 V Rz. 19.
von dem Bussche
|
783
Teil 5 III
Rz. 9
Standardvertragsklauseln Auftragsverarbeiter
ein „unnötiges bürokratisches Hindernis“ wäre1. Die Mitgliedstaaten und somit die zuständigen Aufsichtsbehörden sind an die Entscheidung der EU-Kommission, dass im Rahmen von Datenübermittlungen auf Grundlage der EUStandardvertragsklauseln ein angemessenes Datenschutzniveau sichergestellt ist, gebunden2.
II. Die Auftragsdatenverarbeitung in Drittländern mithilfe der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung 1. Die Auftragsdatenverarbeitung 9
Im Umgang mit personenbezogenen Daten und auch bei deren Übermittlung in Drittländer spielt die sog. Auftragsdatenverarbeitung eine große Rolle. Bei der Auftragsdatenverarbeitung weist der Auftraggeber den Auftragnehmer an „im Auftrag“ personenbezogene Daten zu erheben, zu nutzen oder zu verarbeiten (§ 11 BDSG). Der Auftragnehmer agiert weisungsgebunden und gewissermaßen als „verlängerter Arm“ des Auftraggebers3, ohne eigene Entscheidungskompetenz in Bezug auf die Datenverwendung (§ 11 Abs. 3 Satz 1 BDSG)4. Der Auftraggeber bleibt gem. § 11 Abs. 1 Satz 1 BDSG für die im Auftrag verarbeiteten Daten die verantwortliche Stelle, auch wenn sie physisch beim Auftragnehmer verarbeitet werden. Durch die Einschaltung des Auftragnehmers kann sich der Auftraggeber seiner datenschutzrechtlichen Verpflichtungen folglich nicht entledigen, insbesondere ist selbstverständlich auch der ausgelagerte Datenverarbeitungsvorgang gem. § 4 Abs. 1 BDSG durch den Auftraggeber zu rechtfertigen5. Die bloße Auslagerung an den Dritten hingegen bedarf keiner gesonderten Rechtfertigung. § 11 BDSG stellt folglich auch keinen Erlaubnistatbestand i.S.d. § 4 Abs. 1 BDSG dar6, sondern stellt Anforderungen daran, wie ein solches „Outsourcing“ sowohl vertraglich auszugestalten7 als auch tatsächlich durchzuführen ist. Insofern wird die Arbeitserleichterung durch das Auslagern eines bestimmten Datenverarbeitungsprozesses durch ein zu erbringendes administratives Pflichtenprogramm aufgewogen8. So dürfen personenbezogene Daten nur auf Grundlage von Verträgen, die den Anforderungen des § 11 Abs. 2 Satz 2 Nr. 1–10 BDSG entsprechen, an Auftragnehmer weiter1 Hess. LT-Drucks. 18/2942, 18; Hess. LT-Drucks. 15/4659, 15; Baden-Württemberg Innenministerium (BwI), Hinweise des Innenministeriums zum Datenschutz für private Unternehmen und Organisationen (Nr. 40) v. 18.2.2002, S. 16, http://www.datenschutzhelp.de/him_40.pdf (Stand Februar 2013). 2 Vgl. Wisskirchen, CR 2004, 862 (866); Wybitul/Patzak, RDV 2011, 11 (15); Scholz/Lutz, CR 2011, 424 (425 f.); Moos, CR 2010, 281; Plath/v. d. Bussche, § 4c BDSG Rz. 29; Gola/ Schomerus, § 4c BDSG Rz. 12; Taeger/Gabel/Gabel, § 4c BDSG Rz. 22; mit Einschränkungen Simitis/Simitis, § 4c BDSG Rz. 51. 3 Plath/Plath, § 11 BDSG Rz. 2; Gola/Schomerus, § 11 BDSG Rz. 3. 4 Vgl. Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 5; Gola/Schomerus, § 11 BDSG Rz. 3. 5 So auch Taeger/Gabel/Gabel, § 11 BDSG Rz. 3; Simitis/Walz, § 11 BDSG Rz. 1. 6 Taeger/Gabel/Gabel, § 11 BDSG Rz. 2. 7 S. hierzu die Muster in Teil 2 I Rz. 33 und Teil 2 II Rz. 9. 8 Plath/Plath, § 11 BDSG Rz. 2, 4.
784
|
von dem Bussche
Standardvertragsklauseln Auftragsverarbeiter
Rz. 12 Teil 5 III
gegeben werden1; ferner treffen den Auftraggeber zahlreiche Pflichten bei der Auswahl und Überwachung des Auftragnehmers2. Im zivilrechtlichen Sinn ist der Begriff des Auftrags hierbei weit auszulegen. Er umfasst nicht nur Auftragsverhältnisse i.S.d. § 662 BGB; ein Auftrag i.S.d. Datenschutzrechts kann auch in Form eines Dienst- oder Werkvertrags bestehen3. Die Auftragsdatenverarbeitung gem. § 11 BDSG nimmt eine Sonderrolle bei der Verarbeitung personenbezogener Daten ein. Entgegen dem Grundsatz von § 4 Abs. 1 BDSG, dass jede Erhebung, Nutzung oder Verarbeitung personenbezogener Daten einer Rechtfertigung bedarf, können bei der Auftragsdatenverarbeitung personenbezogene Daten ohne solch eine gesetzliche Rechtfertigung an den Auftragnehmer weitergegeben werden. Begründet wird diese Sonderrolle damit, dass gemäß der gesetzlichen Definition des § 3 Abs. 4 Nr. 3 BDSG für die „Übermittlung“ von personenbezogenen Daten ein „Dritter“ als Empfänger der Daten vorausgesetzt wird; gleichzeitig wird aber nicht als Dritter angesehen, wer innerhalb der EU/des EWR personenbezogene Daten im Auftrag erhebt, verarbeitet oder nutzt, § 3 Abs. 8 Satz 3 BDSG. Die Auftragsdatenverarbeitung genießt somit eine Privilegierung gegenüber dem Normalfall einer zu rechtfertigenden Datenübermittlung von einer verantwortlichen Stelle zu einer anderen verantwortlichen Stelle (sog. Funktionsübertragung)4 dahingehend, dass die Übertragung personenbezogener Daten an eine andere juristische Person keine datenschutzerhebliche Übermittlung darstellt. Der Auftragsdatenverarbeiter ist folglich auch keine für die Datenverarbeitung verantwortliche Stelle. Denn eine verantwortliche Stelle ist gem. § 3 Abs. 7 BDSG nur, wer die personenbezogenen Daten entweder für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt, nicht also der selbst im Auftrag Verarbeitende. Der Auftragnehmer wird im Ergebnis als Teil der „verantwortlichen Stelle Auftraggeber“ angesehen, so dass der Datentransfer zwischen Auftraggeber und -nehmer im Rahmen des Auftrags datenschutzrechtlich regelmäßig keine größeren Probleme aufwirft5.
10
Selbst „besondere Arten personenbezogener Daten“ i.S.d. § 3 Abs. 9 BDSG, also Angaben über ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen und über Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben lassen sich weitergeben, ohne den erhöhten Vorgaben für die Übermittlung solcher besonderer Arten personenbezogener Daten gem. § 28 Abs. 6–9 BDSG unterworfen zu sein.
11
Inwieweit jedoch die Auftragsdatenverarbeitung in Drittländern der gesetzlichen Privilegierung der §§ 11, 3 Abs. 8 Satz 3 BDSG ebenfalls noch unterfällt, ist umstritten6. Der Gesetzeswortlaut des § 3 Abs. 8 Satz 3 BDSG schließt
12
1 2 3 4
Plath/Plath, § 11 BDSG Rz. 98 f. Vgl. Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 26–31. Plath/Plath, § 11 BDSG Rz. 21; Gola/Schomerus, § 11 BDSG Rz. 6. Zu Auftragsdatenverarbeitung und Funktionsübertragung s. Sutschet, RDV 2004, 97 ff. und die Erläuterungen in Teil 2 I Rz. 18 ff. 5 Plath/Plath, § 11 BDSG Rz. 2; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 16; Gola/Schomerus, § 11 BDSG Rz. 4. 6 Vgl. hierzu Weber/Voigt, ZD 2011, 74 ff.
von dem Bussche
|
785
Teil 5 III
Rz. 13
Standardvertragsklauseln Auftragsverarbeiter
vom Begriff des „Dritten“ lediglich die Stellen aus, die im Inland, innerhalb der EU oder des EWR personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. In einem Drittland ist der Auftragnehmer grundsätzlich als Dritter und somit als verantwortliche Stelle anzusehen, so dass gem. §§ 4, 4b Abs. 2 BDSG die Weitergabe von Daten eine datenschutzrechtlich relevante Übermittlung dieser Daten darstellt, die gesondert gerechtfertigt sein muss. Die Konsequenz aus dem Gesetzeswortlaut wäre, dass eine Auftragsdatenverarbeitung in einem Drittland ausgeschlossen ist. Einigkeit besteht im Wesentlichen darüber, dieses Ergebnis als praxisfern abzulehnen, nur die dafür angebotenen Lösungsmöglichkeiten sind unterschiedlich (zum praxisrelevanten Streitstand und den unterschiedlichen Lösungsvorschlägen siehe Rz. 18 ff.).
2. Die EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung 13
Die Verwendung der EU-Standardvertragsklauseln ist nur notwendig, soweit eine Weitergabe personenbezogener Daten in Drittländer erfolgen soll und diese Übermittlung der personenbezogenen Daten weder durch ein angemessenes Datenschutzniveau im Drittland gem. § 4b Abs. 2 Satz 2 i.V.m. Abs. 3 BDSG (siehe Rz. 5) noch durch einen der sonstigen in § 4c Abs. 1 BDSG aufgezählten Ausnahmetatbestände (siehe Rz. 7) gerechtfertigt ist. Sodann richtet sich die Rechtmäßigkeit der Übermittlung nach § 4c Abs. 2 BDSG und erfordert den Abschluss von EU-Standardvertragsklauseln (oder anderen vertraglichen Vorkehrungen i.S.d. § 4c Abs. 2 BDSG) zur Übermittlung, wobei lediglich bei der Verwendung der unveränderten EU-Standardvertragsklauseln das Genehmigungserfordernis des § 4c Abs. 2 Satz 1 BDSG entfällt1.
14
Die EU-Kommission hat für die Auftragsverarbeitung EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung2 (Controller-to-Processor) veröffentlicht, welche die Weitergabe personenbezogener Daten in unsichere Drittländer ermöglichen sollen. Die aktuelle Version der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung vom 5.2.20103 ersetzt die vorherige Fassung der Standardvertragsklauseln zur Auftragsdatenverarbeitung vom 27.12.20014. Die Neufassung soll der rasch expandierenden Datenverarbeitungstätigkeit weltweit Rechnung tragen und Aspekte erfassen, die in den vorherigen Fassungen der Standardvertragsklauseln zur Auftragsverarbeitung bisher nicht geregelt worden sind5.
15
Obwohl die alten EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung formal nicht mehr verwendet werden dürfen, müssen bestehende Verträge nicht 1 So auch i.Erg. Schulz, BB 2011, 2552 ff. 2 EU-Kommission, Beschl. 2010/87/EU v. 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates, Az. K(2010) 593, ABl. Nr. L 39 v. 12.2.2010, S. 5 ff. 3 Erwägungsgrund 25 und Art. 7 zu den EU-Standardverträgen zur Auftragsdatenverarbeitung v. 5.2.2010. 4 EU-Kommission, Beschl. 2002/16/EG v. 27.12.2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG, Az. K(2001) 4540, ABl. Nr. 6 v. 10.1.2002, S. 52 ff. 5 Erwägungsgrund 7 der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung.
786
|
von dem Bussche
Standardvertragsklauseln Auftragsverarbeiter
Rz. 17 Teil 5 III
gekündigt werden. Sie bleiben solange in Kraft, wie die Datenübermittlungen unverändert weiterlaufen und von dem jeweils geschlossenen Vertrag erfasste personenbezogene Daten weiterhin und unverändert zwischen den Parteien übermittelt werden. Eine Veränderung der Datenübermittlungen liegt dann vor, wenn Angaben in Anhang 1 des Standardvertrags angepasst werden müssen (Änderung einer Vertragspartei, einer betroffenen Person, der Datenkategorie oder der Verarbeitung usw.). Soweit die alten EU-Standardvertragsklauseln oder deren Anhang geändert werden, ist es erforderlich, einen neuen Vertrag auf Basis der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung gemäß EU-Kommissions-Beschluss 2010/87/EU zu schließen, wenn von der Befreiung des grundsätzlichen Genehmigungsvorbehalts gem. § 4c Abs. 2 Satz 1 BDSG weiterhin profitiert werden soll. Zwar besteht auch die Möglichkeit, den alten Vertrag beizubehalten. Jedoch wird dieser dann nach Ansicht der Art. 29-Datenschutzgruppe zu einem individuell verhandelten „Ad-hoc-Vertrag“, also einem Vertrag, der die Grundsätze und Garantien der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung beinhaltet, aber nicht die EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung selbst darstellt1. Dies führt dazu, dass ein solcher Vertrag wieder dem Genehmigungsvorbehalt gem. § 4c Abs. 2 BDSG unterliegt2.
16
Bei Verwendung der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung ist zwar die Übermittlung von personenbezogenen Daten in unsichere Drittländer zulässig (Prüfung zweite Stufe, Rz. 5). Die Privilegierung der § 11 und § 3 Abs. 8 Satz 3 BDSG wird hierdurch jedoch nicht erreicht – also eine Übermittlung ohne Rechtfertigung (Prüfung erste Stufe, Rz. 4). Erstens verlangt § 3 Abs. 8 Satz 3 BDSG für die Privilegierung der Übertragung von Daten an Auftragnehmer, dass diese sich innerhalb der EU bzw. des EWR befinden (dazu sogleich Rz. 19 ff.). Zweitens genügen die EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung nicht den deutschen datenschutzrechtlichen Anforderungen an die Auftragsdatenverarbeitung gem. § 11 BDSG. § 11 BDSG ist eine gesetzliche Abwägung zwischen dem Grundrecht der Betroffenen auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V.m. Art. 1 GG und dem Grundrecht des Auftraggebers auf Berufsausübungsfreiheit aus Art. 12 GG3. Eine Auftragsdatenverarbeitung in einem Drittland darf deshalb, um zulässig zu sein, die betroffenen Personen nicht schlechter stellen, als diese bei der Auftragsdatenverarbeitung innerhalb der EU/des EWR gestellt wären4. Die EUStandardvertragsklauseln sind daher in jedem Fall um die Anforderungen aus § 11 Abs. 2 Satz 2 BDSG zu ergänzen. Solche Ergänzungen können ausnahms-
17
1 Zu alledem Artikel-29-Datenschutzgruppe, WP 176 v. 12.7.2010, S. 7, http://ec.europa. eu/justice/policies/privacy/docs/wpdocs/2010/wp176_de.pdf (Stand Februar 2013). 2 S. Artikel-29-Datenschutzgruppe, WP 176 v. 12.7.2010, S. 7, jedoch mit Verweis auf Art. 26 Abs. 2 EG-Datenschutzrichtlinie, den § 4c Abs. 2 BDSG umsetzt. 3 Elbel, RDV 2010, 203 (207 f.); Bay. LDA, Umsetzung des § 11 BDSG bei Auftragsdatenverarbeitung in Drittstaaten, http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_11 bdsg_drittstaaten.htm (Stand Februar 2013). 4 Bay. LDA, Umsetzung des § 11 BDSG bei Auftragsdatenverarbeitung in Drittstaaten, http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_11bdsg_drittstaaten.htm (Stand Februar 2013).
von dem Bussche
|
787
Teil 5 III
Rz. 18
Standardvertragsklauseln Auftragsverarbeiter
weise im Anhang, teilweise durch geschäftsbezogenen Klauseln (siehe Rz. 94) oder durch eine Nebenvereinbarung vorgenommen werden, ohne dass dadurch eine bei sonstigen Änderungen erforderliche Genehmigungspflicht (siehe Rz. 7) ausgelöst wird1. 18
Streitig ist, inwieweit die Verwendung solcher ergänzten EU-Standardvertragsklauseln eine Auftragsdatenverarbeitung in Drittländern zu der in § 3 Abs. 8 Satz 3 BDSG angesprochenen Privilegierung führt.
19
Die Aufsichtsbehörden vertreten die Ansicht, dass es sich bei der Auftragsdatenverarbeitung in Drittländern um eine „unechte“ Auftragsverarbeitung handelt2. Auf der ersten Prüfungsstufe (siehe Rz. 4) sei die Übermittlung an den Auftragsdatenverarbeiter nach § 28 Abs. 1 Nr. 2 BDSG – vorausgesetzt, dass der intendierte Datenverarbeitungsvorgang an sich zulässig ist – gerechtfertigt, wenn die EU-Standardvertragsklauseln um den Katalog aus § 11 Abs. 2 Satz 2 BDSG ergänzt wurden. Im Rahmen der nach § 28 Abs. 1 Nr. 2 BDSG vorzunehmenden Interessenabwägung fließe die enge vertragliche Bindung des Auftragnehmers mit ein, so dass die Interessen des Auftraggebers an der Weitergabe der Daten im Rahmen der Quasi-Auftragsdatenverarbeitung gegenüber den schutzwürdigen Interessen der Betroffenen an dem Ausschluss der Verarbeitung regelmäßig überwiegen. Auch im Rahmen der zweiten Prüfungsstufe (siehe Rz. 5) sei von einer Zulässigkeit der Weitergabe in das unsichere Drittland auszugehen, da bei Ergänzung der EU-Standardvertragsklauseln nur im Anhang – so wie in diesem Muster vorgenommen – keine Änderung der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung vorliege und somit für die Datenweitergabe keine behördliche Genehmigung erforderlich sei3.
20
Nach vorzugswürdiger Ansicht soll auch der Auftragnehmer im Drittland bei Verwendung der ergänzten EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung analog § 3 Abs. 8 Satz 2 BDSG nicht als Dritter anzusehen sein4. So macht es für die betroffene Person keinen Unterschied, wo die personenbezoge1 Bay. LDA, Tätigkeitsbericht 2009/2010, S. 72 f., http://www.lda.bayern.de/lda/daten schutzaufsicht/lda_daten/dsa_Taetigkeitsbericht_2010.pdf (Stand Februar 2013); Bay. LDA, RDV 2011, 154 (155); Bay. LDA, Umsetzung des § 11 BDSG bei Auftragsdatenverarbeitung in Drittstaaten, http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_11 bdsg_drittstaaten.htm (Stand Februar 2013); Aufsichtsbehörden setzen hohe Anforderungen an Cloud-Nutzung, ZD Aktuell 2011, 48. 2 Vgl. Rittweger/Schmidl, DuD 2004, 617 (620); vgl. Simitis/Dammann, § 3 BDSG Rz. 246; Bay. LDA, Umsetzung des § 11 BDSG bei Auftragsdatenverarbeitung in Drittstaaten, http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_11bdsg_drittstaaten.htm (Stand Februar 2013); Düsseldorfer Kreis, Orientierungshilfe – Cloud Computing v. 30.8.2011, S. 11, http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf (Stand Februar 2013); Hess. LT-Drucks. 18/2942, 18. 3 Bay. LDA, Tätigkeitsbericht 2009/2010, S. 70 f., http://www.lda.bayern.de/lda/daten schutzaufsicht/lda_daten/dsa_Taetigkeitsbericht_2010.pdf (Stand Februar 2013); Bay. LDA, RDV 2011, 154 (155); Bay. LDA, Umsetzung des § 11 BDSG bei Auftragsdatenverarbeitung in Drittstaaten, http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_11 bdsg_drittstaaten.htm (Stand Februar 2013); Aufsichtsbehörden setzen hohe Anforderungen an Cloud-Nutzung, ZD Aktuell 2011, 48; Hess. LT-Drucks. 18/2942, 18. 4 Weber/Voigt, ZD 2011, 74 (77); Plath/Plath, § 11 BDSG Rz. 14, 53; Räther, DuD 2005, 461 (465); Nielen/Thum, K&R 2006, 171 (174).
788
|
von dem Bussche
Standardvertragsklauseln Auftragsverarbeiter
Rz. 23 Teil 5 III
nen Daten im Auftrag verarbeitet werden, solange das Schutzniveau angemessen und zu dem innerhalb der EU/des EWR vergleichbar ist. Auch für Auftrageber und Auftragnehmer besteht eine vergleichbare Interessenlage. Der Auftragnehmer ist ohnehin nach § 11 Abs. 2 Satz 2 BDSG vertraglich zu binden, so dass sich die Anforderungen an den nationalen Auftragnehmer sowie an den Auftragnehmer im Drittland nicht unterscheiden. Und für den deutschen Auftraggeber ist bei der nationalen und internationalen Weitergabe stets das BDSG anwendbar. Darüber hinaus unterscheidet sich nach Ansicht der EU-Kommission die Weitergabe von personenbezogenen Daten zu Zwecken der Auftragsdatenverarbeitung (Controller-to-Processor) deutlich von der Übermittlung an eine andere verantwortliche Stelle (Controller-to-Controller). Vor diesem Hintergrund sind auch unterschiedliche Klauselwerke erarbeitet worden: EU-Standardvertragsklauseln für die Übermittlung an verantwortliche Stellen in Drittländern (Controller-to-Controller)1 und EU-Standardvertragsklauseln für die Auftragsdatenverarbeitung in Drittländern (Controller-to-Processor). Diese von der EU-Kommission ausdrücklich vorgesehene Möglichkeit der Auftragsdatenverarbeitung in Drittländern hat der deutsche Gesetzgeber nicht hinreichend beachtet; bei wortgetreuer Anwendung von § 3 Abs. 8 Satz 3 BDSG wäre die Unterscheidung zwischen den unterschiedlichen EU-Standardvertragsklauselmustern nämlich weitestgehend gegenstandslos2. Die unterschiedlichen Ansätze führen jedoch in den meisten Fällen zu vergleichbaren Ergebnissen, nämlich zur genehmigungsfreien und unkomplizierten Weitergabe personenbezogener Daten in Drittländer bei einem Einbeziehen der Anforderungen aus § 11 Abs. 2 Satz 2 BDSG3.
21
Lediglich bei besonderen Arten personenbezogener Daten i.S.d. § 3 Abs. 9 BDSG sowie ggf. bei Beschäftigtendaten kann es aufgrund der Vorgaben von § 28 Abs. 6–9 BDSG sowie § 32 BDSG zu unterschiedlichen Ergebnissen kommen. Die Lösung der Aufsichtsbehörden über § 28 Abs. 1 Satz 1 Nr. 2 BDSG wäre in diesen Fällen nur bedingt geeignet, da diese Norm für besondere Arten personenbezogener Daten sowie den § 32 BDSG unterfallenden Verarbeitungsvorgängen keine Anwendung findet. Soweit vertreten wird, dass diese Daten nicht im Rahmen einer zumindest „unechten“ Auftragsdatenverarbeitung übermittelt werden können, hat dies für die Praxis erhebliche Folgen. Oftmals lassen sich „normale“ personenbezogene Daten nicht von den besonderen Arten personenbezogener Daten trennen. Auch beim Auslagern von Beschäftigtendaten kann es zu erheblichen rechtlichen Problemen kommen.
22
Die Beschlüsse der EU-Kommission sprechen hingegen nicht dafür, dass bestimmte Arten personenbezogener Daten im Rahmen der Auftragsdatenverarbeitung in Drittländern ausgeschlossen sein sollen. So ist in den EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung die Weitergabe besonderer Arten personenbezogener Daten ausdrücklich vorgesehen, wie sich aus Anhang 1 der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung ergibt
23
1 S. hierzu die Muster in Teil 5 I Rz. 22 und Teil 5 II Rz. 19. 2 Weber/Voigt, ZD 2011, 74 (77). 3 Plath/v. d. Bussche, § 4b BDSG Rz. 19.
von dem Bussche
|
789
Teil 5 III
Rz. 24
Standardvertragsklauseln Auftragsverarbeiter
(„Besondere Datenkategorien“). Auch die Artikel-29-Datenschutzgruppe geht in ihren Arbeitspapieren ganz selbstverständlich von einer Auftragsdatenverarbeitung von besonderen personenbezogenen Daten in Drittländern aus1. So spricht einiges dafür, § 28 Abs. 6–9 BDSG im Hinblick auf die praktische Wirksamkeit der EU-Standardvertragsklauseln zu messen („effet utile“), so dass § 28 Abs. 1 Nr. 2 BDSG teleologisch auf besondere Arten personenbezogener Daten auszuweiten wäre2. Auch stellt § 11 BDSG keine zusätzlichen Anforderungen an die Auftragsdatenverarbeitung besonderer Arten personenbezogener Daten. 24
Da die Aufsichtsbehörden sich diesbezüglich jedoch widersprüchlich geäußert haben3, verbleibt ein gewisses Maß an Rechtsunsicherheit4. Bei einer Weitergabe insbesondere besonderer Arten personenbezogener Daten kann daher im Einzelfall zu erwägen sein, den Transfer zumindest bei den Aufsichtsbehörden anzuzeigen, um ein Bußgeld zu vermeiden, welches gem. § 43 Abs. 3 BDSG bis zu 50 000 Euro betragen kann. Bei Unternehmen mit Betriebsrat ist im Falle einer Übermittlung besonderer Arten personenbezogener Daten in unsichere Drittländer eine zusätzliche Absicherung durch Abschluss einer Betriebsvereinbarung empfehlenswert.
III. Anwendungsbereich der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung in Drittländern 25
Die EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung in Drittländer sind stets anwendbar, wenn sich der Auftraggeber innerhalb der EU/des EWR befindet und der Auftragnehmer (und ggf. Unterauftragsverarbeiter) in einem Drittland niedergelassen ist5. Befindet sich der Auftraggeber in einem Drittland, finden die EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung keine 1 Artikel-29-Datenschutzgruppe, WP 176 v. 12.7.2010, S. 6; WP 161 v. 5.3.2009, S. 4, http:// ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp161_de.pdf (Stand Februar 2013). 2 Nielen/Thum, K&R 2006, 171 (174). 3 Vgl. Düsseldorfer Kreis, Orientierungshilfe – Cloud Computing v. 30.8.2011, S. 11, http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf (Stand Februar 2013); dagegen innerhalb der Aufsichtsbehörden: Düsseldorfer Kreis, Abgleich der Vorgaben des neuen § 11 BDSG mit denen der neuen und alten EU-Standardvertragsklauseln/Auftragsdatenverarbeitung (auf Initiative der AG „Internationaler Datenverkehr“ des Düsseldorfer Kreises im Februar 2010), http://www.lda.bayern.de/lda/datenschutzaufsicht/ lda_daten/Abgleich_Standardvertragsklauseln-11.pdf (Stand Februar 2013); vgl. Berlin Group, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“, S. 3, http://www.datenschutz-berlin.de/attachments/873/Sopot_Memo randum_Cloud_Computing.pdf?1335513083 (Stand Februar 2013). 4 Vgl. Plath/v. d. Bussche, § 4b BDSG Rz. 19. 5 Artikel-29-Datenschutzgruppe, WP 176 v. 12.7.2010, S. 6 ff., http://ec.europa.eu/justice/ policies/privacy/docs/wpdocs/2010/wp176_de.pdf (Stand Februar 2013); Düsseldorfer Kreis, Fallgruppen zur internationalen Auftragsdatenverarbeitung Handreichung des Düsseldorfer Kreises zur rechtlichen Bewertung v. 28.3.2007, S. 3 f., http://www.bfdi. bund.de/SharedDocs/Publikationen/Entschliessungssammlung/ErgaenzendeDokumente/ HandreichungApril2007.html?nn=409242 (Stand Februar 2013).
790
|
von dem Bussche
Standardvertragsklauseln Auftragsverarbeiter
Rz. 27 Teil 5 III
Anwendung. Dies liegt daran, dass die EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung lediglich für den Datenexport anwendbar sind, welcher sich auf den Datenstrom aus der EU/des EWR in das Drittland bezieht1. Für den Import von Daten in den Geltungsbereich der EG-Datenschutzrichtlinie ist keine Genehmigung erforderlich. Sitzen Auftraggeber und Unterauftragnehmer im Geltungsbereich der EU/des EWR und der Auftragnehmer in einem Drittland, sind die EU-Standardvertragsklauseln zur Auftragsdatenvereinbarung nur zwischen Auftraggeber und Auftragnehmer zu vereinbaren. Zwischen Auftragnehmer und Unterauftragsdatenverarbeiter ist ein normaler Auftragsdatenverarbeitungsvertrag zu schließen2. In vertraglicher Hinsicht ist der Auftragsverarbeiter hier erstens Auftragnehmer bezogen auf den datenexportierenden Auftraggeber und zweitens Auftraggeber (ohne aber verantwortliche Stelle im datenschutzrechtlichen Sinne zu sein) bezogen auf den Unterauftragsverarbeiter3. Nach Ansicht der Aufsichtsbehörden handelt es sich bei der Übermittlung vom Auftragnehmer an den Unterauftragsdatenverarbeiter wohl um einen Daten(rück)import personenbezogener Daten in den Geltungsbereich der EU/des EWR4.
26
Nicht direkt anwendbar sind die EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung auf den praxisrelevanten Fall, dass der Auftragnehmer innerhalb der EU/des EWR, der Unterauftragsverarbeiter aber in einem Drittland niedergelassen ist5. Da nicht der Erstbeauftragte, sondern nur der Auftraggeber „verantwortliche Stelle“ i.S.d. BDSG bzw. der Datenschutzrichtlinie ist6, sei der Abschluss eines EU-Standardvertrags zwischen dem Auftragnehmer in der EU/EWR und dem Unterauftragnehmer im Drittland nicht vorgesehen und demnach nicht möglich7. Ein EU-Standardvertrag kann nur zwischen einer verantwortlichen Stelle (Datenexporteur) und einem außerhalb der EU bzw. des EWR ansässigen Auftragsdatenverarbeiter (Datenimporteur)8 geschlossen werden9. Der Auftraggeber ist in dieser Konstellation zumindest nach Ansicht der
27
1 Erwägungsgrund 13, 23, Art. 2 Abs. 2 zu den EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung. 2 Fischer/Steidle, CR 2009, 632 (635 f.). 3 Zur Problematik des Auftragsverarbeiters als verantwortliche Stelle s. Fischer/Steidle, CR 2009, 632 (636). 4 Düsseldorfer Kreis, Fallgruppen zur internationalen Auftragsdatenverarbeitung Handreichung des Düsseldorfer Kreises zur rechtlichen Bewertung v. 28.3.2007, http://www. bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/ErgaenzendeDoku mente/HandreichungApril2007.html?nn=409242 (Stand Februar 2013). 5 EU-Kommission, Beschl. 2010/87/EU v. 5.2.2010, Art. 3 Buchst. d; Artikel-29-Datenschutzgruppe, WP 176 v. 12.7.2010, S. 3 ff., http://ec.europa.eu/justice/policies/privacy/ docs/wpdocs/2010/wp176_de.pdf (Stand Februar 2013); Moos, CR 2010, 281 (285); ausführlich Lensdorf, CR 2010, 735 (736 ff.); a.A. Schmidl/Krone, DuD 2010, 838 ff. 6 Erwägungsgrund 23 zu EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung; Zwanzigster Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 16/7646, 24; Hillenbrandt-Beck, RDV 2007, 231 (234). 7 Lensdorf, CR 2010, 735 (736). 8 Art. 3 Buchst. d der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung. 9 Lensdorf, CR 2010, 735 (736 f.).
von dem Bussche
|
791
Teil 5 III
Rz. 28
Standardvertragsklausel (Auftragsverarbeiter)
Datenschutzaufsichtsbehörden gezwungen, einen gesonderten EU-Standardvertrag mit dem Unterauftragnehmer abzuschließen; hierbei kann er allerdings vom ursprünglich beauftragten Datenverarbeiter vertreten werden, sofern dieser bevollmächtigt wird1. 28
Auch bei Abschluss der ergänzten EU-Standardvertragsklauseln haben die Aufsichtsbehörden die Möglichkeit, den Datentransfer zu verbieten oder auszusetzen2. Dieses tun sie, wenn der Auftragnehmer die EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung aufgrund der für ihn geltenden Rechtslage nicht einhalten kann. Als Orientierung für eine drohende Untersagung dient die Vorgabe aus der Fußnote zu Klausel 5 der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung: Danach werden die Aufsichtsbehörden die Übermittlung untersagen, wenn die nationalen Gesetzes- oder Administrativpflichten des Datenimporteurs über das hinausgehen, was in einer demokratischen Gesellschaft für den Schutz eines in Art. 13 Abs. 1 EG-Datenschutzrichtlinie aufgelisteten Interesses (bspw. öffentliche Sicherheit, Staatsschutz etc.) erforderlich ist3. Spätestens dann trifft die Aufsichtsbehörden nämlich eine staatliche Schutzpflicht im Interesse des informationellen Selbstbestimmungsgrundrechts der Betroffenen, die sie zum Einschreiten zwingt. In der Vergangenheit hatte bspw. die schleswig-holsteinische Aufsichtsbehörde Übermittlungen nach China als kritisch angesehen4. Im Einzelfall sollte bei Zweifeln mit den Aufsichtsbehörden vor der Übermittlung geklärt werden, ob ein Drittland grundsätzlich von der Möglichkeit des Empfangs personenbezogener Daten aus dem Anwendungsbereich der EG-Datenschutzrichtlinie ausgeschlossen ist.
B. Muster 29
E Standardvertragsklausel (Auftragsverarbeiter) gem. Art. 26 Abs. 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an Auftragsverarbeiter, die in Drittländern niedergelassen sind, in denen kein angemessenes Schutzniveau gewährleistet ist[.] Bezeichnung der Organisation (Datenexporteur): … Anschrift: … Tel.: … Fax: … E-Mail: … Weitere Angaben zur Identifizierung der Organisation: … („Datenexporteur“) und 1 Taeger/Gabel/Gabel, § 4c BDSG Rz. 26; Artikel-29-Datenschutzgruppe, WP 176 v. 12.7.2010, S. 4; http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp176_ de.pdf (Stand Februar 2013); s. hierzu die Musterregelung in Teil 2 II Rz. 103. 2 Art. 4 Abs. 1 Buchst. a zu den EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung. 3 S. zum USA-PATRIOT-Act Voigt/Klein, ZD 2013, 16 ff. 4 Moos, CR 2010, 281 (286).
792
|
von dem Bussche
Rz. 29 Teil 5 III
Vertragstext
Bezeichnung der Organisation (Datenimporteur): … Anschrift: … Tel.: … Fax: … E-Mail: … Weitere Angaben zur Identifizierung der Organisation: … („Datenimporteur“) (die „Partei“, wenn eine dieser Organisationen gemeint ist, die „Parteien“, wenn beide gemeint sind) VEREINBAREN folgende Vertragsklauseln („Klauseln“), um angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen bei der Übermittlung der in Anhang 1 zu diesen Vertragsklauseln spezifizierten personenbezogenen Daten vom Datenexporteur an den Datenimporteur zu bieten. 1. Begriffsbestimmungen Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen: a) die Ausdrücke „personenbezogene Daten“, „besondere Kategorien personenbezogener Daten“, „Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Kontrollstelle“ entsprechen den Begriffsbestimmungen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr; b) der „Datenexporteur“ ist der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt; c) der „Datenimporteur“ ist der Auftragsverarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten entgegenzunehmen und sie nach der Übermittlung nach dessen Anweisungen und den Bestimmungen der Klauseln in dessen Auftrag zu verarbeiten und der nicht einem System eines Drittlandes unterliegt, das angemessenen Schutz i.S.v. Art. 25 Abs. 1 der Richtlinie 95/46/EG gewährleistet; d) der „Unterauftragsverarbeiter“ ist der Auftragsverarbeiter, der im Auftrag des Datenimporteurs oder eines anderen Unterauftragsverarbeiters des Datenimporteurs tätig ist und sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten ausschließlich zu dem Zweck entgegenzunehmen, diese nach der Übermittlung im Auftrag des Datenexporteurs nach dessen Anweisungen, den Klauseln und den Bestimmungen des schriftlichen Unterauftrags zu verarbeiten; e) der Begriff „anwendbares Datenschutzrecht“ bezeichnet die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten der Personen, insbesondere des Rechts auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, die in dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist, auf den für die Verarbeitung Verantwortlichen anzuwenden sind; von dem Bussche
|
793
Teil 5 III
Rz. 29
Standardvertragsklausel (Auftragsverarbeiter)
f) die „technischen und organisatorischen Sicherheitsmaßnahmen“ sind die Maßnahmen, die personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung schützen sollen 2. Einzelheiten der Übermittlung Die Einzelheiten der Übermittlung, insbesondere die besonderen Kategorien personenbezogener Daten, sofern vorhanden, werden in Anhang 1 erläutert, der Bestandteil dieser Klauseln ist. 3. Drittbegünstigtenklausel (1) Die betroffenen Personen können diese Klausel sowie Klausel 4 Buchst. b–i, Klausel 5 Buchst. a–e und g–j, Klausel 6 Abs. 1 und 2, Klausel 7, Klausel 8 Abs. 2 sowie die Klauseln 9–12 gegenüber dem Datenexporteur als Drittbegünstigte geltend machen. (2) Die betroffene Person kann diese Klausel, Klausel 5 Buchst. a–e und g, die Klauseln 6 und 7, Klausel 8 Abs. 2 sowie die Klauseln 9–12 gegenüber dem Datenimporteur geltend machen, wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen. (3) Die betroffene Person kann diese Klausel, Klausel 5 Buchst. a–e und g, die Klauseln 6 und 7, Klausel 8 Abs. 2 sowie die Klauseln 9–12 gegenüber dem Unterauftragsverarbeiter geltend machen, wenn sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt. (4) Die Parteien haben keine Einwände dagegen, dass die betroffene Person, sofern sie dies ausdrücklich wünscht und das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtung vertreten wird. 4. Pflichten des Datenexporteurs Der Datenexporteur erklärt sich bereit und garantiert, dass: a) die Verarbeitung der personenbezogenen Daten einschließlich der Übermittlung entsprechend den einschlägigen Bestimmungen des anwendbaren 794
|
von dem Bussche
Rz. 29 Teil 5 III
Vertragstext
Datenschutzrechts durchgeführt wurde und auch weiterhin so durchgeführt wird (und ggf. den zuständigen Behörden des Mitgliedstaats mitgeteilt wurde, in dem der Datenexporteur niedergelassen ist) und nicht gegen die einschlägigen Vorschriften dieses Staates verstößt; b) er den Datenimporteur angewiesen hat und während der gesamten Dauer der Datenverarbeitungsdienste anweisen wird, die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dem anwendbaren Datenschutzrecht und den Klauseln zu verarbeiten; c) der Datenimporteur hinreichende Garantien bietet in Bezug auf die in Anhang 2 zu diesem Vertrag beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen; d) die Sicherheitsmaßnahmen unter Berücksichtigung der Anforderungen des anwendbaren Datenschutzrechts, des Standes der Technik, der bei ihrer Durchführung entstehenden Kosten, der von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten hinreichend gewährleisten, dass personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung geschützt sind; e) er für die Einhaltung dieser Sicherheitsmaßnahmen sorgt; f) die betroffene Person bei der Übermittlung besonderer Datenkategorien vor oder sobald wie möglich nach der Übermittlung davon in Kenntnis gesetzt worden ist oder gesetzt wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau i.S.d. Richtlinie 95/46/EG bietet; g) er die gemäß Klausel 5 Buchst. b sowie Klausel 8 Abs. 3 vom Datenimporteur oder von einem Unterauftragsverarbeiter erhaltene Mitteilung an die Kontrollstelle weiterleitet, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben; h) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln mit Ausnahme von Anhang 2 sowie eine allgemeine Beschreibung der Sicherheitsmaßnahmen zur Verfügung stellt; außerdem stellt er ihnen ggf. die Kopie des Vertrags über Datenverarbeitungsdienste zur Verfügung, der gemäß den Klauseln an einen Unterauftragsverarbeiter vergeben wurde, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden; i) bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter die Verarbeitung gemäß Klausel 11 erfolgt und die personenbezogenen Daten und die Rechte der betroffenen Person mindestens ebenso geschützt sind, wie vom Datenimporteur nach diesen Klauseln verlangt; und j) er für die Einhaltung der Klausel 4 Buchst. a–i sorgt. von dem Bussche
|
795
Teil 5 III
Rz. 29
Standardvertragsklausel (Auftragsverarbeiter)
5. Pflichten des Datenimporteurs Der Datenimporteur erklärt sich bereit und garantiert, dass: a) er die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Anweisungen und den vorliegenden Klauseln verarbeitet; dass er sich, falls er dies aus irgendwelchen Gründen nicht einhalten kann, bereit erklärt, den Datenexporteur unverzüglich davon in Kenntnis zu setzen, der unter diesen Umständen berechtigt ist, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten; b) er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, und eine Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirkt, die die Klauseln bieten sollen, dem Datenexporteur mitteilen wird, sobald er von einer solchen Änderung Kenntnis erhält; unter diesen Umständen ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten; c) er vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anhang 2 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen ergriffen hat; d) er den Datenexporteur unverzüglich informiert über i)
alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der personenbezogenen Daten, es sei denn, dies wäre anderweitig untersagt, bspw. durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen;
ii) jeden zufälligen oder unberechtigten Zugang und iii) alle Anfragen, die direkt von den betroffenen Personen an ihn gerichtet werden, ohne diese zu beantworten, es sei denn, er wäre anderweitig dazu berechtigt; e) er alle Anfragen des Datenexporteurs im Zusammenhang mit der Verarbeitung der übermittelten personenbezogenen Daten durch den Datenexporteur unverzüglich und ordnungsgemäß bearbeitet und die Ratschläge der Kontrollstelle im Hinblick auf die Verarbeitung der übermittelten Daten befolgt; f) er auf Verlangen des Datenexporteurs seine für die Verarbeitung erforderlichen Datenverarbeitungseinrichtungen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zur Verfügung stellt. Die Prüfung kann vom Datenexporteur oder einem vom Datenexporteur ggf. in Absprache mit der Kontrollstelle ausgewählten Prüfgremium durchgeführt werden, dessen Mitglieder unabhängig sind, über die erforderlichen Qualifikationen verfügen und zur Vertraulichkeit verpflichtet sind; g) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln und ggf. einen bestehenden Vertrag über die Vergabe eines Verarbeitungsauftrags 796
|
von dem Bussche
Vertragstext
Rz. 29 Teil 5 III
an einen Unterauftragsverarbeiter zur Verfügung stellt, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden; Anhang 2 wird durch eine allgemeine Beschreibung der Sicherheitsmaßnahmen ersetzt, wenn die betroffene Person vom Datenexporteur keine solche Kopie erhalten kann; h) er bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter den Datenexporteur vorher benachrichtigt und seine vorherige schriftliche Einwilligung eingeholt hat; i) der Unterauftragsverarbeiter die Datenverarbeitungsdienste in Übereinstimmung mit Klausel 11 erbringt; j) er dem Datenexporteur unverzüglich eine Kopie des Unterauftrags über die Datenverarbeitung zuschickt, den er nach den Klauseln geschlossen hat. 6. Haftung (1) Die Parteien vereinbaren, dass jede betroffene Person, die durch eine Verletzung der in Klausel 3 oder 11 genannten Pflichten durch eine Partei oder den Unterauftragsverarbeiter Schaden erlitten hat, berechtigt ist, vom Datenexporteur Schadensersatz für den erlittenen Schaden zu erlangen. (2) Ist die betroffene Person nicht in der Lage, gemäß Absatz 1 gegenüber dem Datenexporteur wegen Verstoßes des Datenimporteurs oder seines Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 genannte Pflichten Schadensersatzansprüche geltend zu machen, weil das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, ist der Datenimporteur damit einverstanden, dass die betroffene Person Ansprüche gegenüber ihm statt gegenüber dem Datenexporteur geltend macht, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Der Datenimporteur kann sich seiner Haftung nicht entziehen, indem er sich auf die Verantwortung des Unterauftragsverarbeiters für einen Verstoß beruft. (3) Ist die betroffene Person nicht in der Lage, gemäß den Absätzen 1 und 2 gegenüber dem Datenexporteur oder dem Datenimporteur wegen Verstoßes des Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 aufgeführte Pflichten Ansprüche geltend zu machen, weil sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, ist der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person im Zusammenhang mit seinen Datenverarbeitungstätigkeiten aufgrund der Klauseln gegenüber ihm statt gegenüber dem Datenexporteur oder dem Datenimporteur einen Anspruch geltend machen kann, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend mavon dem Bussche
|
797
Teil 5 III
Rz. 29
Standardvertragsklausel (Auftragsverarbeiter)
chen. Eine solche Haftung des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach diesen Klauseln beschränkt. 7. Schlichtungsverfahren und Gerichtsstand (1) Für den Fall, dass eine betroffene Person gegenüber dem Datenimporteur Rechte als Drittbegünstigte und/oder Schadensersatzansprüche aufgrund der Vertragsklauseln geltend macht, erklärt sich der Datenimporteur bereit, die Entscheidung der betroffenen Person zu akzeptieren, und zwar entweder: a) die Angelegenheit in einem Schlichtungsverfahren durch eine unabhängige Person oder ggf. durch die Kontrollstelle beizulegen oder b) die Gerichte des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, mit dem Streitfall zu befassen. (2) Die Parteien vereinbaren, dass die Entscheidung der betroffenen Person nicht die materiellen Rechte oder Verfahrensrechte dieser Person, nach anderen Bestimmungen des nationalen oder internationalen Rechts Rechtsbehelfe einzulegen, berührt. 8. Zusammenarbeit mit Kontrollstellen (1) Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Kontrollstelle zu hinterlegen, wenn diese es verlangt oder das anwendbare Datenschutzrecht es so vorsieht. (2) Die Parteien vereinbaren, dass die Kontrollstelle befugt ist, den Datenimporteur und etwaige Unterauftragsverarbeiter im gleichen Maße und unter denselben Bedingungen einer Prüfung zu unterziehen, unter denen die Kontrollstelle gemäß dem anwendbaren Datenschutzrecht auch den Datenexporteur prüfen müsste. (3) Der Datenimporteur setzt den Datenexporteur unverzüglich über Rechtsvorschriften in Kenntnis, die für ihn oder etwaige Unterauftragsverarbeiter gelten und eine Prüfung des Datenimporteurs oder von Unterauftragsverarbeitern gemäß Absatz 2 verhindern. In diesem Fall ist der Datenexporteur berechtigt, die in Klausel 5 Buchst. b vorgesehenen Maßnahmen zu ergreifen. 9. Anwendbares Recht Für diese Klauseln gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, nämlich: [Deutschland]. 10. Änderung des Vertrags Die Parteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Parteien allerdings frei, erforderlichenfalls weitere, geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im Widerspruch zu der Klausel stehen.
798
|
von dem Bussche
Rz. 29 Teil 5 III
Vertragstext
11. Vergabe eines Unterauftrags (1) Der Datenimporteur darf ohne die vorherige schriftliche Einwilligung des Datenexporteurs keinen nach den Klauseln auszuführenden Verarbeitungsauftrag dieses Datenexporteurs an einen Unterauftragnehmer vergeben. Vergibt der Datenimporteur mit Einwilligung des Datenexporteurs Unteraufträge, die den Pflichten der Klauseln unterliegen, ist dies nur im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter möglich, die diesem die gleichen Pflichten auferlegt, die auch der Datenimporteur nach den Klauseln erfüllen muss. Sollte der Unterauftragsverarbeiter seinen Datenschutzpflichten nach der schriftlichen Vereinbarung nicht nachkommen, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung der Pflichten des Unterauftragsverarbeiters nach der Vereinbarung uneingeschränkt verantwortlich. (2) Die vorherige schriftliche Vereinbarung zwischen dem Datenimporteur und dem Unterauftragsverarbeiter muss gemäß Klausel 3 auch eine Drittbegünstigtenklausel für Fälle enthalten, in denen die betroffene Person nicht in der Lage ist, einen Schadensersatzanspruch gemäß Klausel 6 Abs. 1 gegenüber dem Datenexporteur oder dem Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind und kein Rechtsnachfolger durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen hat. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt. (3) Für Datenschutzbestimmungen im Zusammenhang mit der Vergabe von Unteraufträgen über die Datenverarbeitung gemäß Absatz 1 gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, nämlich: [Deutschland]. (4) Der Datenexporteur führt ein mindestens einmal jährlich zu aktualisierendes Verzeichnis der mit Unterauftragsverarbeitern nach den Klauseln geschlossenen Vereinbarungen, die vom Datenimporteur nach Klausel 5 Buchst. j übermittelt wurden. Das Verzeichnis wird der Kontrollstelle des Datenexporteurs bereitgestellt. 12. Pflichten nach Beendigung der Datenverarbeitungsdienste (1) Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Datenverarbeitungsdienste je nach Wunsch des Datenexporteurs alle übermittelten personenbezogenen Daten und deren Kopien an den Datenexporteur zurückschicken oder alle personenbezogenen Daten zerstören und dem Datenexporteur bescheinigen, dass dies erfolgt ist, sofern die Gesetzgebung, der der Datenimporteur unterliegt, diesem die Rückübermittlung oder Zerstörung sämtlicher oder Teile der übermittelten personenbezogenen Daten nicht untersagt. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und diese Daten nicht mehr aktiv weiterverarbeitet. (2) Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Kontrollstelle ihre Datenvon dem Bussche
|
799
Teil 5 III
Rz. 29
Standardvertragsklausel (Auftragsverarbeiter)
verarbeitungseinrichtungen zur Prüfung der in Absatz 1 genannten Maßnahmen zur Verfügung stellen. Für den Datenexporteur: Name (ausgeschrieben): … Funktion: … Anschrift: … Ggf. weitere Angaben, die den Vertrag verbindlich machen: … Unterschrift …
(Stempel der Organisation) Für den Datenimporteur: Name (ausgeschrieben): … Funktion: … Anschrift: … Ggf. weitere Angaben, die den Vertrag verbindlich machen: … Unterschrift …
(Stempel der Organisation) Anhang 1 zu den Standardvertragsklauseln Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden. Die Mitgliedstaaten können entsprechend den nationalen Verfahren Zusatzangaben, die in diesem Anhang enthalten sein müssen, ergänzen. Datenexporteur Der Datenexporteur ist (bitte erläutern Sie kurz Ihre Tätigkeiten, die für die Übermittlung von Belang sind): [bitte ausfüllen]. Datenimporteur Der Datenimporteur ist (bitte erläutern Sie kurz Ihre Tätigkeiten, die für die Übermittlung von Belang sind): [bitte ausfüllen]. Betroffene Personen Die übermittelten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen (bitte genau angeben): 800
|
von dem Bussche
Vertragstext
Rz. 29 Teil 5 III
Der Kreis von Personen, die von der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betroffen sind bestimmt sich nach Ziffer [bitte ausfüllen] des Hauptvertrags [Name/Datum]. Kategorien von Daten Die übermittelten personenbezogenen Daten gehören zu folgenden Datenkategorien (bitte genau angeben): Die Kategorien übermittelter personenbezogener Daten entsprechen den in Ziffer [bitte ausfüllen] des Hauptvertrags [Name/Datum] bestimmten Kategorien. Besondere Kategorien von Daten (falls zutreffend) Die übermittelten personenbezogenen Daten umfassen folgende besondere Datenkategorien (bitte genau angeben): Die Kategorien besonderer personenbezogener Daten ergeben sich aus Ziffer [bitte ausfüllen] des [Name/Datum] Hauptvertrags. Verarbeitung Die übermittelten personenbezogenen Daten werden folgenden grundlegenden Verarbeitungsmaßnahmen unterzogen (bitte genau angeben): 1. Gegenstand Der Gegenstand des Auftrags ergibt sich aus Ziffer [bitte ausfüllen] des Hauptvertrags [Name/Datum]. 2. Dauer Diese Vereinbarung gilt, solange der Hauptvertrag [Name/Datum] zwischen den Parteien besteht. 3. Umfang, Art und Zweck Umfang, Art und Zweck der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ergibt sich aus Ziffer [bitte ausfüllen] des Hauptvertrags [Name/Datum]. 4. Unteraufträge Der Datenexporteur gibt seine generelle Einwilligung zur Erteilung von Unteraufträgen durch den Datenimporteur. 5. Weisungsbefugnisse a) Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Datenexporteurs. Insbesondere dürfen die erhobenen, verarbeiteten oder genutzten personenbezogenen Daten nur auf Anweisung des Datenexporteurs berichtigt, gelöscht oder gesperrt werden. von dem Bussche
|
801
Teil 5 III
Rz. 29
Standardvertragsklausel (Auftragsverarbeiter)
Auskünfte an Dritte oder den Betroffenen darf der Datenimporteur nur nach vorheriger schriftlicher Zustimmung durch den Datenexporteur erteilen. b) Kopien und Duplikate werden ohne Wissen des Datenexporteurs nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. c) Alle Weisungen sind schriftlich zu erteilen. Sollte dies im Einzelfall nicht möglich sein, wird der Datenexporteur den Datenimporteur mündlich anweisen und die Anweisung unverzüglich schriftlich oder in Textform bestätigen. d) Weisungsberechtigte Personen beim Datenexporteur sind: [Bitte eintragen Name, Organisationseinheit, Funktion, Telefon] Weisungsempfänger beim Datenimporteur sind: [Bitte eintragen Name, Organisationseinheit, Funktion, Telefon] Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist dem Vertragspartner unverzüglich schriftlich der Nachfolger bzw. der Vertreter mitzuteilen. 6. Rückgabe überlassener Datenträger und die Löschung von Daten Ergänzend zu Klausel 12 dieses Vertrags gilt, dass beim Datenimporteur nach Beendigung dieses Vertrags keine personenbezogenen Daten zurückbleiben dürfen, die zur Vertragserfüllung überlassen wurden. Die Löschung von Daten und die ggf. durchzuführende Vernichtung der Datenträger sind datenschutzgerecht nach dem aktuellen Stand der Technik durchzuführen. Die Löschung und die ggf. durchgeführte Vernichtung sind dem Datenexporteur schriftlich zu bestätigen. Ausgeschlossen von der Löschungspflicht sind solche personenbezogenen Daten, die von einer gesetzlichen Speicherpflicht des Datenimporteurs erfasst sind. Die Herausgabe- und Löschungspflicht des Datenimporteurs umfasst ebenfalls sämtliche vom Datenimporteur im Rahmen der Ausführung des Auftrags erstellten personenbezogenen Daten. DATENEXPORTEUR Name: … Unterschrift des/der Bevollmächtigten: … DATENIMPORTEUR Name: … Unterschrift des/der Bevollmächtigten: … Anhang 2 zu den Standardvertragsklauseln Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden 802
|
von dem Bussche
Vertragstext
Rz. 29 Teil 5 III
Beschreibung der technischen oder organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4 Buchst. d und Klausel 5 Buchst. c eingeführt hat (oder Dokument/Rechtsvorschrift beigefügt): 1. Zutrittskontrolle Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden: [bitte ausfüllen]. 2. Zugangskontrolle Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und -verfahren benutzen: [bitte ausfüllen]. 3. Zugriffskontrolle Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können: [bitte ausfüllen]. 4. Weitergabekontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist: [bitte ausfüllen]. 5. Eingabekontrolle Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungs-Systeme eingegeben, verändert oder entfernt worden sind: [bitte ausfüllen]. 6. Auftragskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können: [bitte ausfüllen]. 7. Verfügbarkeitskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind: [bitte ausfüllen]. von dem Bussche
|
803
Teil 5 III
Rz. 30
Standardvertragsklausel (Auftragsverarbeiter)
8. Trennungskontrolle Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können: [bitte ausfüllen]. Beispiel für eine Entschädigungsklausel (Fakultativ) Haftung Die Parteien erklären sich damit einverstanden, dass, wenn eine Partei für einen Verstoß gegen die Klauseln haftbar gemacht wird, den die andere Partei begangen hat, die zweite Partei der ersten Partei alle Kosten, Schäden, Ausgaben und Verluste, die der ersten Partei entstanden sind, in dem Umfang ersetzt, in dem die zweite Partei haftbar ist. Die Entschädigung ist abhängig davon, dass a) der Datenexporteur den Datenimporteur unverzüglich von einem Schadensersatzanspruch in Kenntnis setzt und b) der Datenimporteur die Möglichkeit hat, mit dem Datenexporteur bei der Verteidigung in der Schadensersatzsache bzw. der Einigung über die Höhe des Schadensersatzes zusammenzuarbeiten.
C. Erläuterungen I. Vorbemerkung 30
Dieses Vertragsmuster zu den EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung setzt sich aus zwei Komponenten zusammen: (1) den von der Kommission beschlossenen Standardklauseln und (2) den Anhängen, in deren Rahmen die zusätzlichen Anforderungen des § 11 BDSG vertraglich abgebildet werden können1.
31
Bei dem hier vorgeschlagenen Vertragsmuster handelt es sich um den unveränderten Wortlaut der EU-Standardvertragsklauseln für Auftragsdatenverarbeitung, wie sie von der EU-Kommission beschlossen worden sind. An erforderlicher Stelle (Anhang 1) wurde der Wortlaut ergänzt, um die Anforderungen an eine Auftragsdatenverarbeitung gem. § 11 BDSG vertraglich abzubilden. Darüber hinaus wurde Anlage 2 um die gem. § 11 Abs. 2 Satz 2 Nr. 3 i.V.m. § 9 BDSG sowie der Anlage zu § 9 Satz 1 BDSG zu ergreifenden technischen und organisatorischen Maßnahmen erweitert. Sämtliche von den EU-Standardvertragsklauseln abweichende Ergänzungen sind als Musterformulierungen gekennzeichnet.
1 Vgl. hierzu Düsseldorfer Kreis, Abgleich der Vorgaben des neuen § 11 BDSG mit denen der neuen und alten EU-Standardvertragsklauseln/Auftragsdatenverarbeitung (auf Initiative der AG „Internationaler Datenverkehr“ des Düsseldorfer Kreises im Februar 2010), http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Abgleich_Standard vertragsklauseln-11.pdf (Stand Februar 2013).
804
|
von dem Bussche
Erläuterungen
Rz. 35 Teil 5 III
Der Text der Standardvertragsklauseln ist gemäß deren Klausel 10 zwar grundsätzlich nicht veränderbar, wenn von der Befreiung der Genehmigungspflicht seitens der Aufsichtsbehörden Gebrauch gemacht werden soll. Es ist jedoch möglich, weitere Ergänzungen im Anhang hinzuzufügen, soweit sich diese eindeutig nicht zu Lasten des Datenschutzniveaus auswirken (siehe Rz. 19, 94)1.
32
Die EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung sind als Spezialfall einer Auftragsdatenverarbeitungsvereinbarung gem. § 11 Abs. 2 Satz 2 BDSG schriftlich zu vereinbaren. Umstritten ist, ob die Schriftform konstitutiv wirkt, mit der Konsequenz, dass deren Nichteinhaltung zur Nichtigkeit des Vertrags gem. §§ 126, 125 Satz 1 BGB führt2, oder ob die Nichteinhaltung lediglich eine Ordnungswidrigkeit i.S.d. § 43 Abs. 1 Nr. 2b BDSG darstellt, sich im Übrigen jedoch nicht auf die Wirksamkeit des Vertrags auswirkt3. In praktischer Hinsicht wird sich dieses Problem jedoch regelmäßig nicht stellen, da zumindest die Standardvertragsklauseln kaum mündlich in ihrer vollständigen und unveränderten (und somit nicht anzeigepflichtigen) Version vereinbart werden können.
33
Eine (zumindest in praktischer Hinsicht) erforderliche Schriftform ergibt sich mittelbar darüber hinaus aus einzelnen Regelungen innerhalb des Standardklauselwerks. So sollen insbesondere sowohl die Unterauftragsvergabe (Klausel 11 Abs. 1 Satz 2) als auch die entsprechende Einwilligung in die Unterauftragsvergabe seitens des Datenexporteurs (Klausel 5 Buchst. j) und Klausel 11 Abs. 1 Satz 1) schriftlich erfolgen; Letzteres ist in Anhang 1 dieses Vertragsentwurfs bereits berücksichtigt. Auf diese schriftliche Erteilung der Erlaubnis sollte der Auftragnehmer aus Beweisgründen unbedingt bestehen, um einem etwaigen Haftungsrisiko für den Fall zu entgehen, dass der Auftraggeber die Erteilung seiner Einwilligung im Nachhinein bestreitet. Ferner spricht für das zwingende Einhalten der Schriftform beim Abschluss der Standardvertragsklauseln, dass ggf. eine Vertragskopie gem. Klausel 8 Abs. 1 auf Anfrage bei der Aufsichtsbehörde zu hinterlegen sowie gem. Klausel 4 Buchst. h einem Betroffenen zur Verfügung zu stellen ist.
34
Die EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung können sowohl als eigenständiger Vertrag, Anlage oder Nebenvereinbarung zu einem Hauptvertrag vereinbart werden4.
35
1 Plath/v. d. Bussche, § 4c BDSG Rz. 34; Berliner Beauftragter für Datenschutz und Informationsfreiheit (BInBDI), Abgestimmte Positionen der Aufsichtsbehörden in der AG „Internationaler Datenverkehr“ am 12./13.2.2007 – Bezug: Protokoll der Sitzung mit Wirtschaftsvertretern am 23.6.2006 v. 28.3.2007, Ziff. II. Nr. 4, http://www.datenschutzberlin.de/attachments/459/PositionspapierApril2007.pdf?1208355040 (Stand Februar 2013). 2 So etwa Gola/Schomerus, § 11 BDSG Rz. 17. 3 Vgl. Taeger/Gabel/Gabel, § 11 BDSG Rz. 54; Plath/Plath, § 11 BDSG Rz. 96. 4 Vgl. Bierekoven, in: Redeker, Handbuch der IT-Verträge, Kap. 7.2 Rz. 21; vgl. ferner Fn. 1 zu Klausel 1 der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung.
von dem Bussche
|
805
Teil 5 III
Rz. 36
Standardvertragsklausel (Auftragsverarbeiter)
II. Erläuterung der einzelnen Klauseln 1. Erläuterungen zu Klausel 1 E 1. Begriffsbestimmungen 36
Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen: a) die Ausdrücke „personenbezogene Daten“, „besondere Kategorien personenbezogener Daten“, „Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Kontrollstelle“ entsprechen den Begriffsbestimmungen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr; b) der „Datenexporteur“ ist der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt; c) der „Datenimporteur“ ist der Auftragsverarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten entgegenzunehmen und sie nach der Übermittlung nach dessen Anweisungen und den Bestimmungen der Klauseln in dessen Auftrag zu verarbeiten und der nicht einem System eines Drittlandes unterliegt, das angemessenen Schutz i.S.v. Art. 25 Abs. 1 der Richtlinie 95/46/EG gewährleistet; d) der „Unterauftragsverarbeiter“ ist der Auftragsverarbeiter, der im Auftrag des Datenimporteurs oder eines anderen Unterauftragsverarbeiters des Datenimporteurs tätig ist und sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten ausschließlich zu dem Zweck entgegenzunehmen, diese nach der Übermittlung im Auftrag des Datenexporteurs nach dessen Anweisungen, den Klauseln und den Bestimmungen des schriftlichen Unterauftrags zu verarbeiten; e) der Begriff „anwendbares Datenschutzrecht“ bezeichnet die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten der Personen, insbesondere des Rechts auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, die in dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist, auf den für die Verarbeitung Verantwortlichen anzuwenden sind; f) die „technischen und organisatorischen Sicherheitsmaßnahmen“ sind die Maßnahmen, die personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung schützen sollen.
806
|
von dem Bussche
Erläuterungen
Rz. 41 Teil 5 III
a) Ratio Die erste Klausel des EU-Standardvertrags zur Auftragsdatenverarbeitung dient der Begriffsbestimmung, um etwaigen Auslegungsschwierigkeiten und/oder -ungenauigkeiten vorzubeugen.
37
b) Erläuterungen Der Datenexporteur i.S.d. EU-Standardvertragsklauseln ist, wer personenbezogene Daten in Drittländer weitergibt und die Entscheidungsbefugnis über die Datenverarbeitung hat1; die Datenweitergabe innerhalb der EU führt dementsprechend nicht zu einer Datenexporteureigenschaft. Der Begriff des Datenexporteurs entspricht dem der übermittelnden Stelle in § 4b BDSG2. Datenimporteur ist der im Drittland datenempfangende Auftragnehmer.
38
Für die Definitionen in Klausel 1 Buchst. a wird auf die EG-Datenschutzrichtlinie verwiesen (siehe sogleich definiert in Rz. 41). Diese entsprechen überwiegend den Definitionen des § 3 BDSG. Die Definitionen der für die Verarbeitung Verantwortlichen und Verarbeitung weichen zwar von den Definitionen im BDSG ab; der Begriff der verantwortlichen Stelle aus § 3 Abs. 7 BDSG ist jedoch dem Begriff des für die Verarbeitung Verantwortlichen entsprechend richtlinienkonform auszulegen; gleiches gilt für die unterschiedlich gefassten Definitionen der Verarbeitung3.
39
Sofern der Vertrag ohne entsprechende Verweise auskommen soll, können die Begriffsbestimmungen der EG-Datenschutzrichtlinie zusätzlich aufgenommen werden4. Klausel 1 Buchst. a wird dann durch die Buchstaben a–g ersetzt. Die Buchstaben b–f werden dann zu den Buchstaben h–l. Die neuen Klauseln 1 Buchst. a–g lesen sich dann wie folgt:
40
E Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen:
41
a) „personenbezogene Daten“ sind gem. Art. 2 Buchst. a der Richtlinie 95/46/ EG alle Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind; b) „besondere Kategorien personenbezogener Daten“ sind gem. Art. 8 Abs. 1 der Richtlinie 95/46/EG personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie Daten über Gesundheit oder Sexualleben;
1 2 3 4
Hess. LT-Drucks. 16/7646, 17 ff. Vgl. Plath/v. d. Bussche, § 4b BDSG Rz. 37 ff. Taeger/Gabel/Buchner, § 3 BDSG Rz. 2; Plath/Plath/Schreiber, § 3 BDSG Rz. 3. Fn. 1 zu Klausel 1 der EU-Standardverträge zur Auftragsdatenverarbeitung.
von dem Bussche
|
807
Teil 5 III
Rz. 42
Standardvertragsklausel (Auftragsverarbeiter)
c) „Verarbeitung“ gem. Art. 2 Buchst. b Richtlinie der 95/46/EG beinhaltet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten; d) „für die Verarbeitung Verantwortlicher“ ist gem. Art. 2 Buchst. d der Richtlinie 95/46/EG die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in einzelstaatlichen oder gemeinschaftlichen Rechts- und Verwaltungsvorschriften festgelegt, so können der für die Verarbeitung Verantwortliche bzw. die spezifischen Kriterien für seine Benennung durch einzelstaatliche oder gemeinschaftliche Rechtsvorschriften bestimmt werden; e) „Auftragsverarbeiter“ ist gem. Art. 2 Buchst. e der Richtlinie 95/46/EG die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet; f) „betroffene Person“ ist gem. Art. 7 Buchst. a der Richtlinie 95/46/EG jede bestimmte oder bestimmbare natürliche Person; g) „Kontrollstelle“ sind gem. Art. 28 Abs. 1 der Richtlinie 95/46/EG eine oder mehrere öffentliche Stellen, die beauftragt sind, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen.
2. Erläuterungen zu Klausel 2 E 2. Einzelheiten der Übermittlung 42
Die Einzelheiten der Übermittlung, insbesondere die besonderen Kategorien personenbezogener Daten, sofern vorhanden, werden in Anhang 1 erläutert, der Bestandteil dieser Klauseln ist.
Ratio und Erläuterungen 43
Für eine Kommentierung zu den Einzelheiten der Übermittlung wird auf die Kommentierung zu Anhang 1 verwiesen (siehe Rz. 107 ff.).
3. Erläuterungen zu Klausel 3 E 3. Drittbegünstigtenklausel 44
(1) Die betroffenen Personen können diese Klausel sowie Klausel 4 Buchst. b–i, Klausel 5 Buchst. a–e und g–j, Klausel 6 Abs. 1 und 2, Klausel 7, Klausel 8 Abs. 2 808
|
von dem Bussche
Erläuterungen
Rz. 45 Teil 5 III
sowie die Klauseln 9–12 gegenüber dem Datenexporteur als Drittbegünstigte geltend machen. (2) Die betroffene Person kann diese Klausel, Klausel 5 Buchst. a–e und g, die Klauseln 6 und 7, Klausel 8 Abs. 2 sowie die Klauseln 9–12 gegenüber dem Datenimporteur geltend machen, wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen. (3) Die betroffene Person kann diese Klausel, Klausel 5 Buchst. a–e und g, die Klauseln 6 und 7, Klausel 8 Abs. 2 sowie die Klauseln 9–12 gegenüber dem Unterauftragsverarbeiter geltend machen, wenn sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt. (4) Die Parteien haben keine Einwände dagegen, dass die betroffene Person, sofern sie dies ausdrücklich wünscht und das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtung vertreten wird.
a) Ratio Klausel 3 bezieht die von der Datenverarbeitung im Drittland betroffenen Personen als Drittbegünstigte in den Vertrag zwischen Datenexporteur und Datenimporteur mit ein. Dadurch soll den Betroffenen ermöglicht werden – ohne selbst Vertragspartei zu sein – bestimmte Klauseln des Vertrags gegenüber dem Datenexporteur unmittelbar geltend zu machen. Bei dem EU-Standardvertrag handelt es sich somit um einen Vertrag zugunsten Dritter1. Die Drittbegünstigtenklausel findet sich in allen Fassungen der EU-Standardvertragsklauseln wieder und ist in der Vergangenheit von Stimmen aus der Wirtschaft kritisiert worden, da der Auftragsdatenverarbeitung eine direkte Haftung von Datenimporteur und Unterauftragsverarbeiter gegenüber den Betroffenen grundsätzlich fremd ist2, vgl. § 11 BDSG. Sinn und Zweck der Drittbegünstigtenklausel 1 Räther/Seitz, MMR 2002, 520 (523). 2 EICTA Comments On Draft Commission Decision Regarding Standard Contractual Clauses For The Transfer Of Person Data To Processors Established In Third Countries (Draft Version 1 July 2001), Nr. 4, http://ec.europa.eu/justice/policies/privacy/docs/mo delcontracts/comment-consul/commentseicta_en.pdf (Stand Februar 2013); ICC Comments on the draft commission decision on standard contractual clauses for the transfer of personal data to processors established in third countries (version of 1 July 2001), S. 3, http://ec.europa.eu/justice/policies/privacy/docs/modelcontracts/comment-consul/ commentsicc_en.pdf (Stand Februar 2013).
von dem Bussche
|
809
45
Teil 5 III
Rz. 46
Standardvertragsklausel (Auftragsverarbeiter)
ist es, einen möglichst umfassenden Schutz der betroffenen Personen zu erreichen. Die Klausel trägt dem Umstand Rechnung, dass die Rechte der Betroffenen durch die Drittlandsverarbeitung tangiert werden, ohne dass die Betroffenen selbst im Vertragsgeflecht involviert sind und folglich ohne entsprechende Legitimation durch die Drittbegünstigungsklausel die ordnungsgemäße Vertragsdurchführung nicht beeinflussen könnten. 46
In der Praxis kommt eine entsprechende Geltendmachung dieser Rechte durch einen Betroffenen (bislang) kaum vor; die Ausgestaltung der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung als Vertrag zugunsten Dritter kann aber zu Problemen bei ausländischen Vertragsparteien führen, wenn deren Rechtsordnung eine solche Vertragskonstruktion fremd ist1.
b) Erläuterung 47
Die ersten drei Absätze der Klausel 3 regeln die Drittbegünstigtenrechte der betroffenen Personen gegenüber dem Datenexporteur (Abs. 1), dem Datenimporteur (Abs. 2) und dem Unterauftragsverarbeiter (Abs. 3).
48
Nach Absatz 1 kann eine betroffene Person die Pflichten des Datenexporteurs (Klausel 4 Buchst. b–i), des Datenimporteurs (Klausel 5a–e und g–j), sowie die Pflichten des Unterauftragsverarbeiters (Klausel 11) gegenüber dem Datenexporteur als eigene Rechte geltend machen.
49
Der Drittbegünstigte kann zudem nach Absatz 2 bestimmte Rechte gegenüber dem Datenimporteur und nach Absatz 3 gegenüber dem Unterauftragsverarbeiter geltend machen. Darüber hinaus berechtigt Klausel 3 die betroffenen Personen indirekt dazu, Schadensersatzansprüche aus dem Innenverhältnis der Vertragsparteien im eigenen Namen geltend zu machen; die Anspruchsgrundlage ist jedoch Klausel 6.
50
Die betroffenen Personen können sich nur subsidiär auf ihre Rechte gegenüber Datenimporteur und Unterauftragsverarbeiter berufen, soweit die jeweils näher am Betroffenen stehende Partei rechtlich oder faktisch aufhört zu existieren oder zahlungsunfähig ist und es keinen Rechtsnachfolger gibt. Die Zahlungsunfähigkeit findet sich als Fallgruppe zur Geltendmachung von Ansprüchen zwar nicht im Wortlaut der Klausel 3 Abs. 2 wieder. Zumindest in Bezug auf Schadensersatzansprüche gilt aufgrund von Klausel 6 Abs. 2 jedoch Entsprechendes auch für Klausel 3 Abs. 2 (zu Schadensersatzansprüchen siehe Rz. 76).
51
Absatz 4 bestimmt, dass sich Drittbegünstigte auch durch eine Vereinigung oder sonstige Einrichtungen vertreten lassen können. Hiermit sind z.B. Verbraucherschutzverbände gemeint2.
1 Zu alledem Räther/Seitz, MMR 2002, 520 (523). 2 Räther/Seitz, MMR 2002, 520 (523).
810
|
von dem Bussche
Rz. 52 Teil 5 III
Erläuterungen
4. Erläuterungen zu Klausel 4 E 4. Pflichten des Datenexporteurs 52
Der Datenexporteur erklärt sich bereit und garantiert, dass: a) die Verarbeitung der personenbezogenen Daten einschließlich der Übermittlung entsprechend den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts durchgeführt wurde und auch weiterhin so durchgeführt wird (und ggf. den zuständigen Behörden des Mitgliedstaats mitgeteilt wurde, in dem der Datenexporteur niedergelassen ist) und nicht gegen die einschlägigen Vorschriften dieses Staates verstößt; b) er den Datenimporteur angewiesen hat und während der gesamten Dauer der Datenverarbeitungsdienste anweisen wird, die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dem anwendbaren Datenschutzrecht und den Klauseln zu verarbeiten; c) der Datenimporteur hinreichende Garantien bietet in Bezug auf die in Anhang 2 zu diesem Vertrag beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen; d) die Sicherheitsmaßnahmen unter Berücksichtigung der Anforderungen des anwendbaren Datenschutzrechts, des Standes der Technik, der bei ihrer Durchführung entstehenden Kosten, der von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten hinreichend gewährleisten, dass personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung geschützt sind; e) er für die Einhaltung dieser Sicherheitsmaßnahmen sorgt; f) die betroffene Person bei der Übermittlung besonderer Datenkategorien vor oder sobald wie möglich nach der Übermittlung davon in Kenntnis gesetzt worden ist oder gesetzt wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau i.S.d. Richtlinie 95/46/EG bietet; g) er die gemäß Klausel 5 Buchst. b sowie Klausel 8 Abs. 3 vom Datenimporteur oder von einem Unterauftragsverarbeiter erhaltene Mitteilung an die Kontrollstelle weiterleitet, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben; h) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln mit Ausnahme von Anhang 2 sowie eine allgemeine Beschreibung der Sicherheitsmaßnahmen zur Verfügung stellt; außerdem stellt er ihnen ggf. die Kopie des Vertrags über Datenverarbeitungsdienste zur Verfügung, der gemäß den Klauseln an einen Unterauftragsverarbeiter vergeben wurde, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden; von dem Bussche
|
811
Teil 5 III
Rz. 53
Standardvertragsklausel (Auftragsverarbeiter)
i) bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter die Verarbeitung gemäß Klausel 11 erfolgt und die personenbezogenen Daten und die Rechte der betroffenen Person mindestens ebenso geschützt sind, wie vom Datenimporteur nach diesen Klauseln verlangt; und j) er für die Einhaltung der Klausel 4 Buchst. a–i sorgt.
a) Ratio 53
Klausel 4 regelt die Pflichten des Datenexporteurs und stellt gleichzeitig i.V.m. Klauseln 6 und 3 (genauso wie die nachfolgende Klausel 5, vgl. Rz. 65) eine Garantiehaftung dar. Im Gegensatz zur Klausel 5 wird dem Datenimporteur kein Rücktrittsrecht vom Vertrag bei Verstößen gegen Klausel 4 eingeräumt, da er als Auftragsdatenverarbeiter in Bezug auf den Umgang mit den personenbezogenen Daten weniger schutzwürdig ist als der Datenexporteur in seiner Rolle als verantwortliche Stelle. Dem Datenimporteur bleibt in diesem Fall nur die Möglichkeit, nach den allgemeinen gesetzlichen Vorschriften vom Vertrag zurückzutreten (§ 346 BGB). Verstößt der Datenexporteur gegen Klausel 4, so wird er schadensersatzpflichtig (siehe Rz. 76) gegenüber der betroffenen Person.
54
Klausel 4 legt eine Reihe von Kontrollpflichten für den Datenexporteur fest. Diese sind strenger als die in § 11 Abs. 2 Satz 4 BDSG manifestierten Pflichten. So garantiert der Datenexporteur die Einhaltung einer datenschutzrechtlich rechtmäßigen Verarbeitung, Erhebung oder Nutzung personenbezogener Daten.
b) Erläuterungen 55
Mit Klausel 4 Buchst. a garantiert der Datenexporteur, die Übermittlung entsprechend den Bestimmungen des einschlägigen Datenschutzrechts und sonstigen einschlägigen Vorschriften durchzuführen und den zuständigen Behörden des Mitgliedsstaats, in welchem der Datenexporteur niedergelassen ist, die Verarbeitung personenbezogener Daten – soweit notwendig – mitzuteilen.
56
Klausel 4 Buchst. b ist eine Garantieerklärung dahingehend, dass der Datenexporteur den Datenimporteur während der gesamten Vertragslaufzeit anweisen wird, die personenbezogenen Daten nur im Auftrag und in Übereinstimmung mit dem anwendbaren Datenschutzrecht (zum anwendbaren Datenschutzrecht siehe Klausel 9, Rz. 91) zu verarbeiten.
57
Klausel 4 Buchst. c–e verpflichtet den Datenexporteur zu garantieren, vom Datenimporteur in Bezug auf die im Anhang 2 beschriebenen Sicherheitsmaßnahmen hinreichende Garantien zu verlangen (Klausel 4 Buchst. c). Außerdem garantiert der Datenexporteur, dass die gewährleisteten Sicherheitsmaßnahmen eingehalten werden (Klausel 4 Buchst. d und e). Diese Verpflichtung entspricht im Wesentlichen der Regelung des § 11 Abs. 2 Satz 4 BDSG, die bestimmt, dass sich der Datenexporteur von der Einhaltung der technischen und organisatorischen Sicherheitsmaßnahmen durch den Datenimporteur vor Beginn der Datenverarbeitung sowie während der Laufzeit des Auftrags zu überzeugen hat 812
|
von dem Bussche
Erläuterungen
Rz. 58 Teil 5 III
(sog. Kontrollpflicht)1. Auf ein starres Formulieren der Überwachungsintervalle wurde verzichtet; zur Bestimmung dieser Intervalle ist im Einzelfall die Art und Weise der Datenverarbeitungsvorgänge einzubeziehen2. Der Auftraggeber ist gem. § 11 Abs. 2 Satz 5 BDSG verpflichtet, das Ergebnis seiner Kontrollen zu dokumentieren. Einer bestimmten Form unterliegt er dabei aber nicht3. Kleinere und mittelständische Unternehmen kann diese umfassende Kontrollpflicht regelmäßig überfordern. Diesen wird empfohlen, unabhängige Auditoren einzusetzen4. Auditoren sind unabhängige und zugelassene Gutachter, die sicherstellen, dass die technischen und organisatorischen Maßnahmen tatsächlich eingehalten werden. Dies kann gerade beim Einschalten von Unterauftragsverarbeitern relevant werden – hier befinden sich die Daten im Zweifel an vielen verschiedenen Orten zugleich, was ein Einhalten der Kontrollpflicht erheblich erschwert5. Beim Cloud Computing tritt dieses Problem besonders prominent auf, da dem Datenexporteur oftmals weder Identität noch Standort etwaiger Unterauftragsverarbeiter bekannt sind (in diesem Zusammenhang siehe ferner Rz. 59)6. Mit der Klausel 4 Buchst. f verpflichtet sich der Datenexporteur, die vom Datentransfer betroffenen Personen vor oder sobald wie möglich nach der Übermittlung von besonderen Arten personenbezogener Daten in ein Drittland in Kenntnis zu setzen. Klausel 4 Buchst. f findet sich nicht in der EG-Datenschutzrichtlinie wieder, ist also streng genommen für die Umsetzung eines angemessenen Datenschutzniveaus i.S.d. EG-Datenschutzrichtlinie nicht erforderlich7. Dennoch kann die Klausel nicht gestrichen werden, ohne dass die Standardvertragsklauseln dem Genehmigungsvorbehalt der Aufsichtsbehörden unterfallen würden.
1 2 3 4 5
Plath/Plath, § 11 BDSG Rz. 113. Vgl. auch Bergmann/Möhrle/Herb, § 11 BDSG Rz. 48. Plath/Plath, § 11 BDSG Rz. 114. BT-Drucks. 16/13 657, 29; Gola/Schomerus, § 11 BDSG Rz. 21. Schröder/Haag, ZD 2012, 495 (500); Artikel-29-Datenschutzgruppe, WP 196 v. 1.7.2012, S. 22, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2012/wp196_en.pdf#h2_1 (Stand Februar 2013); Düsseldorfer Kreis, Orientierungshilfe – Cloud Computing v. 30.8.2011, S. 9, S. 20 f. (Transparenz), http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf (Stand Februar 2013); Berlin Group, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“, S. 5, http://www.datenschutz-berlin.de/attachments/873/ Sopot_Memorandum_Cloud_Computing.pdf?1335513083 (Stand Februar 2013). 6 S. hierzu mit weiteren Ausführungen Bierekoven, ITRB 2012, 280 ff.; Schröder/Haag, ZD 2012, 495 ff.; Schröder/Haag, ZD 2012, 362; Schröder/Haag, ZD 2011, 147 ff.; Niemann/ Hennrich, CR 2010, 686 (688 ff.); Artikel-29-Datenschutzgruppe, WP 196 v. 1.7.2012, S. 10, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-re commendation/files/2012/wp196_en.pdf#h2_1 (Stand Februar 2013); Berlin Group, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memoran dum“, S. 8, http://www.datenschutz-berlin.de/attachments/873/Sopot_Memorandum_ Cloud_Computing.pdf?1335513083 (Stand Februar 2013); Düsseldorfer Kreis, Orientierungshilfe – Cloud Computing v. 30.8.2011, S. 13 ff., http://www.datenschutz-bayern.de/ technik/orient/oh_cloud.pdf (Stand Februar 2013). 7 Vgl. Räther/Seitz, MMR 2002, 520 (526).
von dem Bussche
|
813
58
Teil 5 III
Rz. 59
Standardvertragsklausel (Auftragsverarbeiter)
59
Unabhängig davon, ob besondere Arten personenbezogener Daten verarbeitet werden ist die Artikel-29-Datenschutzgruppe der Ansicht, dass beim Cloud Computing die betroffene Person nicht nur über die Identität der für die Verarbeitung verantwortlichen Stelle, sondern auch über den Clouddienstanbieter sowie sämtliche Unterauftragsverarbeiter informiert werden muss1. Folglich sollten sich die Parteien auf eine abschließende Auflistung etwaiger Unterauftragsverarbeiter einigen und diese vertraglich festhalten (vgl. Rz. 100).
60
In Klausel 4 Buchst. g garantiert der Datenexporteur, sämtliche Mitteilungen über ein zu Ungunsten des Betroffenen verändertes Datenschutzniveau, die ihn auf Grundlage der Klausel 5 Buchst. b (siehe Rz. 68) und Klausel 8 Abs. 3 (siehe Rz. 89) durch den Datenimporteur erreichen, an die für den Datenexporteur zuständige Kontrollstelle weiterzuleiten (Rz. 41), vorausgesetzt, dass er sich entschließt die Übermittlung trotz des verschlechterten Datenschutzniveaus fortzusetzen oder eine ausgesetzte Übermittlung wieder aufzunehmen.
61
In Klausel 4 Buchst. h garantiert der Datenexporteur, den betroffenen Personen auf Anfrage eine Kopie der abgeschlossenen Standardvertragsklauseln mit Ausnahme von Anhang 2 sowie eine Beschreibung der allgemeinen Sicherheitsmaßnahmen zur Verfügung zu stellen. Anhang 2 darf nicht an die betroffenen Personen weitergeleitet werden, da ansonsten das durch die technischen und organisatorischen Maßnahmen geschaffene Sicherheitsniveau gefährdet wäre. Geschäftsinformationen sind vor einer Weitergabe unkenntlich zu machen (Klausel 4 Buchst. h, Halbs. 1).
62
Der Datenexporteur kann selbst Unteraufträge vergeben (ausführlich zur Unterauftragsvergabe siehe Rz. 95). Er verpflichtet sich bei der Unterauftragsvergabe, dasselbe Schutzniveau einzuhalten, das in den EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung vorgesehen ist (Klausel 4 Buchst. i).
63
Klausel 4 Buchst. j verpflichtet den Datenexporteur dazu, die Klauseln 4 Buchst. a–i einzuhalten. Sie ist rein deklaratorischer Natur und soll die Wichtigkeit der Klausel 4 unterstreichen.
5. Erläuterungen zu Klausel 5 E 5. Pflichten des Datenimporteurs 64
Der Datenimporteur erklärt sich bereit und garantiert, dass: a) er die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Anweisungen und den vorliegenden Klauseln verarbeitet; dass er sich, falls er dies aus irgendwelchen Gründen nicht einhalten kann, bereit erklärt, den Datenexporteur unverzüglich davon in Kenntnis zu setzen, der unter diesen Umständen berechtigt ist, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;
1 Artikel-29-Datenschutzgruppe, WP 196 v. 1.7.2012, S. 5 f., http://ec.europa.eu/justice/ data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196 _en.pdf (Stand Februar 2013).
814
|
von dem Bussche
Rz. 64 Teil 5 III
Erläuterungen
b) er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, und eine Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirkt, die die Klauseln bieten sollen, dem Datenexporteur mitteilen wird, sobald er von einer solchen Änderung Kenntnis erhält; unter diesen Umständen ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten; c) er vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anhang 2 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen ergriffen hat; d) er den Datenexporteur unverzüglich informiert über i)
alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der personenbezogenen Daten, es sei denn, dies wäre anderweitig untersagt, bspw. durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen;
ii) jeden zufälligen oder unberechtigten Zugang und iii) alle Anfragen, die direkt von den betroffenen Personen an ihn gerichtet werden, ohne diese zu beantworten, es sei denn, er wäre anderweitig dazu berechtigt; e) er alle Anfragen des Datenexporteurs im Zusammenhang mit der Verarbeitung der übermittelten personenbezogenen Daten durch den Datenexporteur unverzüglich und ordnungsgemäß bearbeitet und die Ratschläge der Kontrollstelle im Hinblick auf die Verarbeitung der übermittelten Daten befolgt; f) er auf Verlangen des Datenexporteurs seine für die Verarbeitung erforderlichen Datenverarbeitungseinrichtungen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zur Verfügung stellt. Die Prüfung kann vom Datenexporteur oder einem vom Datenexporteur ggf. in Absprache mit der Kontrollstelle ausgewählten Prüfgremium durchgeführt werden, dessen Mitglieder unabhängig sind, über die erforderlichen Qualifikationen verfügen und zur Vertraulichkeit verpflichtet sind; g) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln und ggf. einen bestehenden Vertrag über die Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter zur Verfügung stellt, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden; Anhang 2 wird durch eine allgemeine Beschreibung der Sicherheitsmaßnahmen ersetzt, wenn die betroffene Person vom Datenexporteur keine solche Kopie erhalten kann; h) er bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter den Datenexporteur vorher benachrichtigt und seine vorherige schriftliche Einwilligung eingeholt hat; von dem Bussche
|
815
Teil 5 III
Rz. 65
Standardvertragsklausel (Auftragsverarbeiter)
i) der Unterauftragsverarbeiter die Datenverarbeitungsdienste in Übereinstimmung mit Klausel 11 erbringt; j) er dem Datenexporteur unverzüglich eine Kopie des Unterauftrags über die Datenverarbeitung zuschickt, den er nach den Klauseln geschlossen hat.
a) Ratio 65
Klausel 5 entspricht den Vorgaben des § 11 Abs. 2 Satz 2 Nr. 6–8 BDSG1. Sie korrespondiert mit Klausel 4 und ist ebenfalls als Garantieerklärung zu verstehen (siehe Rz. 53). Bei Nichteinhaltung der Klausel 5 Buchst. a und b kann der Datenexporteur von dem Vertrag zurücktreten und/oder die Datenübermittlung aussetzen. Sinn und Zweck der Klausel ist es, den Vorgaben dieser Standardvertragsklauseln entsprechende Datenverarbeitungen im Drittland sicherzustellen. Ein Rücktritt ist allerdings nur bei schwerwiegenden Datenschutzverfehlungen des Datenimporteurs gerechtfertigt. Schwerwiegende Verstöße ohne Datenschutzbezug sind nicht erfasst. Es wird davon abgeraten, die Regelung zum Rücktritt in einer geschäftsbezogenen Klausel (siehe Rz. 94) weiter auszugestalten2, da die veränderten EU-Standardvertragsklauseln dann möglicherweise den Aufsichtsbehörden vorzulegen wären.
66
Verstößt der Datenimporteur gegen die ihm in Klausel 5 auferlegten Pflichten, so ist er gegenüber der betroffenen Person direkt schadensersatzpflichtig (siehe sogleich Rz. 79), vorausgesetzt, dass der Datenexporteur nicht mehr besteht oder zahlungsunfähig ist (siehe Rz. 50).
b) Erläuterungen 67
Mit Klausel 5 Buchst. a verpflichtet sich der Datenimporteur, weisungsgebunden und nur im Auftrag des Datenexporteurs die personenbezogenen Daten zu verarbeiten sowie – sollte er die Bestimmungen der Klauseln oder die Anweisungen des Datenexporteurs nicht einhalten können – diesem diesbezüglich unverzüglich3 Bescheid zu geben.
68
Zudem garantiert er in Klausel 5 Buchst. b, dass er seines Wissens keinen Gesetzen unterliegt, die das Einhalten der vertraglichen Pflichten unmöglich machen und, dass er, sobald er von einer Gesetzesänderung erfährt, die sich nachteilig auf die Garantien und Pflichten auswirkt, dies dem Datenexporteur mitteilen wird. Hieraus folgt, dass der Datenimporteur praktisch ständig auf eine
1 Düsseldorfer Kreis, Abgleich der Vorgaben des neuen § 11 BDSG mit denen der neuen und alten EU-Standardvertragsklauseln/Auftragsdatenverarbeitung (auf Initiative der AG „Internationaler Datenverkehr“ des Düsseldorfer Kreises im Februar 2010), http:// www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Abgleich_Standardvertragsklau seln-11.pdf (Stand Februar 2013). 2 A.A. Räther/Seitz, MMR 2002, 520 (526); EURIM Response to European Commission Consultation, 2, http://ec.europa.eu/justice/policies/privacy/docs/modelcontracts/com ment-consul/commentseurim_en.pdf (Stand Februar 2013). 3 I.S.d. § 121 BGB „ohne schuldhaftes Zögern“.
816
|
von dem Bussche
Erläuterungen
Rz. 74 Teil 5 III
Änderung der Gesetzeslage achten muss, was eine kostspielige Angelegenheit sein kann1. In Klausel 5 Buchst. c verpflichtet sich der Datenimporteur, die vom Datenexporteur in Klausel 4 auferlegten technischen und organisatorischen Sicherheitsmaßnahmen aus Anhang 2 (siehe Rz. 130 ff.) einzuhalten.
69
Klausel 5 Buchst. d entspricht den Anforderungen des Datenimporteurs zur Mitteilungspflicht aus § 11 Abs. 2 Satz 2 Nr. 8 BDSG2.
70
Klausel 5 Buchst. e und f entspricht den Vorgaben aus § 11 Abs. 2 Satz 2 Nr. 7 BDSG3. Der Datenimporteur garantiert, alle Anfragen des Datenexporteurs im Zusammenhang mit der Datenverarbeitung unverzüglich und ordnungsgemäß zu bearbeiten und die Ratschläge der Kontrollstelle hinsichtlich der Bearbeitung zu befolgen (Klausel 5 Buchst. e). Er garantiert, auf Verlangen des Datenexporteurs seine für die Verarbeitung erforderlichen Datenverarbeitungseinrichtungen für eine Prüfung der Verarbeitungstätigkeiten zur Verfügung zu stellen (Klausel 5 Buchst. f).
71
Die EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung stellen es dem Datenexporteur frei (Klausel 5 Buchst. f), in Absprache mit der zuständigen Aufsichtsbehörde einen unabhängigen Auditor zu beauftragen, der die Kontrollpflichten des Datenexporteurs übernimmt. Dies ist insbesondere in Fällen der „Kettenauslagerung“, bei der mindestens ein Unterauftragsverarbeiter am Verarbeitungsvorgang beteiligt ist, zu empfehlen. Hierbei befinden sich die personenbezogenen Daten typischerweise gleichzeitig an verschiedenen Orten, beim Cloud Computing sogar möglicherweise in verschiedenen Ländern. Regelmäßige Kontrollen wären für den Auftraggeber mit hohen Kosten und einem großen Zeitaufwand verbunden, der vor allem für mittelständische und kleine Unternehmen schwer tragbar wäre4.
72
Klausel 5 Buchst. g entspricht der Verpflichtung des Datenexporteurs aus Klausel 4 Buchst. h und regelt die Auskunftspflicht des Datenimporteurs gegenüber betroffenen Personen.
73
Klausel 5 Buchst. i–j regelt die Pflichten des Datenimporteurs bei der Unterauftragsverarbeitung (vgl. hierzu Rz. 95 ff.).
74
1 Räther/Seitz, MMR 2002, 520 (526). 2 Düsseldorfer Kreis, Abgleich der Vorgaben des neuen § 11 BDSG mit denen der neuen und alten EU-Standardvertragsklauseln/Auftragsdatenverarbeitung (auf Initiative der AG „Internationaler Datenverkehr“ des Düsseldorfer Kreises im Februar 2010), http:// www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Abgleich_Standardvertragsklau seln-11.pdf (Stand Februar 2013). 3 Düsseldorfer Kreis, Abgleich der Vorgaben des neuen § 11 BDSG mit denen der neuen und alten EU-Standardvertragsklauseln/Auftragsdatenverarbeitung (auf Initiative der AG „Internationaler Datenverkehr“ des Düsseldorfer Kreises im Februar 2010), http:// www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Abgleich_Standardvertragsklau seln-11.pdf (Stand Februar 2013). 4 Schröder/Haag, ZD 2012, 362 (367); Schröder/Haag, ZD 2012, 495 (499).
von dem Bussche
|
817
Teil 5 III
Rz. 75
Standardvertragsklausel (Auftragsverarbeiter)
6. Erläuterungen zu Klausel 6 E 6. Haftung 75
(1) Die Parteien vereinbaren, dass jede betroffene Person, die durch eine Verletzung der in Klausel 3 oder 11 genannten Pflichten durch eine Partei oder den Unterauftragsverarbeiter Schaden erlitten hat, berechtigt ist, vom Datenexporteur Schadensersatz für den erlittenen Schaden zu erlangen. (2) Ist die betroffene Person nicht in der Lage, gemäß Absatz 1 gegenüber dem Datenexporteur wegen Verstoßes des Datenimporteurs oder seines Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 genannte Pflichten Schadensersatzansprüche geltend zu machen, weil das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, ist der Datenimporteur damit einverstanden, dass die betroffene Person Ansprüche gegenüber ihm statt gegenüber dem Datenexporteur geltend macht, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Der Datenimporteur kann sich seiner Haftung nicht entziehen, indem er sich auf die Verantwortung des Unterauftragsverarbeiters für einen Verstoß beruft. (3) Ist die betroffene Person nicht in der Lage, gemäß den Absätzen 1 und 2 gegenüber dem Datenexporteur oder dem Datenimporteur wegen Verstoßes des Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 aufgeführte Pflichten Ansprüche geltend zu machen, weil sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, ist der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person im Zusammenhang mit seinen Datenverarbeitungstätigkeiten aufgrund der Klauseln gegenüber ihm statt gegenüber dem Datenexporteur oder dem Datenimporteur einen Anspruch geltend machen kann, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Eine solche Haftung des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach diesen Klauseln beschränkt.
a) Ratio 76
Klausel 6 ist eine Anspruchsgrundlage für betroffene Personen, um Verletzungen der Drittbegünstigtenklausel und Verletzungen der die Anforderungen an die Vergabe von Unteraufträgen enthaltende Klausel 11 im Wege eines Schadensersatzanspruchs geltend zu machen. Der Schadensersatzanspruch aus Klausel 6 steht neben dem spezialgesetzlichen Schadensersatzanspruch des § 7 BDSG1. Die Haftung richtet sich verschuldensunabhängig im Wege einer abge-
1 Simitis/Simitis, § 7 BDSG Rz. 52; Taeger/Gabel/Gabel, § 7 BDSG Rz. 23.
818
|
von dem Bussche
Erläuterungen
Rz. 82 Teil 5 III
stuften Garantiehaftung1 gegen den Datenexporteur (Abs. 1), subsidiär gegen den Datenimporteur (Abs. 2) und an letzter Stelle subsidiär gegen den Unterauftragsverarbeiter (Abs. 3). Die Vertragsparteien selbst können sich nicht auf Klausel 6 berufen; eine analoge Anwendung der Klausel 6 ist mangels vergleichbarer Interessenlage nicht möglich.
77
Den Anspruch aus Klausel 6 können auch Vereinigungen in Vertretung der betroffenen Personen geltend machen (Rz. 51).
78
b) Erläuterungen Klausel 6 Abs. 1 ist die Anspruchsgrundlage der betroffenen Personen für Schadensersatzansprüche gegen den Datenexporteur. Tatbestandlich muss eine Pflichtverletzung der Klauseln 3 Abs. 1 oder 11 vorliegen, die kausal auf ein Verhalten einer der Vertragsparteien oder des Unterauftragsverarbeiters zurückzuführen ist. Außerdem muss die betroffene Person einen Schaden erlitten haben. Auf ein Verschulden kommt es nicht an (Rz. 53, 65).
79
Klausel 6 Abs. 2 ist die Anspruchsgrundlage der betroffenen Personen für Schadensersatzansprüche gegen den Datenimporteur und setzt ergänzend zu dem Tatbestand des Absatz 1 voraus, dass der Datenexporteur faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist und kein Rechtsnachfolger des Datenexporteurs existiert, der an seiner statt haftet. Die Pflichtverletzung muss sich aus den Klauseln 3 Abs. 2 oder 11 ergeben. Klausel 6 Abs. 2 Satz 2 stellt klar, dass sich der Datenimporteur nicht darauf berufen kann, dass der Unterauftragsverarbeiter für die Pflichtverletzung verantwortlich sei.
80
Absatz 3 regelt die Ansprüche der betroffenen Person gegen den Unterauftragsverarbeiter. Dieser haftet nur, wenn weder Datenexporteur noch Datenimporteur rechtlich oder faktisch noch existieren oder aber beide zahlungsunfähig sind. Haftungsbeschränkend muss der Unterauftragsverarbeiter nur für Pflichtverletzungen einstehen, die im Rahmen seiner Verarbeitungstätigkeiten unter diesen Standardvertragsklauseln begangen wurden (Klausel 3 Abs. 3 Satz 2, Klausel 6 Abs. 3 Satz 2).
81
7. Erläuterungen zu Klausel 7 E 7. Schlichtungsverfahren und Gerichtsstand (1) Für den Fall, dass eine betroffene Person gegenüber dem Datenimporteur Rechte als Drittbegünstigte und/oder Schadensersatzansprüche aufgrund der Vertragsklauseln geltend macht, erklärt sich der Datenimporteur bereit, die Entscheidung der betroffenen Person zu akzeptieren, und zwar entweder: a) die Angelegenheit in einem Schlichtungsverfahren durch eine unabhängige Person oder ggf. durch die Kontrollstelle beizulegen oder 1 Vgl. Räther/Seitz, MMR 2002, 520 (526).
von dem Bussche
|
819
82
Teil 5 III
Rz. 83
Standardvertragsklausel (Auftragsverarbeiter)
b) die Gerichte des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, mit dem Streitfall zu befassen. (2) Die Parteien vereinbaren, dass die Entscheidung der betroffenen Person nicht die materiellen Rechte oder Verfahrensrechte dieser Person, nach anderen Bestimmungen des nationalen oder internationalen Rechts Rechtsbehelfe einzulegen, berührt.
Ratio und Erläuterungen 83
Eine Klausel zum Schlichtungsverfahren und Gerichtsstand findet sich in allen Fassungen der Standardvertragsklauseln wieder. Mit dem Schlichtungsverfahren und dem Vereinbaren des Gerichtsstandes soll ein effektives und zeitnahes Durchsetzen von Ansprüchen ermöglicht werden1. Bei der Geltendmachung ihrer Rechte gegenüber dem Datenimporteur steht es demnach im Ermessen der betroffenen Personen, ob sie zu diesem Zweck gemäß Buchstabe a ein Schlichtungsverfahren initiieren oder aber gemäß Buchstabe b ein Gericht des Mitgliedstaats, in welchem der Datenexporteur niedergelassen ist, damit befassen wollen.
84
Gemäß Absatz 2 wird außerdem vereinbart, dass die Inanspruchnahme des Wahlrechts im Rahmen des Absatz 1 die materiellen Rechte oder Verfahrensrechte der betroffenen Person, die es ihr ermöglichen nach anderen nationalen oder internationalen Bestimmungen Rechtsbehelfe einzulegen, nicht berührt. Dies kann unter Umständen eine mehrfache Inanspruchnahme zur Folge haben, was für eine Schlichtungsverfahrens-Klausel ungewöhnlich ist2. Bei der Durchführung eines Schlichtungsverfahrens verzichten die Parteien normalerweise auf den ordentlichen Rechtsweg. Vorteil des Schlichtungsverfahrens sind die potentiell schnellere Durchführung des Verfahrens sowie, dass Sprache und Ort der Verhandlung flexibel gewählt werden können, wobei diese nach dem Telos der Klausel die betroffene Person festlegen darf. Ein Schlichtungsverfahren ist nicht öffentlich, so dass sensible Daten weiterhin vertraulich behandelt und nicht in einem öffentlichen Gerichtsverfahren preisgegeben werden.
85
Ein Schlichtungsverfahren kann unter Leitung einer unabhängigen Person oder durch die Kontrollstelle durchgeführt werden. Unter „Kontrollstelle“ sind zunächst gem. Klausel 1 Buchst. a i.V.m. Art. 28 Abs. 1 der EG-Datenschutzrichtlinie die nationalen Aufsichtsbehörden zu verstehen. Der Wortlaut der Klausel ist jedoch dahingehend uneindeutig, ob durch die Formulierung „die Kontrollstelle“ eine Festlegung auf eine bestimmte Aufsichtsbehörde erfolgen soll oder ob der Betroffene eine Kontrollstelle seiner Wahl mit der Durchführung des Schlichtungsverfahrens betrauen kann. Sowohl die Bezugnahme auf den Ort der Niederlassung des Datenexporteurs in Buchstabe b, sowie auf die für ihn zuständige Aufsichtsbehörde in Klausel 8 Abs. 13, als auch die ausdrückliche Bezugnahme der EU-Kommission auf ein etwaiges Schlichtungsverfahren 1 Wagner/Blaufuß, BB 2012, 1751 (1755). 2 Räther/Seitz, MMR 2002, 520 (525). 3 Vgl. Räther/Seitz, MMR 2002, 520 (525).
820
|
von dem Bussche
Erläuterungen
Rz. 89 Teil 5 III
bei der für den Datenexporteur zuständigen Kontrollstelle1 sprechen hingegen dafür, dass sich der Betroffene an die für den Datenexporteur zuständige Kontrollstelle zu wenden hat, sofern er beabsichtigt, ein Schlichtungsverfahren einzuleiten. Zu beachten ist ferner, dass ein Schlichtungsverfahren bei der zuständigen Aufsichtsbehörde nur möglich ist, sofern diese ein solches auch vorsieht2. Ungeachtet dessen kann der Betroffene stets eine „unabhängige Person“ mit dem Schlichtungsverfahren betrauen, ohne geografisch auf die für den Datenexporteur zuständigen Einrichtungen beschränkt zu sein; hierunter werden wohl auch andere Aufsichtsbehörden, als lediglich die für den Datenexporteur zuständige, zu fassen sein. Vor einer etwaigen Erschwerung oder sogar Abschneidung der Durchsetzung der Betroffenenrechte schützt die Möglichkeit der mehrfachen Inanspruchnahme gemäß Absatz 2.
86
Klausel 7 gilt nur zugunsten der Betroffenen, nicht der Vertragsparteien.
87
8. Erläuterungen zu Klausel 8 E 8. Zusammenarbeit mit Kontrollstellen (1) Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Kontrollstelle zu hinterlegen, wenn diese es verlangt oder das anwendbare Datenschutzrecht es so vorsieht.
88
(2) Die Parteien vereinbaren, dass die Kontrollstelle befugt ist, den Datenimporteur und etwaige Unterauftragsverarbeiter im gleichen Maße und unter denselben Bedingungen einer Prüfung zu unterziehen, unter denen die Kontrollstelle gemäß dem anwendbaren Datenschutzrecht auch den Datenexporteur prüfen müsste. (3) Der Datenimporteur setzt den Datenexporteur unverzüglich über Rechtsvorschriften in Kenntnis, die für ihn oder etwaige Unterauftragsverarbeiter gelten und eine Prüfung des Datenimporteurs oder von Unterauftragsverarbeitern gemäß Absatz 2 verhindern. In diesem Fall ist der Datenexporteur berechtigt, die in Klausel 5 Buchst. b vorgesehenen Maßnahmen zu ergreifen.
Ratio und Erläuterungen Da für die Untersuchung, ob Betroffenenrechte durch eine Auftragsdatenverarbeitung verletzt sind in der Regel die Kenntnis des Vertragstexts notwendig ist3, sieht Klausel 8 Abs. 1 vor, dass eine Kopie des Vertrags bei der Kontrollstelle zu hinterlegen ist, soweit diese danach verlangt. Außerdem wird die Kontrollstelle mit Prüfungsrechten ausgestattet (Klausel 8 Abs. 2). Klausel 8 Abs. 3 1 Erwägungsgrund 21 zu den EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung. 2 Erwägungsgrund 21 zu den EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung. 3 Vgl. Erwägungsgrund 11 zu den EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung.
von dem Bussche
|
821
89
Teil 5 III
Rz. 90
Standardvertragsklausel (Auftragsverarbeiter)
gewährt dem Datenexporteur ein Rücktrittsrecht, soweit Rechtsvorschriften eine Prüfung von Datenimporteur und Unterauftragsverarbeiter durch die Kontrollstellen verhindern; ferner verpflichtet die Regelung den Datenimporteur ein solches Hindernis dem Datenexporteur mitzuteilen. Dieses soll die Daten vor einem Missbrauch schützen.
9. Erläuterungen zu Klausel 9 E 9. Anwendbares Recht 90
Für diese Klauseln gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, nämlich: [Deutschland].
Ratio und Erläuterungen 91
Klausel 9 legt fest, welches Recht auf die EU-Standardvertragsklauseln anzuwenden ist. Ist der Datenexporteur in einem anderen Mitgliedstaat der EU/des EWR als Deutschland niedergelassen, muss dieser Mitgliedstaat entsprechend eingetragen werden. Klausel 9 schränkt die den Parteien grundsätzlich gem. Art. 3 Abs. 1 Rom-I VO zustehende freie Wahl des auf den Vertrag anwendbaren Rechts ein. Der Grund hierfür ist, dass die in EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung enthaltenen Regelungskomplexe primär ein angemessenes Datenschutzniveau bei der datenempfangenden Stelle i.S.d. § 4c Abs. 2 Satz 1 BDSG bzw. Art. 26 Abs. 2 und 4 der EG-Datenschutzrichtlinie herstellen sollen; das Vertragsverhältnis ist demnach vornehmlich als öffentlich-rechtlich, hingegen weniger als privatrechtliche Vereinbarung zu begreifen. So sollen die EU-Standardvertragsklauseln in erster Linie die Zulässigkeit der Datenweitergabe an Auftragsdatenverarbeiter in Drittländern und erst nachgelagert zwischenparteiliche Abreden regeln. Wie sich aus dem Wortlaut von Klausel 9 ergibt, gilt das festzulegende Recht lediglich „für diese Klauseln“. Dies bedeutet, dass für einen möglichen Hauptvertrag ein anderes Recht vereinbart werden kann. Zu beachten ist ferner, dass auch der Anhang zu diesen Standardvertragsklauseln als „Klausel“ zu verstehen ist, so dass auch dort die Vereinbarung eines abweichenden Rechts nach Klausel 9 unzulässig ist.
10. Erläuterungen zu Klausel 10 E 10. Änderung des Vertrags 92
Die Parteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Parteien allerdings frei, erforderlichenfalls weitere, geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im Widerspruch zu der Klausel stehen.
Ratio und Erläuterungen 93
Grundsätzlich sind die EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung nicht veränderbar (Klausel 10), sofern von der Befreiung von dem grundsätzlichen Genehmigungsvorbehalt seitens der Aufsichtsbehörden profitiert werden soll (Ausnahme Rz. 19, 32). Soweit sich die Vertragsparteien ent822
|
von dem Bussche
Erläuterungen
Rz. 94 Teil 5 III
scheiden, die Klauseln zu verändern, handelt es sich vor diesem Hintergrund nicht mehr um EU-Standardvertragsklauseln, sondern um individuell verhandelte „Ad-hoc-Verträge“1; dies bedeutet, dass diese Klauseln dann genehmigungsbedürftig sind (§ 4c Abs. 2 Satz 1 BDSG). Die Parteien können aber weitere geschäftsbezogene Klauseln vereinbaren, „sofern diese nicht im Widerspruch zu der Klausel stehen“. Die von der EUKommission gewählte Formulierung wirft Fragen auf: So ist zunächst der unklar formulierte Passus „im Widerspruch zu der Klausel“, in Ansehung des Erwägungsgrunds 4 zu den vorliegenden EU-Standardvertragsklauseln für Auftragsdatenverarbeitung, wohl als „im Widerspruch zu den Standardvertragsklauseln“ zu lesen2. Folglich dürfen zusätzliche vertragliche Abreden zwischen den Parteien nicht im Widerspruch zu dem gesamten Regelungsgehalt des Klauselwerks und nicht lediglich zu einer bestimmten Klausel stehen. Ferner ist der Begriff der geschäftsbezogenen Klauseln nicht legal definiert. Aus dem Umkehrschluss zur Begriffsbestimmung der „Klausel“ (Begriffsbestimmung Buchstabe b der alternativen EU-Standardvertragsklauseln)3 kann geschlossen werden, dass geschäftsbezogene Klauseln solche sind, die von den Parteien in getrennten geschäftlichen Vereinbarungen getroffen worden sind und sich nicht auf den Datenschutz beziehen4. Möglich sind geschäftsbezogene Klauseln über die Dauer und den Gegenstand des Auftrags, sowie die Unterauftragsverarbeitung (siehe Rz. 96 ff.)5. Weitere geschäftsbezogene Klauseln könnten solche über Streitbeilegung zwischen den Vertragsparteien, Kostenteilung und Vertragsbeendigung sein6. Mangels Legaldefinition verbleibt bei geschäftsbezogenen Klauseln ein gewisses Maß an Rechtsunsicherheit. Demzufolge kann es empfehlenswert sein, im Einzelfall geschäftsbezogene Klauseln vor deren Verwendung mit den Aufsichtsbehörden abzustimmen.
1 Artikel-29-Datenschutzgruppe, WP 176 v. 12.7.2010, S. 5, http://ec.europa.eu/justice/ policies/privacy/docs/wpdocs/2010/wp176_de.pdf (Stand Februar 2013). 2 Der Wortlaut der Klausel in der englischen Fassung der EU-Standardvertragsklauseln für Auftragsdatenverarbeitung ist gleichermaßen indifferent („[…] as they do not contradict the Clause.“), abrufbar unter: http://eur-lex.europa.eu/LexUriServ/LexUriServ. do?uri=OJ:L:2010:039:0005:0018:EN:PDF (Stand März 2013). 3 EU-Kommission, Beschl. 2004/915/EG v. 27.12.2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, Az. K(2004) 5271, ABl. Nr. L 385 v. 29.12.2004, S. 74 ff. 4 Scholz/Lutz, CR 2011, 424 (427). 5 Vgl. Düsseldorfer Kreis, Abgleich der Vorgaben des neuen § 11 BDSG mit denen der neuen und alten EU-Standardvertragsklauseln/Auftragsdatenverarbeitung (auf Initiative der AG „Internationaler Datenverkehr“ des Düsseldorfer Kreises im Februar 2010), http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Abgleich_Standardver tragsklauseln-11.pdf (Stand Februar 2013). 6 Moos, CR 2010, 281 (285); Kuner/Hladjk, RDV 2005, 193 (200).
von dem Bussche
|
823
94
Teil 5 III
Rz. 95
Standardvertragsklausel (Auftragsverarbeiter)
11. Erläuterung zu Klausel 11 E 11. Vergabe eines Unterauftrags 95
(1) Der Datenimporteur darf ohne die vorherige schriftliche Einwilligung des Datenexporteurs keinen nach den Klauseln auszuführenden Verarbeitungsauftrag dieses Datenexporteurs an einen Unterauftragnehmer vergeben. Vergibt der Datenimporteur mit Einwilligung des Datenexporteurs Unteraufträge, die den Pflichten der Klauseln unterliegen, ist dies nur im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter möglich, die diesem die gleichen Pflichten auferlegt, die auch der Datenimporteur nach den Klauseln erfüllen muss. Sollte der Unterauftragsverarbeiter seinen Datenschutzpflichten nach der schriftlichen Vereinbarung nicht nachkommen, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung der Pflichten des Unterauftragsverarbeiters nach der Vereinbarung uneingeschränkt verantwortlich. (2) Die vorherige schriftliche Vereinbarung zwischen dem Datenimporteur und dem Unterauftragsverarbeiter muss gemäß Klausel 3 auch eine Drittbegünstigtenklausel für Fälle enthalten, in denen die betroffene Person nicht in der Lage ist, einen Schadensersatzanspruch gemäß Klausel 6 Abs. 1 gegenüber dem Datenexporteur oder dem Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind und kein Rechtsnachfolger durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen hat. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt. (3) Für Datenschutzbestimmungen im Zusammenhang mit der Vergabe von Unteraufträgen über die Datenverarbeitung gemäß Absatz 1 gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, nämlich: [Deutschland]. (4) Der Datenexporteur führt ein mindestens einmal jährlich zu aktualisierendes Verzeichnis der mit Unterauftragsverarbeitern nach den Klauseln geschlossenen Vereinbarungen, die vom Datenimporteur nach Klausel 5 Buchst. j übermittelt wurden. Das Verzeichnis wird der Kontrollstelle des Datenexporteurs bereitgestellt.
a) Ratio 96
Die in dieser Version der EU-Standardvertragsklauseln neu aufgenommene Klausel 11 umfasst erstmals die „Kettenauslagerung“, also eine Unterauftragsverarbeitung durch Unterauftragsverarbeiter1. Eine Unterauftragsverarbeitung war zwar bereits in der Vergangenheit möglich. Der Datenexporteur musste jedoch die Standardvertragsklauseln selbst mit dem Unterauftragsverarbeiter abschließen, wenngleich er sich hierbei vom Datenimporteur vertreten lassen konnte. Der Datenimporteur konnte diesem Vertragsverhältnis alternativ bei-
1 Moos, CR 2010, 281 (282 f.); Schreibauer/Moritz, ITRB 2010, 73.
824
|
von dem Bussche
Erläuterungen
Rz. 99 Teil 5 III
treten1. Diese Art der Unterauftragsverarbeitung wird auch „unechte“ Unterauftragsverarbeitung genannt. Eine solche unmittelbare Vereinbarung zwischen Datenexporteur und Unterauftragsverarbeiter ist weiterhin möglich, wie aus Klausel 4 Buchst. i geschlossen werden kann. Auch wenn der Auftraggeber als Datenexporteur von dem Auftragnehmer vertreten und die Kontrollpflichten des Auftraggebers an den Auftragnehmer delegiert werden konnten, verblieb früher ein erheblicher administrativer Aufwand, alle Unterauftragsverarbeiter zu überblicken2. Zudem hatte nicht jeder Auftraggeber ein Interesse daran, eine Generalvollmacht zum Abschluss von Unterauftragsverarbeitungsverträgen zu erklären3. Wollten die Parteien den „echten Unterauftrag“, also einen Vertrag zwischen Auftragnehmer und Unterauftragsverarbeiter, früher vertraglich im Auftragsdatenverarbeitungsvertrag zum Datenexport, vereinbaren, hätte dies aufgrund der notwendigen Änderung des Vertragstexts eine Genehmigung der Aufsichtsbehörde erfordert, vgl. § 4c Abs. 2 Satz 1 BDSG4. Gegenwärtig ist eine solch unpraktikabele Vertragskonstellation noch stets erforderlich (siehe Rz. 27), sofern der Datenimporteur innerhalb der EU/des EWR ansässig ist und ein Unterauftragsverarbeiter in einem Drittland eingeschaltet werden soll.
97
Für den Regelfall der Standardvertragsklauseln (Datenimporteur und Unterauftragsverarbeiter im Drittland ansässig) ist die Weitergabe personenbezogener Daten an den Unterauftragsverarbeiter gem. Klausel 11 Abs. 1 Satz 2 nur auf Grundlage der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung möglich5. Unerheblich ist daher, ob auf der zweiten Prüfungsstufe (siehe Rz. 5) zwischen Datenimporteur und Unterauftragsverarbeiter bereits Binding Corporate Rules etabliert worden sind (insbesondere im Rahmen von Konzernstrukturen), oder ob der Unterauftragsverarbeiter über eine Safe-Harbour-Zertifizierung verfügt6. Für verbundene Unternehmen stellt dies einen enorm gesteigerten, aus datenschutzrechtlicher Sicht zuweilen unnötigen bürokratischen Aufwand dar, zumal nicht ersichtlich ist, warum EU-Standardvertragsklauseln pauschal ein höheres Datenschutzniveau zu attestieren sei als Binding-Corporate-Rules7. So ist zu beachten, dass Binding-Corporate-Rules schließlich ebenfalls von der zuständigen Aufsichtsbehörde überprüft und genehmigt worden sind8.
98
Auch eine Weitergabe der Daten an Unterauftragsverarbeiter in „sicheren“ Drittstaaten kann nur nach Maßgabe der EU-Standardvertragsklauseln durchgeführt werden, obwohl es sich insofern um einen Datenrückimport – zwar
99
1 Hillenbrandt-Beck, RDV 2007, 231 (234); Hess. LT-Drucks. 18/1015, 30 ff.; Plath/v. d. Bussche, § 4c BDSG Rz. 32; Lensdorf, CR 2010, 735 (736); Moos, CR 2010, 281 (283); s. hierzu die Beispielsregelung in Teil 2 I (Ziffer 10.4) und die dortige Erläuterung in Rz. 128. 2 Plath/v. d. Bussche, § 4c BDSG Rz. 32; Lensdorf, CR 2010, 735 (736); Moos, CR 2010, 281 (283). 3 Moos, CR 2010, 281 (283). 4 Moos, CR 2010, 281 (283). 5 Krit. auch Moos, CR 2010, 281 (284). 6 Moos, CR 2010, 281 (285). 7 Vgl. Moos, CR 2010, 281 (285); Plath/v. d. Bussche, § 4c BDSG, Rz. 31. 8 S. hierzu im Detail die Erläuterungen in Teil 5 V Rz. 14.
von dem Bussche
|
825
Teil 5 III
Rz. 100
Standardvertragsklausel (Auftragsverarbeiter)
nicht in den Geltungsbereich der EG-Datenschutzrichtlinie, jedoch in einen Drittstaat, dem die EU-Kommission ein angemessenes Datenschutzniveau attestiert hat – handelt (vgl. bereits Rz. 5). So muss nach Ansicht der deutschen Aufsichtsbehörden eine Übermittlung personenbezogener Daten an einen deutschen Unterauftragsverarbeiter letztlich auch nicht den Anforderungen der §§ 4b, 4c BDSG entsprechen (vgl. bereits Rz. 26).
b) Erläuterungen 100
Die strengen Voraussetzungen der Klausel 11 sollen sicherstellen, dass die personenbezogenen Daten auch bei der Verarbeitung durch Unterauftragsverarbeiter geschützt sind. Sie gehen über das nach § 11 BDSG Erforderliche hinaus1. Der Datenexporteur muss der Vergabe von Unteraufträgen schriftlich zustimmen (Klausel 11 Abs. 1 Satz 1). Eine generelle Zustimmung in die Unterauftragsvergabe ist möglich2. Alternativ können sich die Parteien auch auf eine im Vorfeld festgelegte Auflistung von potentiellen Unterauftragsverarbeitern einigen. Der Unterauftrag muss schriftlich erteilt werden und dem Unterauftraggeber die gleichen Pflichten wie dem Datenimporteur auferlegen (Klausel 11 Abs. 1 Satz 2). Der Datenimporteur haftet gegenüber dem Datenexporteur für jegliche Schlecht- und Nichtleistungen des Unterauftragsverarbeiters im Zusammenhang mit der Datenverarbeitung (Klausel 11 Abs. 1 Satz 3).
101
Der Unterauftragsvertrag muss eine Drittbegünstigtenklausel (Rz. 44 ff.) enthalten (Klausel 11 Abs. 2).
102
Zudem findet zwingend das für den Datenexporteur geltende Recht auch für den Unterauftrag Anwendung (Klausel 11 Abs. 3). Dies kann für den Unterauftragsverarbeiter dazu führen, dass dieser bei multinationalen Datenexporteuren eine Vielzahl nationaler Vorschriften einhalten muss3. Des Weiteren hat der Datenexporteur ein Verzeichnis über sämtliche Unteraufträge zu führen, welches einmal im Jahr aktualisiert wird (Klausel 11 Abs. 4).
12. Erläuterung zu Klausel 12 E 12. Pflichten nach Beendigung der Datenverarbeitungsdienste 103
(1) Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Datenverarbeitungsdienste je nach Wunsch des Datenexporteurs alle übermittelten personenbezogenen Daten und deren Kopien an den Datenexporteur zurückschicken oder alle personenbezogenen Daten zerstören und dem Datenexporteur bescheinigen, dass dies erfolgt ist, sofern die Gesetzgebung, der der Datenimporteur unterliegt, diesem die Rückübermittlung oder Zerstörung sämtlicher oder Teile der übermittelten personenbezogenen Daten nicht untersagt. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und diese Daten nicht mehr aktiv weiterverarbeitet. 1 Moos, CR 2010, 281 (283). 2 Artikel-29-Datenschutzgruppe, WP 176 v. 12.7.2010, S. 5, http://ec.europa.eu/justice/ policies/privacy/docs/wpdocs/2010/wp176_en.pdf (Stand Februar 2013). 3 Moos, CR 2010, 281 (284).
826
|
von dem Bussche
Erläuterungen
Rz. 107 Teil 5 III
(2) Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Kontrollstelle ihre Datenverarbeitungseinrichtungen zur Prüfung der in Absatz 1 genannten Maßnahmen zur Verfügung stellen.
Ratio und Erläuterung Klausel 12 entspricht den Anforderungen des § 11 Abs. 2 Satz 2 Nr. 10 BDSG. Es bedarf allerdings zusätzlich einer weiteren Präzisierung im Anhang (siehe hierzu Rz. 125)1.
104
Klausel 12 Abs. 1 verpflichtet den Datenimporteur und den Unterauftragsverarbeiter nach Beendigung der Datenverarbeitungsdienste – je nach Wunsch des Datenexporteurs – alle übermittelten personenbezogenen Daten und alle Kopien hiervon zurückzuschicken oder diese zu zerstören und dem Datenexporteur die Zerstörung zu bescheinigen. Unterliegt der Datenimporteur einer Gesetzgebung, die die Rückübermittlung oder Zerstörung untersagt, garantiert der Datenimporteur, die Vertraulichkeit der Daten zu gewährleisten und die Daten nicht mehr aktiv weiterzuverarbeiten (Klausel 12 Abs. 1 Satz 2).
105
Klausel 12 Abs. 2 verpflichtet den Datenimporteur, dem Datenexporteur und den Kontrollstellen zur Kontrolle der Maßnahmen nach Klausel 12 Abs. 1 Zugriff auf seine Datenverarbeitungseinrichtungen zu gewähren, wenn diese dies verlangen.
106
III. Erläuterungen zu Anhang 1 E Anhang 1 zu den Standardvertragsklauseln
107
Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden. Die Mitgliedstaaten können entsprechend den nationalen Verfahren Zusatzangaben, die in diesem Anhang enthalten sein müssen, ergänzen. Datenexporteur Der Datenexporteur ist (bitte erläutern Sie kurz Ihre Tätigkeiten, die für die Übermittlung von Belang sind): [bitte ausfüllen]. Datenimporteur Der Datenimporteur ist (bitte erläutern Sie kurz Ihre Tätigkeiten, die für die Übermittlung von Belang sind): [bitte ausfüllen].
1 Düsseldorfer Kreis, Abgleich der Vorgaben des neuen § 11 BDSG mit denen der neuen und alten EU-Standardvertragsklauseln/Auftragsdatenverarbeitung (auf Initiative der AG „Internationaler Datenverkehr“ des Düsseldorfer Kreises im Februar 2010), http:// www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Abgleich_Standardvertragsklau seln-11.pdf (Stand Februar 2013).
von dem Bussche
|
827
Teil 5 III
Rz. 107
Standardvertragsklausel (Auftragsverarbeiter)
Betroffene Personen Die übermittelten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen (bitte genau angeben): Der Kreis von Personen, die von der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betroffen sind bestimmt sich nach Ziffer [bitte ausfüllen] des Hauptvertrags [Name/Datum]. Kategorien von Daten Die übermittelten personenbezogenen Daten gehören zu folgenden Datenkategorien (bitte genau angeben): Die Kategorien übermittelter personenbezogener Daten entsprechen den in Ziffer [bitte ausfüllen] des Hauptvertrags [Name/Datum] bestimmten Kategorien. Besondere Kategorien von Daten (falls zutreffend) Die übermittelten personenbezogenen Daten umfassen folgende besondere Datenkategorien (bitte genau angeben): Die Kategorien besonderer personenbezogener Daten ergeben sich aus Ziffer [bitte ausfüllen] des [Name/Datum] Hauptvertrags. Verarbeitung Die übermittelten personenbezogenen Daten werden folgenden grundlegenden Verarbeitungsmaßnahmen unterzogen (bitte genau angeben): 1. Gegenstand Der Gegenstand des Auftrags ergibt sich aus Ziffer [bitte ausfüllen] des Hauptvertrags [Name/Datum]. 2. Dauer Diese Vereinbarung gilt, solange der Hauptvertrag [Name/Datum] zwischen den Parteien besteht. 3. Umfang, Art und Zweck Umfang, Art und Zweck der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ergibt sich aus Ziffer [bitte ausfüllen] des Hauptvertrags [Name/Datum]. 4. Unteraufträge Der Datenexporteur gibt seine generelle Einwilligung zur Erteilung von Unteraufträgen durch den Datenimporteur.
828
|
von dem Bussche
Rz. 108 Teil 5 III
Erläuterungen
5. Weisungsbefugnisse a) Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Datenexporteurs. Insbesondere dürfen die erhobenen, verarbeiteten oder genutzten personenbezogenen Daten nur auf Anweisung des Datenexporteurs berichtigt, gelöscht oder gesperrt werden. Auskünfte an Dritte oder den Betroffenen darf der Datenimporteur nur nach vorheriger schriftlicher Zustimmung durch den Datenexporteur erteilen. b) Kopien und Duplikate werden ohne Wissen des Datenexporteurs nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. c) Alle Weisungen sind schriftlich zu erteilen. Sollte dies im Einzelfall nicht möglich sein, wird der Datenexporteur den Datenimporteur mündlich anweisen und die Anweisung unverzüglich schriftlich oder in Textform bestätigen. d) Weisungsberechtigte Personen beim Datenexporteur sind: [Bitte eintragen Name, Organisationseinheit, Funktion, Telefon] Weisungsempfänger beim Datenimporteur sind: [Bitte eintragen Name, Organisationseinheit, Funktion, Telefon] Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist dem Vertragspartner unverzüglich schriftlich der Nachfolger bzw. der Vertreter mitzuteilen. 6. Rückgabe überlassener Datenträger und die Löschung von Daten Ergänzend zu Klausel 12 dieses Vertrags gilt, dass beim Datenimporteur nach Beendigung dieses Vertrags keine personenbezogenen Daten zurückbleiben dürfen, die zur Vertragserfüllung überlassen wurden. Die Löschung von Daten und die ggf. durchzuführende Vernichtung der Datenträger sind datenschutzgerecht nach dem aktuellen Stand der Technik durchzuführen. Die Löschung und die ggf. durchgeführte Vernichtung sind dem Datenexporteur schriftlich zu bestätigen. Ausgeschlossen von der Löschungspflicht sind solche personenbezogenen Daten, die von einer gesetzlichen Speicherpflicht des Datenimporteurs erfasst sind. Die Herausgabe- und Löschungspflicht des Datenimporteurs umfasst ebenfalls sämtliche vom Datenimporteur im Rahmen der Ausführung des Auftrags erstellten personenbezogenen Daten.
1. Ratio Anhang 1 ist der zentrale Verknüpfungspunkt zwischen dem unveränderbaren Text der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung in Drittländern und den individuellen vertraglichen Regelungen sowie den zusätzlich zwingenden deutschen Vorschriften zur Auftragsdatenverarbeitung (siehe Rz. 17). von dem Bussche
|
829
108
Teil 5 III
Rz. 109
Standardvertragsklausel (Auftragsverarbeiter)
Bei dem hier vorgeschlagenen Vertragsmuster handelt es sich um den unveränderten Wortlaut des Anhang 1 zu den EU-Standardvertragsklauseln für Auftragsdatenverarbeitung wie er von der EU-Kommission beschlossen worden ist. An erforderlicher Stelle wurde der Wortlaut entsprechend, um die Anforderungen an eine Auftragsdatenverarbeitung gem. § 11 BDSG vertraglich abzubilden, ergänzt. Sämtliche Ergänzungen sind als Mustertext gekennzeichnet. 109
Alternativ zur Ausgestaltung des Anhangs ist es auch möglich, entweder eine ergänzende Auftragsdatenverarbeitungsvereinbarung oder vereinzelte zusätzliche geschäftsbezogene Klauseln abzuschließen1.
2. Erläuterungen a) Erläuterungen zu Datenexporteur und Datenimporteur 110
Einzutragen sind der Name des Datenexporteurs, des Datenimporteurs i.S.d. Klausel 1 Buchst. b und c, sowie die entsprechende übermittlungsrelevante Tätigkeit. Diesbezüglich sollte eine Kurzbeschreibung der Unternehmenstätigkeit von Datenexporteur und -importeur aufgenommen werden, wobei eine zu allgemein gehaltene Beschreibung zu vermeiden und stattdessen ein Schwerpunkt auf für die zu übermittelnden personenbezogenen Daten relevanten Tätigkeitsbereiche zu legen ist.
b) Erläuterungen zu betroffene Personen 111
Entsprechend der Definition von betroffenen Personen (siehe Rz. 41) sind alle von der Verarbeitung, Erhebung oder Nutzung personenbezogener Daten betroffenen Personen zu benennen. Leitet sich der Kreis der Betroffenen unmittelbar aus der Art der Datenverarbeitung bzw. der Art der zu verarbeitenden Daten ab, genügt ein Verweis im Rahmen dieses Anhangs darauf2. Eine gewisse Kategorisierung und Abstrahierung des betroffenen Personenkreises ist zulässig und bestimmt sich jeweils nach den konkret betroffenen Daten im Einzelfall; der Kreis der betroffenen Personen muss hingegen stets vertragsspezifisch abgrenzbar bleiben3. Werden die Daten zu unterschiedlichen Zwecken erhoben, ist der jeweilige Personenkreis gesondert darzustellen4. Soweit der Vertrag für sich selbst stehen soll, sind anstelle des vorgeschlagenen Verweises auf einen Hauptvertrag die Kategorien der betroffenen Personen konkret zu benennen.
1 Bay. LDA, Tätigkeitsbericht 2009/2010, S. 71 f., http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/dsa–Taetigkeitsbericht–2010.pdf (Stand Februar 2013); Bay. LDA, Umsetzung des § 11 BDSG bei der Auftragsverarbeitung in Drittländer; http:// www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Abgleich_Standardvertragsklau seln-11.pdf (Stand Februar 2013). 2 Däuble/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 40a. 3 Gosche, DSRI-Tagungsband 2010, 73 (76); vgl. auch Taeger/Gabel/Gabel, § 11 BDSG Rz. 43; a.A. Simitis/Petri, § 11 BDSG Rz. 71 f. 4 Simitis/Petri, § 11 BDSG Rz. 72.
830
|
von dem Bussche
Erläuterungen
Rz. 115 Teil 5 III
c) Erläuterungen zu Kategorien von Daten und Besonderen Datenkategorien Unter Kategorien von Daten sind die Arten personenbezogener Daten aufzuzählen, die von der Übermittlung betroffen sind. Hierunter fallen alle personenbezogenen Daten gem. § 3 Abs. 1 BDSG, die nicht unter den Begriff der besonderen Kategorien von Daten fallen (siehe sogleich Rz. 113). Wie sich aus dem Wortlaut ergibt, ist eine kategorisierte Angabe ausreichend. Mögliche Datenkategorien sind Adressdaten, Beschäftigtendaten, Kundendaten usw.
112
Unter Besondere Datenkategorien sind alle besonderen Arten personenbezogener Daten i.S.d. § 3 Abs. 9 BDSG zu verstehen (siehe Rz. 11). Zur Problematik der Weitergabe besonderer Arten personenbezogener Daten im Rahmen einer Auftragsdatenverarbeitung im Drittland wurde bereits Stellung genommen (siehe Rz. 22 f.). Soweit eine genaue Zuordnung der Daten nicht erfolgen kann, können hier auch solche Datenkategorien eingetragen werden, die sowohl Bezug zu normalen als auch zu besonderen Arten personenbezogener Daten haben.
113
d) Erläuterungen zur Verarbeitung Der Gegenstand der konkreten Datenverarbeitung sowie der Umfang, die Art und der Zweck der Datenverarbeitung, -erhebung oder -nutzung sind darzustellen. Kategorisierungen und Abstrahierungen sind je nach Einzelfall bis zu einem Grad zulässig, der eine kursorische Überprüfung der relevanten Verarbeitung ermöglicht1. Soweit ein „Hauptvertrag“ neben diesen Standardvertragsklauseln besteht, in dem die wirtschaftlichen Grundlagen der Verarbeitung niedergelegt sind und diese geforderten Angaben dort hinreichend konkret bestimmt sind, ist es ausreichend an dieser Stelle auf die dortigen Regelungen zu verweisen. Im Einzelnen:
114
aa) Erläuterungen zum Gegenstand Zunächst ist der Gegenstand der konkreten Verarbeitung darzustellen2. Die Aufsichtsbehörden genehmigen im Rahmen des § 4c Abs. 2 BDSG lediglich konkret beschriebene Übermittlungen (z.B. von Kundendaten, Daten zum Versand, Arbeitnehmerdaten); eine Generalerlaubnis wird nicht erteilt3. Auch wenn eine Genehmigung bei EU-Standardvertragsklauseln nicht erforderlich ist, muss der Gegenstand der Verarbeitung dementsprechend konkret angegeben werden. Soweit kein Hauptvertrag geschlossen wird, lautet die hier aufzunehmende Formulierung: E Der Gegenstand des Auftrags ist: [bitte ausfüllen] 1 Taeger/Gabel/Scheja, § 4e BDSG Rz. 7–8; Plath/v. d. Bussche, § 4e BDSG Rz. 9. 2 Bay. LDA, RDV 2011, 154 (155); Bay. LDA, Umsetzung des § 11 BDSG bei Auftragsdatenverarbeitung in Drittstaaten, http://www.lda.bayern.de/lda/datenschutzaufsicht/ lda_11bdsg–drittstaaten.htm (Stand Februar 2013); Bay. LDA, Tätigkeitsbericht 2009/ 2010, S. 72 f., http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/dsa–Taetig keitsbericht–2010.pdf (Stand Februar 2013). 3 Vgl. Simitis/Simitis, § 4c BDSG Rz. 56; Plath/v. d. Bussche, § 4c BDSG Rz. 22.
von dem Bussche
|
831
115
Teil 5 III
Rz. 116
Standardvertragsklausel (Auftragsverarbeiter)
bb) Erläuterungen zur Dauer 116
Der in diesem Vertragsmuster vorgeschlagene Formulierungsvorschlag ist nur anwendbar, soweit zwischen Auftraggeber und Auftragnehmer eine Hauptvereinbarung existiert. Mangelt es an einem Hauptvertrag, ist eine der folgenden Formulierungsalternativen zu wählen. Zudem kann bei fehlendem Hauptvertrag eine Regelung zur Kündigung aufgenommen werden.
117
(1) Bei einem befristeten Auftragsverhältnis: E Der Vertrag tritt zum [Zeitpunkt des Vertragschlusses] in Kraft und endet am [festgelegter Endzeitpunkt]. Das Recht zur Kündigung aus wichtigem Grund bleibt unberührt.
118
(2) Bei unbefristetem Auftragsverhältnis: E Der Vertrag tritt am [Zeitpunkt des Vertragschlusses] in Kraft und wird auf unbestimmte Zeit geschlossen. Der Vertrag ist kündbar mit einer Frist von [bitte Zahl eintragen] [Monaten/ Wochen/Tagen] zum Ende des jeweiligen Kalenderjahres. Das Recht zur Kündigung aus wichtigem Grund bleibt unberührt.
119
Ein Recht zur Kündigung aus wichtigem Grund besteht insbesondere bei besonders schweren Vertragsverletzungen, bspw. wenn dem Datenexporteur vertragswidrig das Kontrollrecht i.S.d. Klauseln 5 oder 11 verweigert wird.
cc) Erläuterungen zu Umfang, Art, Zweck 120
Auch bezüglich Umfang, Art und Zweck der Datenverarbeitung kann auf einen Hauptvertrag verwiesen werden. Soweit dieser nicht existiert, sind Umfang, die Art und der Zweck in wesentlichen Grundzügen im Anhang festzuhalten1. So sollte angegeben werden, welche Art personenbezogener Daten der Betroffenen (z.B. Adressdaten, Vertragsstammdaten, Abrechnungsdaten usw.) verwendet werden, sowie in welchem Umfang und zu welchem Zweck (z.B. Personalverwaltungssystem, Kundendatenbank, Lohnkostenabrechnung bzw. Entgeltabrechnung usw.) die Verarbeitung erfolgen soll. Möglich ist auch die Bündelung mehrerer Zwecke2. Soweit Art und Umfang aber bei Vertragsschluss bereits konkret feststehen, ist es empfehlenswert, diese auch im Vertrag konkret festzulegen, um ein Höchstmaß an Rechtssicherheit für alle Beteiligten zu erreichen3.
121
Soweit kein Hauptvertrag besteht, auf den verwiesen wird, ist folgende alternative Formulierung zu verwenden: E Umfang, Art und Zweck der Verarbeitung, Erhebung und Nutzung personenbezogener Daten werden wie folgt beschrieben: [bitte ausfüllen]. 1 Plath/Plath, § 11 BDSG Rz. 101. 2 Gola/Schomerus, § 4 BDSG Rz. 31. 3 So Taeger/Gabel/Gabel, § 11 BDSG Rz. 43; Plath/Plath, § 11 BDSG Rz. 101.
832
|
von dem Bussche
Erläuterungen
Rz. 125 Teil 5 III
dd) Erläuterungen zu Unteraufträgen Eine Ergänzung des Anhangs um einen Punkt zu Unteraufträgen ist nicht zwingend erforderlich (vgl. Rz. 96). Dennoch ist es unter Umständen sinnvoll, im Anhang festzuhalten, ob Unteraufträge von vornherein gewollt und in welchem Ausmaß sie beabsichtigt sind1.
122
Die hier vorgeschlagene Fassung zur Vergabe von Unteraufträgen in Anhang 1 ist vor allem für den Auftragnehmer günstig. Alternativ ist es auch durch Beibehaltung der Regelung in Klausel 11 des EU-Standardvertrags für Auftragsdatenverarbeitung ohne entsprechende Ergänzung im Anhang möglich, die Gestattung von Unterauftragsverhältnissen auftraggeberfreundlich auf den Einzelfall zu begrenzen. Alternativ kann hier auch eine Liste seitens des Datenexporteurs „genehmigter“ Unterauftragsverarbeiter aufgenommen werden.
ee) Erläuterungen zu Weisungsbefugnissen Zusätzlich zu Klausel 5 bedarf es gem. § 11 Abs. 2 Satz 2 Nr. 4 BDSG einer Konkretisierung der Regelung über die Berichtigung, Löschung und Sperrung von Daten2. Außerdem wird durch diese Klausel die Weisungsgebundenheit des Auftragnehmers aus § 11 Abs. 3 BDSG bestätigt und es wird die Auftragsdatenverarbeitung weiter zur Funktionsübertragung abgegrenzt. Es empfiehlt sich, für die Erteilung und Entgegennahme von Weisungen feste Ansprechpartner festzulegen, um widersprüchliche Weisungen zu vermeiden; zwingend ist dies jedoch nicht.
123
Auch die Weisungsform unter Buchstabe c muss nicht zwingend in den Anhang mit aufgenommen werden, da § 11 Abs. 2 Satz 2 BDSG hierzu keine Angaben macht. Es bietet sich eine solche Verpflichtung zur Schrift- oder zumindest Textform jedoch zu Beweiszwecken an3.
124
ff) Erläuterungen zur Rückgabe überlassener Datenträger und die Löschung gespeicherter Daten bei Beendigung des Auftrags Der letzte Ergänzungspunkt des Anhang 1 präzisiert die Abwicklung des Auftragsverhältnisses bei Vertragsbeendigung. In der Praxis tritt immer wieder das Problem auf, dass der Datenexporteur die übermittelten personenbezogenen Daten zurückhaben möchte, bzw. sicherstellen will, dass keine weiteren Daten 1 Düsseldorfer Kreis, Abgleich der Vorgaben des neuen § 11 BDSG mit denen der neuen und alten EU-Standardvertragsklauseln/Auftragsdatenverarbeitung (auf Initiative der AG „Internationaler Datenverkehr“ des Düsseldorfer Kreises im Februar 2010), http:// www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Abgleich_Standardvertragsklau seln-11.pdf (Stand Februar 2013). 2 Düsseldorfer Kreis, Abgleich der Vorgaben des neuen § 11 BDSG mit denen der neuen und alten EU-Standardvertragsklauseln/Auftragsdatenverarbeitung (auf Initiative der AG „Internationaler Datenverkehr“ des Düsseldorfer Kreises im Februar 2010), http:// www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Abgleich_Standardvertragsklau seln-11.pdf (Stand Februar 2013). 3 Vgl. Plath/Plath, § 11 BDSG Rz. 97.
von dem Bussche
|
833
125
Teil 5 III
Rz. 126
Standardvertragsklausel (Auftragsverarbeiter)
beim Datenimporteur verbleiben1. Gem. § 11 Abs. 2 Satz 2 Nr. 10 BDSG müssen Rückgabe- und Löschungspflichten des Datenimporteurs nach Beendigung der Auftragsdatenverarbeitung vertraglich festgehalten werden. Diese beziehen sich einerseits auf den Umfang der zurück zu gewährenden Daten. So wird der Datenexporteur regelmäßig ebenfalls ein Interesse an der Herausgabe der durch die Auftragsdatenverarbeitung geschaffenen Daten, mithin der Verarbeitungsergebnisse haben; die Rückgabepflicht ist entsprechend weit zu formulieren2. Auch etwaig bestehende Aufbewahrungspflichten bzw. ein legitimes Aufbewahrungsinteresse des Datenimporteurs zu bspw. Abrechnungszwecken sind jedoch zu berücksichtigen3.
IV. Erläuterungen zu Anhang 2 E Anhang 2 zu den Standardvertragsklauseln 126
Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden Beschreibung der technischen oder organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4 Buchst. d und Klausel 5 Buchst. c eingeführt hat (oder Dokument/Rechtsvorschrift beigefügt): 1. Zutrittskontrolle Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden: [bitte ausfüllen]. 2. Zugangskontrolle Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und -verfahren benutzen: [bitte ausfüllen]. 3. Zugriffskontrolle Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können: [bitte ausfüllen]. 4. Weitergabekontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder ent1 Bierekoven, in: Redeker, Handbuch der IT-Verträge, Kap. 7.2 Rz. 105. 2 Taeger/Gabel/Gabel, § 11 BDSG Rz. 51. 3 Plath/Plath, § 11 BDSG Rz. 111.
834
|
von dem Bussche
Erläuterungen
Rz. 129 Teil 5 III
fernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist: [bitte ausfüllen]. 5. Eingabekontrolle Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungs-Systeme eingegeben, verändert oder entfernt worden sind: [bitte ausfüllen]. 6. Auftragskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können: [bitte ausfüllen]. 7. Verfügbarkeitskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind: [bitte ausfüllen]. 8. Trennungskontrolle Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können: [bitte ausfüllen].
1. Ratio Im Rahmen des hier vorgeschlagenen Vertragsmusters wurde die Anlage 2 der EU-Standardvertragsklauseln für Auftragsdatenverarbeitung durch Angaben bezüglich der zu ergreifenden technischen und organisatorischen Maßnahmen gem. § 11 Abs. 2 Satz 2 Nr. 3 i.V.m. § 9 BDSG sowie der Anlage zu § 9 Satz 1 BDSG konkretisiert bzw. ergänzt.
127
Diese sind dem Datenimporteur im Ausland vertraglich aufzuerlegen, obwohl dieser eigentlich nicht dem Regelungsregime des BDSG – und somit auch nicht dem des § 9 BDSG – unterfällt. Dies ergibt sich aus der ausdrücklichen Verpflichtung in § 11 Abs. 2 Satz 2 Nr. 3 BDSG sowie daraus, dass die Regelungen zwingendem Europarecht entspringen und Auftragsdatenverarbeiter aus Drittländern sonst gegenüber Auftragsdatenverarbeitern aus der EU/dem EWR privilegiert wären1.
128
Die Anforderungen des § 11 Abs. 2 Satz 2 Nr. 5 i.V.m. Abs. 4 BDSG, also bspw. die Verpflichtung zur Bestellung eines Datenschutzbeauftragten, müssen hingegen nicht im Anhang 2 umgesetzt werden. Dies lässt sich mit dem Wortlaut und der Systematik der Normen begründen. Der Auftragnehmer ist nur verpflichtet, die bestehenden Pflichten umzusetzen. Aufgrund der man-
129
1 Voigt, ZD 2012, 546 (546, 549).
von dem Bussche
|
835
Teil 5 III
Rz. 130
Standardvertragsklausel (Auftragsverarbeiter)
gelnden Anwendbarkeit des BDSG für ausländische Auftragnehmer bestehen für diesen entsprechende Pflichten jedoch nicht1.
2. Erläuterungen 130
Die im Anhang 2 aufgelisteten Nr. 1–8 sind der Anlage zu § 9 Satz 1 BDSG entnommen. Es kann daneben auch auf die Checkliste des bayerischen Landesamts für Datensicherheit als Orientierungshilfe und für Formulierungsvorschläge für die technischen und organisatorischen Maßnahmen nach § 9 BDSG zurückgegriffen werden2.
131
Gem. § 11 Abs. 2 Satz 4 BDSG sowie Klausel 4 der EU-Standardvertragsklauseln für Auftragsdatenverarbeitung muss der Auftraggeber regelmäßig sicherstellen, dass die technischen und organisatorischen Maßnahmen vom Auftragnehmer eingehalten werden (ausführlich siehe Rz. 57). Das schriftliche Festlegen der technischen und organisatorischen Pflichten des Datenimporteurs ist dabei wesentliche Voraussetzung zur Einhaltung dieser Kontrollpflicht (Rz. 54)3. Pauschale Angaben zum Einhalten der Schutzziele des § 9 BDSG genügen daher genauso wenig wie ein schlichtes Einbeziehen der Schutzziele von § 9 BDSG4. Soweit bereits ein vorhandenes Sicherheitskonzept des Datenimporteurs entsprechend den Anforderungen des § 9 BDSG besteht, kann auch auf dieses in einer weiteren Anlage verwiesen werden5.
132
Unter Zutrittskontrolle sind Maßnahmen zu verstehen, die gewährleisten, dass Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden. Dieses kann z.B. ein Ausweisleser, eine kontrollierte Schlüsselvergabe, ein Pförtner oder eine Alarmanlage sein.
133
Zugangskontrolle umfasst die technischen und organisatorischen Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und -verfahren benutzen. In technischer Hinsicht fallen hierunter bspw. ein Kennwortbzw. Passwortschutz, sei es durch einen Zahlencode oder ein individuell gestaltetes Nutzerkennwort6. Sicherer als Passwörter sind Hardware-Tokens, also digitale Schlüssel in Form von Transpondern, USB-Sticks oder anderweitigen 1 Voigt, ZD 2012, 546 (547 f.). 2 Bay. LDA, Checkliste Datensicherheit(Stand August 2011), http://www.lda.bayern.de/ lda/datenschutzaufsicht/lda_daten/Checkliste–Datensicherheit.pdf (Stand März 2013). 3 Simitis/Petri, § 11 BDSG Rz. 73. 4 Gosche, DSRI-Tagungsband 2010, 73 (76); Freise, DSRI-Tagungsband 2010, 161 (169); Däuble/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 41; Simitis/Petri, § 11 BDSG Rz. 73. 5 Gosche, DSRI-Tagungsband 2010, 73 (76); Däuble/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 41; Simitis/Petri, § 11 BDSG Rz. 73. 6 Regierungspräsidium Darmstadt, Mustervereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach § 11 BDSG, Beschreibungen der technischen oder organisatorischen Sicherheitsmaßnahmen zu IV Datensicherungsmaßnahmen, Stand 28.9.2010, http://www.datenschutz.hessen.de/mustervereinbarung_auftrag.htm (Stand Februar 2013); GDD, Muster: Auftrag gem. § 11 BDSG, https://www.gdd.de/ downloads/Mustervereinbarung_a7_11_BDSG.doc (Stand Februar 2013).
836
|
von dem Bussche
Erläuterungen
Rz. 137 Teil 5 III
Dongles1. Als organisatorische Maßnahmen sind bspw. das Festlegen eines Benutzerstammsatzes mit fest zugeordneten Benutzerkonten möglich2. Außerdem fallen unter die Zugangskontrolle automatische Maßnahmen zur Sperrung des Zugangs zu den personenbezogenen Daten und die Verschlüsselung von Datenträgern. Durch ein fragmentiertes Speichern der Daten bei verschiedenen Unterauftragsnehmern kann außerdem verhindert werden, dass Insider-Angriffe durch Mitarbeiter des Auftragnehmers bzw. Unterauftragsnehmers durchgeführt werden, da ein Zugang erschwert wird. Außerdem ist Teil der Zugangskontrolle die regelmäßige Systempflege, da durch mangelndes „Patching“ bestehende Sicherheitslücken ausgenutzt werden können. Eine weitere wichtige Maßnahme für die Zugangskontrolle ist das Schlüsselmanagement, d.h. die Zuordnung von Schlüsseln und der Schutz dieser vor unberechtigtem Zugriff3.
134
Zugriffskontrolle ist die bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie die Überwachung und Protokollierung der Zugriffsrechte, so dass gewährleistet ist, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können. Dies kann bspw. durch differenzierte Zugriffsberechtigungen, aber auch durch Auswertungen des Zugriffsverhaltens, Registrieren von Veränderungen im Zugriff und bei Bedarf Löschungen von Zugriffsberechtigungen erfolgen4.
135
Die Weitergabekontrolle regelt die Vorkehrungen bei der Weitergabe personenbezogener Daten. Hier sind Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträgern (manuell oder elektronisch) zu nennen. Wie schon bei der Zugangs- und Zugriffskontrolle ist auch bei Maßnahmen der Weitergabekontrolle auf eine zeitgemäße Verschlüsselung zu achten5. Neben der Verschlüsselung kann bei der Weitergabe von Daten auch eine Tunnelverbindung (bspw. ein Virtual Private Network, VPN) oder eine elektronische Signatur benutzt werden.
136
Die Eingabekontrolle beinhaltet die Nachvollziehbarkeit und Dokumentation bei der Datenverwaltung und Datenpflege. Dies beinhaltet Maßnahmen zur
137
1 Schröder/Haag, ZD 2012 495 (498). 2 Regierungspräsidium Darmstadt, Mustervereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach § 11 BDSG, Beschreibungen der technischen oder organisatorischen Sicherheitsmaßnahmen zu IV Datensicherungsmaßnahmen (Stand 28.9.2010), http://www.datenschutz.hessen.de/mustervereinbarung_auf trag.htm (Stand Februar 2013); GDD, Muster: Auftrag gem. § 11 BDSG, https://www. gdd.de/downloads/Mustervereinbarung_a7_11_BDSG.doc (Stand Februar 2013). 3 Zu alledem Schröder/Haag, ZD 2012 495 (498); weiteres zum Schlüsselmanagement Bundesamt für Sicherheit in der Informationstechnik (BSI), Sicherheitsempfehlungen für Cloud Computing-Anbieter, S. 39 ff., https://www.bsi.bund.de/SharedDocs/Down loads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen-Cloud Computing-Anbieter.pdf?_blob=publicationFile (Stand Februar 2013). 4 GDD, Muster: Auftrag gem. § 11 BDSG, https://www.gdd.de/downloads/Musterver einbarung_a7_11_BDSG.doc (Stand Februar 2013). 5 Schröder/Haag, ZD 2012, 495 (499).
von dem Bussche
|
837
Teil 5 III
Rz. 138
Standardvertragsklausel (Auftragsverarbeiter)
nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder gelöscht worden sind. Nach Ansicht der deutschen Aufsichtsbehörden sind die Hauptgründe für Verletzungen des Datenschutzrechts fehlende Kontrolle und mangelnde Transparenz1. Durch automatische generierte Systemprotokolle lässt sich diese Hauptursache von Datenschutzverletzungen verringern2. Das Regierungspräsidium Darmstadt schlägt vor, solche Systemprotokolle drei Jahre lang beim Datenimporteur aufbewahren zu lassen3. Für eine ausreichende Kontrolle gem. § 11 Abs. 2 Satz 4 BDSG sind stichprobenartige Einsichtnahmen der Protokolle zu empfehlen, welche aufgrund des Aufwands wiederum durch unabhängige Auditoren durchgeführt werden können4. 138
Unter Auftragskontrolle fallen Maßnahmen, durch die gewährleistet wird, dass Daten nur entsprechend den Weisungen des Auftraggebers verwendet werden. Dieses sind z.B. formalisierte Auftragserteilungen, Kriterien zur Auswahl des Auftragnehmers und zur Kontrolle der Vertragsausführung5.
139
Unter Verfügbarkeitskontrolle fallen Maßnahmen zur Datensicherung. Hierzu zählen Backup-Verfahren, das Spiegeln von Festplatten durch z.B. das RAIDVerfahren und Vorkehrungen für eine unterbrechungsfreie Stromversorgung (USV). Außerdem fallen hierunter der Virenschutz, die Firewall sowie ein Notfallplan, in dem die bei einem Notfall einzuleitenden Schritte festgelegt sind, insbesondere welche Personen – auch auf Seite des Datenexporteurs – zu unterrichten sind6. Speziell für Online-Anwendungen sind praktikable Hinweise zur Verfügbarkeitskontrolle in den frei verfügbaren OWASP TOP 10 zu finden7.
140
Die Trennungskontrolle folgt dem Grundsatz, dass personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, auch getrennt zu verarbeiten sind8. Eine solche Trennung kann auch logisch erfolgen. Bei Infrastrukturdiensten sollte in der Regel eine Trennung durch virtuelle Server mit eigenen Adressbereichen vereinbart werden9.
1 Düsseldorfer Kreis, Orientierungshilfe – Cloud Computing v. 30.8.2011, S. 11, 13 ff., http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf (Stand Februar 2013). 2 Schröder/Haag, ZD 2012, 495 (499). 3 Regierungspräsidium Darmstadt, Mustervereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach § 11 BDSG, Beschreibungen der technischen oder organisatorischen Sicherheitsmaßnahmen zu IV Datensicherungsmaßnahmen (Stand 28.9.2010), http://www.datenschutz.hessen.de/mustervereinbarung_auftrag.htm (Stand Februar 2013). 4 Schröder/Haag, ZD 2012, 495 (499); Schröder/Haag, ZD 2012, 362 (364). 5 GDD, Muster: Auftrag gem. § 11 BDSG, https://www.gdd.de/downloads/Musterver einbarung_a7_11_BDSG.doc (Stand Februar 2013). 6 GDD, Muster: Auftrag gem. § 11 BDSG, https://www.gdd.de/downloads/Musterver einbarung_a7_11_BDSG.doc (Stand Februar 2013). 7 Schröder/Haag, ZD 2012, 495 (499); Open Web Application Security Project (OWASP) TOP 10 – 2010, https://www.owasp.org/index.php/Top_10_2010-Main (Stand Februar 2013); hierbei handelt es sich um eine US-amerikanische Non-Profit Organisation, die sich für gesteigerte Softwaresicherheit einsetzt. 8 Plath/Plath, § 11 BDSG Rz. 54. 9 Schröder/Haag, ZD 2012, 495 (499).
838
|
von dem Bussche
Rz. 142 Teil 5 III
Erläuterungen
V. Erläuterungen zu fakultativer Entschädigungsklausel 141
E Beispiel für eine Entschädigungsklausel (Fakultativ) Haftung Die Parteien erklären sich damit einverstanden, dass, wenn eine Partei für einen Verstoß gegen die Klauseln haftbar gemacht wird, den die andere Partei begangen hat, die zweite Partei der ersten Partei alle Kosten, Schäden, Ausgaben und Verluste, die der ersten Partei entstanden sind, in dem Umfang ersetzt, in dem die zweite Partei haftbar ist. Die Entschädigung ist abhängig davon, dass a) der Datenexporteur den Datenimporteur unverzüglich von einem Schadensersatzanspruch in Kenntnis setzt und b) der Datenimporteur die Möglichkeit hat, mit dem Datenexporteur bei der Verteidigung in der Schadensersatzsache bzw. der Einigung über die Höhe des Schadensersatzes zusammenzuarbeiten.
Ratio und Erläuterungen Nach den EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung haftet der Auftraggeber als Datenexporteur verschuldensunabhängig für seine eigenen Pflichtverletzungen und für die der anderen beteiligten Parteien gegenüber der betroffenen Person. Die EU-Kommission hat deshalb eine Rückgriffsmöglichkeit in Form einer fakultativen Klausel vorgesehen, welche zwischen den Vertragsparteien vereinbart werden kann. Der Auftragnehmer als Datenimporteur haftet nach dem Wortlaut der Klausel verschuldensunabhängig, so dass es lediglich auf ein kausales Handeln des Datenimporteurs ankommt. Die Buchstaben a und b beschränken die Haftung des Datenimporteurs und verpflichten Datenimporteur und -exporteur zur Zusammenarbeit. Soweit keine fakultative Entschädigungsklausel vereinbart wird, bleiben dem Auftraggeber immer noch die ein Verschulden voraussetzenden zivilrechtlichen Anspruchsgrundlagen gem. §§ 280 ff. BGB, sowie in eher seltenen Fällen deliktsrechtliche Ansprüche nach §§ 823 ff. BGB.
von dem Bussche
|
839
142
IV. Rahmenvertrag für EU-Standardvertragsklauseln Literaturverzeichnis: Artikel-29-Datenschutzgruppe, Arbeitsdokument: Übermittlung personenbezogener Daten in Drittländer: Anwendung von Artikel 26 Absatz 2 der EUDatenschutzrichtlinie auf verbindliche unternehmensinterne Vorschriften für den internationalen Datenverkehr, 3. Juni 2013, WP 74; Drechsler, Data Transfers Within Europe: Contractual Data Protection Clauses in Practice, CRi 2011, 161; EU-Kommission, Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Verarbeiter in Drittländern – Häufig Gestellte Fragen (FAQ), 18. Juni 2011, MEMO/01/228; EU-Kommission, Commission Staff Working Document on the implementation of the Commission decisions on standard contractual clauses for the transfer of personal data to third countries (2001/497/EC and 2002/16/EC), vom 20.1.2006, SEC(2006) 95; Filip, Binding Corporate Rules (BCR) aus der Sicht einer Datenschutzaufsichtsbehörde – Praxiserfahrungen mit der europaweiten Anerkennung von BCR, ZD 2013, 51; Gola/Schomerus, BDSG, 11. Aufl. 2012; Leupold/Glossner, Münchener Anwaltshandbuch IT-Recht, 2. Aufl. 2011; Plath, BDSG, 2013; Schmidl, Datenschutzrechtliche Anforderungen an innereuropäische Personaldatenübermittlungen in Matrixorganisationen, DuD 2009, 364; Schmidl/Krone, Standardvertragsklauseln als Basis intra-europäischer Auftragsdatenverarbeitung, DuD 2010, 838; Scholz/Lutz, Standardvertragsklauseln für Auftragsverarbeiter und § 11 BDSG, CR 2011, 424; Taeger/Gabel, Kommentar zum BDSG, 2010; Taeger/Wiebe, Inside the Cloud – Neue Herausforderungen für das Informationsrecht, 2009; von dem Bussche/ Voigt, Handbuch Konzerndatenschutz, 2013; Wolff/Brink, Beck’scher Online-Kommentar Datenschutzrecht, Stand 1.8.2013 (zit.: BeckOK DatenschutzR/Bearbeiter).
A. Einleitung I. Kontext des Vertragsmusters 1
Die Etablierung „ausreichender Garantien“ i.S.v. § 4c Abs. 2 BDSG über eine Rahmenvertragskonstruktion unter Einbeziehung der EU-Standardvertragsklauseln ist eine in der Vertragspraxis bei international agierenden Unternehmensgruppen nach wie vor sehr beliebte Gestaltungsvariante. Sie ist aus dem Bedürfnis nach einer praktikablen, unbürokratischen und in angemessener Zeit zu realisierenden Lösung zum datenschutzkonformen Austausch personenbezogener Daten mit Gruppenunternehmen außerhalb der EU bzw. des EWR entstanden.
2
Nach dem Willen des Richtliniengebers war und ist hierfür eigentlich das Instrument der verbindlichen Unternehmensregelungen (Binding Corporate Rules – BCR)1 maßgeschneidert. Solche BCR sollen sich von ihrer Konzeption her an die etablierten Verfahrensweisen der jeweiligen Unternehmensgruppe im Hinblick auf den Umgang mit personenbezogener Daten und vor allem das in der Gruppe etablierte Datenschutzmanagement anpassen, und deshalb für jede Unternehmensgruppe eine „maßgeschneiderte Lösung“ ermöglichen2. Die Einführung von BCR hat sich jedoch nach anfänglicher Euphorie bei den allermeisten Unternehmen, die ein entsprechendes Projekt begonnen hatten, als sehr schwierig, aufwändig und kostspielig herausgestellt. Gerade wenn das 1 S. hierzu das Muster nebst Erläuterungen in Teil 5 V. 2 Vgl. Teil 5 V Rz. 14.
840
|
Moos
Rahmenvertrag für EU-Standardvertragsklauseln
Rz. 3 Teil 5 IV
Projekt mehrere EU-Mitgliedstaaten umfassen sollte (weil dort jeweils Konzernunternehmen ansässig waren), zog sich das Genehmigungsverfahren zum Teil über einige Jahre hin und verschlang üblicherweise 7-stellige Beraterhonorare. Die Ursachen hierfür waren vielschichtig. Vor allem fehlte es zu Beginn an einer koordinierten Vorgehensweise der nationalen Datenschutzaufsichtsbehörden bei der Bearbeitung der Genehmigungsanträge1. Zudem bestand oftmals keine Einigkeit darüber, welche Regelungen mit welchem Verpflichtungsgehalt in solchen BCR überhaupt enthalten sein mussten, damit sie genehmigungsfähig sind2. Bis dato haben deshalb nach wie vor weniger als 50 Konzerne ein zwischen mehreren nationalen Datenschutzaufsichtsbehörden koordiniertes Genehmigungsverfahren durchlaufen, von denen sogar bislang nur ein einziges federführend von einer deutschen Aufsichtsbehörde bearbeitet worden ist3. In den vergangenen fünf Jahren sind hier allerdings erhebliche Fortschritte erzielt worden. Vor allem das mittlerweile von den meisten EU-Mitgliedstaaten praktizierte Verfahren der gegenseitigen Anerkennung4 von BCR-Genehmigungsentscheidungen und die Konzentration des Verfahrens bei einer „Lead Authority“ – flankiert durch die Verabschiedung zahlreicher Arbeitspapiere der Artikel-29-Datenschutzgruppe, die eine weitgehende Harmonisierung der inhaltlichen und prozeduralen Anforderungen bewirken – haben zu einer erheblichen Beschleunigung und Vereinfachung des Genehmigungsverfahrens geführt5, so dass heute eine Verfahrensdauer von ca. sechs bis zwölf Monaten realistisch ist und BCR wieder verstärktes Interesse finden. Weil die BCR-Lösung aber anfänglich für die meisten Unternehmen unpraktikabel war, bestand der Bedarf nach einer Alternative. Das Gesetz erwähnt in § 4c Abs. 2 BDSG insoweit nur „Vertragsklauseln“ als weitere Möglichkeit, personenbezogene Daten rechtskonform in ansonsten unsichere Drittstaaten (also solche ohne angemessenes Datenschutzniveau) zu übermitteln. Dem Richtliniengeber schwebten dabei grundsätzlich zweiseitige Verträge vor, die jeweils für eine konkrete Datenübermittlung zwischen einem Datenexporteur und einem Datenimporteur abgeschlossen werden sollen, wie es am Beispiel der EU-Standardvertragsklauseln deutlich wird. Der Abschluss diverser bilateraler Einzelverträge zwischen den diversen Gruppenunternehmen ist aber ab einem gewissen Maß und einer gewissen Regelmäßigkeit internationaler Datentransfers ebenfalls unpraktikabel, weil ein schier unüberschaubares Netz von Einzelverträgen die Folge wäre6; erbringt z.B. ein gruppeneigener ITDienstleister mit Sitz in Indien Dienstleistungen für 100 im EWR ansässige Konzernunternehmen, müssten hierfür allein 100 einzelne Verträge geschlossen werden; dasselbe gälte für alle Datentransfers an die in einem Drittstaat ansässige Konzernmutter, etc. 1 Taeger/Wiebe/Grapentin, S. 457 (457). 2 Vgl. Leupold/Glossner/Scheja/Haag, Teil 4 Rz. 211; Teil 5 V Rz. 6. 3 Eine Liste aller Unternehmen ist hier abrufbar (Stand: 26.8.2013): http://ec.europa.eu/ justice/data-protection/document/international-transfers/binding-corporate-rules/bcr_ cooperation/index_en.htm. 4 Hierzu Filip, ZD 2013, 51 (54). 5 Taeger/Wiebe/Grapentin, S. 457 (466); Teil 5 V Rz. 14. 6 Plath/v. d. Bussche, § 4c BDSG Rz. 35.
Moos
|
841
3
Teil 5 IV 4
Rz. 4
Rahmenvertrag für EU-Standardvertragsklauseln
Deshalb wurde das Konstrukt eines multilateralen Vertrags als Alternative zu den BCR1 ersonnen, der zwischen allen in Betracht kommenden Gruppenunternehmen abgeschlossen werden kann und der für alle relevanten Datenübermittlungen an Empfänger in Drittstaaten die notwendigen datenschutzrechtlichen Regelungen vorsieht. Einen echten Mehrwert gegenüber BCRs bietet ein solcher multilateraler Vertrag aber nur dann, wenn er nicht ebenfalls nach § 4c Abs. 2 BDSG bzw. den entsprechenden Regelungen in den anderen EWR-Vertragsstaaten, in denen Gruppenunternehmen ansässig sind, genehmigungspflichtig ist. Der große Vorteil der Verwendung der EU-Standardvertragsklauseln bestand und besteht gerade darin, dass das ansonsten nach § 4c Abs. 2 BDSG bestehende Erfordernis einer Genehmigung durch die zuständige Aufsichtsbehörde entfällt, wenn die EU-Standardvertragsklauseln unverändert verwendet werden2. Diesen Umstand macht sich deshalb auch die Rahmenvertragslösung zunutze: Sie bettet die EU-Standardvertragsklauseln in das multilaterales Vertragskonstrukt ein, um auf diese Weise bei den konzernangehörigen Unternehmen „ausreichende Garantien“ zu etablieren, ohne ein langwieriges Genehmigungsverfahren durchlaufen zu müssen.
II. Verwendung des Vertragsmusters 5
Das Vertragmuster ist für die Verwendung durch mehrere Unternehmen einer Unternehmensgruppe oder eines Konzerns gedacht, von denen mindestens eines seinen Sitz außerhalb des EWR hat. Es ist möglich aber nicht notwendig, dass alle europäischen und außereuropäischen Unternehmen des jeweiligen Konzerns Partei des Vertrags werden3. Die Rahmenvertragslösung kann innerhalb eines Konzerns mit allen anderen Instrumenten zur Gewährleistung ausreichender Garantien i.S.v. § 4c Abs. 2 BDSG kombiniert werden4. So wäre es denkbar, dass nur einzelne Konzernunternehmen den Rahmenvertrag für (alle oder einzelne) jeweils zwischen ihnen erfolgende Datenübermittlungen abschließen; andere Konzernunternehmen aber z.B. bilaterale Verträge auf Basis der EU-Standardvertragsklauseln schließen5 oder sogar verbindliche Unternehmensregelungen einführen6. 1 BeckOK DatenschutzR/Schantz, § 4c Rz. 46. 2 BeckOK DatenschutzR/Schantz, § 4c Rz. 43; Scholz/Lutz, CR 2011, 424 (425); hierzu eingehend Teil 5 I Rz. 9. 3 Hessische Landesregierung, 22. Bericht über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde, LT-Drucks. 18/1015, 10. 4 Artikel-29-Datenschutzgruppe, Arbeitsdokument: Übermittlung personenbezogener Daten in Drittländer: Anwendung von Artikel 26 Absatz 2 der EU-Datenschutzrichtlinie auf verbindliche unternehmensinterne Vorschriften für den internationalen Datenverkehr, 3. Juni 2013, WP 74, S. 6. 5 Das kann etwa notwendig sein für die – wenigen – EWR-Vertragsstaaten, die eine Rahmenvertragslösung nicht zulassen. 6 Artikel-29-Datenschutzgruppe, Arbeitsdokument: Übermittlung personenbezogener Daten in Drittländer: Anwendung von Artikel 26 Absatz 2 der EU-Datenschutzrichtlinie auf verbindliche unternehmensinterne Vorschriften für den internationalen Datenverkehr, 3. Juni 2013, WP 74, S. 6; Plath/v. d. Bussche, § 4c BDSG Rz. 36.
842
|
Moos
Rz. 6 Teil 5 IV
Vertragstext
B. Muster E Rahmenvertrag für EU-Standardvertragsklauseln
6
zwischen den in Anlage 1 aufgeführten Vertragsparteien. Präambel (A) Die Vertragsparteien sind Mitgliedsunternehmen der international tätigen XY-Unternehmensgruppe, die im Rahmen ihrer Geschäftstätigkeit regelmäßig personenbezogene Daten zwischen ihren zahlreichen Niederlassungen und Geschäftsbetrieben austauschen müssen. (B) Gesetze zum Schutz personenbezogener Daten finden in manchen Staaten, in denen die Vertragsparteien niedergelassen sind oder Geschäftsbetriebe unterhalten, Anwendung und regeln die grenzüberschreitende Weitergabe personenbezogener Daten, insbesondere in den Vertragsstaaten des EWR. (C) Die Vertragsparteien beabsichtigen, mit diesem Rahmenvertrag für bestimmte Datenübermittlungen innerhalb der XY-Unternehmensgruppe ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre und des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte der Betroffenen gemäß Art. 26 Abs. 2 der EU-Datenschutzrichtlinie und den diese Vorschrift umsetzenden nationalen Rechtsvorschriften zu etablieren. (D) Um zu vermeiden, dass die Vertragsparteien untereinander jeweils eine Vielzahl einzelner Verträge unter Einbeziehung der EU-Standardvertragsklauseln abschließen müssen – namentlich für jede Datenübermittlung an einen Empfänger in einem Drittstaat – ist es das Ziel der Vertragsparteien, kraft dieses Rahmenvertrags entsprechende Vertragsbeziehungen zwischen allen Vertragsparteien unter Einbeziehung der jeweils relevanten EU-Standardvertragsklauseln herzustellen. Vor diesem Hintergrund vereinbaren die Vertragsparteien das Folgende: 1. Begriffe und Definitionen 1.1 Den folgenden Begriffen wird für die Zwecke dieses Rahmenvertrags jeweils die folgende Bedeutung zugewiesen: 1.1.1 Anwendbares Datenschutzrecht: Sämtliche in einem Staat, in dem eine Relevante XY-Unternehmenseinheit niedergelassen ist, in Kraft befindlichen Rechtsvorschriften zum Schutz Personenbezogener Daten; 1.1.2 Datenexporteur: Jede XY-EWR-Unternehmenseinheit, die nach Maßgabe der Matrix Personenbezogene Daten an einen Datenimporteur übermittelt; Moos
|
843
Teil 5 IV
Rz. 6
Rahmenvertrag für EU-Standardvertragsklauseln
1.1.3 Datenimporteur: Jede XY-Drittstaat-Unternehmenseinheit, die nach Maßgabe der Matrix Personenbezogene Daten von einem Datenexporteur erhält; 1.1.4 Drittstaat: Jeder Staat, der nicht Vertragsstaat des Europäischen Wirtschaftsraums (EWR) und nicht Whitelist-Staat ist; 1.1.5 EU-Datenschutzrichtlinie: Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr; 1.1.6 EU-Standardvertragsklauseln: von der EU-Kommission gemäß Art. 26 Abs. 4 EU-Datenschutzrichtlinie in dem Ausschussverfahren nach Art 31 Abs. 2 EU-Datenschutzrichtlinie angenommene Standardvertragsklauseln für die Übermittlung personenbezogener Daten an verantwortliche Stellen oder Auftragsverarbeiter in Drittländer, die kein angemessenes Datenschutzniveau gewährleisten; 1.1.7 Controller-to-Controller-Klauseln: die alternativen Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß Entscheidung 2004/915/EG der EU-Kommission vom 27. Dezember 2004; 1.1.8 Controller-to-Processor-Klauseln: die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gemäß Beschluss K(2010) 593 der EU-Kommission vom 5. Februar 2010; 1.1.9 Matrix: Die Matrix mit Einzelheiten zu den Übermittlungen Personenbezogener Daten gemäß Anlage 2; 1.1.10 Personenbezogene Daten: alle Informationen über eine bestimmte oder bestimmbare natürliche Person, die von einer XY-Unternehmenseinheit verarbeitet werden; 1.1.11 Rahmenvertrag: Dieser Rahmenvertrag einschließlich seiner Anlagen und Anhänge; 1.1.12 Relevante Datenübermittlung: jede Übermittlung Personenbezogener Daten von einem Datenexporteur an einen Datenimporteur, die nicht anderweitig gemäß Art. 25, 26 der EU-Datenschutzrichtlinie bzw. den diese Bestimmungen umsetzenden, jeweils für diese Übermittlungen geltenden Vorschriften des Anwendbaren Datenschutzrechts zugelassen ist; 1.1.13 Relevante XY-Unternehmenseinheit: Jede in Anlage 1 (in ihrer jeweils aktuellen Fassung) zu diesem Rahmenvertrag aufgelistete Stelle (unabhängig von ihrer rechtlichen Verfasstheit z.B. als natürliche oder juristische Person); 1.1.14 Sonstige XY-Unternehmenseinheit: Jede Stelle innerhalb der XYUnternehmensgruppe, die mit Personenbezogenen Daten umgeht 844
|
Moos
Rz. 6 Teil 5 IV
Vertragstext
einschließlich aller mit der … [XY-Muttergesellschaft] i.S.v. § 15 AktG verbundenen Unternehmen, mit Ausnahme der Relevanten XY-Unternehmenseinheiten; 1.1.15 Verarbeiten: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit Personenbezogenen Daten wie das Erheben, Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen und Vernichten Personenbezogener Daten; 1.1.16 Whitelist-Staat: jeder Nicht-EWR-Vertragsstaat, der gemäß Entscheidung der EU-Kommission über ein angemessenes Datenschutzniveau i.S.v. Art. 25 Abs. 2 EU-Datenschutzrichtlinie verfügt; 1.1.17 XY-Drittstaat-Unternehmenseinheit: Jede Relevante XY-Unternehmenseinheit, die in einem Drittstaat belegen ist; 1.1.18 XY-EWR-Unternehmenseinheit: Jede Relevante XY-Unternehmenseinheit, die in einem Vertragsstaat des EWR belegen ist; 1.1.19 XY-Unternehmensgruppe: die Gesamtheit der Relevanten XY-Unternehmenseinheiten und der Sonstigen XY-Unternehmenseinheiten; 1.2 Soweit vorstehend nicht abweichend festgelegt, gelten die Begriffsbestimmungen gemäß dem jeweils anwendbaren Datenschutzrecht einschließlich der Bestimmungen zur Umsetzung der EU-Datenschutzrichtlinie und der EU-Standardvertragsklauseln. 2. Anwendungsbereich und Vertragsgegenstand 2.1 Dieser Rahmenvertrag findet Anwendung auf die Übermittlungen Personenbezogener Daten zwischen Relevanten XY-Unternehmenseinheiten, wie sie in der Matrix gemäß Anlage 2 im Einzelnen beschrieben sind. 2.2 Dieser Rahmenvertrag bewirkt, dass Übermittlungen Personenbezogener Daten von einer XY-EWR-Unternehmenseinheit an eine XY-Drittstaat-Unternehmenseinheit entsprechend den Bestimmungen dieses Rahmenvertrags erfolgen und den jeweils anwendbaren EU-Standardvertragsklauseln gemäß Anlage 3 unterfallen. 3. Rangfolge und Widersprüche 3.1 Die Vereinbarungen zwischen den Vertragsparteien stehen in folgender Rangfolge, wobei Bestimmungen der zuerst genannten Vereinbarungen bei Widersprüchen Vorrang vor den danach genannten besitzen: a) die Matrix gemäß Anlage 2 und die Beschreibung technischer und organisatorischer Maßnahmen gemäß Anlage 4; Moos
|
845
Teil 5 IV
Rz. 6
Rahmenvertrag für EU-Standardvertragsklauseln
b) die EU-Standardvertragsklauseln gemäß Anlage 3; c) die Bestimmungen dieses Rahmenvertrags; d) die sonstigen Anlagen zu diesem Rahmenvertrag; 3.2 Zur Vermeidung von Unklarheiten bekräftigen die Vertragsparteien hiermit, dass der Wortlaut der EU-Standardvertragsklauseln gemäß Anlage 3 durch diesen Rahmenvertrag oder die weiteren Anlagen in keiner Weise geändert oder abbedungen werden soll. Der Vorrang der Anlage 2 und der Anlage 4 vor den EU-Standardvertragsklauseln gilt nur, soweit diese Anlagen die notwendigen Spezifizierungen der EU-Standardvertragsklauseln enthalten. 4. Datenübermittlungen zwischen Relevanten XY-Unternehmenseinheiten 4.1 Kraft dieser Ziffer 4 werden zwischen jedem Datenexporteur und jedem Datenimporteur jeweils separate, bilaterale Verträge unter Einbeziehung der jeweiligen EU-Standardvertragsklauseln bezüglich jeder einzelnen, Relevanten Datenübermittlung geschlossen. 4.2 Im Hinblick auf die Relevanten Datenübermittlungen gemäß Anlage 2 fungiert der Datenexporteur als verantwortliche Stelle und fungiert der Datenimporteur entweder als verantwortliche Stelle oder als Auftragsverarbeiter, wie im Einzelnen in der Matrix verbindlich angegeben. 4.3 Soweit sich aus der Matrix ergibt, dass ein Datenexporteur Personenbezogene Daten an einen Datenimporteur in dessen Eigenschaft als verantwortliche Stelle übermittelt, wird hiermit zwischen den beteiligten XYUnternehmenseinheiten ein Vertrag unter Einbeziehung der Controller-toController-Klauseln gemäß Anlage 3, Ziffer 1 im Hinblick auf die jeweilige Relevante Datenübermittlung geschlossen. Die notwendige Spezifizierung der Controller-to-Controller-Klauseln je Relevanter Datenübermittlung erfolgt gemäß nachstehender Tabelle:
846
|
Abschnitt der Controller-toController-Klauseln
Spezifizierung durch folgende Informationen
Name, Adresse und Sitzland des Datenexporteurs auf Seite 1
Die Angaben zu der jeweiligen Vertragspartei gemäß Anlage 1 i.V.m. der Qualifizierung als Datenexporteur gemäß Anlage 2
Name, Adresse und Sitzland des Datenimporteurs auf Seite 1
Die Angaben zu der jeweiligen Vertragspartei gemäß Anlage 1 i.V.m. der Qualifizierung als Datenimporteur gemäß Anlage 2
Auswahl gemäß Klausel II. (h)
Option … [Auswahl] wird gewählt.
Moos
Vertragstext
Rz. 6 Teil 5 IV
Abschnitt der Controller-toController-Klauseln
Spezifizierung durch folgende Informationen
Datum auf Seite 5
Das Datum des Inkrafttretens gemäß Ziffer 7.2 des Rahmenvertrags
Angaben zur Unterzeichnung für den Datenexporteur und den Datenimporteur auf Seite 5
Die Angaben gemäß den Unterschriftenzeilen des Rahmenvertrags
Anhang B, Betroffene Personen
Die Angaben gemäß Spalte 6 der Matrix
Anhang B, Übermittlungszwecke
Die Angaben gemäß Spalte 2 der Matrix
Anhang B, Kategorien übermittelter Daten
Die Angaben gemäß Spalte 7 der Matrix
Anhang B, Empfänger
Die Angaben gemäß Spalte 9 der Matrix
Anhang B, Sensible Daten
Die Angaben gemäß Spalte 8 der Matrix
Anhang B, Datenschutzmelderegisterangaben des Datenexporteurs (sofern zutreffend)
Die Angaben zu der jeweiligen Vertragspartei gemäß Anlage 1 i.V.m. der Qualifizierung als Datenexporteur gemäß Anlage 2
Anhang B, sonstige nützliche Informationen
Die Angaben gemäß Spalte 10 der Matrix
Anhang B, Anlaufstelle für Datenschutzauskünfte beim Datenimporteur und Datenexporteur
Die Angaben zu der jeweiligen Vertragspartei gemäß Anlage 1 i.V.m. der Qualifizierung als Datenexporteur oder Datenimporteur gemäß Anlage 2
4.4 Soweit sich aus der Matrix ergibt, dass ein Datenexporteur Personenbezogene Daten an einen Datenimporteur in dessen Eigenschaft als Auftragsverarbeiter übermittelt, wird hiermit zwischen den beteiligten XY-Unternehmenseinheiten ein Vertrag unter Einbeziehung der Controller-to-Processor-Klauseln gemäß Anlage 3, Ziffer 2 im Hinblick auf die jeweilige Relevante Datenübermittlung geschlossen. Die notwendige Spezifizierung der Controller-to-Processor-Klauseln je Relevanter Datenübermittlung erfolgt gemäß nachstehender Tabelle:
Moos
|
847
Teil 5 IV
848
|
Rz. 6
Rahmenvertrag für EU-Standardvertragsklauseln
Abschnitt der Controller-toProcessor-Klauseln
Spezifizierung durch folgende Informationen
Bezeichnung der Organisation des Datenexporteurs nebst Anschrift, Kontaktangaben und weiteren Angaben zur Identifizierung der Organisation auf Seite 1
Die Angaben zu der jeweiligen Vertragspartei gemäß Anlage 1 i.V.m. der Qualifizierung als Datenexporteur gemäß Anlage 2
Bezeichnung der Organisation des Datenimporteurs nebst Anschrift, Kontaktangaben und weiteren Angaben zur Identifizierung der Organisation auf Seite 1
Die Angaben zu der jeweiligen Vertragspartei gemäß Anlage 1 i.V.m. der Qualifizierung als Datenimporteur gemäß Anlage 2
Klausel 9, Bestimmung des anwendbaren Rechts
Die Angaben zu dem Sitzland der jeweiligen Vertragspartei gemäß Anlage 1 i.V.m. der Qualifizierung als Datenexporteur gemäß Anlage 2
Klausel 11 (3), Bestimmung des anwendbaren Rechts bei Unterbeauftragungen
Die Angaben zu dem Sitzland der jeweiligen Vertragspartei gemäß Anlage 1 i.V.m. der Qualifizierung als Datenexporteur gemäß Anlage 2
Datum auf Seite 4
Das Datum des Inkrafttretens gemäß Ziffer 7.2 des Rahmenvertrags
Angaben zur Unterzeichnung für den Datenexporteur und den Datenimporteur auf Seite 4
Die Angaben gemäß den Unterschriftenzeilen des Rahmenvertrags ergänzt um die Angaben zu der jeweiligen Vertragspartei gemäß Anlage 1
Anhang 1, Datenexporteur
Die Angaben zu der jeweiligen Vertragspartei gemäß Anlage 1 i.V.m. der Qualifizierung als Datenexporteur gemäß Anlage 2
Anhang 1, Datenimporteur
Die Angaben zu der jeweiligen Vertragspartei gemäß Anlage 1 i.V.m. der Qualifizierung als Datenimporteur gemäß Anlage 2
Anhang 1, Betroffene Personen
Die Angaben gemäß Spalte 6 der Matrix
Anhang 1, Kategorien übermittelter Daten
Die Angaben gemäß Spalte 7 der Matrix
Moos
Vertragstext
Rz. 6 Teil 5 IV
Abschnitt der Controller-toController-Klauseln
Spezifizierung durch folgende Informationen
Anhang 1, Besondere Datenkategorien (falls zutreffend)
Die Angaben gemäß Spalte 8 der Matrix
Anhang 1, Verarbeitung
Die Angaben gemäß Spalten 1, 2 und 10 der Matrix
Anhang 1, Angaben zu und Unter- Die Angaben gemäß den Unterschriften der Bevollmächtigten des schriftenzeilen des Rahmenvertrags Datenexporteurs und des Datenimporteurs Anhang 2, Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4 Buchstabe d und Klausel 5 Buchstabe c eingeführt hat
Die Angaben in Anlage 4 zum Rahmenvertrag
4.5 Soweit sich aus der Matrix ergibt, dass ein Datenimporteur Personenbezogene Daten in seiner Eigenschaft als Auftragsverarbeiter erhält, ist der Datenimporteur verpflichtet, vor der Verarbeitung der übermittelten Personenbezogenen Daten die in Anlage 4 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen zu ergreifen. 4.6 Weiterübermittlungen Personenbezogener Daten von einem Datenimporteur in dessen Eigenschaft als verantwortliche Stelle an eine andere XY-Drittstaat-Unternehmenseinheit erfolgen in entsprechender Anwendung der Bestimmungen, die für die Übermittlung zwischen dem Datenexporteur und dem Datenimporteur gelten. 4.7 Soweit ein Datenimporteur Personenbezogene Daten, die er in seiner Eigenschaft als verantwortliche Stelle von einem Datenexporteur erhalten hat, an einen in einem Drittstaat ansässigen Dritten weiterübermitteln möchte, bei dem es sich nicht um eine Relevante XY-Unternehmenseinheit handelt, verpflichtet er sich hiermit, den Dritten bezüglich dieser Weiterübermittlung auf die Einhaltung der einschlägigen EU-Standardvertragsklauseln zu verpflichten. 5. Rechte Dritter Die Vertragsparteien stellen klar, dass Dritte, die nicht Vertragspartei sind, keine Rechte aus diesem Rahmenvertrag herleiten oder solche Rechte gegenüber einer der Vertragsparteien geltend machen können. Das gilt vor allem für von den Relevanten Datenübermittlungen betroffene Personen. Die Rechte solcher Personen gemäß den EU-Standardvertragsklauseln, insbesondere gemäß den entsprechenden Drittbegünstigungsklauseln, bleiben unberührt. Moos
|
849
Teil 5 IV
Rz. 6
Rahmenvertrag für EU-Standardvertragsklauseln
6. Zusammenarbeit mit Aufsichtsbehörden Die Vertragsparteien erklären sich hiermit damit einverstanden, dass jede Vertragspartei der für sie zuständigen Datenschutzaufsichtsbehörde eine Kopie dieses Rahmenvertrags zur Verfügung stellen darf, sofern die jeweilige Aufsichtsbehörde dies im Einklang mit dem Anwendbaren Datenschutzrecht verlangt oder es das Anwendbare Datenschutzrecht vorschreibt. 7. Vertragsschluss, Inkrafttreten 7.1 Dieser Rahmenvertrag kann in beliebig vielen Kopien ausgefertigt werden und von den Vertragsparteien auf verschiedenen Kopien unterzeichnet werden, wobei jede Kopie als Original gilt und alle Kopien zusammen als derselbe Vertrag angesehen werden. 7.2 Dieser Rahmenvertrag tritt mit Unterzeichnung durch mindestens einen Datenexporteur und mindestens einen Datenimporteur in Kraft und gilt für und gegen eine Vertragspartei, sobald die jeweilige Vertragspartei eine Kopie dieses Rahmenvertrags gemäß Ziffer 7.1 unterzeichnet hat und die Voraussetzung gemäß dem 1. Halbsatz erfüllt ist. 7.3 Mit Inkrafttreten dieses Rahmenvertrags treten die in Anlage 5 genannten Verträge zwischen Relevanten XY-Unternehmenseinheiten über die Übermittlung Personenbezogener Daten außer Kraft. 7.4 Sonstige XY-Unternehmenseinheiten können diesem Rahmenvertrag nachträglich beitreten, ohne dass die Vertragsparteien eine weitere Ausfertigung dieses Rahmenvertrags unterzeichnen müssen. 8. Vertragsbeitritt, Änderungen und Beendigung 8.1 Die Vertragsparteien bevollmächtigen hiermit die … [XY-Muttergesellschaft] dazu, in ihrem Namen folgende Vereinbarungen rechtswirksam abzuschließen: a) Beitrittsvereinbarungen, die in Form und Inhalt im Wesentlichen dem Muster gemäß Anlage 6 entsprechen, kraft derer eine Sonstige XY-Unternehmenseinheit in diesen Rahmenvertrag als Datenexporteur oder Datenimporteur mit der Wirkung einbezogen wird, dass sie zu einer Relevanten XY-Unternehmenseinheit wird, die an die Bestimmungen dieses Rahmenvertrags einschließlich seiner Anlagen gebunden ist; b) jede Änderung oder Ergänzung dieses Rahmenvertrags, die aufgrund einer Änderung des Anwendbaren Datenschutzrechts notwendig wird; c) jede Vereinbarung, durch die die Rechte oder Pflichten einer Vertragspartei unter diesem Rahmenvertrag beendet werden; vorausgesetzt, der jeweiligen Vertragspartei wird eine solche Beendigung rechtzeitig (im Regelfall zwei Monate) vorher angezeigt. 8.2 Die Vertragsparteien stellen klar, dass jeder bilaterale Vertrag unter Einbeziehung der EU-Standardvertragsklauseln gemäß Ziffer 4.1 von den 850
|
Moos
Rz. 6 Teil 5 IV
Vertragstext
Parteien des jeweiligen Vertrags in Übereinstimmung mit dessen Bestimmungen beendet werden kann, ohne dass es irgendeiner Art von Mitwirkung oder Beteiligung der anderen Vertragsparteien dieses Rahmenvertrags bedarf. Der Rahmenvertrag gilt im Falle einer wirksamen Beendigung eines solchen Vertrags als entsprechend geändert. 9. Anwendbares Recht, Gerichtsstand 9.1 Vorbehaltlich der Regelung in Ziffer 9.2 unterliegt dieser Rahmenvertrag dem Recht der Bundesrepublik Deutschland und ist Erfüllungsort und ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Rahmenvertrag … [Sitz der XY-Muttergesellschaft]. 9.2 Für die nach Maßgabe von Ziffer 4 dieses Rahmenvertrags bezüglich Relevanter Datenübermittlungen geschlossenen bilateralen Verträge zwischen einem Datenexporteur und einem Datenimporteur unter Einbeziehung der jeweiligen EU-Standardvertragsklauseln gilt das Recht des Mitgliedstaates, in dem der jeweilige Datenexporteur niedergelassen ist. VERTRAGSPARTEI 1 … (Ort, Datum) … Unterschrift
… Name, Stellung/Funktion
… Unterschrift
… Name, Stellung/Funktion
VERTRAGSPARTEI 2 … (Ort, Datum) … Unterschrift
… Name, Stellung/Funktion
… Unterschrift
… Name, Stellung/Funktion
… ((usw.)) Anlagen: Anlage 1: Vertragsparteien Anlage 2: Matrix mit Einzelheiten zu den Übermittlungen Personenbezogener Daten Anlage 3: EU-Standardvertragsklauseln
Moos
|
851
Teil 5 IV
Rz. 6
Rahmenvertrag für EU-Standardvertragsklauseln
Anlage 4: Beschreibung technischer und organisatorischer Sicherheitsmaßnahmen Anlage 5: Außerkraft tretende Verträge zwischen XY-Unternehmenseinheiten Anlage 6: Muster einer Beitrittsvereinbarung Anlage 1: Vertragsparteien Bezeichnung/Firma
Adresse und Sitzland
Weitere Angaben zur Identifizierung und zur Anlaufstelle für Datenschutzauskünfte
Beschreibung der Datenübermittlungen
Übermittlungszwecke
Datenexporteur
Datenimporteur
Qualifizierung des Datenimporteurs als verantwortliche Stelle oder Auftragsverarbeiter
Betroffene Personen
Kategorien personenbezogener Daten
Sensible Daten/besondere Datenkategorien
Empfänger von Weiterübermittlungen
Sonstige Informationen
Anlage 2: Matrix mit Einzelheiten zu den Übermittlungen Personenbezogener Daten
…
…
…
…
…
…
…
…
…
…
Anlage 3: EU-Standardvertragsklauseln 1. Controller-to-Controller-Klauseln […] 2. Controller-to-Processor-Klauseln […] 852
|
Moos
Rz. 8 Teil 5 IV
Erläuterungen
Anlage 4: Beschreibung technischer und organisatorischer Sicherheitsmaßnahmen […] Anlage 5: Außerkraft tretende Verträge zwischen XY-Unternehmenseinheiten […] Anlage 6: Muster einer Beitrittsvereinbarung […]
C. Erläuterungen I. Vorbemerkungen Wie bereits oben erwähnt, ist das Vertragsmuster als Rahmenvertrag ausgestaltet, der als multilateraler Vertrag eine Vielzahl von Vertragsbeziehungen zwischen einzelnen Vertragsparteien jeweils unter Einbeziehung der EU-Standardvertragsklauseln kreiert.
7
1. Ausgestaltung als Mehrparteienvertrag Die datenschutzrechtlichen Vorschriften zur Übermittlung personenbezogener Daten in Drittländer lassen solche Mehrparteienverträge im Rahmen der Ausnahmeregelung nach § 4c Abs. 2 BDSG grundsätzlich zu1. Das gilt auch für Verträge, die sowohl Übermittlungen an verantwortliche Stellen als auch an Auftragsverarbeiter in Drittländern abdecken, wenn hierbei die Rolle des jeweiligen Datenimporteurs konkret benannt wird2. Für den Fall, dass ein solcher Mehrparteienvertrag die Regelungen der EU-Standardverträge aber nicht 1:1 übernimmt, besteht nach § 4c Abs. 2 Satz 1 BDSG ein Genehmigungserfordernis, auch wenn die Regelungen des Mehrparteienvertrags an die EU-Standardvertragsklauseln angelehnt sind oder Regelungen verschiedener Standardvertragsklauselwerke kombinieren3.
1 Hessische Landesregierung, 22. Bericht über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde, LT-Drucks. 18/ 1015, 11; Taeger/Gabel/Gabel, § 4c BDSG Rz. 25; v. d. Bussche/Voigt/Moos, Kap. 3.4 Rz. 64; Plath/v. d. Bussche, § 4c BDSG Rz. 36; s. hierzu auch Teil 5 I Rz. 34. 2 Hessische Landesregierung, 22. Bericht über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde, LT-Drucks. 18/ 1015, 11; Plath/v. d. Bussche, § 4c BDSG Rz. 36. 3 Hessische Landesregierung, 22. Bericht über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde, LT-Drucks. 18/ 1015, 10 f.
Moos
|
853
8
Teil 5 IV
Rz. 9
Rahmenvertrag für EU-Standardvertragsklauseln
2. Ausgestaltung als Rahmenvertrag unter Einbeziehung der EU-Standardvertragsklauseln 9
Auch wenn die EU-Standardvertragsklauseln grundsätzlich für ein Zweiparteienverhältnis entworfen wurden, halten sowohl die EU-Kommission als Autorin der EU-Standardvertragsklauseln als auch die Datenschutzaufsichtsbehörden der allermeisten EU-Mitgliedstaaten auch eine Einbettung der EU-Standardvertragsklauseln in einen multilateralen Rahmenvertrag grundsätzlich für möglich1, ohne dass allein dadurch die Genehmigungsfreiheit entfiele. Die Datenschutzaufsichtsbehörden legen insoweit jedoch einen strengen Maßstab an, indem sie nur die zwingend erforderlichen redaktionellen Änderungen akzeptieren, die dem Umstand Rechnung tragen, dass mehrere Vertragsparteien beteiligt sind2. Außerdem legen sie großen Wert darauf, dass trotz der Erstreckung des Rahmenvertrags auf diverse unterschiedliche Datenübermittlungen die notwendige Bestimmtheit gewahrt bleibt und klar geregelt ist, wer an wen welche Daten zu welchem Zweck übermittelt3. Das Muster setzt diese Anforderungen dadurch um, dass es entsprechende Spezifizierungen in Anlagen, vor allem einer sog. Matrix zur Darstellung aller einzelnen Datenübermittlungen, verlangt. Werden Änderungen an dem Muster vorgenommen oder vorgesehene Spezifizierungen ausgespart, sollte im Zweifel die zuständige Datenschutzaufsichtsbehörde konsultiert werden, um abzuklären, ob es sich noch um eine zulässige, genehmigungsfreie Gestaltung handelt4.
II. Erläuterung der einzelnen Klauseln 1. Erläuterungen zur Präambel 10
E Präambel (A) Die Vertragsparteien sind Mitgliedsunternehmen der international tätigen XY-Unternehmensgruppe, die im Rahmen ihrer Geschäftstätigkeit regelmäßig personenbezogene Daten zwischen ihren zahlreichen Niederlassungen und Geschäftsbetrieben austauschen müssen. (B) Gesetze zum Schutz personenbezogener Daten finden in manchen Staaten, in denen die Vertragsparteien niedergelassen sind oder Geschäftsbetriebe unterhalten, Anwendung und regeln die grenzüberschreitende 1 EU-Kommission, Commission Staff Working Document on the implementation of the Commission decisions on standard contractual clauses for the transfer of personal data to third countries (2001/497/EC and 2002/16/EC), vom 20.1.2006, SEC(2006) 95, S. 8; Hessische Landesregierung, 23. Bericht über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde, LT-Drucks. 18/ 2942, 19. 2 S. Teil 5 I Rz. 35. 3 Hessische Landesregierung, 23. Bericht über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde, LT-Drucks. 18/ 2942, 19; Gola/Schomerus, § 4c BDSG Rz. 14. 4 Für eine Vorlage auch Plath/v. d. Bussche, § 4c BDSG Rz. 36.
854
|
Moos
Erläuterungen
Rz. 12 Teil 5 IV
Weitergabe personenbezogener Daten, insbesondere in den Vertragsstaaten des EWR. (C) Die Vertragsparteien beabsichtigen, mit diesem Rahmenvertrag für bestimmte Datenübermittlungen innerhalb der XY-Unternehmensgruppe ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre und des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte der Betroffenen gemäß Art. 26 Abs. 2 der EU-Datenschutzrichtlinie und den diese Vorschrift umsetzenden nationalen Rechtsvorschriften zu etablieren. (D) Um zu vermeiden, dass die Vertragsparteien untereinander jeweils eine Vielzahl einzelner Verträge unter Einbeziehung der EU-Standardvertragsklauseln abschließen müssen – namentlich für jede Datenübermittlung an einen Empfänger in einem Drittstaat – ist es das Ziel der Vertragsparteien, kraft dieses Rahmenvertrags entsprechende Vertragsbeziehungen zwischen allen Vertragsparteien unter Einbeziehung der jeweils relevanten EU-Standardvertragsklauseln herzustellen. Vor diesem Hintergrund vereinbaren die Vertragsparteien das Folgende:
a) Ratio Die Präambel stellt die Vertragsparteien näher vor und beschreibt die Ziele, die diese mit dem Abschluss des Rahmenvertrags verbinden.
11
b) Parteien des Rahmenvertrags Nach Buchstabe (A) der Präambel handelt es sich bei den Vertragsparteien um Mitgliedsunternehmen einer fiktiven XY-Unternehmensgruppe. Insoweit ist es möglich, dass sämtliche europäischen und außereuropäischen Konzernunternehmen Vertragspartei werden1. Das ist aber nicht erforderlich; eine einheitliche Regelung im Konzern ist nicht notwendig. Vielmehr ist es auch möglich, dass nur einzelne Konzernunternehmen den Rahmenvertrag für (alle oder einzelne) jeweils zwischen ihnen erfolgende Datenübermittlungen schließen. Andere Konzernunternehmen können dem Rahmenvertrag später beitreten oder auch alternative Gestaltungen zur Erfüllung der Anforderungen der 2. Stufe wählen, also z.B. auch bilaterale Verträge auf Basis der EU-Standardvertragsklauseln schließen. Konkrete Angaben zu den Vertragsparteien sind in die Anlage 1 zu dem Vertragsmuster ausgelagert. Um den Spezifizierungsvorgaben der EU-Standardvertragsklauseln zu genügen, sind zu den Vertragsparteien in Anlage 1 – entsprechend der Bezeichnung der Tabellenspalten – folgende Informationen aufzunehmen: – Bezeichnung/Firma – Adresse und Sitzland 1 Hessische Landesregierung, 22. Bericht über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde, LT-Drucks. 18/ 1015, 10.
Moos
|
855
12
Teil 5 IV
Rz. 13
Rahmenvertrag für EU-Standardvertragsklauseln
– Weitere Angaben zur Identifizierung und zur Anlaufstelle für Datenschutzauskünfte.
c) Zielsetzung des Rahmenvertrags 13
Die in einer Präambel zum Ausdruck kommenden Ziele und Vorstellungen der Vertragsparteien sind bei der Auslegung, Anwendung und Lückenfüllung des Vertrags zu beachten; teilweise können sie sogar als Geschäftsgrundlage des Vertrags angesehen werden. Vor diesem Hintergrund ist es sinnvoll, die Zielsetzung der Vertragsparteien bei der Eingehung des Rahmenvertrags in der Präambel festzuschreiben. Das von den Vertragsparteien verfolgte Ziel besteht vor dem Hintergrund der obigen Erläuterungen (siehe Rz. 4) vor allem darin, die Anforderungen des § 4c Abs. 2 Satz 1 BDSG zu erfüllen, indem mit dem Rahmenvertrag „ausreichende Garantien“ geschaffen werden, die eine Übermittlung personenbezogener Daten an Gruppenunternehmen in Drittstaaten außerhalb des EWR ohne angemessenes Datenschutzniveau auf 2. Stufe zulassen, ohne dabei freilich ein Genehmigungserfordernis durch die zuständige Datenschutzaufsichtsbehörde auszulösen. Diese Zielsetzungen sind in Buchstabe (C) und (D) der Präambel niedergelegt.
2. Erläuterungen zu Ziffer 1 14
E 1. Begriffe und Definitionen 1.1 Den folgenden Begriffen wird für die Zwecke dieses Rahmenvertrags jeweils die folgende Bedeutung zugewiesen: 1.1.1 Anwendbares Datenschutzrecht: Sämtliche in einem Staat, in dem eine Relevante XY-Unternehmenseinheit niedergelassen ist, in Kraft befindlichen Rechtsvorschriften zum Schutz Personenbezogener Daten; 1.1.2 Datenexporteur: Jede XY-EWR-Unternehmenseinheit, die nach Maßgabe der Matrix Personenbezogene Daten an einen Datenimporteur übermittelt; 1.1.3 Datenimporteur: Jede XY-Drittstaat-Unternehmenseinheit, die nach Maßgabe der Matrix Personenbezogene Daten von einem Datenexporteur erhält; 1.1.4 Drittstaat: Jeder Staat, der nicht Vertragsstaat des Europäischen Wirtschaftsraums (EWR) und nicht Whitelist-Staat ist; 1.1.5 EU-Datenschutzrichtlinie: Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr; 1.1.6 EU-Standardvertragsklauseln: von der EU-Kommission gemäß Art. 26 Abs. 4 EU-Datenschutzrichtlinie in dem Ausschussverfahren nach Art 31 Abs. 2 EU-Datenschutzrichtlinie angenommene Stan856
|
Moos
Erläuterungen
Rz. 14 Teil 5 IV
dardvertragsklauseln für die Übermittlung personenbezogener Daten an verantwortliche Stellen oder Auftragsverarbeiter in Drittländer, die kein angemessenes Datenschutzniveau gewährleisten; 1.1.7 Controller-to-Controller-Klauseln: die alternativen Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß Entscheidung 2004/915/EG der EU-Kommission vom 27. Dezember 2004; 1.1.8 Controller-to-Processor-Klauseln: die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gemäß Beschluss K(2010) 593 der EU-Kommission vom 5. Februar 2010; 1.1.9 Matrix: Die Matrix mit Einzelheiten zu den Übermittlungen Personenbezogener Daten gemäß Anlage 2; 1.1.10 Personenbezogene Daten: alle Informationen über eine bestimmte oder bestimmbare natürliche Person, die von einer XY-Unternehmenseinheit verarbeitet werden; 1.1.11 Rahmenvertrag: Dieser Rahmenvertrag einschließlich seiner Anlagen und Anhänge; 1.1.12 Relevante Datenübermittlung: jede Übermittlung Personenbezogener Daten von einem Datenexporteur an einen Datenimporteur, die nicht anderweitig gemäß Art. 25, 26 der EU-Datenschutzrichtlinie bzw. den diese Bestimmungen umsetzenden, jeweils für diese Übermittlungen geltenden Vorschriften des Anwendbaren Datenschutzrechts zugelassen ist; 1.1.13 Relevante XY-Unternehmenseinheit: Jede in Anlage 1 (in ihrer jeweils aktuellen Fassung) zu diesem Rahmenvertrag aufgelistete Stelle (unabhängig von ihrer rechtlichen Verfasstheit z.B. als natürliche oder juristische Person); 1.1.14 Sonstige XY-Unternehmenseinheit: Jede Stelle innerhalb der XYUnternehmensgruppe, die mit Personenbezogenen Daten umgeht einschließlich aller mit der … [XY-Muttergesellschaft] i.S.v. § 15 AktG verbundenen Unternehmen, mit Ausnahme der Relevanten XY-Unternehmenseinheiten; 1.1.15 Verarbeiten: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit Personenbezogenen Daten wie das Erheben, Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen und Vernichten Personenbezogener Daten; 1.1.16 Whitelist-Staat: jeder Nicht-EWR-Vertragsstaat, der gemäß Entscheidung der EU-Kommission über ein angemessenes Datenschutzniveau i.S.v. Art. 25 Abs. 2 EU-Datenschutzrichtlinie verfügt; Moos
|
857
Teil 5 IV
Rz. 15
Rahmenvertrag für EU-Standardvertragsklauseln
1.1.17 XY-Drittstaat-Unternehmenseinheit: Jede Relevante XY-Unternehmenseinheit, die in einem Drittstaat belegen ist; 1.1.18 XY-EWR-Unternehmenseinheit: Jede Relevante XY-Unternehmenseinheit, die in einem Vertragsstaat des EWR belegen ist; 1.1.19 XY-Unternehmensgruppe: die Gesamtheit der Relevanten XY-Unternehmenseinheiten und der Sonstigen XY-Unternehmenseinheiten; 1.2 Soweit vorstehend nicht abweichend festgelegt, gelten die Begriffsbestimmungen gemäß dem jeweils anwendbaren Datenschutzrecht einschließlich der Bestimmungen zur Umsetzung der EU-Datenschutzrichtlinie und der EU-Standardvertragsklauseln.
a) Ratio 15
In Ziffer 1 des Vertragsmusters werden Begriffsdefinitionen vorgenommen, die für den Rahmenvertrag verbindlich gelten sollen und deren Verhältnis zu anderweitigen Legaldefinitionen klargestellt wird.
b) Eigenständige Begriffsdefinitionen (Ziffer 1.1) 16
Die verbindliche Definition von Begriffen, die in dem Rahmenvertrag verwendet werden, ist kein Muss. Sie erleichtert jedoch die Lesbarkeit des Vertrags, gerade wenn es sich um Begriffe handelt, die ansonsten jeweils aufwändig beschrieben werden müssten. Die Voranstellung solcher Definitionen in Rahmen- und Mehrparteienverträgen, die die EU-Standardvertragsklauseln einbeziehen, ist nach Meinung der Datenschutzaufsichtsbehörden möglich1; es müsse allerdings klargestellt werden, dass die EU-Standardvertragsklauseln inhaltlich unberührt bleiben. Um inhaltliche Abweichungen von den EU-Standardvertragsklauseln handelt es sich nicht, soweit die Unterschiede in den Begriffsbestimmungen lediglich die konkrete Situation im jeweiligen Konzern widerspiegeln2. In einem solchen Fall handele es sich nur um Vorgaben zur praktischen Umsetzung der EU-Standardvertragsklauseln im Konzern, die nicht zur Genehmigungspflichtigkeit des Vertrags führen3. Das Vertragsmuster ist für eine Anwendung durch Mitgliedsunternehmen der fiktiven XY-Unternehmensgruppe vorgesehen. Viele der Begriffsdefinitionen 1 Hessische Landesregierung, 23. Bericht über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde, LT-Drucks. 18/ 2942, 19. 2 Hessische Landesregierung, 19. Bericht über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde, LT-Drucks. 16/ 5892, 11; v. d. Bussche/Voigt/Moos, Kap. 3.4 Rz. 66. 3 Hessische Landesregierung, 19. Bericht über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde, LT-Drucks. 16/ 5892, 11.
858
|
Moos
Erläuterungen
Rz. 20 Teil 5 IV
dienen der Festlegung, auf welche Arten von Datenübermittlungen zwischen welchen Unternehmen der XY-Unternehmensgruppe die Rahmenvertragsregelungen – und damit auch die EU-Standardvertragsklauseln – in welcher Form Anwendung finden sollen. Sie legen deshalb im Wesentlichen die praktische Umsetzung innerhalb der XY-Unternehmensgruppe fest und dürften die Genehmigungsfreiheit unberührt lassen. Einige besonders relevante Begriffsdefinitionen werden nachfolgend kurz erläutert:
aa) Anwendbares Datenschutzrecht (Ziffer 1.1.1) In Ziffer 1.1.1 wird der Begriff „Anwendbares Datenschutzrecht“ definiert. Er dient im Wesentlichen der Festlegung, an welche nationalen Datenschutzvorschriften sich die Vertragsparteien zu halten haben. Die Definition ist umfassend und bezieht alle in den jeweiligen Staaten in Kraft befindlichen Rechtsvorschriften zum Schutz personenbezogener Daten ein.
17
bb) Definitionen zur Festlegung des persönlichen Anwendungsbereichs In Ziffer 1.1 ist eine Reihe von Definitionen enthalten, die mit dazu beitragen, den persönlichen Anwendungsbereich des Vertragsmusters insgesamt und der einzelnen Vertragsregelungen festzulegen. Ausgehend davon, dass das Muster für die fiktive XY-Unternehmensgruppe gelten soll, sind hierfür vor allem folgende Definitionen relevant:
18
(1) Datenexporteur und Datenimporteur (Ziffer 1.1.2 und 1.1.3) In Ziffer 1.1.2 wird der „Datenexporteur“ in Anlehnung an die Begriffsdefinitionen in den EU-Standardvertragsklauseln1 als jede XY-EWR-Unternehmenseinheit2 bezeichnet, die nach Maßgabe der Matrix3 Personenbezogene Daten4 an einen Datenimporteur5 übermittelt.
19
In Ziffer 1.1.3 wird der „Datenimporteur“ ebenfalls in Anlehnung an die Begriffsdefinitionen in den EU-Standardvertragsklauseln6 als jede XY-DrittstaatUnternehmenseinheit7 bezeichnet, die nach Maßgabe der Matrix8 Personenbezogene Daten9 von einem Datenexporteur erhält.
(2) Relevante XY-Unternehmenseinheit (Ziffer 1.1.13) Als „Relevante XY-Unternehmenseinheit“ wird in Ziffer 1.1.13 des Vertragsmusters jede in Anlage 1 (in ihrer jeweils aktuellen Fassung) zu dem Rahmen1 2 3 4 5 6 7 8 9
Z.B. in den Begriffsbestimmungen, lit. b) des Standardvertrags II. Definiert in Ziffer 1.1.18 des Musters. Definiert in Ziffer 1.1.9 des Musters. Definiert in Ziffer 1.1.10 des Musters. Definiert in Ziffer 1.1.3 des Musters. Z.B. in den Begriffsbestimmungen, lit. c) des Standardvertrags II. Definiert in Ziffer 1.1.17 des Musters. Definiert in Ziffer 1.1.9 des Musters. Definiert in Ziffer 1.1.10 des Musters.
Moos
|
859
20
Teil 5 IV
Rz. 21
Rahmenvertrag für EU-Standardvertragsklauseln
vertrag aufgelistete Stelle (unabhängig von ihrer rechtlichen Verfasstheit z.B. als natürliche oder juristische Person) bestimmt. Der Begriff dient in Ziffer 2.1 des Vertragsmusters der Festlegung derjenigen Vertragsparteien, zu denen Datenübermittlungen in der Matrix enthalten sind.
(3) Sonstige XY-Unternehmenseinheit (Ziffer 1.1.14) 21
Das Vertragsmuster sieht auch Regelungen zum Beitritt weiterer Unternehmen der XY-Unternehmensgruppe vor, die noch nicht Vertragsparteien sind; solche Beitritte werden in Ziffer 7.4 des Vertragsmusters explizit den „Sonstigen XY-Unternehmenseinheiten“ gestattet, welche in Ziffer 1.1.14 definiert werden als jede Stelle innerhalb der XY-Unternehmensgruppe, die mit Personenbezogenen Daten umgeht einschließlich aller mit der XY-Muttergesellschaft i.S.v. § 15 AktG verbundenen Unternehmen, mit Ausnahme der Relevanten XY-Unternehmenseinheiten1 (die ja bereits Vertragsparteien sind).
(4) XY-Drittstaat-Unternehmenseinheit und XY-EWR-Unternehmenseinheit (Ziffer 1.1.17 und 1.1.18) 22
Für die Zwecke der Zuweisung der Rollen der Vertragsparteien als Datenimporteure bzw. Datenexporteure werden in den Ziffern 1.1.17 und 1.1.18 zur Vereinfachung bestimmte Bezeichnungen eingeführt, die an der örtlichen Belegenheit der jeweiligen XY-Unternehmenseinheit anknüpfen; namentlich „XYDrittstaat-Unternehmenseinheiten“ (also nach Ziffer 1.1.17 jede Relevante XY-Unternehmenseinheit, die in einem Drittstaat belegen ist) und „XY-EWRUnternehmenseinheiten“ (also nach Ziffer 1.1.18 jede Relevante XY-Unternehmenseinheit, die in einem Vertragsstaat des EWR belegen ist).
(5) XY-Unternehmensgruppe (Ziffer 1.1.17 und 1.1.18) 23
In Ziffer 1.1.19 wird schließlich der Begriff der XY-Unternehmensgruppe bestimmt als die Gesamtheit der Relevanten XY-Unternehmenseinheiten2 und der Sonstigen XY-Unternehmenseinheiten3.
cc) Drittstaat (Ziffer 1.1.4) 24
In Ziffer 1.1.4 ist eine Definition des Begriffs „Drittstaat“ enthalten. Der Begriff wird in dem Rahmenvertrag insbesondere dazu verwendet festzulegen, auf welche Datenübermittlungen der Rahmenvertrag Anwendung finden soll; nämlich nur solche an Empfänger in Staaten, die nicht Vertragsstaat des EWR und nicht sog. Whitelist-Staat4 sind.
1 2 3 4
Definiert in Ziffer Definiert in Ziffer Definiert in Ziffer Definiert in Ziffer
860
|
Moos
1.1.13 des Musters. 1.1.13 des Musters. 1.1.14 des Musters. 1.1.16 des Musters.
Erläuterungen
Rz. 29 Teil 5 IV
dd) EU-Datenschutzinstrumente (Ziffer 1.1.5–1.1.8) Die Definitionen in den Ziffer 1.1.5–1.1.8 dienen der eindeutigen Bestimmungen der in dem Vertragsmuster verwendeten Kurzbezeichnungen bestimmter EU-Datenschutzinstrumente, namentlich der „EU-Datenschutzrichtlinie“, den „EU-Standardvertragsklauseln“, den „Controller-to-Controller-Klauseln“ und den „Controller-to-Processor-Klauseln“.
25
ee) Matrix (Ziffer 1.1.9) Eine wichtige Rolle im Zusammenhang mit der Ausgestaltung als Rahmenvertrag spielt die in Ziffer 1.1.9 begrifflich als „Matrix“ definierte Tabelle gemäß Anlage 2, die die Einzelheiten zu den dem Vertragsmuster unterfallenden Datenübermittlungen enthält.
26
ff) Personenbezogene Daten (Ziffer 1.1.10) Ziffer 1.1.10 enthält eine an § 3 Abs. 1 BDSG und Art. 2a) Richtlinie 95/46/EG angelehnte Bestimmung des Begriffs „Personenbezogene Daten“, die nur insofern gegenüber den Legaldefinitionen eine Konkretisierung zum Zweck der Festlegung des Anwendungsbereichs des Rahmenvertrags vornimmt, dass es sich im Kontext des Vertragsmusters um solche Daten handeln muss, die von einer XY-Unternehmenseinheit verarbeitet werden.
27
gg) Relevante Datenübermittlung (Ziffer 1.1.12) Die Begriffsdefinition in Ziffer 1.1.12 steht in Zusammenhang mit Ziffer 4.2 des Musters, wonach in der Matrix alle „Relevanten Datenübermittlungen“ abgebildet sind und dem Regime der EU-Standardvertragsklauseln gemäß Anlage 3 unterworfen werden sollen; also alle Übermittlungen personenbezogener Daten von einem Datenexporteur an einen Datenimporteur, die nicht anderweitig gemäß Art. 25, 26 der EU-Datenschutzrichtlinie bzw. den diese Bestimmungen umsetzenden, jeweils für diese Übermittlungen geltenden Vorschriften des anwendbaren Datenschutzrechts zugelassen sind.
28
Durch diese Definition wird also klargestellt, dass das durch den Rahmenvertrag etablierte EU-Standardvertragsregime nur „lückenfüllenden“ Charakter hat und deshalb z.B. kein EU-Standardvertrag abgeschlossen wird, wenn und soweit eine Datenübermittlung z.B. schon nach § 4c Abs. 1 BDSG zulässig ist.
hh) Verarbeiten (Ziffer 1.1.15) Angesichts des Umstands, dass der Begriff des Verarbeitens im BDSG in der Weise abweichend von der Richtlinie 95/46/EG definiert ist, dass er weder das Erheben noch das sonstige Nutzen von Daten erfasst, ist hier in Ziffer 1.1.15 eine klarstellende Definition des Verarbeitungsbegriffs i.S.v. Art. 2 lit. b) Richtlinie 95/46/EG mit aufgenommen worden.
Moos
|
861
29
Teil 5 IV
Rz. 30
Rahmenvertrag für EU-Standardvertragsklauseln
ii) Whitelist-Staat (Ziffer 1.1.16) 30
Einer Etablierung „ausreichender Garantien“ i.S.v. § 4c Abs. 2 BDSG bedarf es nicht, soweit Datenübermittlungen an Empfänger in Staaten erfolgen, die gemäß einer Entscheidung der EU-Kommission über ein angemessenes Datenschutzniveau i.S.v. Art. 25 Abs. 2 EU-Datenschutzrichtlinie verfügen1. Ziffer 1.1.16 definiert solche Staaten mit angemessenem Datenschutzniveau als „Whitelist-Staaten“.
c) Sonstige Begriffsbestimmungen (Ziffer 1.2) 31
In Ziffer 1.2 wird ergänzend auf die sonstigen Begriffsbestimmungen gemäß den jeweils anwendbaren Datenschutzvorschriften einschließlich der Bestimmungen zur Umsetzung der EU-Datenschutzrichtlinie und der EU-Standardvertragsklauseln verwiesen. Hinsichtlich der EU-Standardvertragsklauseln ist – wie gesagt – dringend darauf zu achten, dass sie inhaltlich nicht geändert werden, auch nicht durch etwa abweichende Begriffsbestimmungen; deshalb ist in Ziffer 3.2 des Vertragsmusters noch eine spezielle Kollisions- und Vorrangregelung enthalten.
3. Erläuterungen zu Ziffer 2 32
E 2. Anwendungsbereich und Vertragsgegenstand 2.1 Dieser Rahmenvertrag findet Anwendung auf die Übermittlungen Personenbezogener Daten zwischen Relevanten XY-Unternehmenseinheiten, wie sie in der Matrix gemäß Anlage 2 im Einzelnen beschrieben sind. 2.2 Dieser Rahmenvertrag bewirkt, dass Übermittlungen Personenbezogener Daten von einer XY-EWR-Unternehmenseinheit an eine XY-Drittstaat-Unternehmenseinheit entsprechend den Bestimmungen dieses Rahmenvertrags erfolgen und den jeweils anwendbaren EU-Standardvertragsklauseln gemäß Anlage 3 unterfallen.
a) Ratio 33
Ziffer 2 dient dazu, den Anwendungsbereich und den Vertragsgegenstand des Vertragsmusters festzulegen.
b) Anwendung auf Datenübermittlungen gemäß der Matrix (Ziffer 2.1) 34
Zur Bestimmung des Anwendungsbereichs verweist das Vertragsmuster in Ziffer 2.1 im Wesentlichen auf die als Anlage 2 beizufügende Tabelle (Matrix), in die sämtliche Übermittlungen personenbezogener Daten zwischen denjenigen XY-Unternehmenseinheiten aufgenommen werden sollen, die von dem Rah1 Eine Auflistung aller entsprechenden Entscheidungen der EU-Kommission und der in diesem Sinne anerkannten Drittländer mit angemessenem Datenschutzniveau ist abrufbar unter: http://ec.europa.eu/justice/data-protection/document/international-trans fers/adequacy/index_en.htm; s. hierzu auch Teil 5 I Rz. 4.
862
|
Moos
Erläuterungen
Rz. 37 Teil 5 IV
menvertrag (und damit auch den EU-Standardvertragsklauseln) erfasst werden sollen. Die Matrix selbst wird eingehend unter Ziffer 4 erläutert.
c) Erfassung durch den Rahmenvertrag (Ziffer 2.2) Ziffer 2.2. legt die Rechtsfolge der Erfassung einer in die Matrix aufgenommenen Datenübermittlung fest; nämlich dass diese Datenübermittlungen entsprechend den Bestimmungen dieses Rahmenvertrags erfolgen und den jeweils anwendbaren EU-Standardvertragsklauseln, wie sie in Anlage 3 zu dem Vertragsmuster aufzunehmen sind, unterfallen sollen.
35
Insoweit ist zu konstatieren, dass sich das Vertragsmuster weitgehend auf die Umsetzung der EU-Standardvertragsklauseln beschränkt. In der Praxis ist durchaus auch eine – teilweise sogar recht weitgehende – Anreicherung um zusätzliche, unternehmensspezifische Datenschutzregelungen möglich. Das geschieht etwa in der Weise, dass der Rahmenvertrag als globales „Data Transfer Agreement“ ausgestaltet wird, dessen Anwendungsbereich explizit nicht auf Datentransfers beschränkt wird, die nach § 4c Abs. 2 BDSG rechtfertigungsbedürftig sind, und welches unternehmensweit – z.B. im Sinne eines „Code of Conduct“1 – weitergehende materielle Datenschutzvorschriften für die Unternehmensgruppe verbindlich vorgibt, als diese sich etwa aus den verbindlichen Datenschutzgrundsätzen gemäß den Anlagen zu den EU-Standardvertragsklauseln ergeben.
36
Denkbar und in der Praxis vor allem im Falle von Auftragsdatenverarbeitungen – aber auch Funktionsübertragungen – innerhalb von Konzernen üblich ist es auch, die notwendigen Regelungen auf 1. und 2. Stufe in ein Vertragskonvolut zu integrieren2. Teilweise wird dann auch eine Ausweitung des Anwendungsbereichs dergestalt vorgenommen, dass auch innereuropäische Datenübermittlungen von dem Vertrag erfasst werden, die dann zwar nicht direkt den EUStandardvertragsklauseln unterworfen werden, aber ggf. daran angelehnten Regelungen, um die Übermittlungsvoraussetzungen der 1. Stufe zu erfüllen3. Eine entsprechende Erweiterung des Vertragsmusters ist unproblematisch möglich. Ferner könnten z.B. in weiteren Anlagen über die in den Controller-to-Processor-Klauseln hinausgehende Vorgaben an Auftragsverarbeiter integriert werden, die nach den Vorgaben des nationalen Rechts auf 1. Stufe notwendig sind4.
4. Erläuterungen zu Ziffer 3 E 3. Rangfolge und Widersprüche
37
3.1 Die Vereinbarungen zwischen den Vertragsparteien stehen in folgender Rangfolge, wobei Bestimmungen der zuerst genannten Vereinbarungen bei Widersprüchen Vorrang vor den danach genannten besitzen: 1 Zur Abgrenzung gegenüber BCR s. Teil 5 V Rz. 20. 2 V. d. Bussche/Voigt/Moos, Kap. 3.4 Rz. 61. 3 Zu dem Beispiel der vertraglichen Absicherung einer innereuropäischen Personaldatenübermittlung Schmidl, DuD 2009, 364 (369 f.). 4 Vgl. hierzu auch Teil 5 III Rz. 17; zu den sich dann ggf. ergebenden Schwierigkeiten einer Verwendung der EU-Standardvertragsklauseln zur Erfassung rein intra-europäischer Datenübermittlungen Schmidl/Krone, DuD 2010, 838 f.
Moos
|
863
Teil 5 IV
Rz. 38
Rahmenvertrag für EU-Standardvertragsklauseln
a) die Matrix gemäß Anlage 2 und die Beschreibung technischer und organisatorischer Maßnahmen gemäß Anlage 4; b) die EU-Standardvertragsklauseln gemäß Anlage 3; c) die Bestimmungen dieses Rahmenvertrags; d) die sonstigen Anlagen zu diesem Rahmenvertrag; 3.2 Zur Vermeidung von Unklarheiten bekräftigen die Vertragsparteien hiermit, dass der Wortlaut der EU-Standardvertragsklauseln gemäß Anlage 3 durch diesen Rahmenvertrag oder die weiteren Anlagen in keiner Weise geändert oder abbedungen werden soll. Der Vorrang der Anlage 2 und der Anlage 4 vor den EU-Standardvertragsklauseln gilt nur, soweit diese Anlagen die notwendigen Spezifizierungen der EU-Standardvertragsklauseln enthalten.
a) Ratio 38
Ziffer 3 des Vertragsmusters dient dazu, die Rangfolge der einzelnen Vertragsbestandteile festzulegen und eine Kollisionsregel für den Fall sich widersprechender Regelungen zu treffen.
b) Rangfolge und Widerspruchsregelung (Ziffer 3.1) 39
In Ziffer 3.1 wird die Rangfolge der Vertragsdokumente grundsätzlich so festgelegt, dass die EU-Standardvertragsklauseln vorrangig vor dem Rahmenvertrag und den sonstigen Anlagen gelten, damit insofern keine (ungewollten) Änderungen erfolgen, die die Genehmigungspflicht nach § 4c Abs. 2 BDSG wieder aufleben ließen. Höherrangig als die EU-Standardvertragsklauseln müssen allerdings diejenigen Bestimmungen sein, die gerade dazu dienen, die Lücken der EU-Standardvertragsklauseln auszufüllen. Solche Präzisierungen führen nicht zu einer Genehmigungsbedürftigkeit, wenn sie bereits in den EU-Standardvertragsklauseln angelegt sind1, was für die Matrix gemäß Anlage 2 und – im Falle von Datenübermittlungen an Auftragsverarbeiter – die Beschreibung der technischen und organisatorischen Maßnahmen gemäß Anlage 4 der Fall ist. Diesen beiden Vertragsdokumenten wird deshalb in Ziffer 3.1 Vorrang auch vor den „Muster“-EU-Standardvertragsklauseln gemäß Anlage 3 eingeräumt. Vertragstechnisch sind die Anlagen 2 und 4 freilich Teil der separaten Verträge unter Einbeziehung der EU-Standardvertragsklauseln (siehe hierzu Ziffer 4.1).
c) Keine Änderung der EU-Standardvertragsklauseln (Ziffer 3.2) 40
Wie bereits erläutert, besteht die Genehmigungsfreiheit nur, wenn die EUStandardvertragsklauseln unverändert verwendet werden. Zur Erhaltung der Genehmigungsfreiheit sollte deshalb mit der erforderlichen Bestimmtheit gewährleistet werden, dass in jedem Fall die EU-Standardvertragsklauseln inhaltlich unberührt bleiben und bei einem Rechtsstreit die Interpretation der Standardvertragsklauseln maßgeblich ist. Deshalb wird im Falle der Verwendung eines Rahmen- bzw. Mehrparteienvertrags auch von den Aufsichtsbehörden 1 BeckOK DatenschutzR/Schantz, § 4c Rz. 44.
864
|
Moos
Erläuterungen
Rz. 41 Teil 5 IV
empfohlen, in einen solchen Vertrag eine Regelung aufzunehmen, wonach im Falle von Unstimmigkeiten oder Widersprüchen zwischen den konkreten Umsetzungsvorgaben im Rahmenvertrag einerseits und den als Anhang beigefügten EU-Standardvertragsklauseln andererseits auf jeden Fall die Letztgenannten Vorrang haben1. Diese Empfehlung setzt Ziffer 3.2 des Vertragsmusters ergänzend zu der Vorrangregelung in Ziffer 3.1 in der Weise um, dass auch der Vorrang der Anlagen 2 und 4 nur hinsichtlich der ausfüllungsbedürftigen „Lücken“ der EU-Standardvertragsklauseln besteht und sie inhaltlich in keiner Weise geändert oder abbedungen werden sollen.
5. Erläuterungen zu Ziffer 4 E 4. Datenübermittlungen zwischen Relevanten XY-Unternehmenseinheiten 4.1 Kraft dieser Ziffer 4 werden zwischen jedem Datenexporteur und jedem Datenimporteur jeweils separate, bilaterale Verträge unter Einbeziehung der jeweiligen EU-Standardvertragsklauseln bezüglich jeder einzelnen, Relevanten Datenübermittlung geschlossen. 4.2 Im Hinblick auf die Relevanten Datenübermittlungen gemäß Anlage 2 fungiert der Datenexporteur als verantwortliche Stelle und fungiert der Datenimporteur entweder als verantwortliche Stelle oder als Auftragsverarbeiter, wie im Einzelnen in der Matrix verbindlich angegeben. 4.3 Soweit sich aus der Matrix ergibt, dass ein Datenexporteur Personenbezogene Daten an einen Datenimporteur in dessen Eigenschaft als verantwortliche Stelle übermittelt, wird hiermit zwischen den beteiligten XYUnternehmenseinheiten ein Vertrag unter Einbeziehung der Controller-toController-Klauseln gemäß Anlage 3, Ziffer 1 im Hinblick auf die jeweilige Relevante Datenübermittlung geschlossen. Die notwendige Spezifizierung der Controller-to-Controller-Klauseln je Relevanter Datenübermittlung erfolgt gemäß nachstehender Tabelle: Abschnitt der Controller-toController-Klauseln
Spezifizierung durch folgende Informationen
Name, Adresse und Sitzland des Datenexporteurs auf Seite 1
Die Angaben zu der jeweiligen Vertragspartei gemäß Anlage 1 i.V.m. der Qualifizierung als Datenexporteur gemäß Anlage 2
Name, Adresse und Sitzland des Datenimporteurs auf Seite 1
Die Angaben zu der jeweiligen Vertragspartei gemäß Anlage 1 i.V.m. der Qualifizierung als Datenimporteur gemäß Anlage 2
1 Hessische Landesregierung, 19. Bericht über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde, LT-Drucks. 16/ 5892, 11.
Moos
|
865
41
Teil 5 IV
Rz. 41
Rahmenvertrag für EU-Standardvertragsklauseln
Abschnitt der Controller-toController-Klauseln
Spezifizierung durch folgende Informationen
Auswahl gemäß Klausel II. (h)
Option … [Auswahl] wird gewählt.
Datum auf Seite 5
Das Datum des Inkrafttretens gemäß Ziffer 7.2 des Rahmenvertrags
Angaben zur Unterzeichnung für den Datenexporteur und den Datenimporteur auf Seite 5
Die Angaben gemäß den Unterschriftenzeilen des Rahmenvertrags
Anhang B, Betroffene Personen
Die Angaben gemäß Spalte 6 der Matrix
Anhang B, Übermittlungszwecke
Die Angaben gemäß Spalte 2 der Matrix
Anhang B, Kategorien übermittelter Daten
Die Angaben gemäß Spalte 7 der Matrix
Anhang B, Empfänger
Die Angaben gemäß Spalte 9 der Matrix
Anhang B, Sensible Daten
Die Angaben gemäß Spalte 8 der Matrix
Anhang B, Datenschutzmelderegisterangaben des Datenexporteurs (sofern zutreffend)
Die Angaben zu der jeweiligen Vertragspartei gemäß Anlage 1 i.V.m. der Qualifizierung als Datenexporteur gemäß Anlage 2
Anhang B, sonstige nützliche Informationen
Die Angaben gemäß Spalte 10 der Matrix
Anhang B, Anlaufstelle für Datenschutzauskünfte beim Datenimporteur und Datenexporteur
Die Angaben zu der jeweiligen Vertragspartei gemäß Anlage 1 i.V.m. der Qualifizierung als Datenexporteur oder Datenimporteur gemäß Anlage 2
4.4 Soweit sich aus der Matrix ergibt, dass ein Datenexporteur Personenbezogene Daten an einen Datenimporteur in dessen Eigenschaft als Auftragsverarbeiter übermittelt, wird hiermit zwischen den beteiligten XY-Unternehmenseinheiten ein Vertrag unter Einbeziehung der Controller-to-Processor-Klauseln gemäß Anlage 3, Ziffer 2 im Hinblick auf die jeweilige Relevante Datenübermittlung geschlossen. Die notwendige Spezifizierung der Controller-to-Processor-Klauseln je Relevanter Datenübermittlung erfolgt gemäß nachstehender Tabelle: 866
|
Moos
Erläuterungen
Rz. 41 Teil 5 IV
Abschnitt der Controller-toProcessor-Klauseln
Spezifizierung durch folgende Informationen
Bezeichnung der Organisation des Datenexporteurs nebst Anschrift, Kontaktangaben und weiteren Angaben zur Identifizierung der Organisation auf Seite 1
Die Angaben zu der jeweiligen Vertragspartei gemäß Anlage 1 i.V.m. der Qualifizierung als Datenexporteur gemäß Anlage 2
Bezeichnung der Organisation des Datenimporteurs nebst Anschrift, Kontaktangaben und weiteren Angaben zur Identifizierung der Organisation auf Seite 1
Die Angaben zu der jeweiligen Vertragspartei gemäß Anlage 1 i.V.m. der Qualifizierung als Datenimporteur gemäß Anlage 2
Klausel 9, Bestimmung des anwendbaren Rechts
Die Angaben zu dem Sitzland der jeweiligen Vertragspartei gemäß Anlage 1 i.V.m. der Qualifizierung als Datenexporteur gemäß Anlage 2
Klausel 11 (3), Bestimmung des anwendbaren Rechts bei Unterbeauftragungen
Die Angaben zu dem Sitzland der jeweiligen Vertragspartei gemäß Anlage 1 i.V.m. der Qualifizierung als Datenexporteur gemäß Anlage 2
Datum auf Seite 4
Das Datum des Inkrafttretens gemäß Ziffer 7.2 des Rahmenvertrags
Angaben zur Unterzeichnung für den Datenexporteur und den Datenimporteur auf Seite 4
Die Angaben gemäß den Unterschriftenzeilen des Rahmenvertrags ergänzt um die Angaben zu der jeweiligen Vertragspartei gemäß Anlage 1
Anhang 1, Datenexporteur
Die Angaben zu der jeweiligen Vertragspartei gemäß Anlage 1 i.V.m. der Qualifizierung als Datenexporteur gemäß Anlage 2
Anhang 1, Datenimporteur
Die Angaben zu der jeweiligen Vertragspartei gemäß Anlage 1 i.V.m. der Qualifizierung als Datenimporteur gemäß Anlage 2
Anhang 1, Betroffene Personen
Die Angaben gemäß Spalte 6 der Matrix
Anhang 1, Kategorien übermittelter Daten
Die Angaben gemäß Spalte 7 der Matrix Moos
|
867
Teil 5 IV
Rz. 42
Rahmenvertrag für EU-Standardvertragsklauseln
Abschnitt der Controller-toController-Klauseln
Spezifizierung durch folgende Informationen
Anhang 1, Besondere Datenkategorien (falls zutreffend)
Die Angaben gemäß Spalte 8 der Matrix
Anhang 1, Verarbeitung
Die Angaben gemäß Spalten 1, 2 und 10 der Matrix
Anhang 1, Angaben zu und Unter- Die Angaben gemäß den Unterschriften der Bevollmächtigten des schriftenzeilen des Rahmenvertrags Datenexporteurs und des Datenimporteurs Anhang 2, Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4 Buchstabe d und Klausel 5 Buchstabe c eingeführt hat
Die Angaben in Anlage 4 zum Rahmenvertrag
4.5 Soweit sich aus der Matrix ergibt, dass ein Datenimporteur Personenbezogene Daten in seiner Eigenschaft als Auftragsverarbeiter erhält, ist der Datenimporteur verpflichtet, vor der Verarbeitung der übermittelten Personenbezogenen Daten die in Anlage 4 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen zu ergreifen. 4.6 Weiterübermittlungen Personenbezogener Daten von einem Datenimporteur in dessen Eigenschaft als verantwortliche Stelle an eine andere XY-Drittstaat-Unternehmenseinheit erfolgen in entsprechender Anwendung der Bestimmungen, die für die Übermittlung zwischen dem Datenexporteur und dem Datenimporteur gelten. 4.7 Soweit ein Datenimporteur Personenbezogene Daten, die er in seiner Eigenschaft als verantwortliche Stelle von einem Datenexporteur erhalten hat, an einen in einem Drittstaat ansässigen Dritten weiterübermitteln möchte, bei dem es sich nicht um eine Relevante XY-Unternehmenseinheit handelt, verpflichtet er sich hiermit, den Dritten bezüglich dieser Weiterübermittlung auf die Einhaltung der einschlägigen EU-Standardvertragsklauseln zu verpflichten.
a) Ratio 42
Ziffer 4 ist das eigentliche „Kernstück“ des Vertragsmusters. In dieser Regelung finden sich die Festlegungen, wie die EU-Standardverträge zwischen den jeweiligen Unternehmen der XY-Unternehmensgruppe für welche Übermittlungen geschlossen werden.
868
|
Moos
Erläuterungen
Rz. 45 Teil 5 IV
b) Regelungssystematik (Ziffer 4.1) In Ziffer 4.1 wird die grundsätzliche Regelungssystematik des Rahmenvertrags festgelegt. Danach werden zwischen jedem Datenexporteur und jedem Datenimporteur jeweils separate, bilaterale Verträge unter Einbeziehung der jeweiligen EU-Standardvertragsklauseln bezüglich jeder einzelnen, Datenübermittlung geschlossen, die in der Matrix gemäß Anlage 2 angegeben ist.
43
c) Einbeziehung mehrerer EU-Standardvertragsklauselwerke (Ziffer 4.2) Das Vertragsmuster sieht vor, dass ihm sowohl Übermittlungen an verantwortliche Stellen als auch solche an Auftragsverarbeiter unterfallen. Es ist deshalb notwendig, zwei verschiedene EU-Standardvertragsklauselwerke in den Rahmenvertrag zu integrieren. Eine solche Gestaltung lassen die Datenschutzaufsichtsbehörden zu, sofern das Bestimmtheitserfordernis in dem Sinne gewahrt wird, dass bei einem solchen Mehrparteienvertrag klar geregelt wird, wer an wen welche Daten zu welchem Zweck übermittelt1. Hieraus leiten die Datenschutzaufsichtsbehörden u.a. folgende Gestaltungsanforderungen ab:
44
– Es muss ersichtlich sein, welche Unternehmen (Stellen) Datenexporteure und welche Unternehmen Datenimporteure sind. – Ferner muss eindeutig festgelegt sein, welche Rolle der Importeur einnehmen soll, ob er also als eigenständige verantwortliche Stelle („Controller“) fungieren soll oder nur als Datenverarbeitungsdienstleister („Processor“). Letztgenannte Festlegung sei vor allem dann von Bedeutung, wenn einem Rahmenvertrag sowohl die Controller-Processor-Standardvertragsklauseln als auch die Controller-Controller-Standardvertragsklauseln als separate Anhänge angefügt werden. Hier müsse unzweifelhaft festgelegt werden, auf welche Übermittlung welche Standardvertragsklauseln anwendbar sind. Abstrakte Vorgaben etwa in der Art, dass bei Datentransfers an einen Datenverarbeitungsdienstleister die Controller-Processor-Klauseln gelten würden, reichen nicht2. Das Vertragsmuster setzt diese Vorgaben über die Matrix gemäß Anlage 2 um, auf die Ziffer 4.2 verweist. Danach wird in der Matrix für jede Datenübermittlung u.a. verbindlich angegeben, welche Partei Datenexporteur und welche Datenimporteur ist (dies ist jeweils in den Spalten 3 und 4 der Matrix einzutragen) und ob der Datenimporteur jeweils als verantwortliche Stelle oder als Auftragsverarbeiter fungiert (dies ist jeweils in Spalte 5 der Matrix einzutragen).
d) Spezifizierung der EU-Standardvertragsklauseln (Ziffern 4.3 und 4.4) Die Aufsichtsbehörden fordern im Falle der Verwendung eines MehrparteienRahmenvertrags weiterhin, dass die in den Anlagen zu den jeweiligen EU-Stan1 Hessische Landesregierung, 23. Bericht über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde, LT-Drucks. 18/ 2942, 19. 2 Hessische Landesregierung, 23. Bericht über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde, LT-Drucks. 18/ 2942, 19.
Moos
|
869
45
Teil 5 IV
Rz. 46
Rahmenvertrag für EU-Standardvertragsklauseln
dardvertragsklauseln geforderten Angaben in der Weise gemacht werden, dass sie bezüglich des jeweiligen Datentransfers zwischen jedem Exporteur und jedem Importeur dokumentiert sind1. Auch die EU-Kommission verlangt, dass im Falle der Eingehung eines Mehrparteienvertrags die in den Anlagen zu den EU-Standardvertragsklauseln zu machenden Angaben mit demselben Maß an Klarheit und Genauigkeit angegeben werden, wie es beim Abschluss von Einzelverträgen erfolgt2. Diesen Anforderungen würde es nicht genügen, wenn in dem Anhang 1 zu einem solchen Mehrparteienvertrag einfach alle Datentransfers aufgelistet werden3. Hierzu schlagen die Aufsichtsbehörden vor, dass idealerweise so viele Anlagen (pro EU-Standardvertrag) ausgefüllt werden, wie es unterschiedliche Datentransfers gibt, also eine Anlage je Datentransfer, ggf. unterschiedlich je nach Verwendungszweck von einem Exporteur an einen Importeur4. Diese Spezifizierungsanforderungen setzt das Vertragsmuster um, allerdings aus Vereinfachungsgründen nicht dadurch, dass pro Übermittlung jeweils eine gesonderte Anlage erstellt wird. Vielmehr wird versucht, um unnötige Dopplungen zu vermeiden und das Vertragswerk insgesamt handhabbar zu halten, so viele Informationen wie möglich „vor die Klammer zu ziehen“, so dass Spezifizierungen, die für mehrere oder alle Datenübermittlungen identisch sind, nicht zigfach wiederholt werden müssen. Im Übrigen erfolgt die Spezifizierung der notwendigen Informationen im Wesentlichen in Gestalt der Matrix gemäß Anlage 2.
aa) Verwendung und Befüllung der Matrix gemäß Anlage 2 46
Die Matrix gemäß Anlage 2 hat insgesamt zehn Spalten, in die – entsprechend den jeweiligen Spaltenüberschriften – für jeden Datentransfer Folgendes einzutragen ist, wobei nach den Ausfüllhinweisen in den EU-Standardvertragsklauseln jeweils „genaue Angaben“ erforderlich sind5: – Beschreibung der Datenübermittlungen: In diese Spalte ist eine Beschreibung aufzunehmen, um welche Datenübermittlung es geht und welchen grundlegenden Verarbeitungsmaßnahmen die übermittelten personenbezogenen Daten unterzogen werden. 1 Hessische Landesregierung, 23. Bericht über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde, LT-Drucks. 18/ 2942, 19. 2 EU-Kommission, Commission Staff Working Document on the implementation of the Commission decisions on standard contractual clauses fort he transfer of personal data to thirf countries (2001/497/EC and 2002/16/EC), vom 20.1.2006, SEC(2006) 95, S. 8. 3 EU-Kommission, Commission Staff Working Document on the implementation of the Commission decisions on standard contractual clauses fort he transfer of personal data to thirf countries (2001/497/EC and 2002/16/EC), vom 20.1.2006, SEC(2006) 95, S. 8; v. d. Bussche/Voigt/Moos, Kap. 3.4 Rz. 64. 4 Hessische Landesregierung, 23. Bericht über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde, LT-Drucks. 18/ 2942, 19. 5 Soweit in die Matrix Informationen nach Anlage 1 zum Standardvertrag I bzw. nach Anlage B zum Standardvertrag II einzutragen sind, vgl. hierzu auch die Hinweise in Teil 5 I Rz. 43 ff. und Teil 5 II Rz. 80 f.
870
|
Moos
Erläuterungen
Rz. 46 Teil 5 IV
– Übermittlungszwecke: In dieser Spalte ist der jeweilige Zweck zu benennen, zu deren Erfüllung die Daten übermittelt werden; werden mehrere Zwecke verfolgt, sind alle anzugeben. – Datenexporteur: In dieser Spalte sind alle Stellen zu benennen, die die vorn beschriebenen Datenübermittlungen vornehmen; in der Tabelle reicht die Aufnahme einer eindeutigen Firmierung, so dass über die ausführliche Liste der Vertragsparteien gemäß Anlage 1 die weiteren Informationen wie z.B. die Adresse oder die Datenschutzmelderegisterangaben oder die Angaben zur Anlaufstelle für Datenschutzauskünfte 1 etc. zugeordnet werden können. Soweit die EU-Standardvertragsklauseln zusätzlich noch eine kurze Erläuterung der für die Übermittlung relevanten Tätigkeit verlangen2, und sich diese nicht bereits aus den Angaben im Rahmenvertrag oder den sonstigen Anlagen (vor allem Anlage 1 ergibt), kann auch diese Erläuterung hier erfolgen. – Datenimporteur: Diese Spalte ist analog derjenigen zum Datenexporteur auszufüllen. – Qualifizierung des Datenimporteurs als verantwortliche Stelle oder Auftragsverarbeiter: Durch die Angabe in dieser Spalte wird entschieden, welchem der beiden EU-Standardvertragsklauseln in Anhang 3 die jeweilige Datenübermittlung unterworfen wird; wird hier „verantwortliche Stelle“ angegeben, erfolgt gemäß Ziffer 4.3 des Vertragsmusters eine Zuordnung zu den Controller-to-Controller-Klauseln; wird hier „Auftragsverarbeiter“ angegeben, wird ein Vertrag unter Einbeziehung der Controller-to-Processor-Klauseln geschlossen. – Betroffene Personen: In diese Spalte ist eine Beschreibung der Kategorien der von der jeweiligen Übermittlung betroffenen Personen aufzunehmen. – Kategorien personenbezogener Daten: In dieser Spalte ist anzugeben, zu welchen Kategorien personenbezogener Daten die übermittelten Daten gehören. – Sensible Daten/besondere Datenkategorien: Wenn und soweit auch sensible Daten3 bzw. besondere Datenkategorien4 übermittelt werden, sind hier Angaben dazu zu machen, welcher Art diese Daten sind. Der Sache nach dürften in dieser Spalte Angaben angezeigt sein, wenn es sich um besondere Arten personenbezogener Daten i.S.v. § 3 Abs. 9 BDSG handelt. – Empfänger von Weiterübermittlungen: In dieser Spalte sind alle Empfänger abschließend zu benennen, an die der Datenimporteur die Daten weiterübermitteln darf. – Sonstige Informationen: In diese Spalte können alle sonstigen Informationen eingetragen werden, z.B. der maximale Aufbewahrungszeitraum der Daten5, oder Angaben die nur für eine bestimmte Übermittlung (z.B. besondere 1 2 3 4 5
Vgl. Anlage B zum Standardvertrag II. Vgl. Anlage 1 zum Standardvertrag I. So die Wortwahl in den Standardverträgen I und II. So die Wortwahl in den Controller-to-Processor-Klauseln. Erforderlich nach Anlage 1 zum Standardvertrag I.
Moos
|
871
Teil 5 IV
Rz. 47
Rahmenvertrag für EU-Standardvertragsklauseln
Sicherheitsmaßnahmen) oder nur nach den Datenschutzvorschriften eines bestimmten EWR-Vertragsstaats notwendig sind. 47
Die Datenverarbeitungspraxis in Konzernen ist oftmals nicht vollständig homogen und zudem einem stetigen Wandel unterworfen. Die Verarbeitungsszenarien können z.B. zwischen verschiedenen Gruppenunternehmen stark variieren, z.B. weil ein Roll-Out bestimmter Verarbeitungssysteme sukzessive erfolgt oder weil bestimmte Funktionen bei manchen Unternehmen bestehen, bei anderen nicht (etwa eigenständige Personalabteilungen oder andere Zentralfunktionen). Hieraus ergibt sich in der Praxis oftmals ein Bedürfnis, die Festlegungen in dem Rahmenvertrag – und vor allem bezüglich der erfassten Datenübermittlungen – möglichst weit zu fassen, damit das Maximum an Übermittlungen erfasst wird, auch wenn solche Übermittlungen für manche Gruppenunternehmen gar nicht relevant sind. Die Datenschutzaufsichtsbehörden lassen es zu, wenn zunächst quasi als Rahmen das Maximum der Übermittlungen je Standardvertrag festgelegt wird, also die Gesamtheit aller Datenübermittlungen, die in der Summe von den Datenexporteuren zu den Datenimporteuren erfolgen und Spezifizierungen dann separat vorgenommen werden1. Nach Vorstellung der Aufsichtsbehörden könnte etwa in einem Länderzusatz für Deutschland festgelegt werden, was für die Datentransfers aus Deutschland gilt. Weitere Präzisierungen entsprechend den obigen Anforderungen können auch in anderer Weise dokumentiert werden; etwa indem die Befugnis zur Spezifizierung an eine der Vertragsparteien delegiert wird, die diese Präzisierung dann aber spätestens vornehmen muss, bevor die konkrete Übermittlung erfolgt2. Das Vertragsmuster und die Matrix sind grundsätzlich so gestaltet, dass bereits mit Vertragsschluss bezüglich der erfassten Datenübermittlungen alle erforderlichen Spezifizierungen erfolgen. Soll ein anderer Weg gewählt und das Maximum der Datenverarbeitungen zunächst in abstrakterer Weise erfasst werden, wären die Regelungen entsprechend anzupassen und vor allem Bestimmungen dazu vorzusehen, wie später notwendige Spezifizierungen erfolgen. Ergänzt werden könnte dann auch die Bevollmächtigung in Ziffer 8.1 des Vertragsmusters, um explizit die dann im Einzelfall notwendigen Spezifizierungen abzudecken.
48
Eine konkrete Zuordnung, welche der von den jeweiligen EU-Standardvertragsklauseln geforderte Spezifizierung dabei durch welche konkrete Angabe bzw. Vertragsregelung erfolgt, ist den in Ziffern. 4.3 bzw. 4.4 jeweils enthaltenen Tabellen zu entnehmen.
1 Hessische Landesregierung, 23. Bericht über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde, LT-Drucks. 18/ 2942, 19. 2 Hessische Landesregierung, 23. Bericht über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde, LT-Drucks. 18/ 2942, 19.
872
|
Moos
Erläuterungen
Rz. 50 Teil 5 IV
bb) Spezifizierung der Controller-to-Controller-Klauseln (Ziffer 4.3) Ziffer 4.3 des Musters regelt den Abschluss von Verträgen unter Einbeziehung der Controller-to-Controller-Klauseln. In welchen Fällen dies tatsächlich erfolgt, ergibt sich aus der Matrix gemäß Anlage 2. Wenn für eine Datenübermittlung dort angegeben ist, dass der Datenimporteur als verantwortliche Stelle fungiert, wird im Hinblick auf die jeweilige Datenübermittlung zwischen den beteiligten Stellen ein Vertrag unter Einbeziehung der Controller-toController-Klauseln geschlossen, die dem Vertrag als Anlage 3 unter Ziffer 1 vollständig und im Originalwortlaut einschließlich Anlagen beizufügen wären.
49
Das Muster geht davon aus, dass dem Rahmenvertrag die alternativen Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer vom 27.12.2004 (sog. Standardvertrag II)1 beigefügt werden. Alternativ wäre natürlich auch eine Verwendung des Standardvertrags I2 möglich3. Um vor allem gegenüber Aufsichtsbehörden und Gerichten zweifelsfrei belegen zu können, dass alle von den EU-Standardvertragsklauseln geforderte Spezifizierungen für alle relevanten Datenübermittlungen durch den Rahmenvertrag einschließlich seiner Anlagen vorgenommen worden sind, wird in Ziffer 4.3 in Tabellenform jeweils die zu spezifizierende Angabe gemäß EU-Standardvertrag (linke Spalte) und die der Ausfüllung dienende Angabe gemäß Rahmenvertrag (rechte Spalte) aufgelistet.
cc) Spezifizierung der Controller-to-Processor-Klauseln (Ziffer 4.4) Ziffer 4.4 des Musters regelt den Abschluss von Verträgen unter Einbeziehung der Controller-to-Processor-Klauseln. In welchen Fällen dies tatsächlich erfolgt, ergibt sich wiederum aus der Matrix gemäß Anlage 2. Wenn für eine Datenübermittlung dort angegeben ist, dass der Datenimporteur als Auftragsverarbeiter fungiert, wird im Hinblick auf die jeweilige Datenübermittlung zwischen den beteiligten Stellen ein Vertrag unter Einbeziehung der Controller-to-ProcessorKlauseln geschlossen, die dem Vertrag als Anlage 3 unter Ziffer 2 vollständig und im Originalwortlaut einschließlich Anlagen beizufügen wären. Auch in Ziffer 4.4 ist wiederum eine Tabelle enthalten, die den Ergänzungsbedarf gemäß dem EU-Standardvertrag (linke Spalte) und die der Ausfüllung dienende Angabe gemäß Rahmenvertrag (rechte Spalte) gegenüberstellt.
1 Entscheidung 2004/915/EG der Kommission v. 27.12.2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, ABl. L 385 v. 29.12.2004, S. 74. 2 Entscheidung 2001/497/EG der Kommission v. 15.6.2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG, ABl. L 181 v. 4.7.2001, S. 19. 3 Hierzu und zu Entscheidungskriterien für die Wahl zwischen den beiden Standardverträgen Teil 5 II Rz. 10 ff.
Moos
|
873
50
Teil 5 IV
Rz. 51
Rahmenvertrag für EU-Standardvertragsklauseln
e) Beschreibung der technischen und organisatorischen Maßnahmen (Ziffer 4.5) 51
Im Unterschied zu den Übermittlungen an verantwortliche Stellen ist hier zusätzlich gemäß Klausel 4 Buchtst. d und Klausel 5 Buchst. e des EU-Standardvertrags für Auftragsverarbeiter eine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur eingeführt hat, vorzunehmen. Das Vertragsmuster sieht insoweit vor, diese Maßnahmen mit Verbindlichkeit für alle Übermittlungen an Auftragsverarbeiter in Anlage 4 zum Rahmenvertrag zu beschreiben und verweist in Ziffer 4.5 folglich wegen der Spezifizierung dieser Maßnahmen auf Anlage 4. Eine derartige übergreifende Festlegung der technischen und organisatorischen Maßnahmen für alle relevanten Datenübermittlungen ist grundsätzlich möglich. Im Hinblick auf die zusammenfassende Reglung mehrerer Unterauftragsverhältnisse nach den EU-Standardvertragsklauseln für Übermittlungen an Auftragsverarbeiter in einem Vertrag lässt es die Artikel-29-Datenschutzgruppe ausreichen, wenn bezüglich des Anhangs 2 zu technischen und organisatorischen Maßnahmen auf eine allgemeine Vereinbarung Bezug genommen wird; vorausgesetzt allerdings, die Maßnahmen sind auch für alle Verträge identisch und erfüllen die Anforderungen des Datenexporteurs1. Das Gleiche muss auch für einen Mehrparteien-Rahmenvertrag gelten. Für den Fall allerdings, dass einzelne Übermittlungen spezifische Maßnahmen erfordern, wären diese zusätzlich zu vereinbaren. Dies kann dann z.B. durch Beschreibung der Maßnahmen in Spalte 10 der Matrix erfolgen.
f) Regelungen zu Weiterübermittlungen (Ziffer 4.6 und 4.7) 52
Ziffern 4.6 und 4.7 des Musters enthalten spezielle inhaltliche Regelungen bezüglich der Zulässigkeit von Weiterübermittlungen personenbezogener Daten von einem Datenimporteur an einen Dritten. Zwar enthalten auch die EU-Standardvertragsklauseln selbst Regelungen dazu, unter welchen Voraussetzungen Weiterübermittlungen zulässig sind; z.B. Ziffer II Buchst. i) des Standardvertrags II, der dem Datenimporteur verschiedene Rechtfertigungsmöglichkeiten bietet. Bei konzerninternen Datentransfers ist dieser flexible Handlungsrahmen jedoch meistens nicht passend, sondern will der Datenexporteur verbindlichere Vorgaben machen, wobei freilich darauf zu achten ist, dass keine Änderungen an den EU-Standardvertragsklauseln erfolgen, die eine behördliche Genehmigungspflicht erzeugen2. In diesem Sinne sieht Ziffer 4.6 bezüglich Weiterübermittlungen an andere Parteien des Rahmenvertrags außerhalb des EWR vor, dass diese in entspre1 Artikel-29-Datenschutzgruppe, Häufig gestellte Fragen zu bestimmten Aspekten im Zusammenhang mit dem Inkrafttreten des Beschlusses 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG, 12. Juli 2010, WP 176, S. 8. 2 In Deutschland wird das jedenfalls abgelehnt für solche Änderungen, die für die Betroffenen ausschließlich vorteilhaft sind; vgl. Teil 5 I Rz. 20.
874
|
Moos
Erläuterungen
Rz. 55 Teil 5 IV
chender Anwendung der Bestimmungen zu erfolgen haben, die für die Übermittlung zwischen dem Datenexporteur und dem Datenimporteur gelten (also den Rahmenvertragsvorschriften einschließlich der EU-Standardvertragsklauseln). Für Weiterübermittlungen an einen in einem Drittstaat ansässigen Dritten, der nicht Vertragspartei ist, muss der Dritte auf die Einhaltung der einschlägigen EU-Standardvertragsklauseln verpflichtet werden.
6. Erläuterungen zu Ziffer 5 53
E 5. Rechte Dritter Die Vertragsparteien stellen klar, dass Dritte, die nicht Vertragspartei sind, keine Rechte aus diesem Rahmenvertrag herleiten oder solche Rechte gegenüber einer der Vertragsparteien geltend machen können. Das gilt vor allem für von den Relevanten Datenübermittlungen betroffene Personen. Die Rechte solcher Personen gemäß den EU-Standardvertragsklauseln, insbesondere gemäß den entsprechenden Drittbegünstigungsklauseln, bleiben unberührt.
a) Ratio Ziffer 5 dient der Klarstellung, dass es sich bei dem Rahmenvertrag selbst nicht um einen echten Vertrag zugunsten Dritter handelt.
54
b) Kein Vertrag zugunsten Dritter Gem. § 328 Abs. 1 BGB kann durch Vertrag eine Leistung an einen Dritten mit der Wirkung bedungen werden, dass der Dritte unmittelbar das Recht erwirbt, die Leistung zu fordern (sog. echter Vertrag zugunsten Dritter). Die EUStandardvertragsklauseln enthalten entsprechende Drittbegünstigtenklauseln: Gem. Klausel III b) des Standardvertrags II bzw. Klausel 3 des Standardvertrags für Auftragsverarbeiter sind die Vertragsparteien verpflichtet, den betroffenen Personen das Recht einzuräumen, bestimmte Rechte aus den jeweiligen EUStandardvertragsklauseln als Drittbegünstigte selbst unmittelbar gegenüber den Vertragsparteien durchzusetzen. Insoweit sind die EU-Standardvertragsklauseln folglich als Vertrag zugunsten Dritter einzustufen1. Vor diesem Hintergrund dient die Regelung in Ziffer 5 der Klarstellung, dass sich die Drittbegünstigung zugunsten der Betroffenen auf die explizit in den EU-Standardvertragsklauseln vorgesehenen Fälle beschränkt. Eine solche Klarstellung erscheint vor allem wegen § 328 Abs. 2 BGB sinnvoll. Nach dieser gesetzlichen Auslegungsregel wäre in Ermangelung einer besonderen Bestimmung aus den Umständen, insbesondere aus dem Zwecke des Vertrags, zu entnehmen, ob ein Dritter ein Recht erwerben, unter welchen Voraussetzungen es entstehen und ob den Vertragsschließenden die Befugnis vorbehalten sein soll, das Recht des Dritten ohne dessen Zustimmung aufzuheben oder zu ändern. Gerade der Umstand, dass die EU-Standardvertragsklauseln entsprechende Drittbegünstigungsregelungen enthalten, könnte im Rahmen der Vertragsaus1 S. Teil 5 I Rz. 53.
Moos
|
875
55
Teil 5 IV
Rz. 56
Rahmenvertrag für EU-Standardvertragsklauseln
legung als Indiz dafür herangezogen werden, dass auch (bestimmte) Regelungen des Rahmenvertrags eine solche Wirkung entfalten sollen. Zwar soll sich nach einer Stellungnahme der EU-Kommission die Drittbegünstigung gemäß den Standardvertragsklauseln nicht auf ergänzende Klauseln beziehen, die die Vertragsparteien zusätzlich vereinbaren1. Ob sich eine Aufsichtsbehörde oder ein Gericht dieser Sichtweise aber im Falle der Einbettung in einen Rahmenvertrag anschließen würde, ist offen. Durch den expliziten Ausschluss der Drittbegünstigung bezüglich der Rahmenvertragsregelungen in Ziffer 5 wird eine solche ungewollte Konsequenz vermieden.
7. Erläuterungen zu Ziffer 6 56
E 6. Zusammenarbeit mit Aufsichtsbehörden Die Vertragsparteien erklären sich hiermit damit einverstanden, dass jede Vertragspartei der für sie zuständigen Datenschutzaufsichtsbehörde eine Kopie dieses Rahmenvertrags zur Verfügung stellen darf, sofern die jeweilige Aufsichtsbehörde dies im Einklang mit dem Anwendbaren Datenschutzrecht verlangt oder es das Anwendbare Datenschutzrecht vorschreibt.
a) Ratio 57
Ziffer 6 gestattet den Vertragsparteien, im Rahmen des gesetzlich Notwendigen den Rahmenvertrag bei der zuständigen Datenschutzaufsichtsbehörde vorzulegen.
b) Befugnis zur Vorlage des Rahmenvertrags 58
Die Regelung dient dazu sicherzustellen, dass die Pflichten der Vertragsparteien nach den EU-Standardvertragsklauseln nicht beschränkt werden. Die EUStandardvertragsklauseln enthalten selbst Verpflichtungen der Parteien, eine Kopie des jeweiligen Standardvertrags bei der Aufsichtsbehörde zu hinterlegen, wenn die Aufsichtsbehörde es verlangt oder das nationale Recht es so vorsieht2. Diese Befugnis der Aufsichtsbehörden darf nach Meinung der EU-Kommission durch die Verwendung eines Mehrparteienvertrags nicht eingeschränkt sein3. Auch in Deutschland wird eine Verpflichtung zur Vorlage des Vertragswerks auf Aufforderung der Behörde angenommen4. Da aufgrund der Rahmenvertrags1 EU-Kommission, Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Verarbeiter in Drittländern – Häufig Gestellte Fragen (FAQ), 18. Juni 2011, MEMO/01/228, S. 3; abrufbar unter http://europa.eu/rapid/press-release_MEMO-01_ 228_de.htm. 2 Vgl. z.B. Klausel 8 des Standardvertrags II sowie Klausel 8 der Controller-to-ProcessorKlauseln. 3 EU-Kommission, Commission Staff Working Document on the implementation of the Commission decisions on standard contractual clauses fort he transfer of personal data to thirf countries (2001/497/EC and 2002/16/EC), vom 20.1.2006, SEC(2006) 95, S. 8. 4 Gola/Schomerus, § 4c BDSG Rz. 14; Innenministerium Baden-Württemberg, Hineise zum Datenschutz für private Organisationen (Nr. 40), Bekanntmachung vom 18.2.2002, S. 16.
876
|
Moos
Erläuterungen
Rz. 62 Teil 5 IV
konstruktion aber eine separate Vorlage nur der jeweiligen Verträge auf Basis der EU-Standardvertragsklauseln ausscheidet, stellt Ziffer 6 vor diesem Hintergrund klar, dass alle Vertragsparteien zu einer entsprechenden Vorlage des gesamten Rahmenvertrags berechtigt sind.
8. Erläuterungen zu Ziffer 7 59
E 7. Vertragsschluss, Inkrafttreten 7.1 Dieser Rahmenvertrag kann in beliebig vielen Kopien ausgefertigt werden und von den Vertragsparteien auf verschiedenen Kopien unterzeichnet werden, wobei jede Kopie als Original gilt und alle Kopien zusammen als derselbe Vertrag angesehen werden. 7.2 Dieser Rahmenvertrag tritt mit Unterzeichnung durch mindestens einen Datenexporteur und mindestens einen Datenimporteur in Kraft und gilt für und gegen eine Vertragspartei, sobald die jeweilige Vertragspartei eine Kopie dieses Rahmenvertrags gemäß Ziffer 7.1 unterzeichnet hat und die Voraussetzung gemäß dem 1. Halbsatz erfüllt ist. 7.3 Mit Inkrafttreten dieses Rahmenvertrags treten die in Anlage 5 genannten Verträge zwischen Relevanten XY-Unternehmenseinheiten über die Übermittlung Personenbezogener Daten außer Kraft. 7.4 Sonstige XY-Unternehmenseinheiten können diesem Rahmenvertrag nachträglich beitreten, ohne dass die Vertragsparteien eine weitere Ausfertigung dieses Rahmenvertrags unterzeichnen müssen.
a) Ratio Ziffer 7 regelt die Modalitäten des Vertragsschlusses und des Inkrafttretens unter Berücksichtigung der Besonderheiten, die sich daraus ergeben, dass es sich um einen Mehrparteienvertrag handelt.
60
b) Mehrere Ausfertigungen (Ziffer 7.1) Je nach der Größe der Unternehmensgruppe kann es sein, dass es eine zweioder sogar dreistellige Anzahl an Vertragsparteien gibt. Es ist deshalb logistisch kaum zu bewerkstelligen, dass alle Vertragsparteien auf derselben Vertragsurkunde unterschreiben. Ziffer 7.1 lässt es deshalb in Anlehnung an § 126 Abs. 2 BGB (der hier mangels gesetzlich angeordneter Schriftform nicht greift) ausdrücklich zu, dass der Rahmenvertrag in beliebig vielen Kopien ausgefertigt wird und jede der Vertragsparteien auf nur jeweils einer solchen Ausfertigung unterzeichnet.
61
c) Inkrafttreten (Ziffer 7.2) Wegen der vermutlich großen Anzahl an Vertragsparteien kann es – trotz der Möglichkeit zur Unterzeichnung separater Ausfertigungen – einige Zeit in Anspruch nehmen, bis alle Vertragsparteien den Vertrag tatsächlich unterzeichnet Moos
|
877
62
Teil 5 IV
Rz. 63
Rahmenvertrag für EU-Standardvertragsklauseln
haben. Sofern für die Datenübermittlungen auf 2. Stufe kein anderer Erlaubnistatbestand greift, dürfen sie nicht vor Inkrafttreten des Vertrags erfolgen. Damit die Datenübermittlungen aber nicht so lange aufgeschoben werden müssen, bis die letzte Vertragspartei unterzeichnet hat, soll der Vertrag nach Ziffer 7.2 bereits dann – für die unterzeichnenden Vertragsparteien – in Kraft treten, sobald mindestens ein Datenexporteur und ein Datenimporteur den Vertrag angenommen haben.
d) Außerkrafttreten von Altverträgen (Ziffer 7.3) 63
Oft ist es in der Unternehmenspraxis so, dass eine solche Rahmenvertragslösung nicht „auf der grünen Wiese“ entsteht. Vielmehr existieren typischerweise schon eine Vielzahl von Einzelverträgen; zumeist ebenfalls auf Basis der EU-Standardvertragsklauseln. Um eine Parallelität solcher Vertragsverhältnisse zu vermeiden, ist es ratsam, die Einzelverträge aufzuheben. Hierzu dient die Regelung in Ziffer 7.3. Die Spezifizierung der aufzuhebenden Verträge erfolgt über eine Anlage.
e) Beitritt (Ziffer 7.4) 64
Wie bereits oben erläutert, müssen von dem Rahmenvertrag nicht zwangsläufig alle konzernangehörigen Unternehmen als Vertragspartei erfasst sein (siehe Rz. 5). Es kann aber der Wunsch bestehen, dass Konzernunternehmen dem Rahmenvertrag nachträglich beitreten, z.B. wenn sich Datenverarbeitungsrealitäten ändern, neue Unternehmen gekauft oder gegründet werden, etc. Ziffer 7.4 regelt den Beitritt in vertragstechnischer Sicht so, dass ein Beitritt schlicht durch Unterzeichnung einer weiteren Ausfertigung durch das beitretende Unternehmen erfolgen kann, ohne dass die bisherigen Vertragsparteien selbst eine weitere Ausfertigung des Rahmenvertrags unterzeichnen müssen. Die Vertragsparteien geben hiermit somit vorab ihre Zustimmung zum Beitritt anderer XY-Konzernunternehmen.
9. Erläuterungen zu Ziffer 8 65
E 8. Vertragsbeitritt, Änderungen und Beendigung 8.1 Die Vertragsparteien bevollmächtigen hiermit die … [XY-Muttergesellschaft] dazu, in ihrem Namen folgende Vereinbarungen rechtswirksam abzuschließen: a) Beitrittsvereinbarungen, die in Form und Inhalt im Wesentlichen dem Muster gemäß Anlage 6 entsprechen, kraft derer eine Sonstige XY-Unternehmenseinheit in diesen Rahmenvertrag als Datenexporteur oder Datenimporteur mit der Wirkung einbezogen wird, dass sie zu einer Relevanten XY-Unternehmenseinheit wird, die an die Bestimmungen dieses Rahmenvertrags einschließlich seiner Anlagen gebunden ist; b) jede Änderung oder Ergänzung dieses Rahmenvertrags, die aufgrund einer Änderung des Anwendbaren Datenschutzrechts notwendig wird; 878
|
Moos
Erläuterungen
Rz. 68 Teil 5 IV
c) jede Vereinbarung, durch die die Rechte oder Pflichten einer Vertragspartei unter diesem Rahmenvertrag beendet werden; vorausgesetzt, der jeweiligen Vertragspartei wird eine solche Beendigung rechtzeitig (im Regelfall zwei Monate) vorher angezeigt. 8.2 Die Vertragsparteien stellen klar, dass jeder bilaterale Vertrag unter Einbeziehung der EU-Standardvertragsklauseln gemäß Ziffer 4.1 von den Parteien des jeweiligen Vertrags in Übereinstimmung mit dessen Bestimmungen beendet werden kann, ohne dass es irgendeiner Art von Mitwirkung oder Beteiligung der anderen Vertragsparteien dieses Rahmenvertrags bedarf. Der Rahmenvertrag gilt im Falle einer wirksamen Beendigung eines solchen Vertrags als entsprechend geändert.
a) Ratio Ziffer 8 dient dazu, Verfahrensregelungen zu einem möglichen Vertragsbeitritt sowie zu Vertragsänderungen und -beendigungen festzulegen.
66
b) Bevollmächtigung der Konzernmuttergesellschaft (Ziffer 8.1) Einen Vorteil, den die Rahmenvertragsvariante bringen soll, ist die gegenüber einer Vielzahl von Einzelverträgen leichtere Administrierbarkeit. Angesichts einer eventuell sehr großen Anzahl an Vertragsparteien kann das nur erreicht werden, wenn eine Vertragspartei bevollmächtigt wird, künftige Anpassungen des Vertrags – jedenfalls in einem gewissen, die üblichen Entwicklungen in einem Konzernverbund abdeckenden Rahmen – stellvertretend für alle Parteien vorzunehmen.
67
Eine solche Regelung ist in Ziffer 8.1 enthalten. Die Klausel sieht eine entsprechende Bevollmächtigung der Konzernmuttergesellschaft vor. Inhaltlich umfasst die Bevollmächtigung den Abschluss von Beitrittsvereinbarungen mit weiteren Konzernunternehmen, die Anpassung des Rahmenvertrags an Änderung des Datenschutzrechts sowie den Abschluss von Aufhebungsvereinbarungen mit einzelnen Konzernunternehmen. Damit für die Vollmachtgeber der Umfang der jeweiligen Befugnisse hinreichend klar umrissen und nicht uferlos ist, sieht das Muster die Beifügung einer Standardbeitrittsvereinbarung als Anlage vor, die von der Konzernmutter zu verwenden ist. Außerdem soll zum Schutz der Vertragsparteien vor dem Abschluss einer Aufhebungsvereinbarung eine rechtzeitige Information der betroffenen Vertragspartei erfolgen.
c) Beendigung der Standardverträge (Ziffer 8.2) Ziffer 8.2 dient im Wesentlichen wieder dazu, Kollisionen mit den Bestimmungen der EU-Standardvertragsklauseln zu vermeiden, damit das Genehmigungserfordernis wegen einer vermeintlichen Änderung der Klauseln nicht wieder auflebt. Da die EU-Standardvertragsklauseln teilweise selbst RegelunMoos
|
879
68
Teil 5 IV
Rz. 69
Rahmenvertrag für EU-Standardvertragsklauseln
gen zur Vertragsbeendigung enthalten1, wird in Ziffer 8.2 klargestellt, dass die Beendigungsregelungen der EU-Standardvertragsklauseln unberührt bleiben und insbesondere keinerlei Mitwirkung oder Beteiligung der anderen Vertragsparteien des Rahmenvertrags hierfür notwendig ist. Das ergibt sich zwar streng genommen schon aus dem Umstand, dass es sich nur bei dem Rahmenvertrag um einen Mehrparteienvertrag handelt, nicht aber bei den auf seiner Basis erzeugten Verträgen unter Einbeziehung der EU-Standardvertragsklauseln2; die Klarstellung hier schadet aber jedenfalls nicht.
10. Erläuterungen zu Ziffer 9 69
E 9. Anwendbares Recht, Gerichtsstand 9.1 Vorbehaltlich der Regelung in Ziffer 9.2 unterliegt dieser Rahmenvertrag dem Recht der Bundesrepublik Deutschland und ist Erfüllungsort und ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Rahmenvertrag … [Sitz der XY-Muttergesellschaft]. 9.2 Für die nach Maßgabe von Ziffer 4 dieses Rahmenvertrags bezüglich Relevanter Datenübermittlungen geschlossenen bilateralen Verträge zwischen einem Datenexporteur und einem Datenimporteur unter Einbeziehung der jeweiligen EU-Standardvertragsklauseln gilt das Recht des Mitgliedstaates, in dem der jeweilige Datenexporteur niedergelassen ist.
a) Ratio 70
Ziffer 9 regelt das auf den Rahmenvertrag anwendbare Recht und den Gerichtsstand.
b) Anwendbares Recht und Gerichtsstand (Ziffer 9.1 und 9.2) 71
Ziffer 9.1 unterwirft den Rahmenvertrag dem Recht der Bundesrepublik Deutschland. Eine solche Gestaltung ist grundsätzlich zulässig. Insbesondere ergeben sich insoweit aus dem Datenschutzrecht keine Beschränkungen bzgl. der Rechtswahlfreiheit3. Hat die Konzernmutter allerdings ihren Sitz nicht in Deutschland, wird sie vermutlich eine Rechtswahl zugunsten ihres Sitzstaates bevorzugen. Auch im Hinblick auf die Rechtswahlklausel ist eine Kollision mit den Bestimmungen der EU-Standardvertragsklauseln zu vermeiden, um das Genehmigungserfordernis zu vermeiden. Deshalb wird in Ziffer 9.1 i.V.m. 9.2 klargestellt, dass die Regelungen der EU-Standardvertragsklauseln zum auf sie anwendbaren Recht4, unberührt bleiben. Die Rechtswahl bezieht sich deshalb nur auf die Rahmenvertragsvorschriften, nicht aber die inkorporierten EUStandardvertragsklauseln. 1 2 3 4
Vgl. Ziffer VI des Standardvertrags II. Vgl. Ziffer 4.1 des Musters. Drechsler, CRi 2011, 161 (164). Ziffer IV des Standardvertrags II und Klausel 9 der Controller-to-Processor-Klauseln.
880
|
Moos
V. Verbindliche Unternehmensregelungen (Binding Corporate Rules) Literaturverzeichnis: Abel, Umsetzung der Selbstregulierung, Probleme und Lösungen, RDV 2003, 11; Breidenbach, Auskunft nach BDSG und TDDSG, DuD 2005, 510; Conrad/ Hausen, Datenschutzgerechte Löschung personenbezogener Daten, ITRB 2011, 35; Filip, Binding Corporate Rules (BCR) aus der Sicht einer Datenschutzaufsichtsbehörde – Praxiserfahrungen mit der europaweiten Anerkennung von BCR, ZD 2013, 51; Gola/Schomerus, BDSG, 11. Aufl. 2012; Gola/Wronka, Handbuch Arbeitnehmerdatenschutz, 6. Aufl. 2013; Grapentin, Haftung und anwendbares Recht im internationalen Datenverkehr, EUStandardvertragsklauseln und Binding Corporate Rules, CR 2011, 102; Grapentin, Datenschutz und Globalisierung – Binding Corporate Rules als Lösung?, CR 2009, 693; Heil, Privacy Policies, Binding Corporate Rules und verbindliche Unternehmensregelungen, DuD 2009, 228; Hoeren, EU-Standardvertragsklauseln, BCR und Safe Harbor Principles – Instrumente für ein angemessenes Datenschutzniveau, RDV 2012, 271; Hoeren/Sieber, Multimedia-Recht, 2012; Kort, Verhaltensstandardisierung durch Corporate Compliance, NZG 2008, 81; Möller/Florax, Kreditwirtschaftliche Scoring-Verfahren, MMR 2002, 806; Moos, Die Entwicklung des Datenschutzrechts im Jahr 2012, KuR 2013, 150; Münch, Technisch-organisatorischer Datenschutz, Leitfaden für Praktiker, 4. Aufl. 2010; Plath, BDSG, 2013; Räther/Seitz, Übermittlung personenbezogener Daten in Drittstaaten, MMR 2002, 425; Schaar, Datenschutzrechtliche Einwilligung im Internet, MMR 2001, 644; Schaffland/Wiltfang, Bundesdatenschutzgesetz, Loseblattwerk, Stand 2013; Schröder, Die Haftung für Verstöße gegen Privacy Policies und Codes of Conduct nach US-amerikanischem und deutschem Recht, 2007; Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2011; Starosta, Transnationaler Datenaustausch zur Terrorismusbekämpfung, DuD 2010, 236; Taeger/Gabel, Kommentar zum BDSG, 2010; Tinnefeld/Rauhofer, Whistleblower: Verantwortungsbewußte Mitarbeiter oder Denunzianten?, DuD 2008, 717; Wisskirchen, Grenzüberschreitender Transfer von Arbeitnehmerdaten, CR 2004, 862.
A. Einleitung I. Verbindliche Unternehmensregelungen als rechtssicherer Rahmen 1. Sinn und Zweck von BCR Weltweit operierende Konzerne sind aufgrund der fortschreitenden Globalisierung und der zunehmenden Vernetzung der unternehmensinternen Strukturen auf Datenübertragungen an Empfänger außerhalb der EU/EWR-Mitgliedstaaten angewiesen. Daten von Kunden, Mitarbeitern oder Vertragspartnern verbleiben meist nicht mehr bei dem ursprünglichen Unternehmen oder Unternehmensteil, von dem die Daten erhoben wurden, sondern werden an andere Unternehmen des Konzerns, etwa zur Einrichtung einer zentralen Kundendatenbank, übermittelt oder – zunehmend – in übergreifenden technischen Strukturen, sog. „Clouds“, bereitgestellt. Dabei ist der Datentransfer in Länder außerhalb der EU/des EWR aufgrund der strengen europäischen und nationalen Anforderungen an den Datenschutz mit hohen Risiken verbunden, denn jeder Datenaustausch, auch wenn er innerhalb einer Unternehmensgruppe vorgenommen wird, stellt aufgrund des fehlenden Konzernprivilegs eine Datenübermittlung Abel/Schulte
|
881
1
Teil 5 V
Rz. 2
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
dar, die die einschlägigen datenschutzrechtlichen Anforderungen erfüllen muss. Zur Sicherstellung der datenschutzrechtlichen Anforderungen bei internationalen Datentransfers gewinnen daher verbindliche Unternehmensregelungen oder Binding Corporate Rules (BCR) zunehmend an Bedeutung. In diesen Regelungen werden die Grundsätze zum Umgang mit persönlichen Daten für sämtliche Unternehmensteile verbindlich festgelegt und konzernweit geltende Datenschutzgarantien aufgestellt. Dies führt in erster Linie dazu, dass die Unternehmensgruppe nach Anerkennung der BCR durch die Datenschutzbehörden und ggf. eingeholter behördlicher Genehmigungen1 innerhalb der Unternehmensgruppe einen rechtssicheren Rahmen für ihre unternehmens- und/ oder gruppeninternen Datentransfers erhält, darüber hinaus aber auch zu einer Stärkung des Kundenvertrauens und einer positiven Außenwirkung. 2
Macht ein Unternehmen Angaben über Vorhandensein, behördliche Anerkennung und/oder Befolgung von Verhaltenskodices bzw. BCR, müssen diese den Tatsachen entsprechen. Diesbezüglich falsche Behauptungen gelten als Irreführung und unlauteres Verhalten im Geschäftsverkehr (§ 5 Abs. 1 Satz 1 Nr. 6 UWG), werden dementsprechend sanktioniert bzw. führen zur Unzulässigkeit der BCR2.
2. Rechtsgrundlage für BCR 3
Die Richtlinie 95/46/EG erwähnt die BCR nicht ausdrücklich. Art. 26 Abs. 2 Richtlinie 95/46/EG sieht aber vor, dass eine Ausnahme von dem Erfordernis eines angemessenen Schutzniveaus gemacht werden kann, wenn ein Unternehmen Vertragsklauseln verwendet, die ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte herstellen.
4
Im deutschen Recht gelten lediglich zwei Regelungen: § 4c Abs. 2 BDSG, der für grenzüberschreitende Datentransfers Anwendung findet, lässt verbindliche Unternehmensregelungen als ausreichende Garantien im Sinne dieser Vorschrift für eine Genehmigungsfähigkeit dieser Transfers zu. § 38a BDSG hingegen regelt die Anerkennung allgemeiner Verhaltensregelungen, meist als Code of Conduct bezeichnet, durch Berufs- und Dachverbände für deren Mitglieder. Dabei handelt es sich nicht um BCR im engeren Sinne, weswegen diese nicht unmittelbarer Gegenstand des hier vorgestellten Vertragsmusters sind.
5
In Art. 38 Nr. 1 i.V.m. Art. 43 des Entwurfs für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Entwurf für eine Datenschutz-Grundverordnung)3 ist erstmals eine ausdrückliche Regelung zu den BCR vorgesehen. 1 Vgl. zum weiteren Verfahren Rz. 17, 134. 2 Gola/Schomerus, § 38a BDSG Rz. 3a. 3 Abrufbar unter: http://ec.europa.eu/justice/data-protection/document/review2012/ com_2012_11_de.pdf (Stand 25.1.2012).
882
|
Abel/Schulte
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
Rz. 8 Teil 5 V
3. Inhaltliche Vorgaben für BCR In der Praxis können sich bei der Gestaltung von BCR erhebliche Schwierigkeiten ergeben, da sich konkrete inhaltliche Vorgaben weder aus Art. 26 Abs. 2 Richtlinie 95/46/EG noch aus § 4c Abs. 2 BDSG ergeben. Die Artikel-29-Datenschutzgruppe hat eine Reihe von Arbeitspapieren (Working Paper [WP]) erarbeitet, die zwar nicht verbindlich sind, aber eine – gelegentlich idealtypische – Hilfestellung zur Formulierung von BCR aus Sicht der Datenschutzbehörden darstellen1. Dabei bietet insbesondere das Arbeitsdokument „Rahmen für verbindliche unternehmensinterne Datenschutzregelungen (BCR)“ (WP 154) einen Überblick darüber, wie eine verbindliche Unternehmensregelung strukturiert werden sollte und wie sie inhaltlich aussehen könnte. Dieses Arbeitspapier wird flankiert von dem „Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR)“ (WP 153) und dem Arbeitsdokument zu „Häufig gestellten Fragen“ über verbindliche unternehmensinterne Datenschutzregelungen (BCR)“ (WP 155). Weitere wichtige Dokumente sind das Arbeitsdokument „Festlegung eines Kooperationsverfahrens zwecks Abgabe gemeinsamer Stellungnahmen zur Angemessenheit der verbindlich festgelegten unternehmensinternen Datenschutzgarantien“ (WP 107), das Arbeitsdokument „MusterCheckliste für Anträge auf Genehmigungen verbindlicher unternehmensinterner Datenschutzregelungen“ (WP 108) und die „Recommendation 1/2007 on the Standard Application for Approval of Binding Corporate Rules for the Transfer of Personal Data“ (WP 133). Weitere Anhaltspunkte für die inhaltliche Ausgestaltung der BCR geben drei Entscheidungen der EU-Kommission über die Standardvertragsklauseln2.
6
Die geplante Datenschutz-Grundverordnung wird inhaltliche Vorgaben zur Ausgestaltung von BCR einführen; so regelt Art. 38 Nr. 1 des derzeitigen Entwurfs zur Datenschutz-Grundverordnung3 den Inhalt von Verhaltensregeln, während Art. 43 Abs. 2 die Mindestanforderungen an verbindliche unternehmensinterne Vorschriften festlegt.
7
In Deutschland verdeutlichen drei anerkannte Unternehmensrichtlinien aus bedeutenden Branchen, wie BCR im Ergebnis aussehen könnten: Der „Code of
8
1 Alle Dokumente sind abrufbar unter http://ec.europa.eu/justice/policies/privacy/ workinggroup/wpdocs/index_search_en.htm. 2 Entscheidung der Kommission 2001/497/EG v. 15.6.2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG, ABl. EG Nr. L 181 v. 4.7.2001, 19; Entscheidung der Kommission 2004/915/EG v. 27.12.2004 hinsichtlich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, ABl. EG Nr. L 385 v. 29.12.2004, 74; Entscheidung der Kommission 2002/16/EG v. 27.12.2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG, ABl. EG Nr. L 6 v. 10.1.2002, 52. 3 Abrufbar unter http://ec.europa.eu/justice/data-protection/document/review2012/ com_2012_11_de.pdf (Stand 25.1.2012).
Abel/Schulte
|
883
Teil 5 V
Rz. 9
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
Conduct für Kunden/Lieferanten“ der DaimlerChrysler AG1 und die „Leitlinien (Code of Conduct) zum Schutz der Persönlichkeitsrechte im Umgang mit personenbezogenen Daten in der Deutschen Telekom Gruppe“2 stellen unternehmensbezogene BCR dar, die von den deutschen Datenschutzbehörden anerkannt und damit die auf dieser Grundlage durchgeführten grenzüberschreitenden Datentransfers i.S.v. § 4c Abs. 2 BDSG genehmigt worden sind. Die „Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft“ des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V3. sind anerkannte Verhaltensregeln eines Verbandes i.S.d. § 38a BDSG; sie unterscheiden sich von BCR insoweit, als sie auf einer anderen Rechtsgrundlage beruhen, keine unternehmensspezifischen, sondern nur generalisierende Regelungen enthalten, nicht als Grundlage der Zulässigkeit bzw. Genehmigung unternehmensinterner grenzüberschreitender Datentransfers taugen und keine automatische Rechtsverbindlichkeit für sämtliche Verbandsmitglieder besitzen4. Vielmehr müssen sich die einzelnen Unternehmen ausdrücklich unterwerfen. 9
Eine Liste der europaweit anerkannten BCR wird auf der Internetseite der EUKommission zur Verfügung gestellt5, hier verdeutlichen beispielhaft die „Global Standards for Processing Personal Data“ von Linklaters LLP6 und die „User Binding Corporate Rules“ eBay. Inc7, welche inhaltlichen Anforderungen an BCR für eine Anerkennung durch sämtliche EU/EWR-Mitgliedstaaten gestellt werden können.
II. Rechtliche Zulässigkeit von Datentransfers ins Ausland 1. Gesetzliche Regelungen 10
Datenübertragungen ins Ausland sind zulässig, wenn für die Übermittlung der Daten ein Erlaubnistatbestand besteht und beim Datenempfänger ein angemessenes Datenschutzniveau sichergestellt ist. Im Rahmen von Übermittlungen von Daten ins Ausland sind zunächst die allgemeinen Anforderungen des Art. 7 der EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) und der §§ 4 Abs. 1 und 2, 27 ff. BDSG zu erfüllen, so dass es für die zulässige Datenübermittlung eines Erlaubnistatbestandes nach diesen Regelungen bedarf8. Erst in einem 1 Abrufbar unter www.mercedes-benz-classic.com/content/media_library/hq/hq_mpc_ reference_site/general/CodeOfConduct_de_pdf.object-Single-MEDIA.download.tmp/ Code_of_Conduct_deutsch.pdf. 2 Abrufbar über www.telekom.com/code-of-conduct. 3 Abrufbar unter http://www.gdv.de/wp-content/uploads/2013/03/GDV_Code-of-Conduct _Datenschutz_2012.pdf. 4 Gola/Schomerus, § 38a BDSG Rz. 3. 5 http://ec.europa.eu/justice/data-protection/document/international-transfers/bindingcorporate-rules/bcr_cooperation/index_en.htm. 6 Abrufbar unter http://www.linklaters.com/Legalnotices/Pages/Linklaters-Data-Protec tion-Standards.aspx. 7 Abrufbar unter http://www.ebayprivacycenter.com/sites/default/files/User%20Binding %20Corporate%20Rules.pdf. 8 Vgl. ausführlich Gola/Schomerus, § 4 BDSG Rz. 3 ff.
884
|
Abel/Schulte
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
Rz. 12 Teil 5 V
zweiten Schritt wird geprüft, ob bei dem Datenempfänger ein angemessenes Datenschutzniveau i.S.d. Art. 25 Richtlinie 95/46/EG und des § 4b BDSG sichergestellt ist. Da innerhalb der EU/EWR-Mitgliedstaaten aufgrund der rechtlichen Harmonisierung1 ein vergleichbar hohes Datenschutzniveau existiert, sind konzerninterne Datenübermittlungen innerhalb der EU/des EWR stets zulässig. Eine Übermittlung an Empfänger in Staaten außerhalb der EU/des EWR, sog. Drittstaaten, ist nur dann zulässig, wenn in dem Drittstaat ein angemessenes Datenschutzniveau gewährleistet ist. Die Angemessenheit des vom Drittstaat gebotenen Schutzniveaus wird von der Europäischen Kommission beurteilt und festgestellt. Bisher hat die Europäische Kommission nur für einige wenige Länder2 ein angemessenes Datenschutzniveau bestätigt. Befindet sich das konzerninterne Unternehmen, dem Daten übermittelt werden sollen, in einem Drittstaat ohne angemessenes Schutzniveau3, so ist die Datenübermittlung grundsätzlich unzulässig, wenn nicht einer der gesetzlichen Ausnahmetatbestände des Art. 26 Abs. 1 Richtlinie 95/46/EG, § 4c Abs. 1 BDSG4 erfüllt ist oder das Datenschutzniveau im Drittstaat auf andere Weise hergestellt wird. Zur individuellen Sicherung eines angemessenen Datenschutzniveaus stehen drei Instrumente zur Verfügung5.
11
2. Ausnahme USA: Safe-Harbor-Prinzipien In den USA wird nach Auffassung der EU-Kommission und des deutschen Gesetzgebers kein für europäische Verhältnisse angemessenes Datenschutzniveau garantiert6. Um den Datentransfer zu einem der wichtigsten Handelspartner nicht zum Erliegen zu bringen, vereinbarten die EU und USA die Grundsätze des „Sicheren Hafens“ (Safe Harbor)7, nach denen ein angemessenes Datenschutzniveau bei US-amerikanischen Unternehmen, die der Aufsicht der Federal Trade Commission oder dem Department of Transportation unterliegen, sichergestellt wird, wenn diese sich selbst nach den Safe-HarborPrinzipien zertifizieren8. Liegt diese Zertifizierung vor und hat sich der deutsche Unternehmenszweig hiervon bestenfalls durch Vorlage eines schriftlichen 1 Die EWR-Staaten Island, Norwegen und Liechtenstein haben die Richtlinie 95/46/EG in nationales Recht umgesetzt. 2 Eine aktuelle Liste der Entscheidungen der EU-Kommission ist abrufbar unter http:// ec.europa.eu/justice/data-protection/document/international-transfers/adequacy. 3 Dazu gehören viele wichtige Handelspartner wie USA, China, Japan oder Indien. 4 Zu den gesetzlichen Ausnahmetatbeständen ausführlich Gola/Schomerus, § 4c BDSG Rz. 4 ff. 5 Vgl. auch Hoeren, RDV 2012, 271 ff. 6 Plath/v. d. Bussche, § 4b BDSG Rz. 30; Räther/Seitz, MMR 2002, 425 (427); Starosta, DuD 2010, 236 (238). 7 Entscheidung 2000/520/EG der Kommission v. 26.7.2000 gemäß der Richtlinie 95/46/ EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, ABl. L 215 v. 25.8.2000. 8 Eine vollständige Liste zertifizierter Unternehmen findet sich online auf http://safe harbor.export.gov/list.aspx.
Abel/Schulte
|
885
12
Teil 5 V
Rz. 13
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
Nachweises überzeugt, so können personenbezogene Daten an das US-amerikanische Unternehmen übermittelt werden. Der Vorteil dieses Verfahrens ist, dass man schnell und unbürokratisch handeln kann, da weder gesonderte Verträge mit dem Konzernunternehmen geschlossen, noch behördliche Genehmigungen eingeholt werden müssen. Allerdings ist zu beachten, dass sich Unternehmensbranchen wie Banken, Telekommunikationsanbieter und Versicherungen nicht zertifizieren können, da sie nicht der Aufsicht der oben genannten Behörden unterliegen. Ein Nachteil ist ferner, dass die Safe-Harbor-Prinzipien nur für US-Unternehmen gelten und einen einheitlichen konzernweiten Datenschutzstandard, der den Datentransfer in alle Drittstaaten erlaubt, nicht ersetzen kann.
3. Standardisierte vertragliche Rechtsinstrumente (Standardvertragsklauseln) 13
Eine weitere Möglichkeit für internationale Unternehmen, ein angemessenen Schutzniveau für personenbezogene Daten zu gewährleisten, liegt in der Verwendung der von der EU-Kommission auf der Grundlage der Richtlinie 95/46/ EG entwickelten Standardvertragsklauseln. Es bestehen zwei Standardvertragsklauseln für die Übermittlung von Daten an verantwortliche Stellen1 und eine Standardvertragsklausel für die Übermittlung von Daten an Auftragsverarbeiter2. Die beiden Standardvertragsklauseln für die Übermittlung von Daten an verantwortliche Stellen unterscheiden sich insbesondere durch unterschiedliche haftungsrechtliche Konsequenzen3. Da die von der EU-Kommission zur Verfügung gestellten Standardvertragsklauseln unverändert übernommen werden müssen und nur einige wenige Bereiche modifizierbar sind, können sie recht einfach umgesetzt werden. Hierin liegt aber deren großer Nachteil: Aufgrund der Verbindlichkeit ist dem Unternehmen eine Anpassung auf die eigenen, möglicherweise sehr komplexen Strukturen nicht möglich. Ein weiterer Nachteil liegt darin, dass bei einer großen Unternehmensgruppe mit zahlreichen am Datentransfer beteiligten Mitgliedern etliche Verträge geschlossen werden müssen4. Außerdem wird die schnelle unternehmensinterne Umsetzung dadurch wieder aufgehoben, dass einige EU-Mitgliedstaaten zusätzliche formale Veränderungen verlangen – so müssen teilweise behördliche Zustimmungen eingeholt oder notarielle Beurkundungen durchgeführt werden. 1 Entscheidung der Kommission 2001/497/EG v. 15.6.2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG, ABl. EG Nr. L 181 v. 4.7.2001, 19 (Standardvertragsklauseln I) und Entscheidung der Kommission 2004/915/EG v. 27.12.2004 hinsichtlich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, ABl. EG Nr. L 385 v. 29.12.2004, 74 (Standardvertragsklauseln II); s. hierzu die Muster in Teil 5 I und 5 II. 2 Entscheidung der Kommission v. 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates, ABl. EU Nr. L 39 v. 12.2.2010, 5; s. hierzu das Muster in Teil 5 III. 3 Vgl. hierzu Grapentin, CR 2011, 102 (103 ff.). 4 Zu der sich daraus ergebenden Problemstellung und der Lösung über einen Rahmenvertrag vgl. Teil 5 IV.
886
|
Abel/Schulte
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
Rz. 15 Teil 5 V
4. BCR Eine weitere Möglichkeit für weltweit tätige Unternehmen zur Herstellung eines angemessenen Datenschutzniveaus besteht schließlich in der Erstellung konzernweiter verbindlicher Unternehmensregelungen. Diese BCR stellen rechtsverbindliche Regelungen für sämtliche Mitglieder der Unternehmensgruppe in Bezug auf den Umgang mit personenbezogenen Daten auf und stellen somit ein angemessenes Datenschutzniveau für sämtliche Datentransfers innerhalb der Unternehmensgruppe sicher. Vorteilhaft sind die BCR insbesondere für weltweit operierende Unternehmen, die auf eine Vielzahl von gruppeninternen internationalen Datentransfers angewiesen sind und unabhängig von Änderungen der Geschäftsstruktur einen einheitlichen und hohen Datenschutzstandard gewährleisten wollen. Unvorteilhaft bei der Verwendung von BCR ist, dass nach der jetzigen Rechtslage grundsätzlich die Zustimmung der Datenschutzbehörden aller EU-Mitgliedstaaten notwendig ist, in denen Mitglieder der Unternehmensgruppe ihren Sitz haben und damit im Zweifel ein aufwendiges und langwieriges Verfahren durchgeführt werden muss, bevor die BCR in Kraft treten können. Dieses Verfahren ist jedoch in einigen EU-Mitgliedstaaten durch ein Verfahren der gegenseitigen Anerkennung (mutual recognition system1) erleichtert worden. Art. 43 i.V.m. Art. 58 des Entwurfs zur Datenschutz-Grundverordnung sieht ferner vor, dass die jeweils zuständige Aufsichtsbehörde als sog. Lead Authority BCR im Rahmen eines Kohärenzverfahrens mit Wirkung für sämtliche EU-Mitgliedstaaten dann genehmigen kann, wenn diese rechtsverbindlich sind, für alle Mitglieder der Unternehmensgruppe des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters sowie deren Beschäftigte gelten, den betroffenen Personen ausdrücklich durchsetzbare Rechte übertragen und weitere inhaltliche Anforderungen erfüllt werden. Der eindeutige Vorteil der BCR im Vergleich zu den Standardvertragsklauseln liegt in der Möglichkeit, den internationalen konzernweiten Datentransfer weitaus flexibler zu gestalten. Zwar gibt es etliche inhaltliche Vorgaben seitens der Artikel-29-Datenschutzgruppe, doch können diese auf die Bedürfnisse des jeweiligen Unternehmens angepasst werden. Ferner helfen BCR, das Datenschutzbewusstsein im ganzen Konzern weiterzuentwickeln und stärken das Vertrauen der Öffentlichkeit in die Geschäftspraxis des Unternehmens mit dem Umgang personenbezogener Daten. Für weltweit tätige und stark vernetzte Unternehmensgruppen stellen BCR als langfristige Strategie folglich die wirkungsvollste Maßnahme dar, um das konzerninterne Datenschutzniveau zu vereinheitlichen, umfangreiche Datenschutzstandards zu gewährleisten und nach außen hin einen hohen Stellenwert des Datenschutzes im Unternehmen zu demonstrieren.
14
III. Hinweis für die Verwendung des Musters Bei der Verwendung des vorliegenden Musters ist zwingend zu beachten, dass in jedem Fall eine Anpassung der Klauseln an die konkreten Gegebenheiten des jeweiligen Konzerns vorzunehmen ist. Die BCR müssen auf die Unternehmensstruktur, das Datenschutzverfahren und die jeweiligen Datenverarbei1 Filip, ZD 2013, 51 (55).
Abel/Schulte
|
887
15
Teil 5 V
Rz. 16
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
tungsprozesse und -zwecke des Unternehmens zugeschnitten sein und angepasst werden, da sie Ausdruck der konkreten Ausgestaltung der Datenschutzpolitik im jeweiligen Unternehmen sind. 16
Das vorliegende Muster orientiert sich an der von der Artikel-29-Datenschutzgruppe in WP 154 empfohlenen Struktur. Es ist dabei weder in Aufbau noch in den Begrifflichkeiten verbindlich – vielmehr soll es als Checkliste bzw. Grundgerüst für die konkrete Ausgestaltung der BCR im Konzern verstanden werden. So wie bei einem standardisierten IT-Produkt ist „Customization“ unerlässlich. So können Begriffe wie „betroffene Person“ bei einem konkret angesprochenen Kundenkreis in „unsere Kunden und Vertragspartner“ geändert und Ziffern gegen Paragraphen ausgetauscht werden. Auch ist zu beachten, dass Begriffe wie „Unternehmen“ oder „Unternehmensteil“ ggf. angepasst werden müssen, da eine einheitliche international geltende gesellschaftsrechtliche Definition nicht existiert. Unternehmen können multinationale und hierarchisch strukturierte Unternehmen oder lose Zusammenschlüsse sein oder Unternehmen mit ähnlichen Geschäftsfeldern oder unterschiedlichen Tätigkeitsbereichen. Diese Unterschiede in Struktur und Tätigkeit müssen die Unternehmen bei der Erstellung der eigenen BCR aufgrund des vorliegenden Musters beachten, klar herausstellen und das Muster entsprechend anpassen. Eine wortgetreue Übernahme des Mustertextes wird von den zuständigen Datenschutzbehörden im Zweifelsfall nicht akzeptiert.
17
Das Unternehmen hat dem Antrag auf Genehmigung der BCR in der Regel zahlreiche Unterlagen beizufügen. So müssen bspw. ausführliche Beschreibungen des Datenschutzauditplans, des Schulungskonzeptes für Beschäftigte und des internen Beschwerdemanagements vorgelegt werden, wenn diese Informationen nicht ohnehin in die BCR integriert wurden. Ferner kann auch die Vorlage weitaus sensiblerer Informationen wie Nachweise über ausreichende Mittel zum Ersatz von Schäden, die aus einer Verletzung der BCR entstanden sind, Listen mit allen Unternehmensteilen, die an die BCR gebunden sind oder eine Darstellung der IT-Sicherheitspolitik verlangt werden. Umfangreiche Listen mit den je nach den konkreten Gegebenheiten beizufügenden Unterlagen sind im WP 154 sowie im WP 108 zu finden1.
18
Neben den hier dargestellten BCR für verantwortliche Stellen gewinnen BCR für Auftragsverarbeiter i.S.v. § 11 BDSG (processors) immer mehr an praktischer Bedeutung, insbesondere für Fallgestaltungen im Rahmen von Cloud Computing. Diese Processor Binding Corporate Rules (PBCR) oder BCR for processors sollen Auftragsdatenverarbeitern die Möglichkeit eröffnen, innerhalb ihrer Organisation auch über verschiedene juristische Personen hinweg ein angemessenes Datenschutzniveau zu etablieren. Der Unterschied zu den hier behandelten BCR besteht darin, dass die Auftragsdatenverarbeiter, die sich an PBCR binden, gerade nicht verantwortliche Stellen im datenschutzrechtlichen Sinne sind. Der Sinn der Bindung liegt darin, die Zusammenarbeit zwischen Auftraggeber (controller) und Dienstleister (processor) auf eine sichere Basis zu stellen. Bei der Umsetzung ist zu beachten, dass die datenschutzrechtliche Ver1 WP 154, S. 11 f.; WP 108, Ziff. 4, S. 4 f.
888
|
Abel/Schulte
Rz. 19 Teil 5 V
Vertragstext
antwortlichkeit der verantwortlichen Stellen auch im Falle der Verwendung von PBCR stets in vollem Umfang und mit voller praktischer Wirksamkeit gewährleistet bleiben muss1. Im Juni 2012 hat die Artikel-29-Datenschutzgruppe für die Erstellung von PBCR für Auftragsdatenverarbeiter mit dem WP 195 ein Arbeitspapier zur Verfügung gestellt, das aufzeigt, welche Grundsätze für verbindliche unternehmensinterne Datenschutzregelungen für Auftragsverarbeiter gelten und welche Bedingungen für deren Wirksamkeit erfüllt sein müssen. Flankiert wird WP 195 von WP 204, das weitere Informationen zu Inhalt und Ausgestaltung der PBCR und dem Anerkennungsverfahren liefert. Seit dem 1.1.2013 können PBCR grundsätzlich in einem vergleichbaren Verfahren wie herkömmliche BCR den europäischen Datenschutzbehörden zur Abstimmung vorgelegt werden.
B. Muster E Verbindliche Unternehmensregelungen der [Firma] zum Schutz von personenbezogenen Daten [im internationalen konzerninternen Datentransfer] 1. Zielsetzung 1.1 Der Schutz der persönlichen Daten unserer [alternativ oder kumulativ: Kunden, Beschäftigten, Lieferanten, Vertragspartner, Aktionäre, usw.] und die konsequente Umsetzung europäischer und nationaler Datenschutzstandards spielt eine zentrale Rolle in unserem Unternehmen. Wir verfolgen das Ziel, einheitliche, angemessene und globale Datenschutzstandards für sämtliche Mitglieder unserer Unternehmensgruppe und alle unsere Beschäftigten aufzustellen, um den geltenden Datenschutzbestimmungen gerecht zu werden. 1.2 Die vorliegenden verbindlichen Unternehmensregelungen sollen den angemessenen Schutz der personenbezogenen Daten gewährleisten, die von unserer Unternehmensgruppe übermittelt und verarbeitet werden und sicherstellen, dass ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte bestehen. 1.3 Alle Mitglieder unserer Unternehmensgruppe sowie sämtliche unserer Mitarbeiter werden ausdrücklich auf die Einhaltung der unternehmensinternen Datenschutzregelungen verpflichtet. Die Unternehmensleitung verpflichtet sich zudem, für die Einhaltung der Datenschutzregelungen zu sorgen und die Datenschutzbestimmungen verbindlich umzusetzen. Im Falle der Beauftragung von Unterauftragsnehmern werden diese durch [eigenständige Verträge, entsprechende Vertragsklauseln, usw.] auf die Einhaltung unserer unternehmensinternen Richtlinien verpflichtet. 1 Weitere Hinweise bei Filip, ZD 2013, 51 (58).
Abel/Schulte
|
889
19
Teil 5 V
Rz. 19
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
1.4 Fakultativ: Verweis auf die geltenden Datenschutzbestimmungen 1.5 Fakultativ: Details zur Unternehmens- bzw. Geschäftsstruktur 2. Begriffsbestimmungen 2.1 Alternative 1: Die in unserer verbindlichen Unternehmensregelung verwendeten Ausdrücke und Begriffe werden entsprechend den Begriffsbestimmungen [der EU-Datenschutzrichtlinie 95/46/EG vom 26. Oktober 1995/des Bundesdatenschutzgesetzes/der Datenschutz-Grundverordnung] verwendet. 2.2 Alternative 2: Ein umfangreiches Glossar mit Erläuterungen zu den in unserer verbindlichen Unternehmensregelung verwendeten Ausdrücken und Begriffen findet sich am Ende dieses Vertragstextes. 2.3 Alternative 3: Im Rahmen unserer verbindlichen Unternehmensregelungen gelten folgende Begriffsbestimmungen: 2.3.1 Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (betroffene Person). [ggf. besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben] 2.3.2 Die Verarbeitung personenbezogener Daten ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang wie das Erheben, Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. 2.3.3 Die Übermittlung personenbezogener Daten ist das Bekanntgeben personenbezogener Daten an einen Dritten. 2.3.4 Die verantwortliche Stelle ist diejenige juristisch selbständige Gesellschaft unseres Unternehmens, die die jeweilige Maßnahme in Bezug auf die personenbezogenen Daten des Betroffenen veranlasst hat. 2.3.5 Datenverarbeiter ist die natürliche oder juristische Person, die personenbezogene Daten im Auftrag für eine verantwortliche Stelle verarbeitet. 2.3.6 Dritter ist jede natürliche oder juristische Person oder Behörde außerhalb der verantwortlichen Stelle. 2.3.7 Eine Einwilligung ist eine ohne Zwang und in Kenntnis der Sachlage erfolgte Willensäußerung, mit der der Betroffene zu verstehen gibt, dass er mit der Verarbeitung seiner personenbezogenen Daten einverstanden ist. 2.3.8 [Weitere Begriffsbestimmungen sind je nach Unternehmensstruktur und Anwendungsbereich der BCR aufzuführen: Kunden, Lieferanten, Vertragspartner, usw.]. 890
|
Abel/Schulte
Vertragstext
Rz. 19 Teil 5 V
2.4 Diese Aufzählung bestimmt die wichtigsten Begriffe unserer Unternehmensregelung und wird ggf. durch die geltenden europäischen oder deutschen Bestimmungen ausgelegt und ergänzt. 3. Anwendungs- und Geltungsbereich 3.1 Diese verbindlichen Unternehmensregelungen stellen eine weltweit geltende Konzernrichtlinie dar, die auf sämtliche Verarbeitungsvorgänge in allen Unternehmen des Konzerns [Firma] verbindlich anwendbar sind. 3.2 Alternative 1: Diese verbindlichen Unternehmensregelungen gelten für sämtliche Verarbeitungsvorgänge innerhalb der EU/EWR-Mitgliedstaaten und Datenübermittlungen aus den EU/EWR-Mitgliedstaaten in Drittstaaten. Alternative 2: Diese verbindlichen Unternehmensregelungen gelten für sämtliche Verarbeitungsvorgänge und Datenübermittlungen innerhalb unserer Unternehmensgruppe. 3.3 Wir verarbeiten und übermitteln Daten unserer [Kunden, Mitarbeiter, Lieferanten, Vertragspartner, usw.]. Gegenstand der Verarbeitung und Übermittlung sind [Personenstammdaten, Kommunikationsdaten, Vertragsstammdaten, usw.]. 4. Grundsatz der Zweckbestimmung und Zweckbindung 4.1 Unser Unternehmen verarbeitet und übermittelt personenbezogene Daten nur zu festgelegten, eindeutigen und rechtmäßigen Zwecken und nicht in einer mit der jeweiligen Zweckbestimmung nicht zu vereinbarenden Weise. 4.2 Wir verarbeiten personenbezogene Daten, indem wir sie zum Zwecke der weiteren Verarbeitung oder Nutzung [speichern, verändern, übermitteln, sperren, löschen oder auf andere Weise nutzen]. 4.3 Unser Unternehmen verarbeitet die personenbezogen Daten zum Zwecke der [Vertragsabwicklung, zur Anbahnung von Verträgen, zur Verbesserung unserer Dienstleistungen, usw.]. 4.4 Die Verarbeitung der Daten ist auf diese Zwecke beschränkt, insbesondere findet keine weitere Verarbeitung statt, die nicht mit diesen Zwecken vereinbar ist. Zweckänderungen sind nur mit Einwilligung der betroffenen Person zulässig oder wenn eine Rechtsvorschrift dies zulässt. 5. Datenqualität und Datenverhältnismäßigkeit 5.1 Jeder unserer Mitarbeiter ist dazu verpflichtet, auf die sachliche Richtigkeit der erhobenen Daten oder Datensätze zu achten und diese ggf. auf den neuesten Stand zu bringen. 5.2 Wir achten strikt darauf, dass die Verwendung der personenbezogenen Daten für den jeweiligen Zweck geeignet, notwendig und angemessen ist [fakultativ: und nicht zu stark in die Persönlichkeitsrechte der Betroffenen eingreift.] Abel/Schulte
|
891
Teil 5 V
Rz. 19
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
5.3 Wir verarbeiten die personenbezogenen Daten nicht über einen längeren Zeitraum, als es für die Realisierung der Zwecke, für die sie erhoben oder verarbeitet werden, erforderlich ist. 6. Rechtsgrundlagen für die Verarbeitung personenbezogener Daten 6.1 Die Verarbeitung personenbezogener Daten erfolgt nur dann, wenn die betroffene Person ohne jeden Zweifel ihre Einwilligung gegeben hat, die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgt, erforderlich ist. 6.2 Fakultativ: Besondere personenbezogene Daten verarbeiten wir nur dann, wenn der Betroffene ohne jeden Zweifel seine ausdrückliche Einwilligung gegeben hat [oder im Rahmen eines Arbeitsverhältnisses]. 7. Transparenz und Recht auf Information 7.1 Auf unserer Internetseite [Nennung der Internetseite] steht die aktuellste Version unserer verbindlichen Unternehmensregelungen zum Abruf zur Verfügung. Hier informieren wir unsere [Kunden, Vertragspartner, Mitarbeiter, usw.] auch über die aktuellsten datenschutzrechtlichen Entwicklungen in unserem Unternehmen. 7.2 Auf schriftliche Anfrage erhalten die betroffenen Personen weitere Informationen, z.B. über die jeweiligen Empfänger der Daten und die Empfängerländer, sofern nicht unser Interesse an der Geheimhaltung überwiegt. 8. Rechte der betroffenen Personen 8.1 Wir gewähren unseren [Kunden, Vertragspartnern, Mitarbeitern, usw.] ein unabdingbares Recht auf Auskunft, Berichtigung, Löschung oder Sperrung und auf Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten. Bitte wenden Sie sich für die Durchsetzung Ihrer Rechte an [Ansprechpartner oder Abteilung, Adresse, E-Mail-Adresse]. 8.2 Zur schnelleren Bearbeitung Ihres Anliegens bitten wir Sie, die Art der personenbezogenen Daten und das Recht, das Sie ausüben möchten, näher zu bezeichnen. Wir bitten Sie ferner um schriftliche Kontaktaufnahme, da uns bei einer telefonischen Kontaktaufnahme eine Identifizierung Ihrer Person nicht immer möglich ist. 8.3 Jeder betroffenen Person wird auf Antrag Auskunft über die zu ihrer Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, den Empfänger oder die Kategorien der Empfänger, an die Daten weitergegeben werden und den Zweck der Speicherung erteilt. [ggf. Nennung weiterer umfassenderer Auskunftspflichten nach § 34 Abs. 2–4 BDSG]. Alternative 1: Die Auskunft erfolgt kostenlos und kann in angemessen Abständen angefordert werden. Alternative 2: Die Auskunft erfolgt einmal im Kalenderjahr kostenlos. Für jede weitere Auskunft können wir unter Umständen ein Entgelt verlangen, wenn die betroffene 892
|
Abel/Schulte
Vertragstext
Rz. 19 Teil 5 V
Person die Auskunft gegenüber Dritten zu wirtschaftlichen Zwecke nutzen kann. 8.4 Jede betroffene Person hat ein Recht auf Berichtigung ihrer personenbezogenen Daten, wenn sich herausstellt, dass diese unrichtig oder unvollständig sind. 8.5 Ferner besteht ein Anspruch auf Löschung der personenbezogenen Daten, wenn deren Speicherung unzulässig ist oder die Daten für den Zweck der Datenverarbeitung nicht mehr erforderlich sind. 8.6 Es besteht ein Anspruch auf Sperrung der personenbezogenen Daten, wenn sich weder ihre Richtigkeit noch ihre Unrichtigkeit feststellen lässt. 8.7 Die betroffene Person hat ein Recht auf Widerspruch, wenn ihre Daten zu Zwecken der Werbung und der Markt- oder Meinungsforschung genutzt werden. Ferner steht ihr ein Widerspruchsrecht gegen die Verarbeitung und Nutzung der Daten zu, wenn eine Prüfung ergibt, dass ein schutzwürdiges Interesse der betroffenen Person wegen ihrer besonderen persönlichen Situation das Interesse unseres Unternehmens überwiegt. Ferner kann die betroffene Person ihre erteilte Einwilligung in die Verarbeitung und Nutzung der Daten mit Wirkung für die Zukunft widerrufen. (Ggf. ergänzend: Wir weisen darauf hin, dass wir durch Rechtsvorschriften gezwungen sein können, ihre Daten trotz Widerspruchs aufzubewahren.) 8.8 Die betroffene Person hat ein Recht auf Benachrichtigung über eine Verarbeitung ihrer Daten, wenn diese erfolgt, ohne dass sie von dieser Verarbeitung Kenntnis hat oder durch die äußeren Umstände, durch Dritte oder im Wege der Transparenz (Ziff. 7) haben könnte. 9. Automatisierte Einzelentscheidungen 9.1 Alternative 1: Wir treffen keine rechtlich nachteiligen oder die betroffene Person beeinträchtigenden Entscheidungen aufgrund von automatisierten Einzelentscheidungen. 9.2 Alternative 2: Grundsätzlich stützen wir unsere Entscheidungen nicht ausschließlich auf eine automatisierte Entscheidung personenbezogener Daten, die der Bewertung einzelner Persönlichkeitsmerkmale dienen, wenn diese für die betroffene Person eine rechtliche Folge nach sich ziehen können oder sie erheblich beeinträchtigen. Dies gilt nicht, wenn die Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Rechtsverhältnisses ergeht und dem Begehren der betroffenen Person auf Abschluss oder Erfüllung des Vertrages stattgegeben wurde. Wir garantieren geeignete Maßnahmen zu ergreifen, die die Wahrung der berechtigten Interessen der betroffenen Person gewährleisten. Die betroffenen Personen erhalten die Möglichkeit, uns ihren Standpunkt mitzuteilen, was dazu führt, dass wir unsere Entscheidung vollumfänglich überprüfen und ggf. abändern.
Abel/Schulte
|
893
Teil 5 V
Rz. 19
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
10. Sicherheit und Vertraulichkeit 10.1 Unser Unternehmen wendet geeignete technische und organisatorische Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten gegen die zufällige oder rechtswidrige Zerstörung, den zufälligen Verlust, die zufällige Änderung, die unberechtigte Offenlegung, den unberechtigten Zugriff und jede andere Form der unrechtmäßigen Verarbeitung an. [Fakultativ: Bei der Verarbeitung von sensiblen Daten sieht unser Unternehmen erhöhte Sicherheitsvorkehrungen vor.] 10.2 Diese Sicherheitsmaßnahmen gewährleisten unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten gerecht ist. 10.3 Unser Sicherheitskonzept ist konzernweit für alle Unternehmensteile und Mitarbeiter verbindlich. [Fakultativ: Vorsätzliche oder grob fahrlässige Verstöße hiergegen können zu arbeitsrechtlichen Maßnahmen führen.] 11. Beschränkung der Weiterübermittlung 11.1 Außerhalb unserer Unternehmensgruppe haben wir den Datentransfer und die Weiterübermittlung von Daten an unternehmensfremde Datenverarbeiter stark eingeschränkt. Dennoch kann es [Fakultativ: in Einzelfällen] notwendig werden, Externe mit der Verarbeitung personenbezogener Daten zu beauftragen. Dies geschieht jedoch grundsätzlich nur, wenn die betroffene Person im Falle besonderer Datenkategorien ihre ausdrückliche Zustimmung zur Weiterübermittlung erteilt hat. Die betroffene Person hat ferner jederzeit die Möglichkeit, der Weiterübermittlung zu widersprechen. Die Daten werden ausschließlich zu [Zweck der Weiterübermittlung] übermittelt. 11.2 Bei Datentransfers innerhalb der EU/EWR-Mitgliedstaaten oder einem Staat mit anerkanntem Datenschutzniveau an externe Datenverarbeiter schließen wir zum Schutz Ihrer Daten eine schriftliche Vereinbarung, die beinhaltet, dass die externen Datenverarbeiter nur auf unsere Weisung handeln dürfen und für die Durchführung geeigneter Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit verantwortlich sind. 11.3 Bei Datentransfers außerhalb der EU/EWR-Mitgliedstaaten oder einem Staat mit anerkanntem Datenschutzniveau an externe Datenverarbeiter beachten wir die strengen europäischen Vorschriften für den grenzüberschreitenden Datenverkehr und verwenden insbesondere die von der EU-Kommission gebilligten Standardvertragsklauseln oder andere geeignete vertragliche Vereinbarungen. Auch hier gewährleisten wir, dass die Datenverarbeiter nur auf Weisung handeln und für die Durchführung geeigneter Sicherheitsmaßnahmen verantwortlich sind.
894
|
Abel/Schulte
Vertragstext
Rz. 19 Teil 5 V
12. Schulungsprogramm Innerhalb unserer gesamten Unternehmensgruppe stellen wir unseren Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten, geeignete datenschutzrechtliche Schulungsmaßnahmen zur Verfügung. Um das Bewusstsein für den Datenschutz in unserem Unternehmen noch weiter zu stärken und die konsequente Durchführung unserer Unternehmensregelungen sicherzustellen, stehen allen unseren Mitarbeitern [datenschutzrechtlich relevante Informationen, Merkblätter und Richtlinien] zur Verfügung. Unsere Mitarbeiter können sich mit ihren datenschutzrechtlichen Fragestellungen jederzeit an unseren Datenschutzbeauftragten wenden. 13. Datenschutzaudit 13.1 Zur Verbesserung des Datenschutzes und der Datensicherheit lassen wir in regelmäßigen Abständen unser gesamtes Datenschutzkonzept durch Audits prüfen und bewerten. 13.2 Die Ergebnisse der Audits werden der Unternehmensleitung und dem Datenschutzbeauftragten mitgeteilt. Die zuständigen Datenschutzbehörden erhalten eine Kopie der Ergebnisse auf Antrag oder wenn eine Aktualisierung unserer Unternehmensregelungen notwendig wird. 13.3 Bei Bedarf und auf Antrag können die zuständigen Datenschutzbehörden ein eigenes Audit durchführen. Entsprechende Audits werden unter Beachtung der Vertraulichkeit und der Geschäftsgeheimnisse durchgeführt und strikt begrenzt auf die Feststellung der Einhaltung der unternehmensinternen Vorschriften. Die Prüfungsdaten, die personenbezogene Daten beinhalten, werden dabei unkenntlich gemacht, um die Vertraulichkeit der Daten der betroffenen Personen oder vertraulicher Unternehmensinformationen zu gewährleisten. 14. Einhaltung der BCR und Überwachung 14.1 Sämtliche Gesellschaften unserer Unternehmensgruppe sind verpflichtet, den betroffenen Personen gegenüber sicherzustellen, dass die Anforderungen des Datenschutzes beachtet werden. [Alternative 1: Die Datenschutzbeauftragten der verschiedenen Unternehmen unseres Konzerns stehen in engem Kontakt zueinander, überwachen und gewährleisten die Einhaltung unserer verbindlichen Unternehmensregelungen und werden hierbei direkt von der Unternehmensleitung unterstützt. Alternative 2: Wir haben einen Mitarbeiterstab gebildet, der die Einhaltung unserer verbindlichen Unternehmensregelungen überwacht und gewährleistet und hierbei direkt von der Unternehmensleitung unterstützt wird.] 14.2 [Beschreibung der Struktur, Aufgaben und Zuständigkeiten des Konzerndatenschutzbeauftragten bzw. des Mitarbeiterstabs]
Abel/Schulte
|
895
Teil 5 V
Rz. 19
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
15. Abweichende einzelstaatliche Vorschriften Hat eine Gesellschaft unserer Unternehmensgruppe Anlass zu der Annahme, dass nationale Vorschriften der Einhaltung der Unternehmensregelungen entgegenstehen und deren Garantien beeinträchtigen könnten, wird unverzüglich das für die EU/EWR zuständige Unternehmen und der Datenschutzbeauftragte informiert und das weitere Vorgehen abgesprochen. Im Zweifelsfall werden die zuständigen Datenschutzbehörden zu Rate gezogen. 16. Beschwerdemöglichkeiten 16.1 Unser Unternehmen hat eine interne Beschwerdestelle eingerichtet, an die sich die betroffenen Personen wenden können, wenn sie der Auffassung sind, dass ein Mitglied unserer Unternehmensgruppe gegen unsere Unternehmensrichtlinien verstößt. In diesem Fall bitten wir um unverzügliche Kontaktaufnahme zu [unserem Datenschutzbeauftragten/ Mitarbeiterstab – erneut Adresse aufführen oder Verweis auf die oben genannte Adresse]. 16.2 Die betroffene Person hat zudem das Recht, bei den zuständigen Datenschutzbehörden Beschwerde zu erheben, wenn sie der Auffassung ist, dass ein Mitglied unserer Unternehmensgruppe gegen unsere Unternehmensrichtlinien verstößt. 17. Drittbegünstigung 17.1 Die betroffenen Personen können sämtliche ihnen durch unsere verbindlichen Unternehmensregelungen eingeräumten Rechte als Drittbegünstigte geltend machen. Hierzu gehören insbesondere die in [Ziff. X, in Ziff. Y, Ziff. Z, usw.] eingeräumten Rechte. 17.2 Wir haben keine Einwände dagegen, dass die betroffene Person, sofern sie dies ausdrücklich wünscht oder das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtung vertreten wird. 18. Haftung 18.1 Fügt eines unserer [Konzernmitglieder/Unternehmen] der betroffenen Person durch eine rechtswidrige Verarbeitung ihrer personenbezogenen Daten oder einer anderen mit unseren verbindlichen Unternehmensregelungen nicht zu vereinbarenden widerrechtlichen Handlung einen Schaden zu, so kann sie Ersatz für die ihr entstandenen Schäden verlangen. Die Ersatzpflicht entfällt, wenn die nach den Umständen des Einzelfalls gebotene Sorgfalt beachtet wurde. 18.2 Für rechtswidrige Handlungen von Gruppenmitgliedern außerhalb der EU/EWR haftet [Benennung der EU/EWR-Hauptniederlassung/des die Haftung übernehmenden Unternehmens]. 18.3 Alternative 1.1.: Sind mehrere Unternehmensteile an der Verarbeitung, bei der ein rechtswidriger Schaden entsteht, beteiligt, so haften sie der 896
|
Abel/Schulte
Vertragstext
Rz. 19 Teil 5 V
betroffenen Person gegenüber als Gesamtschuldner. Die Ersatzpflicht tritt nicht ein, wenn die Unternehmensteile nachweisen können, dass keiner von ihnen für die rechtswidrige Handlung verantwortlich ist. Die Unternehmensteile sind im Innenverhältnis zum Ausgleich verpflichtet. 18.4 Alternative 1.2.: Jeder an der Verarbeitung beteiligte Unternehmensteil haftet gegenüber der betroffenen Person für diejenigen Schäden, die er durch einen rechtswidrigen Verstoß gegen die verbindlichen Unternehmensrichtlinien verursacht. Die Ersatzpflicht tritt nicht ein, wenn die Unternehmensteile nachweisen können, dass keiner von ihnen für die rechtswidrige Handlung verantwortlich ist. 18.5 Alternative 2.1.: Kann die betroffene Person nachweisen, dass sie einen Schaden erlitten hat, der vermutlich durch einen Verstoß gegen unsere verbindlichen Unternehmensregelungen verursacht wurde, so obliegt es uns, nachzuweisen, dass wir nicht für den Verstoß verantwortlich sind, durch den der Schaden entstanden ist oder dass kein Verstoß vorlag. 18.6 Alternative 2.2.: Die Beweislast dafür, dass eine mit unseren verbindlichen Unternehmensregelungen nicht vereinbare Handlung nicht dem außerhalb der EU/EWR ansässigen Mitglied unseres Unternehmens zuzurechnen ist, trägt [die EU/EWR-Hauptniederlassung/das haftende Unternehmen in der EU/EWR], wenn die betroffene Person nachweisen kann, dass sie einen Schaden erlitten hat, der vermutlich durch einen Verstoß gegen unsere verbindlichen Unternehmensregelungen verursacht wurde. 19. Gegenseitige Unterstützung und Zusammenarbeit mit den Datenschutzbehörden 19.1 Alle Mitglieder unserer Unternehmensgruppe verpflichten sich, bei Anfragen oder Beschwerden einer betroffenen Person oder bei Anfragen und Untersuchungen der Datenschutzbehörden zusammenzuarbeiten und sich gegenseitig zu unterstützen, um ihren Pflichten aus den verbindlichen Unternehmensregelungen nachzukommen. 19.2 Alle sachdienlichen Anfragen von Datenschutzbehörden [und den betroffenen Personen] werden unverzüglich und mit größtmöglicher Sorgfalt bearbeitet. Die Stellungnahmen und Empfehlungen der Datenschutzbehörde werden respektiert und ggf. umgesetzt. 20. Aktualisierung der Vorschriften und Veränderungen im Unternehmen 20.1 Aktualisierungen unserer datenschutzrechtlichen Unternehmensrichtlinien und Veränderungen unserer Unternehmensstruktur werden allen Mitgliedern unserer Unternehmensgruppe unverzüglich und den für die Genehmigung zuständigen Datenschutzbehörden jährlich gemeldet und ggf. auf unserer Internetseite veröffentlicht. Auf Anfrage erteilt der zuständige Datenschutzbeauftragte den betroffenen Personen und den Datenschutzbehörden Auskunft über jegliche Änderung unserer Unternehmensrichtlinie oder -struktur. Abel/Schulte
|
897
Teil 5 V
Rz. 20
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
20.2 An einen neuen Unternehmensteil erfolgt keine Übermittlung personenbezogener Daten, solange nicht sichergestellt ist, dass dieser an die verbindlichen Unternehmensregelungen gebunden ist und ein angemessene Schutzniveau i.S.d. Ziff. [Verweis zu der Ziff. mit technischen und organisatorischen Vorkehrungen] gewährleisten kann. 20.3 Vor der Durchsetzung signifikanter Änderungen an unseren verbindlichen Unternehmensregelungen nehmen wir Kontakt zu der zuständigen Datenschutzbehörde auf, um festzustellen, ob ein neuer Genehmigungsantrag erforderlich ist. 21. Verhältnis zwischen einzelstaatlichem Recht und BCR Soweit andere nationale oder europäische Rechtsvorschriften ein höheres Schutzniveau für personenbezogene Daten vorschreiben, gehen diese unseren Unternehmensrichtlinien vor. Die Datenverarbeitung erfolgt in jedem Fall stets nach Maßgabe des anwendbaren Rechts und der jeweils anwendbaren einzelstaatlichen Vorschriften. 22. Gerichtsstand 22.1 Die betroffene Person hat ein Wahlrecht, ob sie die ihr aus diesen Unternehmensregelungen eingeräumten Rechte am Gerichtsstand der [EU-/ EWR-Hauptniederlassung/-zentrale], am Gerichtsstand [des Unternehmensteils, von dem die Übermittlung stammt] oder am Gerichtsstand [des mit dem Datenschutz beauftragten, in der EU ansässigen Unternehmensteils] geltend macht. 22.2 Es gelten die in den nationalen Rechtsvorschriften enthaltenen Grundsätze über den Gerichtsstand. 23. [Fakultativ:] Schlussbestimmungen 23.1 Diese verbindlichen Unternehmensregelungen unterliegen dem Recht [der EU/EWR-Hauptzentrale/des die Haftung übernehmenden Unternehmensteils/des Unternehmensteils, der für den Datenschutz verantwortlich ist]. 23.2 Diese verbindlichen Unternehmensrichtlinien treten am [XX.XX.XXXX] in Kraft.
C. Erläuterungen I. Erläuterungen zu der Überschrift 20
Eine einheitliche gesetzgeberische Bezeichnung für BCR existiert nicht. Art. 26 Abs. 2 Richtlinie 95/46/EG spricht von „Vertragsklauseln“ und § 4c Abs. 2 BDSG von „Vertragsklauseln oder verbindlichen Unternehmensregelungen“. Im europäischen Datenschutzrecht hat sich der Begriff der Bin898
|
Abel/Schulte
Erläuterungen
Rz. 21 Teil 5 V
ding Corporate Rules eingebürgert. Nach der Empfehlung der Artikel-29-Datenschutzgruppe sollte zur Abgrenzung der BCR von den Verhaltensregeln in Art. 27 Richtlinie 95/46/EG darauf verzichtet werden, Bezeichnungen zu verwenden, die vermuten lassen könnten, dass die BCR nicht verbindlich seien. So stellen bloße Wohlverhaltensregelungen die rechtliche Verbindlichkeit ebenso wenig dar wie die ausschließliche Bezeichnung als „Code of Conduct“ oder „Verhaltenskodex“1. Entscheidend ist danach, dass aus der Bezeichnung der BCR hervorgeht, dass die Regelungen verbindlich und rechtlich durchsetzbar sind, da dies die Grundvoraussetzung dafür ist, dass „ausreichende Garantien“ i.S.d. Art. 26 Abs. 2 Richtlinie 95/46/EG und des § 4c Abs. 2 BDSG vorliegen, die für internationale unternehmensinterne Datentransfers gelten 2. Es wird insoweit empfohlen, in der Überschrift sowohl die Bezeichnung der Regelungen, die Firma des Unternehmens sowie den Hauptgrund der Regelungen, nämlich den Schutz von personenbezogenen Daten im internationalen konzerninternen Datentransfer aufzunehmen3.
II. Erläuterungen zu Ziffer 1 21
E 1. Zielsetzung 1.1 Der Schutz der persönlichen Daten unserer [alternativ oder kumulativ: Kunden, Beschäftigten, Lieferanten, Vertragspartner, Aktionäre, usw.] und die konsequente Umsetzung europäischer und nationaler Datenschutzstandards spielt eine zentrale Rolle in unserem Unternehmen. Wir verfolgen das Ziel, einheitliche, angemessene und globale Datenschutzstandards für sämtliche Mitglieder unserer Unternehmensgruppe und alle unsere Beschäftigten aufzustellen, um den geltenden Datenschutzbestimmungen gerecht zu werden. 1.2 Die vorliegenden verbindlichen Unternehmensregelungen sollen den angemessenen Schutz der personenbezogenen Daten gewährleisten, die von unserer Unternehmensgruppe übermittelt und verarbeitet werden und sicherstellen, dass ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte bestehen. 1.3 Alle Mitglieder unserer Unternehmensgruppe sowie sämtliche unserer Mitarbeiter werden ausdrücklich auf die Einhaltung der unternehmensinternen Datenschutzregelungen verpflichtet. Die Unternehmensleitung verpflichtet sich zudem, für die Einhaltung der Datenschutzregelungen zu sorgen und die Datenschutzbestimmungen verbindlich umzusetzen. Im Falle der Beauftragung von Unterauftragsnehmern werden diese durch [eigenständige Verträge, entsprechende Vertragsklauseln, usw.] auf die Einhaltung unserer unternehmensinternen Richtlinien verpflichtet. 1 Tinnefeld/Rauhofer, DuD 2008, 717 (721); Wisskirchen, CR 2004, 862 (866); WP 74, Ziff. 3.1, S. 8. 2 WP 74, Ziff. 3.1, S. 8. 3 Beispielhaft „Leitlinien (Code of Conduct) zum Schutz der Persönlichkeitsrechte im Umgang mit personenbezogenen Daten in der Deutschen Telekom Gruppe“.
Abel/Schulte
|
899
Teil 5 V
Rz. 22
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
1.4 Fakultativ: Verweis auf die geltenden Datenschutzbestimmungen 1.5 Fakultativ: Details zur Unternehmens- bzw. Geschäftsstruktur 22
Inhaltlich muss die Ziffer 1. die zentralen Ziele, die das Unternehmen mit den BCR bezweckt, verdeutlichen und den Willen des Unternehmens zu einer einheitlichen und gewissenhaften Datenschutzpolitik betonen. Voraussetzung dafür ist, dass herausgestellt wird, dass sich alle Mitglieder der Unternehmensgruppe und alle Mitarbeiter ausdrücklich auf die Einhaltung der BCR verpflichten und die Unternehmensleitung sich verpflichtet, für die Einhaltung der BCR zu sorgen1. Ferner sollen die Ziele der BCR, nämlich der angemessene Schutz der personenbezogenen Daten, die von der Unternehmensgruppe übermittelt und verarbeitet werden, dargestellt und ggf. auf die aktuellen europäischen Datenschutzbestimmungen verwiesen werden2. Es ist dem jeweiligen Unternehmen überlassen, ob es seine Zielsetzung ausführlich3 oder übersichtlich, gefühlsbetont oder sachlich4 gestalten möchte. Es ist durchaus möglich, in der Zielsetzung der BCR etwaige charakteristische Aussagen und Leitsprüche des Unternehmens darzustellen. Der Begriff „Zielsetzung“, der manchem Unternehmen zu sachlich wirken mag, kann durch andere Überschriften ersetzt werden. So empfehlen sich insbesondere auch der feierliche Begriff „Präambel“ oder andere Begriffe wie „Ziele“ oder „Ziel unserer Unternehmensrichtlinie“.
1. Erläuterungen zu Ziffer 1.1 23
In Ziffer 1.1 legt das Unternehmen seine Grundmotive für die BCR in einer konzentrierten Aussage über deren Sinn und Zweck, Anlass und Zielsetzung nieder. Dabei sollte insbesondere konkretisiert werden, für welchen Personenkreis die BCR Anwendung finden. Die Ziffer 1.1 kann den BCR auch als Vorwort vorangestellt werden.
2. Erläuterungen zu Ziffer 1.2 24
Ziffer 1.2 beinhaltet die verbindliche Aussage, dass das Ziel der BCR ist, den Schutz der personenbezogenen Daten zu gewährleisten und sicherzustellen, dass ausreichenden Garantien i.S.d. Art. 26 Abs. 2 Richtlinie 95/46/EG und des § 4c Abs. 2 BDSG hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte bestehen.
3. Erläuterungen zu Ziffer 1.3 25
Ziffer 1.3 soll klarstellen, dass die BCR Verbindlichkeit besitzen. BCR sind verbindlich, wenn sowohl die rechtliche Durchsetzbarkeit in Bezug auf die Au1 WP 154, Einleitung, S. 3. 2 WP 154, Einleitung, S. 3. 3 Beispielhaft „Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft“ des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. 4 „Leitlinien (Code of Conduct) zum Schutz der Persönlichkeitsrechte im Umgang mit personenbezogenen Daten in der Deutschen Telekom Gruppe“.
900
|
Abel/Schulte
Erläuterungen
Rz. 26 Teil 5 V
ßenwelt als auch die praktische Einhaltung der BCR innerhalb des Unternehmens garantiert ist1. Die rechtliche Durchsetzbarkeit wird durch die Einräumung von Drittbegünstigungsrechten garantiert (siehe Rz. 62, 103 ff.). Die in Ziffer 1.3 zu garantierende praktische Einhaltung oder interne Verbindlichkeit bedeutet, dass sich sowohl die Unternehmensteile als auch die Mitarbeiter des Unternehmens gezwungen fühlen müssen bzw. gezwungen werden, die BCR einzuhalten. Daher muss die vorliegende Klausel zum einen die Garantie beinhalten, dass die BCR für die Mitarbeiter des Unternehmens verbindlich sind und zum anderen die Selbstverpflichtung der Unternehmensleitung, für die Einhaltung der BCR zu sorgen und die geltenden Datenschutzbestimmungen umzusetzen2. Eine ausdrückliche Empfehlung, wie die Verbindlichkeit der BCR innerhalb des Unternehmens durchzusetzen und zu garantieren ist, kann nicht ausgesprochen werden, denn die genaue interne Ausgestaltung hängt von der Größe und Struktur des Unternehmens und den einzelstaatlichen Rechtsvorschriften der Mitgliedstaaten ab, in denen sich das Unternehmen befindet3. So schaffen z.B. nach den Rechtsvorschriften einiger EU/EWR-Mitgliedstaaten einseitige Verpflichtungen keine rechtsverbindlichen Rechte und Pflichten4. Zur Herstellung der unternehmensinternen Verbindlichkeit der BCR schlägt die Artikel-29-Datenschutzgruppe im WP 108 vier Möglichkeiten vor, die jedoch nicht als abschließend zu betrachten sind5. So wird zum einen empfohlen, verbindliche unternehmensinterne oder vertragliche Regelungen mit den anderen Unternehmensteilen zu vereinbaren. Dies setzt voraus, dass direkte Vereinbarungen oder Verträge mit jedem Unternehmensteil geschlossen werden müssten, womit der Sinn und Zweck der Einführung von BCR – die Vereinfachung des unternehmensinternen Datentransfers – konterkariert würde. Weiter wird vorgeschlagen, einseitige Erklärungen oder Verpflichtungen seitens der Muttergesellschaft aufzustellen, die für die übrigen Unternehmensteile verbindlich sind6, was wiederum voraussetzt, dass der Unternehmenszentrale gesellschaftsrechtlich ein direktes Direktions- oder Weisungsrecht gegenüber den Unternehmensteilen zusteht. Eine weitere Möglichkeit zur Herstellung der internen Verbindlichkeit besteht nach Auffassung der Artikel29-Datenschutzgruppe darin, Kontrollmaßnahmen innerhalb des Unternehmens durchzuführen. Schließlich wird empfohlen, Regelungen in die allgemeinen Unternehmensgrundsätze mit entsprechenden Verhaltensregeln, Angaben zu den Audits und Sanktionen zur ihrer Durchsetzung aufzunehmen. Es muss ferner garantiert sein, dass sämtliche Mitarbeiter, Führungskräfte und sonstige Personen, die mit personenbezogenen Daten in Berührung kommen könnten7, vertraglich auf die Einhaltung der Datenschutzbestimmungen ver1 WP 74, Ziff. 3.3.1, S. 10; WP 108, Ziff. 5, S. 5. 2 WP 154, Einleitung. 3 WP 108, Ziff. 5.5, S. 5; Informationen zur Sicherstellung der Verbindlichkeit bei Filip, ZD 2013, 51 (57 f.). 4 WP 74, Ziff. 1, S. 2. 5 WP 108, Ziff. 5.7, S. 6. 6 WP 108, Ziff. 5.6.2, S. 5. 7 Hierzu zählt nach Gola/Schomerus, § 5 BDSG Rz. 9, auch der Reinigungsdienst, wenn er durch Leerung der Papierkörbe personenbezogene Daten entsorgt; a.A. Simitis/Walz, § 5 BDSG Rz. 16.
Abel/Schulte
|
901
26
Teil 5 V
Rz. 27
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
pflichtet werden. Dies geschieht in der Praxis z.B. durch die Aufnahme von entsprechenden Klauseln in den Arbeitsvertrag, durch den Abschluss von Verpflichtungen zur Wahrung des Datengeheimnisses nach § 5 BDSG oder die individuelle Vereinbarung von Nutzungsbedingungen zur Überlassung von Mobiltelefonen, Computern oder auch Internetzugängen1. Ferner sollten interne Unternehmensgrundsätze erstellt werden, die jedem Mitarbeiter einmalig zur Kenntnis gereicht werden und für jeden Mitarbeiter stets in der aktuellsten Version schnell und einfach abzurufen sind. 27
Auch wenn die BCR als selbstregulierende Maßnahme lediglich unternehmensintern für die eigene Unternehmensgruppe Verbindlichkeit besitzen sollen und können, empfiehlt die Artikel-29-Datenschutzgruppe, eine konkrete Regelung in Bezug auf etwaige Unterauftragnehmer aufzunehmen, aus der hervorgeht, dass die BCR auch für konzernfremde Unterauftragnehmer verbindlich sind2. Unternehmensintern muss in Abstimmung mit Ziffer 11 entschieden werden, ob Unterauftragnehmer vertraglich auf die Einhaltung der BCR verpflichtet werden sollen und ggf. welche Konsequenzen bei Verstößen gegen die BCR drohen.
4. Erläuterungen zu Ziffer 1.4 28
Die Artikel-29-Datenschutzgruppe empfiehlt einen Verweis auf die aktuellen Datenschutzbestimmungen, insbesondere die derzeit geltenden Richtlinien 95/46/EG und 2002/58/EG3. Vor dem Hintergrund, dass die Richtlinie 95/46/EG in den kommenden Jahren durch die Datenschutz-Grundverordnung aufgehoben wird4, sollte man erwägen, einen Verweis auf die kommenden Regelungen aufzunehmen.
5. Erläuterungen zu Ziffer 1.5 29
In Ziffer 1.5 wird dem Unternehmen die Möglichkeit gegeben, die Unternehmensstruktur darzulegen, Angaben zu Standorten, Gründungsjahr, zu der Geschäftstätigkeit und den Geschäftsfeldern oder auch zur Mitarbeiter- oder Kundenanzahl zu machen. Diese Angaben sind derzeit nicht zwingend vorgeschrieben und dem unternehmerischen Ermessen überlassen. Ein Vorteil der Darstellung der Unternehmensstruktur liegt aber unstreitig darin, dass die durch die Verwendung von BCR bezweckte Transparenz hergestellt und damit das Vertrauen in das Unternehmen gestärkt wird. Es wird darauf hingewiesen, dass der Art. 43 Nr. 2a) des Entwurfes zur Datenschutz-Grundverordnung vorsieht, dass die BCR Informationen über Struktur und Kontaktdaten der Unternehmensgruppe und ihrer Mitglieder beinhalten müssen und sich somit mit Blick auf die Zukunft und die dauerhafte Anwendung der BCR eine zumindest grobe Darstellung der Unternehmensstruktur empfiehlt. 1 2 3 4
Beispiele bei Gola/Wronka, Handbuch Arbeitnehmerdatenschutz. WP 108, Ziff. 5.11, S. 6. WP 154, Einleitung. Art. 88 des Entwurfs zur Datenschutz-Grundverordnung.
902
|
Abel/Schulte
Erläuterungen
Rz. 30 Teil 5 V
III. Erläuterungen zu Ziffer 2 30
E 2. Begriffsbestimmungen 2.1 Alternative 1: Die in unserer verbindlichen Unternehmensregelung verwendeten Ausdrücke und Begriffe werden entsprechend den Begriffsbestimmungen [der EU-Datenschutzrichtlinie 95/46/EG vom 26. Oktober 1995/des Bundesdatenschutzgesetzes/der Datenschutz-Grundverordnung] verwendet. 2.2 Alternative 2: Ein umfangreiches Glossar mit Erläuterungen zu den in unserer verbindlichen Unternehmensregelung verwendeten Ausdrücken und Begriffen findet sich am Ende dieses Vertragstextes. 2.3 Alternative 3: Im Rahmen unserer verbindlichen Unternehmensregelungen gelten folgende Begriffsbestimmungen: 2.3.1 Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (betroffene Person). [ggf. besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben] 2.3.2 Die Verarbeitung personenbezogener Daten ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang wie das Erheben, Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. 2.3.3 Die Übermittlung personenbezogener Daten ist das Bekanntgeben personenbezogener Daten an einen Dritten. 2.3.4 Die verantwortliche Stelle ist diejenige juristisch selbständige Gesellschaft unseres Unternehmens, die die jeweilige Maßnahme in Bezug auf die personenbezogenen Daten des Betroffenen veranlasst hat. 2.3.5 Datenverarbeiter ist die natürliche oder juristische Person, die personenbezogene Daten im Auftrag für eine verantwortliche Stelle verarbeitet. 2.3.6 Dritter ist jede natürliche oder juristische Person oder Behörde außerhalb der verantwortlichen Stelle. 2.3.7 Eine Einwilligung ist eine ohne Zwang und in Kenntnis der Sachlage erfolgte Willensäußerung, mit der der Betroffene zu verstehen gibt, dass er mit der Verarbeitung seiner personenbezogenen Daten einverstanden ist. 2.3.8 [Weitere Begriffsbestimmungen sind je nach Unternehmensstruktur und Anwendungsbereich der BCR aufzuführen: Kunden, Lieferanten, Vertragspartner, usw.]. 2.4 Diese Aufzählung bestimmt die wichtigsten Begriffe unserer Unternehmensregelung und wird ggf. durch die geltenden europäischen oder deutschen Bestimmungen ausgelegt und ergänzt. Abel/Schulte
|
903
Teil 5 V 31
Rz. 31
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
In Ziffer 2 sind aus Gründen der Transparenz und der Schaffung von Rechtssicherheit bei der Anwendung der BCR mit den gesetzgeberischen Begriffsbestimmungen in der Richtlinie 95/46/EG oder dem BDSG übereinstimmende wesentliche Definitionen wiedergegeben. Zur Ausgestaltung bieten sich folgende drei Möglichkeiten an.
1. Erläuterungen zu Ziffer 2.1 32
Es ist möglich, einen direkten Verweis auf die Begriffsbestimmungen der geltenden Datenschutzbestimmungen einzufügen. Vorteilhaft hieran ist, dass die Aktualität der Begriffsbestimmungen und die Übersichtlichkeit der BCR gewahrt sind, jedoch müssen die BCR bei gesetzgeberischen Änderungen, z.B. bei Inkrafttreten der Datenschutz-Grundverordnung aktualisiert und angepasst werden.
2. Erläuterungen zu Ziffer 2.2 33
Den BCR kann ein Glossar mit den wichtigsten Begriffsbestimmungen beigefügt werden1. Dies hat den Vorteil, dass die Einheitlichkeit der BCR nicht unterbrochen wird – die Einführung von juristischen Begriffserläuterungen zieht die Unternehmensregelungen in die Länge und schreckt daher nicht juristisch vorgebildete Leser von der weiteren Lektüre des Textes ab. Wenn diese Variante gewählt wird, muss das Glossar den BCR bei jeder Veröffentlichung unmittelbar beigefügt werden, um zu vermeiden, dass das Dokument übersehen wird.
3. Erläuterungen zu Ziffer 2.3 34
Die Begriffsbestimmungen können auch direkt in den Vertragstext integriert werden2. Dies hat den Vorteil, dass insbesondere juristische Laien die Begrifflichkeiten schnell auffinden und verstehen können, was der Transparenz der BCR dient. Ein Nachteil liegt allerdings unstreitig darin, dass das Vertragswerk in die Länge gezogen wird. Die hier gewählten Begriffsbestimmungen zu 2.3.1 bis 2.3.7 stellen das Mindestmaß der zu erläuternden Definitionen dar und müssen ggf. vom Unternehmen auf die konkrete Verhältnisse angepasst und ergänzt werden.
4. Erläuterungen zu Ziffer 2.4 35
Die Ziffer 2.4 ist nicht vorgeschrieben, aber zum einen deswegen sinnvoll, da die Aktualität der BCR gewährleistet ist und erneut der Wille des Unternehmens herausgehoben wird, sich auf die Einhaltung und Auslegung der BCR i.S.d. europäischen und nationalen Datenschutzbestimmungen zu verpflich1 Beispielhaft „Code of Conduct für Kunden/Lieferanten“ der DaimlerChrysler AG. 2 Beispielhaft „Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft“ des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V.
904
|
Abel/Schulte
Erläuterungen
Rz. 39 Teil 5 V
ten. Ein konkreter Verweis auf die geltenden Vorschriften wird wegen der bevorstehenden gesetzgeberischen Änderungen nicht empfohlen.
IV. Erläuterungen zu Ziffer 3 36
E 3. Anwendungs- und Geltungsbereich 3.1 Diese verbindlichen Unternehmensregelungen stellen eine weltweit geltende Konzernrichtlinie dar, die auf sämtliche Verarbeitungsvorgänge in allen Unternehmen des Konzerns [Firma] verbindlich anwendbar sind. 3.2 Alternative 1: Diese verbindlichen Unternehmensregelungen gelten für sämtliche Verarbeitungsvorgänge innerhalb der EU/EWR-Mitgliedstaaten und Datenübermittlungen aus den EU/EWR-Mitgliedstaaten in Drittstaaten. Alternative 2: Diese verbindlichen Unternehmensregelungen gelten für sämtliche Verarbeitungsvorgänge und Datenübermittlungen innerhalb unserer Unternehmensgruppe. 3.3 Wir verarbeiten und übermitteln Daten unserer [Kunden, Mitarbeiter, Lieferanten, Vertragspartner, usw.]. Gegenstand der Verarbeitung und Übermittlung sind [Personenstammdaten, Kommunikationsdaten, Vertragsstammdaten, usw.]. Ziffer 3 regelt den Anwendungs- und Geltungsbereich der Reglungen der BCR.
37
1. Erläuterungen zu Ziffer 3.1 Aus Ziffer 3.1 muss hervorgehen, auf welche Übermittlungs- und Verarbeitungsvorgänge die BCR innerhalb des Unternehmens anwendbar sind, d.h., welche Unternehmen innerhalb des Konzerns an die BCR gebunden sind. Dies richtet sich nach der konkreten Struktur des Unternehmens, weswegen die Ziffer auf die konkreten Verhältnisse anzupassen ist1. Im Zweifel empfiehlt sich eine Einbeziehung sämtlicher Übermittlungs- und Verarbeitungsvorgänge im Unternehmen. In den BCR selbst bedarf es keiner abschließenden Aufzählung der in die jeweiligen Vorgänge einbezogenen Unternehmensteile, da dies zum einen bei größeren Konzernen den Text erheblich in die Länge zieht, zum anderen schutzwürdige Interessen des Konzerns berührt werden können. Eine Liste mit den zum Konzern gehörenden Unternehmensteilen muss aber dem Antrag zum Anerkennungsverfahren beigefügt und in ständig aktualisierter Form geführt und zur Einsicht bereitgehalten werden2.
38
2. Erläuterungen zu Ziffer 3.2 Ziffer 3.2 legt den räumlichen Geltungsbereich der BCR fest, der sich ebenfalls nach der Struktur und dem Umfang der Übermittlungs- und Verarbeitungsvorgänge des jeweiligen Unternehmens und nach dessen internationalen Stand1 Filip, ZD 2013, 51 (56). 2 WP 153, Nr. 4.2, S. 12 und Nr. 6.2, S. 14.
Abel/Schulte
|
905
39
Teil 5 V
Rz. 40
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
orten richtet. Die BCR können zum einen auf sämtliche Verarbeitungsvorgänge innerhalb der EU/EWR-Mitgliedstaaten und Datenübermittlungen aus den EU/EWR-Mitgliedstaaten in Drittstaaten (Alternative 1) oder auf sämtliche Verarbeitungs- oder Übermittlungsvorgänge innerhalb der Unternehmensgruppe (Alternative 2) anwendbar sein.
3. Erläuterungen zu Ziffer 3.3 40
In Ziffer 3.3 ist der materielle Anwendungsbereich der BCR darzustellen. Je nach Struktur und Tätigkeitsfeld des Unternehmens ist hier zunächst der Kreis der durch die Verarbeitung und Übermittlung der Daten Betroffenen zu konkretisieren. Zu dem Personenkreis können z.B. Kunden, Mitarbeiter, Lieferanten oder Vertragspartner gehören. Ferner sind diejenigen personenbezogenen Daten vollständig und abschließend aufzuzählen, die Gegenstand der Verarbeitungs- oder Übermittlungsvorgänge sind, z.B. Personenstammdaten, Kommunikationsdaten, Vertragsstammdaten, die Kundenhistorie, Vertragsabrechnungs- oder Zahlungsdaten, Planungs- oder Steuerungsdaten oder Unternehmensstammdaten. Auch diese Klausel muss entsprechend der Unternehmenstätigkeit angepasst werden. Hinsichtlich der Art der Beschreibung ist zu beachten, dass für den Betroffenen erkennbar sein soll, aus welchen konkreten Lebensbereichen die über ihn gespeicherten personenbezogenen Daten stammen1. Es sollte auf eine umfassende und abschließende Aufzählung geachtet werden, allerdings muss die Beschreibung nicht so detailliert sein, dass diese ein Auskunftsersuchen der betroffenen Person vorwegnimmt2.
V. Erläuterungen zu Ziffer 4 41
E 4. Grundsatz der Zweckbestimmung und Zweckbindung 4.1 Unser Unternehmen verarbeitet und übermittelt personenbezogene Daten nur zu festgelegten, eindeutigen und rechtmäßigen Zwecken und nicht in einer mit der jeweiligen Zweckbestimmung nicht zu vereinbarenden Weise. 4.2 Wir verarbeiten personenbezogene Daten, indem wir sie zum Zwecke der weiteren Verarbeitung oder Nutzung [speichern, verändern, übermitteln, sperren, löschen oder auf andere Weise nutzen]. 4.3 Unser Unternehmen verarbeitet die personenbezogen Daten zum Zwecke der [Vertragsabwicklung, zur Anbahnung von Verträgen, zur Verbesserung unserer Dienstleistungen, usw.]. 4.4 Die Verarbeitung der Daten ist auf diese Zwecke beschränkt, insbesondere findet keine weitere Verarbeitung statt, die nicht mit diesen Zwecken vereinbar ist. Zweckänderungen sind nur mit Einwilligung der betroffenen Person zulässig oder wenn eine Rechtsvorschrift dies zulässt. 1 Gola/Schomerus, § 33 BDSG Rz. 21. 2 Schaffland/Wiltfang, § 33 BDSG Rz. 5, 6.
906
|
Abel/Schulte
Erläuterungen
Rz. 46 Teil 5 V
Die Zulässigkeit einer Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ist maßgeblich von der Beachtung des Grundsatzes der Zweckbindung abhängig. Der Zweckbindungsgrundsatz besagt, dass personenbezogene Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nur für diese Zwecke verarbeitet oder übermittelt werden dürfen1. Aus diesem Grund müssen die BCR eine allgemeine Beschreibung der wichtigsten Verarbeitungszwecke und Arten der Datenübermittlungen enthalten. Einige Datenschutzaufsichtsbehörden verlangen in den BCR oder jedenfalls in den dem Antrag beizufügenden Unterlagen eine ausführlichere Beschreibung des Datenverkehrs.
42
1. Erläuterungen zu Ziffer 4.1 Aus Klarstellungsgründen sollte in Ziffer 4.1 der Grundsatz der Zweckbindung und die Verpflichtung des Unternehmens, diesen einzuhalten, erwähnt werden.
43
2. Erläuterungen zu Ziffer 4.2 In Ziffer 4.2 ist die genaue Art der Verarbeitung darzustellen. Nach der Begriffsbestimmung in § 3 Abs. 4 BDSG umfasst das Verarbeiten das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Auffangbegriff ist das Nutzen in § 3 Abs. 5 BDSG, das jede Verwendung mit einschließt, bei der es sich nicht um eine Verarbeitung handelt. In den BCR reicht die Beschreibung der einzelnen Phasen der Verarbeitung2, jedoch ist darauf hinzuweisen, dass manche Datenschutzbehörden in den jeweiligen Anträgen eine ausführliche Beschreibung der Verarbeitungs- und Übermittlungsvorgänge verlangen.
44
3. Erläuterungen zu Ziffer 4.3 In Ziffer 4.3 sind die verschiedenen Zwecke zu erläutern, zu denen das Unternehmen die personenbezogenen Daten verarbeitet. Die einzelnen zulässigen Zwecke sind in den §§ 28 ff. BDSG festgelegt und richten sich nach dem jeweiligen Tätigkeitsfeld des Unternehmens. Eine allgemeingültige Klausel kann folglich nicht zur Verfügung gestellt werden, vielmehr muss das Unternehmen die einzelnen Zwecke in den BCR abschließend und ausführlich darstellen. Die Datenverarbeitung erfolgt in der Regel zu Geschäftszwecken zur Begründung, Durchführung oder Beendigung rechtsgeschäftlicher oder rechtsgeschäftsähnlicher Schuldverhältnisse oder für Zwecke des Beschäftigungsverhältnisses3.
45
4. Erläuterungen zu Ziffer 4.4 Die betroffenen Personen sind darauf hinzuweisen, dass die Verarbeitung personenbezogener Daten bei Zweckänderungen nur unter engen Voraussetzun1 Gola/Schomerus, § 14 BDSG Rz. 2 ff. 2 Nähere Beschreibungen zu den einzelnen Phasen z.B. in Gola/Schomerus, § 3 BDSG Rz. 25 ff. 3 Vertiefend Gola/Schomerus, § 28 BDSG Rz. 4 ff.
Abel/Schulte
|
907
46
Teil 5 V
Rz. 47
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
gen erlaubt ist, nämlich dann, wenn einer der Ausnahmetatbestände in § 14 Abs. 2 Nr. 1–9 BDSG vorliegt1. Ein umfassender Verweis auf die Ausnahmetatbestände ist nicht notwendig.
VI. Erläuterungen zu Ziffer 5 47
E 5. Datenqualität und Datenverhältnismäßigkeit 5.1 Jeder unserer Mitarbeiter ist dazu verpflichtet, auf die sachliche Richtigkeit der erhobenen Daten oder Datensätze zu achten und diese ggf. auf den neuesten Stand zu bringen. 5.2 Wir achten strikt darauf, dass die Verwendung der personenbezogenen Daten für den jeweiligen Zweck geeignet, notwendig und angemessen ist [fakultativ: und nicht zu stark in die Persönlichkeitsrechte der Betroffenen eingreift.] 5.3 Wir verarbeiten die personenbezogenen Daten nicht über einen längeren Zeitraum, als es für die Realisierung der Zwecke, für die sie erhoben oder verarbeitet werden, erforderlich ist.
48
Die BCR müssen die Selbstverpflichtung zur Datenqualität und Datenverhältnismäßigkeit enthalten.
1. Erläuterungen zu Ziffer 5.1 49
Ziffer 5.1 ist Ausdruck des Grundsatzes der Informations- bzw. Datenqualität, der letztlich auch im Interesse des Unternehmens liegt. Personenbezogene Daten müssen sachlich richtig sein und ggf. auf den neuesten Stand gebracht werden.
2. Erläuterungen zu Ziffer 5.2 50
Ziffer 5.2 beinhaltet den allgemeinen Grundsatz der Datenverhältnismäßigkeit: Personenbezogene Daten sollten den Zwecken entsprechen, für die sie übermittelt oder weiterverarbeitet werden, für diese Zwecke erheblich sein und nicht über diese Zwecke hinausgehen. Es ist dem Unternehmen überlassen, ob es die Selbstverpflichtung, das Persönlichkeitsrecht der betroffenen Person zu beachten, in die Ziffer aufnimmt.
3. Erläuterungen zu Ziffer 5.3 51
Personenbezogene Daten dürfen nicht über einen längeren Zeitraum verarbeitet werden, als es für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist. Grundsätzlich sind die für eigene Zwecke gespeicherten Daten zu löschen, wenn ihre Kenntnis für den Speicherungszweck nicht mehr erforderlich ist2. Da ein genauer Zeitraum wegen der jeweili1 Vertiefend Gola/Schomerus, § 14 BDSG Rz. 12 ff. 2 Gola/Schomerus, § 35 BDSG Rz. 13 f.
908
|
Abel/Schulte
Erläuterungen
Rz. 55 Teil 5 V
gen Geschäftspraxis des Unternehmens nicht pauschal festgelegt werden kann, sollte in Ziffer 5.3 eine pauschale Angabe abgesehen von den Fällen des § 35 Abs. 2 Satz 2 Nr. 4 BDSG genügen.
VII. Erläuterungen zu Ziffer 6 52
E 6. Rechtsgrundlagen für die Verarbeitung personenbezogener Daten 6.1 Die Verarbeitung personenbezogener Daten erfolgt nur dann, wenn die betroffene Person ohne jeden Zweifel ihre Einwilligung gegeben hat, die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgt, erforderlich ist. 6.2 Fakultativ: Besondere personenbezogene Daten verarbeiten wir nur dann, wenn der Betroffene ohne jeden Zweifel seine ausdrückliche Einwilligung gegeben hat [oder im Rahmen eines Arbeitsverhältnisses]. Das Unternehmen muss in den BCR die Rechtsgrundlagen für die Verarbeitung personenbezogener Daten darstellen1. Diese ergeben sich insbesondere aus den §§ 28 ff. BDSG.
53
1. Erläuterungen zu Ziffer 6.1 In Ziffer 6.1 sollen die Rechtsgrundlagen für die Verarbeitung und Übermittlung personenbezogener Daten eingefügt und erläutert werden. Das Unternehmen sollte gesondert herausstellen, dass es personenbezogene Daten grundsätzlich nur dann verarbeitet, wenn eine Einwilligung der betroffenen Person nach § 4a BDSG vorliegt, die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgt, erforderlich ist. Ob weitere Rechtsgrundlagen zu benennen sind, richtet sich nach der Tätigkeit des Unternehmens. Die Norm muss folglich entsprechend angepasst werden. Anhaltspunkte hierfür finden sich z.B. in den §§ 4c Abs. 1, 13 Abs. 2 oder auch §§ 28 ff. BDSG.
54
2. Erläuterungen zu Ziffer 6.2 Die Ziffer 6.2 ist nur dann einzufügen, wenn das Unternehmen besondere personenbezogene Daten verarbeitet und andernfalls ersatzlos zu streichen. Die Verarbeitung besonderer Arten personenbezogener Daten ist nur zulässig, wenn die betroffene Person nach Maßgabe des § 4a Abs. 3 BDSG in die Verarbeitung eingewilligt hat oder wenn einer der Ausnahmetatbestände des § 28 Abs. 6 Nr. 1–4 BDSG gegeben ist. Falls einer der Ausnahmetatbestände für das Unternehmen Anwendung findet, muss die Klausel entsprechend ergänzt werden.
1 WP 154, Ziff. 5 und 6, S. 4 f.
Abel/Schulte
|
909
55
Teil 5 V
Rz. 56
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
VIII. Erläuterungen zu Ziffer 7 56
E 7. Transparenz und Recht auf Information 7.1 Auf unserer Internetseite [Nennung der Internetseite] steht die aktuellste Version unserer verbindlichen Unternehmensregelungen zum Abruf zur Verfügung. Hier informieren wir unsere [Kunden, Vertragspartner, Mitarbeiter, usw.] auch über die aktuellsten datenschutzrechtlichen Entwicklungen in unserem Unternehmen. 7.2 Auf schriftliche Anfrage erhalten die betroffenen Personen weitere Informationen, z.B. über die jeweiligen Empfänger der Daten und die Empfängerländer, sofern nicht unser Interesse an der Geheimhaltung überwiegt.
57
Das Gebot der Transparenz der Datenverarbeitung gehört zu den verfassungsrechtlich gewährleisteten Grundrechten der betroffenen Person1 – hiernach hat die betroffene Person ein Recht auf Offenlegung ihrer Daten, damit sie ggf. ihre weiteren Rechte auf Korrektur, Löschung oder auch Schadensersatz geltend machen kann2.
58
Die Transparenz wird vor allem durch das umfassende Informationsrecht der betroffenen Person gegenüber dem Unternehmen durchgesetzt. Die im Unternehmen mit dieser Aufgabe betraute Person, in der Regel der Datenschutzbeauftragte, hat jedem Interessierten die BCR und jedenfalls die Informationen nach § 4 Abs. 3 Satz 1 BDSG bzw. Art. 10 und 11 Richtlinie 95/46/EG zur Verfügung zu stellen. Ob weitere, den BCR zugrunde liegende Dokumente unter die Transparenzpflicht fallen, ist nicht abschließend geklärt; fest steht nur, dass geheimhaltungsbedürftige Informationen, wie z.B. die Beurteilung der Sicherheitsmaßnahmen i.S.d. § 4e Satz 1 Nr. 9 BDSG, der Öffentlichkeit nicht zugänglich gemacht werden müssen. Die Artikel-29-Datenschutzgruppe verlangt weiter, dass Unternehmen in der Lage sein müssen, nachzuweisen, dass der Einzelne einfachen Zugang zu den wesentlichen Datenschutzvorschriften des Unternehmens hat, sowie zu den aktualisierten Angaben über die Unternehmensteile, die an die Vorschrift gebunden sind. Weiter müssen die betroffenen Personen darüber in Kenntnis gesetzt werden, wie sie an diese Informationen gelangen.
1. Erläuterungen zu Ziffer 7.1 59
In Ziffer 7.1 wird garantiert, dass die aktuellste Version der BCR auf der Internetseite des Unternehmens abrufbar ist. Es wird empfohlen, die BCR ähnlich wie das Impressum, die Allgemeinen Geschäftsbedingungen oder Datenschutzerklärungen zur Verfügung zu stellen, d.h., die BCR sollten schnell und einfach auffindbar sein und ggf. als einheitliches Dokument abgespeichert werden können.
1 BVerfG v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE 65, 1 = NJW 1984, 419, sog. „Volkszählungsurteil“. 2 Gola/Schomerus, § 33 BDSG Rz. 1.
910
|
Abel/Schulte
Erläuterungen
Rz. 61 Teil 5 V
2. Erläuterungen zu Ziffer 7.2 In den BCR sollte nach der Empfehlung der Artikel-29-Datenschutzgruppe darüber hinaus weiter beschrieben werden, dass und wie die betroffenen Personen über die jeweiligen Empfänger der Daten und die Empfängerländer informiert werden, sofern die Mitteilung dieser weiteren Aspekte unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig ist, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten1. Linklaters LLP hat den BCR in den Anlagen 1 und 4 Listen beigefügt, in denen alle Länder und Datenempfänger aufgezählt sind, in und an die Daten übermittelt werden2. Eine entsprechende Offenbarungspflicht schon in den BCR ist aber dann abzulehnen, wenn das Interesse des Unternehmens an der Geheimhaltung überwiegt oder sich als unverhältnismäßig darstellt.
60
IX. Erläuterungen zu Ziffer 8 E 8. Rechte der betroffenen Personen
61
8.1 Wir gewähren unseren [Kunden, Vertragspartnern, Mitarbeitern, usw.] ein unabdingbares Recht auf Auskunft, Berichtigung, Löschung oder Sperrung und auf Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten. Bitte wenden Sie sich für die Durchsetzung Ihrer Rechte an [Ansprechpartner oder Abteilung, Adresse, E-Mail-Adresse]. 8.2 Zur schnelleren Bearbeitung Ihres Anliegens bitten wir Sie, die Art der personenbezogenen Daten und das Recht, das Sie ausüben möchten, näher zu bezeichnen. Wir bitten Sie ferner um schriftliche Kontaktaufnahme, da uns bei einer telefonischen Kontaktaufnahme eine Identifizierung Ihrer Person nicht immer möglich ist. 8.3 Jeder betroffenen Person wird auf Antrag Auskunft über die zu ihrer Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, den Empfänger oder die Kategorien der Empfänger, an die Daten weitergegeben werden und den Zweck der Speicherung erteilt. [ggf. Nennung weiterer umfassenderer Auskunftspflichten nach § 34 Abs. 2–4 BDSG]. Alternative 1: Die Auskunft erfolgt kostenlos und kann in angemessen Abständen angefordert werden. Alternative 2: Die Auskunft erfolgt einmal im Kalenderjahr kostenlos. Für jede weitere Auskunft können wir unter Umständen ein Entgelt verlangen, wenn die betroffene Person die Auskunft gegenüber Dritten zu wirtschaftlichen Zwecke nutzen kann. 8.4 Jede betroffene Person hat ein Recht auf Berichtigung ihrer personenbezogenen Daten, wenn sich herausstellt, dass diese unrichtig oder unvollständig sind. 1 WP 154, Ziff. 7, S. 6. 2 Abrufbar unter http://www.linklaters.com/Legalnotices/Pages/Linklaters-Data-Protec tion-Standards.aspx.
Abel/Schulte
|
911
Teil 5 V
Rz. 62
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
8.5 Ferner besteht ein Anspruch auf Löschung der personenbezogenen Daten, wenn deren Speicherung unzulässig ist oder die Daten für den Zweck der Datenverarbeitung nicht mehr erforderlich sind. 8.6 Es besteht ein Anspruch auf Sperrung der personenbezogenen Daten, wenn sich weder ihre Richtigkeit noch ihre Unrichtigkeit feststellen lässt. 8.7 Die betroffene Person hat ein Recht auf Widerspruch, wenn ihre Daten zu Zwecken der Werbung und der Markt- oder Meinungsforschung genutzt werden. Ferner steht ihr ein Widerspruchsrecht gegen die Verarbeitung und Nutzung der Daten zu, wenn eine Prüfung ergibt, dass ein schutzwürdiges Interesse der betroffenen Person wegen ihrer besonderen persönlichen Situation das Interesse unseres Unternehmens überwiegt. Ferner kann die betroffene Person ihre erteilte Einwilligung in die Verarbeitung und Nutzung der Daten mit Wirkung für die Zukunft widerrufen. (Ggf. ergänzend: Wir weisen darauf hin, dass wir durch Rechtsvorschriften gezwungen sein können, ihre Daten trotz Widerspruchs aufzubewahren.) 8.8 Die betroffene Person hat ein Recht auf Benachrichtigung über eine Verarbeitung ihrer Daten, wenn diese erfolgt, ohne dass sie von dieser Verarbeitung Kenntnis hat oder durch die äußeren Umstände, durch Dritte oder im Wege der Transparenz (Ziff. 7) haben könnte. 62
Die Darstellung der umfassenden Auskunfts-, Berichtigung-, Löschungs- und Sperrungsrechte und des Widerspruchsrechts ist ein wesentlicher Teil der BCR, denn sie sind Ausdruck des Rechts der betroffenen Person auf informationelle Selbstbestimmung und des Drittbegünstigungsgebots. Diese Rechte sind in ihrem Kern vielfach unabdingbar und können insoweit durch Vereinbarung weder ausgeschlossen noch eingeschränkt werden1. Die Einzelheiten der Auskunfts-, Korrektur- und Widerspruchsrechte der betroffenen Person sind in § 6 Abs. 1 i.V.m. §§ 34, 35, § 28 Abs. 3 BDSG festgelegt. Die weiteren dem Betroffenen zustehenden Rechte aus §§ 41 Abs. 2, 38 Abs. 1 und 2 BDSG sowie aus den allgemeinen Rechtsvorschriften ergebenden Rechte, z.B. auf Unterlassung gem. § 1004 BGB, müssen nicht dargestellt werden.
1. Erläuterungen zu Ziffer 8.1 63
In Ziffer 8.1. werden die der betroffenen Person zustehenden Rechte nach § 6 Abs. 1 i.V.m. §§ 34, 35 BDSG zur besseren Übersichtlichkeit der nachfolgenden Ziffern dargestellt. Da die einzelnen Rechte den betroffenen Personen grundsätzlich alternativ und ggf. kumulativ zur Verfügung stehen und für sämtliche Ansprüche eine Kontaktperson benannt werden sollte, sollten die Rechte in gesonderten Absätzen, aber unter einer Ziffer dargestellt werden2. Auf die Darstellung der konkreten Ausgestaltung der Ansprüche kann in den BCR verzichtet werden, um die Übersichtlichkeit zu wahren. Ziffer 8.1. muss zwingend einen Ansprechpartner oder die zuständige Abteilung, bei kleineren 1 Gola/Schomerus, § 6 BDSG Rz. 4. 2 Simitis/Dix, § 35 BDSG Rz. 25.
912
|
Abel/Schulte
Erläuterungen
Rz. 65 Teil 5 V
Unternehmen kann dies auch die Geschäftsleitung des Unternehmens sein, mit den vollständigen Kontaktdaten benennen. In der Regel ist der Datenschutzbeauftragte des Unternehmens Ansprechpartner für alle Anfragen der betroffenen Personen.
2. Erläuterungen zu Ziffer 8.2 Da die betroffenen Personen ihre Rechte grundsätzlich nicht nur schriftlich, sondern auch mündlich durchsetzen können, ist fraglich, ob man die telefonische Kontaktaufnahme durch Angabe einer Telefonnummer ermöglichen sollte. Es darf nicht verkannt werden, dass hier je nach Größe des Unternehmens eine erhebliche Anzahl telefonischer Auskunftsersuchen zu erwarten ist und ggf. eine kostspielige Auskunftsorganisation gestaltet werden muss. Ferner kann eine betroffene Person sich über das Telefon nicht hinreichend identifizieren, was aber aufgrund der Höchstpersönlichkeit der Rechte nach § 6 Abs. 1 i.V.m. §§ 34, 35 BDSG zwingend notwendig ist. Wird die Auskunft einem anderen erteilt, so handelt es sich hierbei ggf. um eine unzulässige und damit als Ordnungswidrigkeit nach § 43 Abs. 2 Nr. 4 BDSG zu ahndende Datenübermittlung1. Besondere Anforderungen an die Identitätsprüfung stellt der Gesetzgeber nicht, insofern bestimmt die verantwortliche Stelle das konkrete Verfahren und die Form der Identitätsprüfung2. Es wird empfohlen, die betroffenen Personen zu bitten, einen schriftlichen Antrag zu stellen, da hier zumindest durch den Abgleich der Adressdaten eine Identitätsprüfung vorgenommen werden kann. Allerdings muss zwingend gewährleistet werden, dass das Widerspruchsrecht gegenüber dem Unternehmen in Bezug auf die Verarbeitung der personenbezogenen Daten zu Zwecken der Werbung und Markt- oder Meinungsforschung mündlich ausgeübt und konkludent geäußert werden kann, dies gilt insbesondere in den Fällen des Direktmarketings, in denen das Unternehmen die betroffene Person telefonisch kontaktiert. Die Mitarbeiter müssen in entsprechenden Arbeitsanweisungen darüber informiert werden, dass im Falle eines mündlichen Widerspruchs unverzüglich ein Hinweis in die Datenbank aufzunehmen und spätestens bei der Kundenstammbehandlung ein Sperrvermerk anzubringen ist3. Um das Auskunftsverfahren zu beschleunigen und zu vereinfachen, sollte die betroffene Person in den BCR gebeten werden, zur schnelleren Bearbeitung des Auskunftsersuchens die Art der Daten, über die das Unternehmen Auskunft erteilen soll, zu bezeichnen.
64
3. Erläuterungen zu Ziffer 8.3 Ziffer 8.3 gibt die wesentlichen Grundsätze des in § 34 BDSG verankerten Auskunftsrechts der betroffenen Person wieder4. Voraussetzung für die Erteilung der Auskunft ist zunächst ein Auskunftsersuchen der betroffenen Person, was trotz der Selbstverständlichkeit in den BCR herausgestellt werden sollte. Der betroffenen Person sind nach § 34 Abs. 1 Satz 1 Nr. 1 BDSG in jedem Falle 1 2 3 4
Gola/Schomerus, § 34 BDSG Rz. 6. Vgl. zu den Einzelheiten Gola/Schomerus, § 34 BDSG Rz. 7. Gola/Schomerus, § 28 BDSG Rz. 68. Zu den Einzelheiten vgl. Breidenbach, DuD 2005, 510.
Abel/Schulte
|
913
65
Teil 5 V
Rz. 66
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
die zu ihrer Person gespeicherten Daten sowie ggf. – sofern gespeichert – Angaben zur Herkunft der Daten mitzuteilen. Die Auskunft über die Empfänger oder Kategorien von Empfängern ist hier nicht schon wegen der bereits bei der Erhebung entstehenden Informationspflicht nach § 4 Abs. 3 Satz 1 Nr. 3 BDSG überflüssig, da das Auskunftsrecht sich diesbezüglich auch auf dem Konzern fremde Datenempfänger bezieht. Es sind ferner der Zweck der Speicherung sowie etwaige spätere Zweckänderungen mitzuteilen. Je nach Tätigkeit des Unternehmens sind die zwingenden erweiterten Auskunftspflichten nach § 34 Abs. 2–4 BDSG zu beachten und in die BCR einzufügen. Es sollte ferner darauf hingewiesen werden, dass die Auskunft kostenlos und auf Antrag in angemessen Abständen angefordert werden kann, da dies das Kundenvertrauen stärkt. Das kostenlose Auskunftsrecht steht der betroffenen Person einmal im Kalenderjahr zu; bei jeder weiteren Auskunft kann unter den Voraussetzungen des § 34 Abs. 8 Satz 3 BDSG und unter der Voraussetzung, dass kein Ausnahmefall nach § 34 Abs. 8 Satz 5 BDSG vorliegt, ein Entgelt verlangt werden. Da die BCR aber vor allem auch bezwecken sollen, den ausdrücklichen Wunsch des Unternehmens, den Datenschutz und die Rechte des Betroffenen zu gewährleisten, herauszustellen, ist die Alternative 2 aus Gründen der Außenwirkung nur bedingt zu empfehlen.
4. Erläuterungen zu Ziffer 8.4 66
Der betroffenen Person steht bei Unrichtigkeit oder Unvollständigkeit der gespeicherten personenbezogenen Daten gem. § 6 Abs. 1 i.V.m. § 35 Abs. 1 BDSG ein unabdingbares Berichtigungsrecht zu1.
5. Erläuterungen zu Ziffer 8.5 67
Die betroffene Person hat nach § 35 Abs. 2 BDSG ein Recht auf Löschung der personenbezogenen Daten, wenn eine der dort genannten Alternativen vorliegt. Löschen bedeutet nach § 3 Abs. 4 Nr. 5 BDSG das Unkenntlichmachen der gespeicherten personenbezogenen Daten2.
6. Erläuterungen zu Ziffer 8.6 68
Nach § 35 Abs. 3 und 4 BDSG hat die betroffene Person einen Anspruch auf Sperrung der Daten, sofern ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt (sog. non liquet)3.
7. Erläuterungen zu Ziffer 8.7 69
Den betroffenen Personen werden im BDSG verschiedene Widerspruchsrechte eingeräumt: § 35 Abs. 5 BDSG regelt das allgemeine Widerspruchsrecht, wo1 Vgl. zu den Einzelheiten z.B. Gola/Schomerus, § 20 BDSG Rz. 2 ff., § 35 BDSG Rz. 3 ff. 2 Vgl. zu den technischen Löschverfahren in der Praxis Conrad/Hausen, ITRB 2001, 35 (38 f.). 3 Vgl. zu den Einzelheiten z.B. Simitis/Dix, § 35 BDSG Rz. 51 ff.
914
|
Abel/Schulte
Erläuterungen
Rz. 71 Teil 5 V
nach der betroffenen Person das Recht eingeräumt wird, Widerspruch gegen die Verarbeitung der personenbezogenen Daten einzulegen, wenn hinreichende, sich aus der persönlichen Situation ergebende Gründe vorgetragen werden und das Interesse des Unternehmens an einer Verarbeitung nicht vorrangig ist oder eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet. Nutzt das Unternehmen Daten zum Direktmarketing oder zu Markt- und Meinungsforschungszwecken, so ist in den BCR auf das nach den §§ 28 Abs. 4, 29 Abs. 4 BDSG eingeräumte uneingeschränkte Widerspruchsrecht gegenüber dem Unternehmen in Bezug auf die entsprechende Verarbeitung und Nutzung hinzuweisen. Schließlich kann die betroffene Person ihre nach §§ 4, 4a BDSG erteilte Einwilligung in die Verarbeitung und Nutzung ihrer personenbezogenen Daten jederzeit mit Wirkung für die Zukunft widerrufen. Da die Ausgestaltung der Widerspruchsrechte und der Ausnahmevorschriften sehr vielgestaltig ist und eine Darstellung in den BCR nur zur Unübersichtlichkeit und damit Intransparenz führen würde, sollte auf eine konkrete Bezeichnung der einzelnen Möglichkeiten in den BCR verzichtet werden.
8. Erläuterungen zu Ziffer 8.8 Die betroffene Person sollte nach den Empfehlungen der Artikel-29-Datenschutzgruppe schließlich über das ihr gem. § 33 BDSG zustehende Benachrichtigungsrecht informiert werden, das entsteht, wenn ein Unternehmen erstmals personenbezogene Daten für eigene Zwecke ohne Kenntnis des Betroffenen speichert1. Der Anwendungsbereich der Norm ist recht eng gefasst, auch beinhaltet § 33 Abs. 2 BDSG einen weiten Ausnahmenkatalog. Insofern dürfte ein kurzer Hinweis auf das Benachrichtigungsrecht mit Hinweis auf den allgemeinen Grundsatz der Transparenz genügen.
70
X. Erläuterungen zu Ziffer 9 E 9. Automatisierte Einzelentscheidungen
71
9.1 Alternative 1: Wir treffen keine rechtlich nachteiligen oder die betroffene Person beeinträchtigenden Entscheidungen aufgrund von automatisierten Einzelentscheidungen. 9.2 Alternative 2: Grundsätzlich stützen wir unsere Entscheidungen nicht ausschließlich auf eine automatisierte Entscheidung personenbezogener Daten, die der Bewertung einzelner Persönlichkeitsmerkmale dienen, wenn diese für die betroffene Person eine rechtliche Folge nach sich ziehen können oder sie erheblich beeinträchtigen. Dies gilt nicht, wenn die Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Rechtsverhältnisses ergeht und dem Begehren der betroffenen Person auf Abschluss oder Erfüllung des Vertrages stattgegeben wurde. Wir garantieren geeignete Maßnahmen zu ergreifen, die die Wahrung der berechtigten Interessen der betroffenen Person gewährleisten. Die betroffenen Personen 1 Zu den Einzelheiten Gola/Schomerus, § 33 BDSG Rz. 4 ff.
Abel/Schulte
|
915
Teil 5 V
Rz. 72
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
erhalten die Möglichkeit, uns ihren Standpunkt mitzuteilen, was dazu führt, dass wir unsere Entscheidung vollumfänglich überprüfen und ggf. abändern. 72
Eine automatisierte Einzelentscheidung i.S.d. § 6a Abs. 1 BDSG liegt vor, wenn keine inhaltliche Bewertung der personenbezogenen Daten und die darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat, sondern die Erkenntnisse ausschließlich mit Hilfe eines Computers gewonnen wurden. Es soll vermieden werden, dass Entscheidungen aufgrund von Persönlichkeitsprofilen ergehen, ohne dass der Betroffene die Möglichkeit hat, die zugrunde liegenden Angaben und Bewertungsmaßstäbe zu erfahren1. Ein Beispiel für automatisierte Einzelentscheidungen ist das Scoringverfahren, bei dem vorhandene personenbezogene Daten einer automatischen Auswertung und Bewertung unterliegen und ohne menschliche Mitwirkung Risikoprofile erstellt werden. Diese werden insbesondere zur Beurteilung der Bonität von Neukunden eingesetzt. Automatisierte Einzelentscheidungen sind nach § 6a BDSG verboten, wenn sie für die betroffene Person eine rechtliche Folge nach sich ziehen oder sie erheblich beeinträchtigen, was z.B. dann der Fall ist, wenn ein gewünschter Vertrag abgelehnt oder ein Kredit nicht oder nur zu schlechten Konditionen angeboten wird2. Das Verbot gilt nicht, wenn die Entscheidung aufgrund des automatisierten Verfahrens für die betroffene Person positiv ausfällt oder die Wahrung der Interessen der Betroffenen durch geeignete Maßnahmen gewährleistet ist, was insbesondere dann der Fall ist, wenn der betroffenen Person die Möglichkeit gegeben wird, ihren Standpunkt gegenüber dem Unternehmen geltend zu machen und das Unternehmen die Entscheidung daraufhin erneut prüft.
1. Erläuterungen zu Ziffer 9.1 73
Die Alternative 1 in Ziffer 9.1 ist von denjenigen Unternehmen zu verwenden, die keine rechtlich nachteiligen oder die betroffene Person beeinträchtigenden Entscheidungen aufgrund von automatisierten Einzelentscheidungen treffen. Zwar kann in diesem Fall grundsätzlich ganz auf die Klausel verzichtet werden, doch empfiehlt sich der konkrete Hinweis, um etwaige Nachfragen seitens der die BCR genehmigenden Behörden und damit verbundene Verzögerungen zu vermeiden und das Kundenvertrauen zu stärken.
2. Erläuterungen zu Ziffer 9.2 74
Alternative 2 in Ziffer 9.2 ist zu verwenden, wenn ein Unternehmen unter Zuhilfenahme einer automatisierten Datenauswertung personenbezogene Daten verarbeitet, die der Bewertung einzelner Persönlichkeitsmerkmale dienen, sofern das Unternehmen auf dieser Basis für den Betroffenen rechtlich relevante oder den Betroffenen erheblich beeinträchtigende Entscheidungen fällt. Es ist 1 BT-Drucks. 14/4329, 37. 2 Einzelheiten zum Scoringverfahren in der Kreditwirtschaft Möller/Florax, MMR 2002, 806 ff.
916
|
Abel/Schulte
Erläuterungen
Rz. 76 Teil 5 V
ausdrücklich auf die entsprechende Gegendarstellung bzw. Beschwerde der betroffenen Person hinzuweisen, und es sind unternehmensintern entsprechende organisatorische Maßnahmen zu treffen.
XI. Erläuterungen zu Ziffer 10 75
E 10. Sicherheit und Vertraulichkeit 10.1 Unser Unternehmen wendet geeignete technische und organisatorische Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten gegen die zufällige oder rechtswidrige Zerstörung, den zufälligen Verlust, die zufällige Änderung, die unberechtigte Offenlegung, den unberechtigten Zugriff und jede andere Form der unrechtmäßigen Verarbeitung an. [Fakultativ: Bei der Verarbeitung von sensiblen Daten sieht unser Unternehmen erhöhte Sicherheitsvorkehrungen vor.] 10.2 Diese Sicherheitsmaßnahmen gewährleisten unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten gerecht ist. 10.3 Unser Sicherheitskonzept ist konzernweit für alle Unternehmensteile und Mitarbeiter verbindlich. [Fakultativ: Vorsätzliche oder grob fahrlässige Verstöße hiergegen können zu arbeitsrechtlichen Maßnahmen führen.] Nach § 9 Satz 1 BDSG haben Unternehmen, die personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten. Erforderlich sind solche Maßnahmen nach § 9 Satz 2 BDSG nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Die Vorschrift dient nicht nur dem Interesse der betroffenen Person am Schutz ihrer Daten, sondern auch den eigenen Datensicherheits- und Datensicherungsinteressen des Unternehmens. Für die automatisierte Datenverarbeitung nennt der Gesetzgeber in der Anlage zu § 9 BDSG acht datenschutzspezifische Sicherheitsmaßnahmen bzw. Kontrollformen, die aber weder zwingend ausnahmslos erfüllt werden müssen, noch abschließend sind. Vielmehr hat das Unternehmen zu gewährleisten, dass die technischen und organisatorischen Maßnahmen zur Datensicherung eine gut abgestimmte Einheit bilden und ein solides Sicherheitskonzept geplant und umgesetzt wird1. Um die Maßnahmen zu finden, deren Schutzwirkung in einem angemessenen Verhältnis zu dem Aufwand steht, mit dem sie verbunden sind, wird grundsätzlich eine umfassende Risikoanalyse innerhalb des Unternehmens durchzuführen sein. Das fertig gestellte Konzept ist dem Antrag auf Anerkennung der BCR beizufügen und im Unternehmen, in der Regel beim Datenschutzbeauftragten, stets in aktualisierter Form zur Einsicht bereit zu halten.
1 Hoeren/Sieber, Teil 16.5., Datensicherheit.
Abel/Schulte
|
917
76
Teil 5 V
Rz. 77
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
1. Erläuterungen zu Ziffer 10.1 77
Ziffer 10.1 beinhaltet die Selbstverpflichtung des Unternehmens zur Anwendung geeigneter technischer und organisatorischer Maßnahmen1. Das Sicherheitskonzept muss wegen der berechtigten Geheimhaltungsinteressen des Unternehmens in den BCR nicht näher dargestellt werden. Selbstredend kann das Unternehmen einzelne ausgewählte Sicherheits- und Kontrollmaßnahmen offenbaren und in dieser Ziffer aufzählen2. Der als fakultativ bezeichnete Zusatz muss nur dann aufgenommen werden, wenn das Unternehmen besondere Arten personenbezogener Daten verarbeitet.
2. Erläuterungen zu Ziffer 10.2 78
Der Umfang der zu treffenden Sicherheitsvorkehrungen wird nach Ziffer 10.2 unter den Grundsatz der Verhältnismäßigkeit gestellt.
3. Erläuterungen zu Ziffer 10.3 79
Wegen der besonderen Bedeutung der Selbstverpflichtung des Unternehmens auf den Datenschutz sollte in Ziffer 10.3 ausdrücklich erwähnt werden, dass auch das Sicherheitskonzept für alle Unternehmensteile und Mitarbeiter verbindlich ist. Nach Auffassung der Artikel-29-Datenschutzgruppe sollen die entsprechenden Regelungen auch Disziplinarmaßnahmen bei Verstößen gegen die Regelungen oder andere Sanktionen vorsehen3. Die konkrete Ausgestaltung bleibt dem Unternehmen überlassen. Ein Hinweis in den BCR ist grundsätzlich nicht zu empfehlen, da dies auf die Kunden abschreckend wirken kann und nach den Vorgaben der Artikel-29-Datenschutzgruppe auch nicht zwingend vorausgesetzt wird4. Die genaue Beschreibung der internen Durchsetzbarkeit und Verbindlichkeit mit ggf. aufgeführten arbeitsrechtlichen Maßnahmen sollten dem Anerkennungsantrag vorbehalten bleiben.
XII. Erläuterungen zu Ziffer 11 80
E 11. Beschränkung der Weiterübermittlung 11.1 Außerhalb unserer Unternehmensgruppe haben wir den Datentransfer und die Weiterübermittlung von Daten an unternehmensfremde Datenverarbeiter stark eingeschränkt. Dennoch kann es [Fakultativ: in Einzelfällen] notwendig werden, Externe mit der Verarbeitung personenbezogener Daten zu beauftragen. Dies geschieht jedoch grundsätzlich nur, wenn die betroffene Person im Falle besonderer Datenkategorien ihre ausdrückliche Zustimmung zur Weiterübermittlung erteilt hat. Die betroffene Person hat ferner jederzeit die Möglichkeit, der Weiterüber1 Vgl. vertiefend zu den einzelnen Maßnahmen Münch, S. 323 ff. 2 Beispielhaft § 22 der „Leitlinien (Code of Conduct) zum Schutz der Persönlichkeitsrechte im Umgang mit personenbezogenen Daten in der Deutschen Telekom Gruppe“. 3 WP 108, Ziff. 5.9, S. 6. 4 WP 153, Ziff. 1.3, S. 3.
918
|
Abel/Schulte
Erläuterungen
Rz. 83 Teil 5 V
mittlung zu widersprechen. Die Daten werden ausschließlich zu [Zweck der Weiterübermittlung] übermittelt. 11.2 Bei Datentransfers innerhalb der EU/EWR-Mitgliedstaaten oder einem Staat mit anerkanntem Datenschutzniveau an externe Datenverarbeiter schließen wir zum Schutz Ihrer Daten eine schriftliche Vereinbarung, die beinhaltet, dass die externen Datenverarbeiter nur auf unsere Weisung handeln dürfen und für die Durchführung geeigneter Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit verantwortlich sind. 11.3 Bei Datentransfers außerhalb der EU/EWR-Mitgliedstaaten oder einem Staat mit anerkanntem Datenschutzniveau an externe Datenverarbeiter beachten wir die strengen europäischen Vorschriften für den grenzüberschreitenden Datenverkehr und verwenden insbesondere die von der EU-Kommission gebilligten Standardvertragsklauseln oder andere geeignete vertragliche Vereinbarungen. Auch hier gewährleisten wir, dass die Datenverarbeiter nur auf Weisung handeln und für die Durchführung geeigneter Sicherheitsmaßnahmen verantwortlich sind. Datenübermittlungen von Unternehmensteilen innerhalb des Konzerns an fremde, externe Unternehmen, von der Artikel-29-Datenschutzgruppe „Weiterübermittlungen“1 genannt, unterliegen strengen Zulässigkeitsvoraussetzungen. Sie sind grundsätzlich nur möglich, wenn zwischen dem Unternehmen, das dem Konzern angehört, und dem externen Unternehmen ein von der EUKommission gebilligter Standardvertrag geschlossen wird (vgl. hierzu Rz. 13). Auch wenn BCR nur auf unternehmensinterne Verarbeitungs- und Übermittlungsvorgänge anwendbar sind, sollte dargestellt werden, wie das Unternehmen die personenbezogenen Daten in Fällen der Weiterübermittlung an Datenverarbeiter schützt, die nicht der Unternehmensgruppe angehören2.
81
1. Erläuterungen zu Ziffer 11.1 Ziffer 11.1 beinhaltet die allgemeine Garantie, Weiterübermittlungen von Daten an Stellen außerhalb der Unternehmensgruppe weitestgehend gering zu halten und eine allgemeine, ggf. anzupassende Beschreibung, wann eine Weiterübermittlung zu welchen Zwecken erfolgt. Es handelt sich dabei um einen Unterfall des allgemeinen Grundsatzes der Datensparsamkeit. Die Ziffer ist auf die jeweiligen Verhältnisse in der Unternehmensgruppe anzupassen.
82
2. Erläuterungen zu Ziffer 11.2 Ziffer 11.2 beinhaltet die Aussage, dass bei Datentransfers an externe Datenverarbeiter innerhalb der EU/EWR-Mitgliedstaaten oder Drittstaaten mit angemessenem Schutzniveau schriftliche Vereinbarungen mit dem Inhalt geschlossen werden, dass die externen Datenverarbeiter nur auf Weisung des Unternehmens handeln dürfen und technische und organisatorische Schutzvorkehrungen zu 1 WP 74, Ziff. 3.2, S. 9. 2 WP 154, Ziff. 11 und 12, S. 7 f.
Abel/Schulte
|
919
83
Teil 5 V
Rz. 84
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
treffen haben. Diese Vereinbarungen bzw. die von dem Unternehmen verwendete Mustervereinbarung muss ggf. dem Antrag auf Anerkennung beigefügt werden.
3. Erläuterungen zu Ziffer 11.3 84
Bei Datentransfers an Empfänger außerhalb der EU/EWR-Mitgliedstaaten oder in Drittstaaten ohne angemessenes Schutzniveau müssen strenge Voraussetzungen erfüllt und bestenfalls mit jedem externen Datenverarbeiter gesonderte Vereinbarungen geschlossen werden. Hierfür empfiehlt sich die Verwendung der von der EU-Kommission gebilligten Standardvertragsklauseln (siehe Rz. 16)1.
XIII. Erläuterungen zu Ziffer 12 85
E 12. Schulungsprogramm Innerhalb unserer gesamten Unternehmensgruppe stellen wir unseren Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten, geeignete datenschutzrechtliche Schulungsmaßnahmen zur Verfügung. Um das Bewusstsein für den Datenschutz in unserem Unternehmen noch weiter zu stärken und die konsequente Durchführung unserer Unternehmensregelungen sicherzustellen, stehen allen unseren Mitarbeitern [datenschutzrechtlich relevante Informationen, Merkblätter und Richtlinien] zur Verfügung. Unsere Mitarbeiter können sich mit ihren datenschutzrechtlichen Fragestellungen jederzeit an unseren Datenschutzbeauftragten wenden.
86
Nach den Empfehlungen der Artikel-29-Datenschutzgruppe ist unternehmensintern ein System zu errichten, das im gesamten Unternehmen das Bewusstsein und die Durchführung der unternehmensinternen Vorschriften innerhalb und außerhalb der EU/EWR-Mitgliedstaaten garantiert. Dies wird zum einen durch arbeitsvertragliche Klauseln oder Merkblätter, Informationsveranstaltungen und interne Richtlinien zum Datenschutz gewährt, setzt aber zum anderen auch regelmäßige Schulungen der Mitarbeiter voraus, die das nötige Bewusstsein für Bedeutung und Notwendigkeit des Datenschutzes fördern und aktualisieren. Das Unternehmen muss nachweisen können, dass die datenschutzrechtlichen Grundsätze konzernweit bekannt sind, verstanden und im ganzen Unternehmen von den Mitarbeitern angewandt werden2. Dafür sollten den Mitarbeitern regelmäßig Schulungen angeboten werden und stets aktuelle Vorschriften zu den datenschutzrechtlichen Grundsätzen des Unternehmens zur Verfügung stehen3. Innerhalb des Unternehmens ist grundsätzlich der Datenschutzbeauftragte gem. § 4g Abs. 1 Satz 4 Nr. 2 BDSG dafür verantwortlich, die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den relevanten Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut 1 S. die Muster in Teil 5 I, 5 II und 5 III. 2 WP 74, Ziff. 5.1, S. 16. 3 WP 74, Ziff. 5.1, S. 16.
920
|
Abel/Schulte
Rz. 89 Teil 5 V
Erläuterungen
zu machen. Im Rahmen seiner Weisungsfreiheit ist der Datenschutzbeauftragte berechtigt, unter Berücksichtigung der Erfordernisse und Möglichkeiten des Betriebes selbst zu bestimmen, welches die geeigneten Maßnahmen zur Schulung der Mitarbeiter sind1. Um ihren Pflichten in Bezug auf die hinreichende Schulung der Mitarbeiter nachzukommen, muss die Unternehmensleitung zumindest die erforderlichen Räume, Mittel und Materialien zur Verfügung stellen und ggf. die Teilnahme an der Schulungsveranstaltung für die in Betracht kommenden Mitarbeiter anordnen.
XIV. Erläuterungen zu Ziffer 13 87
E 13. Datenschutzaudit 13.1 Zur Verbesserung des Datenschutzes und der Datensicherheit lassen wir in regelmäßigen Abständen unser gesamtes Datenschutzkonzept durch Audits prüfen und bewerten. 13.2 Die Ergebnisse der Audits werden der Unternehmensleitung und dem Datenschutzbeauftragten mitgeteilt. Die zuständigen Datenschutzbehörden erhalten eine Kopie der Ergebnisse auf Antrag oder wenn eine Aktualisierung unserer Unternehmensregelungen notwendig wird. 13.3 Bei Bedarf und auf Antrag können die zuständigen Datenschutzbehörden ein eigenes Audit durchführen. Entsprechende Audits werden unter Beachtung der Vertraulichkeit und der Geschäftsgeheimnisse durchgeführt und strikt begrenzt auf die Feststellung der Einhaltung der unternehmensinternen Vorschriften. Die Prüfungsdaten, die personenbezogene Daten beinhalten, werden dabei unkenntlich gemacht, um die Vertraulichkeit der Daten der betroffenen Personen oder vertraulicher Unternehmensinformationen zu gewährleisten. Die verbindlichen Unternehmensregelungen sollen nach den Empfehlungen der Artikel-29-Datenschutzgruppe regelmäßigen Audits unterzogen werden2. Ziel der regelmäßigen Überprüfung und Untersuchung des Datenschutzkonzeptes ist es laut deutscher Gesetzesbegründung, „datenschutzfreundliche“ Produkte auf dem Markt zu fördern3. Selbstredend soll durch die regelmäßige Auditierung aber vor allem die Einhaltung der verbindlichen Unternehmensregelungen geprüft und im besten Fall bestätigt werden.
88
1. Erläuterungen zu Ziffer 13.1 Es ist dem Unternehmen überlassen, ob es eigene Audits durch angestellte Auditoren, z.B. durch den Datenschutzbeauftragten, durchführt oder eine externe Überwachung und Überprüfung durch externe Auditoren bevorzugt4. 1 2 3 4
Gola/Schomerus, § 4g BDSG Rz. 20. WP 154, Ziff. 14, S. 8; WP 74, Ziff. 5.2, S. 16. BR-Drucks. 461/00, 18. WP 74, Ziff. 5.2., S. 16; zum externen Audit s. das Muster in Teil 1 III.
Abel/Schulte
|
921
89
Teil 5 V
Rz. 90
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
2. Erläuterungen zu Ziffer 13.2 90
Die Ergebnisse der Audits müssen der Unternehmensleitung und dem Datenschutzbeauftragten mitgeteilt werden. Ferner empfiehlt die Artikel-29-Datenschutzgruppe der zuständigen Datenschutzbehörde auf Antrag eine Kopie der Ergebnisse zuzustellen oder dann, wenn zu erwarten ist, dass eine Aktualisierung der Unternehmensregelungen notwendig sein wird1.
3. Erläuterungen zu Ziffer 13.3 91
Nach den Empfehlungen der Artikel-29-Datenschutzgruppe muss wegen der Verpflichtung zur Zusammenarbeit mit den Datenschutzbehörden angegeben werden, dass in besonderen Ausnahmefällen Audits erforderlich sein können, die von Prüfern der Kontrollstelle selbst oder von unabhängigen Auditoren im Auftrag der Kontrollstelle durchgeführt werden2. Ob und unter welchen Voraussetzungen Datenschutzbehörden eigenständige Datenschutzaudits in den Unternehmen tatsächlich gegen den Willen des Unternehmens anordnen und durchführen können und inwieweit solche Eingriffe rechtmäßig sind, ist fraglich – es handelt sich um einen repressiven staatlichen Eingriff, der der strikten Bindung an den Verhältnismäßigkeitsgrundsatz unterliegt. Dennoch kann ein entsprechender Hinweis wegen der ausdrücklichen Empfehlung der Artikel29-Datenschutzgruppe für die Akzeptanz der BCR durch die Aufsichtsbehörden zweckmäßig sein.
XV. Erläuterungen zu Ziffer 14 92
E 14. Einhaltung der BCR und Überwachung 14.1 Sämtliche Gesellschaften unserer Unternehmensgruppe sind verpflichtet, den betroffenen Personen gegenüber sicherzustellen, dass die Anforderungen des Datenschutzes beachtet werden. [Alternative 1: Die Datenschutzbeauftragten der verschiedenen Unternehmen unseres Konzerns stehen in engem Kontakt zueinander, überwachen und gewährleisten die Einhaltung unserer verbindlichen Unternehmensregelungen und werden hierbei direkt von der Unternehmensleitung unterstützt. Alternative 2: Wir haben einen Mitarbeiterstab gebildet, der die Einhaltung unserer verbindlichen Unternehmensregelungen überwacht und gewährleistet und hierbei direkt von der Unternehmensleitung unterstützt wird.] 14.2 [Beschreibung der Struktur, Aufgaben und Zuständigkeiten des Konzerndatenschutzbauftragten bzw. des Mitarbeiterstabs]
93
Das Unternehmen muss sich nach den Empfehlungen der Artikel-29-Datenschutzgruppe dazu verpflichten, einen Mitarbeiterstab im Unternehmen zu er-
1 WP 74, Ziff. 5.2., S. 16 f. 2 WP 74, Ziff. 5.2., S. 17; WP 108, Ziff. 6, S. 8.
922
|
Abel/Schulte
Erläuterungen
Rz. 97 Teil 5 V
richten, der die konzernweite Einhaltung der BCR überwacht, und diesen Mitarbeiterstab bei seiner Arbeit unterstützen1.
1. Erläuterungen zu Ziffer 14.1 In Ziffer 14.1 ist der Grundsatz der Einhaltung und der Überwachung der BCR darzustellen. Ferner ist darüber aufzuklären, von wem der Schutz der personenbezogenen Daten im Einzelfall sichergestellt wird. Es besteht die Möglichkeit, die Datenschutzbeauftragten der einzelnen Unternehmensteile miteinander zu vernetzen (Alternative 1) oder einen weiteren Mitarbeiterstab zu bilden, der die Einhaltung der BCR zusätzlich zu den Datenschutzbeauftragten überwacht (Alternative 2). Die konkrete unternehmensinterne Ausgestaltung bleibt dem Konzern überlassen und richtet sich nach Größe und Struktur der Unternehmen.
94
2. Erläuterungen zu Ziffer 14.2 In Ziffer 14.2 sollen die Struktur, die Aufgabenbereiche und die Zuständigkeiten des Mitarbeiterstabs beschrieben werden, der die Einhaltung der BCR überwacht. Die Artikel-29-Datenschutzgruppe gibt dazu folgendes allgemeines Beispiel: „Der oberste Datenschutzbeauftragte berät die Unternehmensleitung, ist zuständig bei Untersuchungen der Datenschutzbehörden, berichtet jährlich über die Anwendung der BCR, sorgt auf Unternehmensebene für die Einhaltung der BCR. Die Datenschutzbeauftragten bearbeiten die Beschwerden der Betroffenen in ihrem Zuständigkeitsbereich, berichten dem obersten Datenschutzbeauftragten über größere Probleme beim Datenschutz und sorgen für die Einhaltung der Vorschriften auf lokaler Ebene.“2. Es sollte dem Unternehmen überlassen sein, wie sehr es bei der Beschreibung ins Detail gehen möchte – in jedem Fall muss eine kurze Beschreibung der konkreten unternehmensinternen Abläufe aufgenommen werden.
95
XVI. Erläuterungen zu Ziffer 15 E 15. Abweichende einzelstaatliche Vorschriften
96
Hat eine Gesellschaft unserer Unternehmensgruppe Anlass zu der Annahme, dass nationale Vorschriften der Einhaltung der Unternehmensregelungen entgegenstehen und deren Garantien beeinträchtigen könnten, wird unverzüglich das für die EU/EWR zuständige Unternehmen und der Datenschutzbeauftragte informiert und das weitere Vorgehen abgesprochen. Im Zweifelsfall werden die zuständigen Datenschutzbehörden zu Rate gezogen. Die BCR sollen nach den Empfehlungen der Artikel-29-Datenschutzgruppe die Selbstverpflichtung enthalten, dass jeder Unternehmensteil, der Zweifel daran hat, dass die an seinem Sitz geltenden einzelstaatlichen Vorschriften mit den unternehmensinternen BCR in Einklang stehen, verpflichtet ist, unverzüglich Kontakt zu den anderen Unternehmensteilen aufzunehmen. Besteht Anlass 1 WP 154, Ziff. 15, S. 9. 2 WP 154, Ziff. 15, S. 9.
Abel/Schulte
|
923
97
Teil 5 V
Rz. 98
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
zur Sorge, dass einzelstaatliche Rechtsvorschriften die vollumfängliche Ausführung und Beachtung der BCR behindern, so sollte entweder die EU/EWRUnternehmenszentrale oder der mit dem Datenschutz beauftragte, in der EU/ dem EWR ansässige Unternehmensteil informiert werden. Dieser wiederum muss nach den Vorstellungen der Artikel-29-Datenschutzgruppe eine Entscheidung treffen und die zuständige Datenschutzbehörde konsultieren1.
XVII. Erläuterungen zu Ziffer 16 98
E 16. Beschwerdemöglichkeiten 16.1 Unser Unternehmen hat eine interne Beschwerdestelle eingerichtet, an die sich die betroffenen Personen wenden können, wenn sie der Auffassung sind, dass ein Mitglied unserer Unternehmensgruppe gegen unsere Unternehmensrichtlinien verstößt. In diesem Fall bitten wir um unverzügliche Kontaktaufnahme zu [unserem Datenschutzbeauftragten/ Mitarbeiterstab – erneut Adresse aufführen oder Verweis auf die oben genannte Adresse]. 16.2 Die betroffene Person hat zudem das Recht, bei den zuständigen Datenschutzbehörden Beschwerde zu erheben, wenn sie der Auffassung ist, dass ein Mitglied unserer Unternehmensgruppe gegen unsere Unternehmensrichtlinien verstößt.
99
Die BCR sollen ein System vorsehen, in dem Beschwerden Einzelner von einer klar bezeichneten unternehmensinternen Beschwerdeabteilung behandelt und beantwortet werden und die betroffenen Personen darauf hinweisen, dass sie Beschwerde bei den Datenschutzbehörden einreichen können2.
1. Erläuterungen zu Ziffer 16.1 100
In Ziffer 16.1 wird das Recht zur Beschwerde und die einzurichtende Beschwerdestelle nebst Kontaktdaten benannt. Diese Aufgabe sollte zur Bündelung der datenschutzrechtlichen Fragestellungen grundsätzlich vom Datenschutzbeauftragten des jeweiligen Unternehmens übernommen werden.
2. Erläuterungen zu Ziffer 16.2 101
In Ziffer 16.2 wird die betroffene Person darüber informiert, dass sie das Recht hat, bei den zuständigen Datenschutzbehörden Beschwerde gegen das Unternehmen zu erheben. Auch wenn eine entsprechende Regelung wegen der bereits eingeräumten Drittbegünstigungsrechte und der damit ermöglichten Beschwerde nach innerstaatlichem Recht grundsätzlich überflüssig ist, empfiehlt die Artikel-29-Datenschutzgruppe die Aufnahme einer ausdrücklichen Regelung3. 1 WP 74, Ziff. 3.3.3, S. 13 f. 2 WP 154, Ziff. 17, S. 9. 3 WP 155, Ziff. 4, S. 5.
924
|
Abel/Schulte
Erläuterungen
Rz. 104 Teil 5 V
XVIII. Erläuterungen zu Ziffer 17 E 17. Drittbegünstigung
102
17.1 Die betroffenen Personen können sämtliche ihnen durch unsere verbindlichen Unternehmensregelungen eingeräumten Rechte als Drittbegünstigte geltend machen. Hierzu gehören insbesondere die in [Ziff. X, in Ziff. Y, Ziff. Z, usw.] eingeräumten Rechte. 17.2 Wir haben keine Einwände dagegen, dass die betroffene Person, sofern sie dies ausdrücklich wünscht oder das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtung vertreten wird. Der betroffenen Person werden mit den BCR weitreichende Drittbegünstigtenrechte eingeräumt. Hintergrund ist, dass einseitige Vereinbarungen wie BCR grundsätzlich nur Innenwirkung im Unternehmen entfalten können, was zur Folge hätte, dass sich die betroffenen Personen nicht auf die Durchsetzung der BCR zu ihren Gunsten berufen könnten. Durch die ausdrückliche Einräumung von Drittbegünstigtenrechten soll auch bei abweichenden einzelstaatlichen Regelungen gewährleistet werden, dass die BCR rechtlich vorteilhafte Wirkungen für die betroffenen Personen entfalten und diese das Recht haben, sich auf die nur intern wirkenden Bestimmungen zu berufen. Die betroffenen Personen müssen als Drittbegünstigte vollumfänglich berechtigt sein, die Einhaltung der Vorschriften durchzusetzen, sowohl durch Einreichen einer Beschwerde bei der zuständigen Datenschutzbehörde als auch bei dem jeweils zuständigen Gericht.
103
1. Erläuterungen zu Ziffer 17.1 In Ziffer 17.1 ist festzuhalten, dass sich die betroffenen Personen auf sämtliche ihnen durch die BCR eingeräumten Rechte als Drittbegünstigte berufen können. Dabei ist ein allgemeiner Hinweis auf die Drittbegünstigung nach Auffassung der Artikel-29-Datenschutzgruppe nicht ausreichend – vielmehr soll das Unternehmen alle Rechte ausdrücklich aufführen und auf die jeweiligen Ziffern verweisen1. Die Klausel ist folglich nach der endgültigen Fassung der BCR des Unternehmens zu ergänzen. Sicherheitshalber sollten sämtliche drittbegünstigende Grundsätze ausdrücklich in dieser Ziffer Erwähnung finden: Grundsatz der Zweckbindung, Datenqualität und -verhältnismäßigkeit, Rechtsgrundlage für die Datenverarbeitung, Transparenz und einfacher Zugang zu den BCR, Recht auf Auskunft, Berichtigung, Löschung oder Sperrung von Daten und Recht auf Widerspruch gegen die Verarbeitung, Rechte bei automatisierten Einzelentscheidungen, Grundsatz der Sicherheit und Vertraulichkeit, der beschränkten Weiterübermittlung, einzelstaatliche Vorschriften, die der Einhaltung der BCR entgegenstehen, interne Beschwerdeverfahren, Pflicht zur Zusammenarbeit mit der Datenschutzbehörde sowie Haftung und Rechtsbehelfe. Keine Drittbegünstigungsrechte ergeben sich z.B. aus den Schulungsprogrammen, Auditverfahren oder Regelungen, die den Datenschutzbeauftragten oder die Aktualisierung der BCR betreffen2. 1 WP 155, Ziff. 9, S. 7. 2 WP 155, Ziff. 9, S. 7.
Abel/Schulte
|
925
104
Teil 5 V
Rz. 105
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
2. Erläuterungen zu Ziffer 17.2 105
Ziffer 17.2 ist grundsätzlich überflüssig, der Hinweis, dass das Unternehmen keine Einwände dagegen hat, dass sich die betroffene Person durch Vereinigungen oder sonstige Einrichtungen vertreten lässt, wird aber zu Klarstellungsgründen von der Artikel-29-Datenschutzgruppe empfohlen. Als Vereinigungen oder sonstige Einrichtungen in diesem Sinne sind Datenschutzbehörden, Verbraucherschutzbehörden, Vereinigungen von Arbeitnehmern und sonstige Interessensvertreter gemeint.
XIX. Erläuterungen zu Ziffer 18 106
E 18. Haftung 18.1 Fügt eines unserer [Konzernmitglieder/Unternehmen] der betroffenen Person durch eine rechtswidrige Verarbeitung ihrer personenbezogenen Daten oder einer anderen mit unseren verbindlichen Unternehmensregelungen nicht zu vereinbarenden widerrechtlichen Handlung einen Schaden zu, so kann sie Ersatz für die ihr entstandenen Schäden verlangen. Die Ersatzpflicht entfällt, wenn die nach den Umständen des Einzelfalls gebotene Sorgfalt beachtet wurde. 18.2 Für rechtswidrige Handlungen von Gruppenmitgliedern außerhalb der EU/EWR haftet [Benennung der EU/EWR-Hauptniederlassung/des die Haftung übernehmenden Unternehmens]. 18.3 Alternative 1.1.: Sind mehrere Unternehmensteile an der Verarbeitung, bei der ein rechtswidriger Schaden entsteht, beteiligt, so haften sie der betroffenen Person gegenüber als Gesamtschuldner. Die Ersatzpflicht tritt nicht ein, wenn die Unternehmensteile nachweisen können, dass keiner von ihnen für die rechtswidrige Handlung verantwortlich ist. Die Unternehmensteile sind im Innenverhältnis zum Ausgleich verpflichtet. 18.4 Alternative 1.2.: Jeder an der Verarbeitung beteiligte Unternehmensteil haftet gegenüber der betroffenen Person für diejenigen Schäden, die er durch einen rechtswidrigen Verstoß gegen die verbindlichen Unternehmensrichtlinien verursacht. Die Ersatzpflicht tritt nicht ein, wenn die Unternehmensteile nachweisen können, dass keiner von ihnen für die rechtswidrige Handlung verantwortlich ist. 18.5 Alternative 2.1.: Kann die betroffene Person nachweisen, dass sie einen Schaden erlitten hat, der vermutlich durch einen Verstoß gegen unsere verbindlichen Unternehmensregelungen verursacht wurde, so obliegt es uns, nachzuweisen, dass wir nicht für den Verstoß verantwortlich sind, durch den der Schaden entstanden ist oder dass kein Verstoß vorlag. 18.6 Alternative 2.2.: Die Beweislast dafür, dass eine mit unseren verbindlichen Unternehmensregelungen nicht vereinbare Handlung nicht dem außerhalb der EU/EWR ansässigen Mitglied unseres Unternehmens zuzurechnen ist, trägt [die EU/EWR-Hauptniederlassung/das haftende Unternehmen in der EU/EWR], wenn die betroffene Person nachweisen kann, 926
|
Abel/Schulte
Rz. 109 Teil 5 V
Erläuterungen
dass sie einen Schaden erlitten hat, der vermutlich durch einen Verstoß gegen unsere verbindlichen Unternehmensregelungen verursacht wurde. Um die Rechte der betroffenen Personen umfassend zu gewährleisten, ist in den BCR klarzustellen, dass die betroffenen Personen die gleichen Rechtsbehelfe in Anspruch nehmen können, die ihnen zustünden, wenn die rechtswidrigen Verstöße unter nationales Recht fallen würden1. Mit anderen Worten muss die betroffene Person bei einem rechtswidrigen Verstoß gegen die ihr eingeräumten Rechte die gleichen Ansprüche geltend machen können, die ihr in der EU/dem EWR zustehen würden – die betroffene Person ist so zu stellen, als hätten ihre personenbezogenen Daten die EU/EWR-Mitgliedstaaten nicht verlassen. Hierfür sind umfassende Haftungsregelungen und ein Wahlrecht in Bezug auf den Gerichtsstand einzuräumen (zum Gerichtsstand siehe Rz. 127 ff.).
107
In Bezug auf die konkrete Ausgestaltung der Haftung, des Gerichtsstands und der Rechtswahl (siehe Rz. 127 ff., 132 f.) ist unbedingt zu empfehlen, die internationalen und nach dem einzelstaatlichen Recht anwendbaren Haftungsregelungen gegenüberzustellen und insbesondere die Möglichkeit etwaiger Haftungsbeschränkungen und Rechtswahlklauseln (siehe hierzu Rz. 132 f.) zu berücksichtigen, um z.B. Strafschäden nach anglo-amerikanischem Recht auszuschließen2. De lege ferenda sei darauf hingewiesen, dass mit der geplanten DatenschutzGrundverordnung europaweit strenge und anders strukturierte Haftungsregelungen durchgesetzt werden sollen: Art. 77 Nr. 2 Entwurf zur Datenschutz-Grundverordnung sieht vor, dass, wenn mehr als ein für die Verarbeitung Verantwortlicher an der Verarbeitung beteiligt ist, jeder für die Verarbeitung Verantwortliche gesamtschuldnerisch für den gesamten Schaden haftet, den eine betroffene Person erlitten hat, sofern er nicht nachweist, dass ihm der Umstand, durch den der Schaden eingetreten ist, nicht zur Last gelegt werden kann.
108
1. Erläuterungen zu Ziffer 18.1 Ziffer 18.1 beinhaltet die grundsätzliche Aussage, dass jeder betroffenen Person ein Schadensersatz zustehen kann, wenn ihre personenbezogenen Daten rechtswidrig verarbeitet wurden oder ein sonstiger Verstoß gegen die BCR durch einen an die Vorschriften gebundenen Unternehmensteil vorliegt. Diese Regelung tritt neben die allgemeinen vertraglichen oder deliktsrechtlichen Ansprüche nach dem jeweiligen einzelstaatlichen Recht. Die Rechtswidrigkeit der Handlung ergibt sich aus dem Verstoß gegen die durch die BCR eingeräumten Rechte oder gegen die gesetzlichen Vorschriften. Da eine verschuldensunabhängige Gefährdungshaftung zu weit ginge, muss der Verstoß rechtswidrig und schuldhaft sein und zu einem Schaden bei der betroffenen Person geführt haben, d.h., dass die Datenverarbeitung für den Schaden ursächlich geworden sein muss3. Die Haftung in den BCR kann unter gewissen Umständen unterschiedlich ausgestaltet werden4. 1 2 3 4
WP 74, Ziff. 5.5.1. Ausführlich zur Haftung Grapentin, CR 2011, 102 ff. Gola/Schomerus, § 7 BDSG Rz. 2 ff. Ausführlich Grapentin, CR 2011, 102 ff.; Filip, ZD 2013, 51 (57 f.).
Abel/Schulte
|
927
109
Teil 5 V
Rz. 110
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
2. Erläuterungen zu Ziffer 18.2 110
Nach den Empfehlungen der Artikel-29-Datenschutzgruppe soll die Hauptniederlassung des Unternehmens oder, sofern sich diese außerhalb der EU/des EWR befindet, ein von der Unternehmensgruppe benanntes Unternehmen mit Sitz in der EU/dem EWR grundsätzlich für alle Verstöße der Unternehmensgruppe, die außerhalb der EU/des EWR begangen wurden, einstehen1. Diese Haftungskonzentration soll die gruppeninterne Verantwortung für die Ergreifung von Maßnahmen zur Durchsetzung der BCR gewährleisten und sicherstellen, dass die Drittbegünstigungsrechte effektiv durchsetzbar sind. Durch eine „Haftung Aller“ soll insbesondere auch das Zahlungsausfallrisiko minimiert werden2. Da eine Haftungskonzentration ohne jegliche Exkulpationsmöglichkeit einem Unternehmen je nach Geschäftsstruktur aber nicht zumutbar sein wird, hat die Artikel-29-Datenschutzgruppe klargestellt, dass auch andere Haftungsmodelle zulässig sein können, wenn das Unternehmen hinreichende Garantien dafür bietet, dass die Rechte der betroffenen Person durchsetzbar sind und sie bei der Durchsetzung ihrer Rechte nicht benachteiligt wird3. Als mögliche Lösungen werden die gesamtschuldnerische Haftung (Alternative 1.1) und die alternative Haftungsregelung (Alternative 1.2) genannt.
3. Erläuterungen zu Ziffer 18.3 (Alternative 1.1) 111
Nach der Auffassung der Artikel-29-Datenschutzgruppe besteht unter gewissen Umständen die Möglichkeit einer gesamtschuldnerischen Haftungsregelung4. Eine solche findet sich in Klausel 6 der von der EU-Kommission gebilligten Standardvertragsklauseln 2001/497/EG vom 15.6.2001 (Standardvertragsklauseln I)5. Danach haften alle an der Verarbeitung beteiligten Unternehmen als Gesamtschuldner, es sei denn, keines hat den rechtswidrigen Verstoß zu vertreten. Ziffer 18.3 Satz 3 betrifft das Innenverhältnis der Unternehmensteile, das sich nach § 426 BGB richtet. Die Klausel ist fakultativ, sollte aber von jedem Unternehmen, das sich für das gesamtschuldnerische Haftungsmodell entscheidet, aus Klarstellungsgründen aufgenommen werden. Da Gesamtschuldner der betroffenen Person unabhängig von der Schadensverursachung verpflichtet sein können, wird dieses Haftungsmodell in der Praxis kaum verwendet6.
4. Erläuterungen zu Ziffer 18.4 (Alternative 1.2) 112
Eine weitere Möglichkeit besteht nach den Empfehlungen der Artikel-29-Datenschutzgruppe in der Aufstellung einer alternativen Haftungsregelung auf der Grundlage von Sorgfaltspflichten. Dieses Institut findet sich in Klausel 6 1 2 3 4
WP 74, Ziff. 5.5.2, S. 19; WP 155, Ziff. 3, S. 4. Filip, ZD 2013, 51 (58). WP 154, Ziff. 19, Fn. 7, S. 10. Diese wurde im Verhältnis Datenexporteuer/-importeur stark kritisiert, vgl. Grapentin, CR 2011, 102 f. 5 S. hierzu die Erläuterungen in Teil 5 I. 6 Vgl. Kritik in BITKOM, Übermittlung personenbezogener Daten, Recht und Steuer, Bd. 2, S. 36 f., http://www.bitkom.org/files/documents/20060418_Band__2_Auslands geschaeft_Uebermittlung_personenbezogener_Daten.pdf.
928
|
Abel/Schulte
Erläuterungen
Rz. 114 Teil 5 V
der von der EU-Kommission gebilligten Standardvertragsklauseln 2004/915/EG vom 27.12.2004 (Standardvertragsklauseln II)1 wieder und beinhaltet für die dortigen Vertragsparteien u.a. eine Exkulpationsmöglichkeit. Wendet man dieses Haftungsinstitut auf BCR an, so muss die Haftung so ausgestaltet werden, dass jedes an der Verarbeitung beteiligte Unternehmen gegenüber der betroffenen Person zum einen für die Schäden haftet, die es durch einen Verstoß gegen die sich aus den BCR ergebenden Drittbegünstigungsrechten verursacht hat. Das EU/EWR-Unternehmen haftet gegenüber der betroffenen Person zum anderen für Verstöße des in einem Drittland ohne angemessenes Schutzniveau ansässigen Unternehmens wegen Auswahlverschuldens, wenn er sich nicht im Rahmen des Zumutbaren davon überzeugt hat, dass das Unternehmen nicht in der Lage ist, seine sich aus den BCR ergebenden Pflichten zu erfüllen. Im letzten Fall besteht allerdings eine Exkulpationsmöglichkeit, so dass das EU/EWRUnternehmen von der Haftung befreit ist, wenn es nachweist, dass es bei der Auswahl und ggf. Überwachung alle zumutbaren Anstrengungen unternommen hat.
5. Erläuterungen zu Ziffer 18.5 (Alternative 2.1) Ziffer 18.5 beschreibt die von der Artikel-29-Datenschutzgruppe sog. „Beweislastumkehr“, die nur im Falle der Alternative 1 in die BCR aufzunehmen ist: Sofern die EU/EWR-Zentrale oder der mit dem Datenschutz beauftragte, in der EU/dem EWR ansässige Unternehmensteil nachweisen kann, dass der Unternehmensteil im Drittland nicht für die Handlung verantwortlich ist, die zu dem von der betroffenen Person geltend gemachten Schaden geführt hat, ist er von der Haftung befreit2. Unklar ist, ob es sich trotz der eindeutigen Bezeichnung als „Beweislastumkehr“ um eine solche handelt, denn in WP 155 führt die Artikel-29-Datenschutzgruppe aus, dass die betroffene Person beweisen müsse, dass sie einen Schaden erlitten habe, der „vermutlich durch einen Verstoß gegen die BCR verursacht wurde“3. Dieser Wortlaut spricht eher für einen Anscheinsbeweis4, der nicht zur objektiven Umkehr der Beweislast, sondern zu einer Beweisführungslast führt oder der Ausgestaltung einer sekundären Darlegungslast, nach dem einem Unternehmen eine gesteigerte Substantiierungslast auferlegt wird, da die an sich beweisbelastete Partei außerhalb des für ihren Anspruch erheblichen Geschehensablaufs steht und deshalb die maßgebenden Tatsachen im Einzelnen nicht kennt. Es ist daher zu empfehlen, den Begriff der „Beweislastumkehr“ nicht in die Klausel aufzunehmen.
113
6. Erläuterungen zu Ziffer 18.6 (Alternative 2.2) Selbstredend kann auch der exakte Wortlaut von der Artikel-29-Datenschutzgruppe übernommen werden.
1 2 3 4
S. hierzu die Erläuterungen in Teil 5 II. WP 74, Ziff. 5.5.2, S. 18 f. WP 155, Ziff. 11, S. 6. So Grapentin, CR 2009, 693 (695).
Abel/Schulte
|
929
114
Teil 5 V
Rz. 115
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
XX. Erläuterungen zu Ziffer 19 115
E 19. Gegenseitige Unterstützung und Zusammenarbeit mit den Datenschutzbehörden 19.1 Alle Mitglieder unserer Unternehmensgruppe verpflichten sich, bei Anfragen oder Beschwerden einer betroffenen Person oder bei Anfragen und Untersuchungen der Datenschutzbehörden zusammenzuarbeiten und sich gegenseitig zu unterstützen, um ihren Pflichten aus den verbindlichen Unternehmensregelungen nachzukommen. 19.2 Alle sachdienlichen Anfragen von Datenschutzbehörden [und den betroffenen Personen] werden unverzüglich und mit größtmöglicher Sorgfalt bearbeitet. Die Stellungnahmen und Empfehlungen der Datenschutzbehörde werden respektiert und ggf. umgesetzt.
116
Die Mitglieder der Unternehmensgruppe müssen sich nach den Empfehlungen der Artikel-29-Datenschutzgruppe in den BCR verpflichten, sich bei Beschwerden oder Anfragen von betroffenen Personen und bei Untersuchungen und Nachforschungen von Datenschutzbehörden gegenseitig zu unterstützen und zusammenzuarbeiten1. So soll innerhalb eines Konzerns gewährleistet werden, dass alle Unternehmensteile den besonderen Informationspflichten aus den BCR nachkommen, selbst wenn ein Unternehmen die datenschutzrechtliche Federführung übernommen hat.
1. Erläuterungen zu Ziffer 19.1 117
Ziffer 19.1 stellt die Selbstverpflichtung zur gegenseitigen Unterstützung und Zusammenarbeit dar.
2. Erläuterungen zu Ziffer 19.2 118
Ziffer 19.2 stellt die an sich selbstverständliche, da im Interesse des Unternehmens liegende Selbstverpflichtung des Unternehmens dar, die Anfragen der Datenschutzbehörden unverzüglich und mit größtmöglicher Sorgfalt zu bearbeiten. Dass dies auch für die Anfragen der betroffenen Personen gilt, ergibt sich bereits aus der Ziffer zu den Auskunfts- und Korrekturrechten, kann aber hier erneut mit aufgeführt werden. Die Bearbeitung der Anfragen muss nicht sofort erfolgen, aber ohne schuldhaftes Zögern, d.h. innerhalb einer angemessenen Frist, die sich nach den Umständen des Einzelfalls richtet. Schließlich sollte ausdrücklich darauf hingewiesen werden, dass die Empfehlungen der Datenschutzbehörde respektiert und ggf. umgesetzt werden.
1 WP 154, Ziff. 20, S. 10.
930
|
Abel/Schulte
Erläuterungen
Rz. 121 Teil 5 V
XXI. Erläuterungen zu Ziffer 20 E 20. Aktualisierung der Vorschriften und Veränderungen im Unternehmen
119
20.1 Aktualisierungen unserer datenschutzrechtlichen Unternehmensrichtlinien und Veränderungen unserer Unternehmensstruktur werden allen Mitgliedern unserer Unternehmensgruppe unverzüglich und den für die Genehmigung zuständigen Datenschutzbehörden jährlich gemeldet und ggf. auf unserer Internetseite veröffentlicht. Auf Anfrage erteilt der zuständige Datenschutzbeauftragte den betroffenen Personen und den Datenschutzbehörden Auskunft über jegliche Änderung unserer Unternehmensrichtlinie oder -struktur. 20.2 An einen neuen Unternehmensteil erfolgt keine Übermittlung personenbezogener Daten, solange nicht sichergestellt ist, dass dieser an die verbindlichen Unternehmensregelungen gebunden ist und ein angemessene Schutzniveau i.S.d. Ziff. [Verweis zu der Ziff. mit technischen und organisatorischen Vorkehrungen] gewährleisten kann. 20.3 Vor der Durchsetzung signifikanter Änderungen an unseren verbindlichen Unternehmensregelungen nehmen wir Kontakt zu der zuständigen Datenschutzbehörde auf, um festzustellen, ob ein neuer Genehmigungsantrag erforderlich ist. Die Größe, Struktur und die Organisation von Unternehmen kann sich verändern und weiterentwickeln. Um zu verhindern, dass bei jeder unternehmensinternen Änderung eine neue Genehmigung der BCR beantragt werden muss, stellt Ziffer 20 dar, unter welchen Voraussetzungen Aktualisierungen möglich sind, ohne dass ein neuer Genehmigungsantrag gestellt werden muss1.
120
1. Erläuterungen zu Ziffer 20.1 Einfache Aktualisierungen der BCR, z.B. die Änderung der Kontaktadressen der Auskunfts- oder Beschwerdestellen, und Veränderungen in der Unternehmensstruktur, z.B. die Zusammenlegung oder Trennung von Geschäftsbereichen oder die Änderung von internen Arbeitsverfahren, bedürfen grundsätzlich keines neuen Genehmigungsantrags2. Dies gilt aber nur unter der Voraussetzung, dass die Änderungen, sofern sie alle Unternehmensteile betreffen, unverzüglich allen Unternehmensteilen bekannt gegeben werden. Ferner müssen die Änderungen mindestens einmal jährlich den für die Genehmigung zuständigen Datenschutzbehörden gemeldet werden. Ferner sollten die Änderungen, sofern sie auch für die betroffenen Personen von Bedeutung sein können – insbesondere bei der Änderung der Kontaktdaten der Beschwerdestellen – auf der Internetseite des Unternehmens bekannt gegeben werden. Auskünfte über Änderungen sind der zuständigen Datenschutzbehörde auf Anfrage umfassend zu erteilen.
1 WP 74, Ziff. 4.2, S. 15 f. 2 WP 74, Ziff. 4.2, S. 16.
Abel/Schulte
|
931
121
Teil 5 V
Rz. 122
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
2. Erläuterungen zu Ziffer 20.2 122
Von einem neuen Genehmigungsantrag bei Änderungen, die die Unternehmensstruktur betreffen, also insbesondere bei Unternehmenskäufen oder Gründung neuer Unternehmensteile, kann ferner nur dann abgesehen werden, wenn sichergestellt ist, dass eine Übermittlung personenbezogener Daten an einen neuen Unternehmensteil erst dann erfolgt, wenn sich der neue Unternehmensteil zur Einhaltung der BCR verpflichtet hat und ein angemessenes Schutzniveau gewährleisten kann.
3. Erläuterungen zu Ziffer 20.3 123
Signifikante Änderungen wie die Änderung der Datenschutzgrundsätze im Allgemeinen, die Änderung des Verwendungszwecks, der verarbeiteten Datenkategorien oder des Personenkreises bedürfen grundsätzlich eines neuen Genehmigungsantrags. In Zweifelsfällen und bei Unsicherheiten ist die für die ursprüngliche Genehmigung zuständige Datenschutzbehörde zu kontaktieren, um Stellungnahme zu bitten und mit ihr das weitere Vorgehen abzusprechen.
XXII. Erläuterungen zu Ziffer 21 124
E 21. Verhältnis zwischen einzelstaatlichem Recht und BCR Soweit andere nationale oder europäische Rechtsvorschriften ein höheres Schutzniveau für personenbezogene Daten vorschreiben, gehen diese unseren Unternehmensrichtlinien vor. Die Datenverarbeitung erfolgt in jedem Fall stets nach Maßgabe des anwendbaren Rechts und der jeweils anwendbaren einzelstaatlichen Vorschriften.
125
Ziffer 21 dient der Klarstellung, dass die einzelstaatlichen oder europäischen Vorschriften den BCR vorrangig sind, sofern sie ein höheres Schutzniveau bieten. Ferner beinhaltet die Ziffer (erneut) die Selbstverpflichtung zur Beachtung und Einhaltung der anwendbaren Rechtsvorschriften.
XXIII. Erläuterungen zu Ziffer 22 126
E 22. Gerichtsstand 22.1 Die betroffene Person hat ein Wahlrecht, ob sie die ihr aus diesen Unternehmensregelungen eingeräumten Rechte am Gerichtsstand der [EU-/ EWR-Hauptniederlassung/-zentrale], am Gerichtsstand [des Unternehmensteils, von dem die Übermittlung stammt] oder am Gerichtsstand [des mit dem Datenschutz beauftragten, in der EU ansässigen Unternehmensteils] geltend macht. 22.2 Es gelten die in den nationalen Rechtsvorschriften enthaltenen Grundsätze über den Gerichtsstand.
127
Um den betroffenen Personen die wirksame und einfache Durchsetzung ihrer durch die BCR eingeräumten Drittbegünstigungsrechte vollumfassend garantie932
|
Abel/Schulte
Rz. 132 Teil 5 V
Erläuterungen
ren zu können, muss ihnen das Recht eingeräumt werden, die europäische Gerichtsbarkeit anzurufen1. Die Durchführung eines obligatorischen Schlichtungsverfahrens oder eines schiedsgerichtlichen Verfahrens vor der Einleitung eines gerichtlichen Verfahrens kann von der betroffenen Person nicht verlangt werden, da es für die Wirksamkeit grundsätzlich einer wirksamen schriftlichen Vereinbarung bedarf und diese wegen der einseitigen Verbindlichkeit der BCR durch diese nicht zwingend festgelegt werden kann. Ob eine Streitschlichtung durchzuführen ist, richtet sich nach den jeweils geltenden nationalen Vorschriften.
1. Erläuterungen zu Ziffer 22.1 Ziffer 22.1 ist Ausdruck des unabdingbaren Rechts der betroffenen Person, den Gerichtsstand nach freiem Ermessen zu wählen. Nach den Empfehlungen der Artikel-29-Datenschutzgruppe soll der betroffenen Person mindestens das Recht eingeräumt werden, am Gerichtsstand des Unternehmensteils, von dem die Übermittlung stammt oder am Gerichtsstand der europäischen Zentrale des Unternehmens oder des mit dem Datenschutz beauftragten, in der EU/dem EWR ansässigen Unternehmensteils zu klagen. Letztere Alternative kommt nur dann in Betracht, wenn tatsächlich ein Unternehmensteil für sämtliche datenschutzrechtliche Themen beauftragt und dies auch nach außen kommuniziert wurde.
128
2. Erläuterungen zu Ziffer 22.2 Ziffer 22.2 dient der von der Artikel-29-Datenschutzgruppe für sinnvoll gehaltenen Klarstellung, dass bei der Einleitung eines gerichtlichen Verfahrens die jeweiligen prozessualen Vorschriften des Mitgliedstaates anzuwenden sind.
129
XXIV. Erläuterung zu Ziffer 23 E 23. [Fakultativ:] Schlussbestimmungen
130
23.1 Diese verbindlichen Unternehmensregelungen unterliegen dem Recht [der EU/EWR-Hauptzentrale/des die Haftung übernehmenden Unternehmensteils/des Unternehmensteils, der für den Datenschutz verantwortlich ist]. 23.2 Diese verbindlichen Unternehmensrichtlinien treten am [XX.XX.XXXX] in Kraft. Ziffer 23 enthält Schlussbestimmungen, die nicht zwingend in die BCR aufzunehmen sind, sich je nach Unternehmensstruktur aber empfehlen.
131
1. Erläuterung zu Ziffer 23.1 Mit Ziffer 23.1 soll dem Unternehmen die Möglichkeit der Rechtswahl eröffnet werden2. Dabei ist zwingend zu beachten, dass – wie unter Ziffer 22 erläu1 WP 74, Ziff. 5.6, S. 20. 2 Zum Vertragsstatut ausführlich Grapentin, CR 2011, 102 (105 f.).
Abel/Schulte
|
933
132
Teil 5 V
Rz. 133
Verbindliche Unternehmensregelungen (Binding Corporate Rules)
tert – der betroffenen Person aufgrund des Drittbegünstigungsgrundsatzes die Möglichkeit eröffnet werden muss, sowohl am Gerichtsstand des Unternehmensteils, von dem die Übermittlung stammt, oder am Gerichtsstand der europäischen Zentrale des Unternehmens oder des mit dem Datenschutz beauftragten, in der EU/dem EWR ansässigen Unternehmensteils zu klagen. Im Zusammenspiel mit Ziffer 18 bedarf es für den Fall der Benennung eines die Haftung übernehmenden Unternehmens der taktischen Überlegung, welches Vertragsstatut zu wählen ist, wenn mehrere Unternehmensteile ihren Sitz innerhalb der EU/des EWR haben1.
2. Erläuterung zu Ziffer 23.2 133
Es kann eine Ziffer mit dem Zeitpunkt des Inkrafttretens der BCR aufgenommen werden, um zu verdeutlichen, ab wann die Regeln Außenwirksamkeit erlangen. Da BCR konzerninterne Vereinbarungen darstellen und die hierdurch eingeräumten Drittbegünstigungsrechte auch für vor dem Inkrafttreten verarbeitete und übermittelte personenbezogene Daten Anwendung finden dürften, hat die Regelung aber nur deklaratorische Wirkung.
XXV. Weiteres Vorgehen nach Erstellung der BCR 134
Die auf die jeweiligen Verhältnisse und Strukturen des Unternehmens angepassten BCR werden der zuständigen Datenschutzbehörde zusammen mit dem Antragsformular WP 133 zur Anerkennung der BCR übersandt. Das Arbeitsdokument „Festlegung eines Kooperationsverfahrens zwecks Abgabe gemeinsamer Stellungnahmen zur Angemessenheit der verbindlich festgelegten unternehmensinternen Datenschutzgarantien“ (WP 107) liefert Anhaltspunkte darüber, bei welcher Datenschutzbehörde die Genehmigung für die BCR einzuholen ist und informiert über das weitere Verfahren2. In manchen EU/EWRMitgliedstaaten bzw. Bundesländern sind nach der Anerkennung der BCR weitere behördliche Genehmigungen einzuholen3. Dem Antrag sind zahlreiche Unterlagen beizufügen, die Aufschluss über die Einhaltung der BCR geben können. Umfangreiche Listen mit den je nach den konkreten Gegebenheiten beizufügenden Unterlagen sind im WP 154 sowie im WP 108 zu finden4. Es muss damit gerechnet werden, dass ab Antragstellung mehrere Monate vergehen, bevor die BCR anerkannt und ggf. genehmigt worden sind.
1 Grapentin, CR 2011, 102 (106). 2 Weitere Informationen auch bei Filip, ZD 2013, 51 (52 f.). 3 Vgl. Übersicht der Art-29-Datenschutzgruppe unter http://ec.europa.eu/justice/dataprotection/document/international-transfers/files/table_nat_admin_req_en.pdf. 4 WP 154, S. 11f; WP 108, Ziff. 4, S. 4 f.
934
|
Abel/Schulte
Teil 6 Datenschutzklauseln I. Datenschutzklausel Funktionsübertragung Literaturverzeichnis: Conrad, Transfer von Mitarbeiterdaten zwischen verbundenen Unternehmen, ITRB 2005, 164; Däubler/Klebe/Wedde/Weichert, Bundesdatenschutzgesetz, 3. Aufl. 2010; Evers/Kiene, Datenschutzrechtliche Folgen der Ausgliederung von Dienstleistungen, DuD 2003, 431; Gabel, Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten, BB 2009, 2045; Gliss, Outsourcing und Auftragsdatenverarbeitung: BDSG-Novelle zwingt zum Umdenken, DSB 2009, 16; Gola/Schomerus, BDSG, 11. Aufl. 2012; Grützmacher, Vertragliche Ansprüche auf Herausgabe von Daten gegenüber dem Outsourcing-Anbieter, ITRB 2004, 260; Grützmacher, Außervertragliche Ansprüche auf Herausgabe von Daten gegenüber dem Outsourcing-Anbieter, ITRB 2004, 282; Grützmacher, Datenschutz und Outsourcing, ITRB 2007, 183; Hilber/Knorr/Müller, Serververlagerungen im Konzern, CR 2011, 417; Hladjk, Artikel 29-Gruppe: „Verantwortlicher der Datenverarbeitung“ und „Auftragsdatenverarbeiter“, DSB 2010, 12; Hoeren, Das neue BDSG und die Auftragsdatenverarbeitung, DuD 2010, 688; Kilian/Scheja, Freier Datenfluss im Allfinanzkonzern?, BB 2002, Supplement Banken & Versicherungen, 19; Kotthoff/Gabel, Outsourcing, 2008; Kramer/Herrmann, Auftragsdatenverarbeitung, CR 2003, 938; Nink/Müller, Beschäftigtendaten im Konzern – Wie die Mutter so die Tochter? Arbeits- und datenschutzrechtliche Aspekte einer zentralen Personalverwaltung, ZD 2012, 505; Plath, BDSG, 2013; Räther, Datenschutz und Outsourcing, DuD 2005, 461; Redeker, Handbuch der IT-Verträge, Loseblattsammlung, Stand 24. Ergänzungslieferung 2012; Schulz, Die (Un-)Zulässigkeit von Datenübertragungen innerhalb verbundener Unternehmen, BB 2011, 2552; Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2012; Steding/ Meyer, Outsourcing von Bankdienstleistungen: Bank- und datenschutzrechtliche Probleme der Aufgabenverlagerung von Kreditinstituten auf Tochtergesellschaften und sonstige Dritte, BB 2001, 1693; Sutschet, Auftragsdatenverarbeitung und Funktionsübertragung, RDV 2004, 97; Taeger/Gabel, Kommentar zum BDSG, 2010; Weichert, Cloud Computing und Datenschutz, DuD 2010, 679.
A. Einleitung Die meist wirtschaftlich motivierte Verlagerung von Aufgaben zwischen Unternehmen (z.B. in Form von Outsourcing oder Shared Service Centern) erfordert häufig die Weitergabe von personenbezogenen Daten durch das beauftragende Unternehmen (Kunde) an das beauftragte Unternehmen (Dienstleister). Hierbei sind die Vorgaben des BDSG zu beachten. Dies gilt auch dann, wenn es sich bei Kunde und Dienstleister um miteinander verbundene Unternehmen handelt. Ein Konzernprivileg ist dem BDSG fremd1.
1
Eine Weitergabe von personenbezogenen Daten durch den Kunden an den Dienstleister ist grundsätzlich nur zulässig, wenn eine Vereinbarung über die Auftragsdatenverarbeitung nach § 11 BDSG geschlossen wird oder die Voraussetzungen für eine Datenübermittlung nach §§ 4, 28 ff. BDSG oder einer ande-
2
1 Näher dazu Kilian/Scheja, BB 2002, Supplement Banken & Versicherungen, 19 (21 f.) m.w.N.
Gabel/Wieczorek
|
935
Teil 6 I
Rz. 3
Datenschutzklausel Funktionsübertragung
ren, bereichsspezifischen Erlaubnisvorschrift erfüllt sind1. Bei der Auftragsdatenverarbeitung wird in der Regel nur die praktisch-technische Durchführung der Aufgabe an den Dienstleister übertragen, während die maßgeblichen Entscheidungen über den Umgang mit den betroffenen Daten beim Kunden verbleiben. Die Auftragsdatenverarbeitung wird deshalb vom Gesetz privilegiert, indem die Datenweitergabe nicht durch eine Einwilligung der Betroffenen oder eine Rechtsvorschrift gerechtfertigt sein muss. Eine über die Auftragsdatenverarbeitung hinausgehende und als solche rechtlich besonders zu rechtfertigende Datenübermittlung liegt nach überwiegender Meinung hingegen vor, wenn der Kunde dem Dienstleister die Aufgabe zur eigenverantwortlichen Erledigung überträgt (sog. Funktionsübertragung)2. 3
Anders als im Falle der Auftragsdatenverarbeitung sieht das BDSG im Falle der Funktionsübertragung zwar keine vertraglichen Vereinbarungen zwischen Kunde und Dienstleister über datenschutzrechtliche Belange vor3. Derartige Vereinbarungen werden jedoch neben anderem zur Sicherstellung einer datenschutzkonformen Aufgabenerfüllung von den Aufsichtsbehörden für erforderlich gehalten4 und sind in der Praxis auch verbreitet anzutreffen. Das nachfolgende Vertragsmuster enthält einen generisch formulierten Vorschlag für eine entsprechende Vertragsklausel, die zur Aufnahme in ein größeres Vertragswerk (z.B. einen Geschäftsbesorgungsvertrag) konzipiert und an etwaige Besonderheiten des Einzelfalles anzupassen ist.
B. Muster 4
E Datenschutzklausel Funktionsübertragung 1. Datenschutz und Datensicherheit 1.1 Funktionsübertragung Der Dienstleister verpflichtet sich, bei der Erbringung der vertragsgegenständlichen Leistungen die einschlägigen Datenschutzvorschriften, insbesondere die Vorschriften des Bundesdatenschutzgesetzes (BDSG), einzuhalten. Er ist unbeschadet der weiteren Regelungen dieser Ziffer [1] für den rechtmäßigen Umgang mit den personenbezogenen Daten, die ihm vom Kunden zur Erbringung der vertragsgegenständlichen Leistungen 1 S. statt vieler 30. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz BadenWürttemberg 2010/2011, LT-Drucks. 15/955, 155. 2 Ausführlich zu dieser Abgrenzung mit verschiedenen Beispielen Tätigkeitsbericht 2009/ 2010 des Bayerischen Landesamts für Datenschutzaufsicht (nicht-öffentlicher Bereich), S. 35 ff.; s. auch Taeger/Gabel/Gabel, § 11 BDSG Rz. 12 ff. m.w.N. zum Meinungsstand und die Erläuterungen in Teil 2 I Rz. 18 ff. 3 Krit. Hoeren, DuD 2010, 688, der bemängelt, dass die Funktionsübertragung letztlich in einem liberaleren datenschutzrechtlichen Umfeld stattfinden kann, als die durch § 11 BDSG stark reglementierte Auftragsdatenverarbeitung; ähnlich Gliss, DSB 2009, 16. 4 Tätigkeitsbericht 2009/2010 des Bayerischen Landesamts für Datenschutzaufsicht (nicht-öffentlicher Bereich), S. 39; 30. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg 2010/2011, LT-Drucks. 15/955, 156; s. auch Weichert, DuD 2010, 679 (683).
936
|
Gabel/Wieczorek
Vertragstext
Rz. 4 Teil 6 I
zur Verfügung gestellt werden, sowie für die Wahrung der Rechte der Betroffenen (z.B. auf Berichtigung, Sperrung, Löschung und Auskunft) verantwortlich. Der Dienstleister ist auch für die Einhaltung der formalen Datenschutzvorschriften (z.B. Bestellung eines betrieblichen Datenschutzbeauftragten, Führung von Verfahrensverzeichnissen) verantwortlich. 1.2 Zweckbindung Der Dienstleister verpflichtet sich, die ihm vom Kunden zur Verfügung gestellten personenbezogenen Daten ausschließlich für die Erbringung der vertragsgegenständlichen Leistungen zu verwenden. Eine weitergehende Verwendung der Daten, insbesondere eine solche zu eigenen Zwecken des Dienstleisters oder zu Zwecken Dritter, ist unzulässig. 1.3 Technische und organisatorische Schutzmaßnahmen Der Dienstleister verpflichtet sich, zur Wahrung der Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität der ihm vom Kunden zur Verfügung gestellten personenbezogenen Daten technische und organisatorische Maßnahmen in dem durch die einschlägigen Datenschutzvorschriften, insbesondere § 9 BDSG, vorgesehenen Umfang zu treffen. Die bei Vertragsabschluss geltenden technischen und organisatorischen Maßnahmen sind in Anlage [1] zu diesem Vertrag beschrieben und vom Dienstleister in Abstimmung mit dem Kunden während der Vertragslaufzeit kontinuierlich weiterzuentwickeln und an veränderte Gegebenheiten anzupassen. Wesentliche Änderungen sind zu dokumentieren. 1.4 Geheimnisschutz Der Dienstleister verpflichtet sich, zur Erbringung der vertragsgegenständlichen Leistungen nur Mitarbeiter einzusetzen, die durch geeignete Maßnahmen mit den gesetzlichen Vorschriften über den Datenschutz und den speziellen datenschutzrechtlichen Anforderungen dieses Vertrags vertraut gemacht sowie umfassend schriftlich zur Vertraulichkeit, einschließlich der Wahrung des Datengeheimnisses gemäß § 5 BDSG sowie der Wahrung von Geschäfts- und Betriebsgeheimnissen des Kunden, verpflichtet wurden. 1.5 Prüfungs- und Kontrollhandlungen Der Kunde hat das Recht, die Einhaltung der Bestimmungen dieser Ziffer [1] durch den Dienstleister zu überprüfen. Zu diesem Zweck wird der Dienstleister dem Kunden auf Verlangen im erforderlichen Umfang Auskunft erteilen, geeignete Nachweise vorlegen und – in der Regel nach vorheriger Terminvereinbarung und während der üblichen Geschäftszeiten – eine Vor-Ort-Prüfung seiner Datenverarbeitungsanlagen und -verfahren gestatten. Das Ergebnis der Prüfungen ist zu dokumentieren. Der Dienstleister verpflichtet sich zudem, mittels regelmäßiger eigener Prüfungen die Einhaltung der Bestimmungen dieser Ziffer [1] zu gewährleisten. 1.6 Unterauftragsverhältnisse Die Einschaltung von Unterauftragnehmern durch den Dienstleister bei der Verarbeitung und Nutzung der ihm vom Kunden zur Verfügung geGabel/Wieczorek
|
937
Teil 6 I
Rz. 4
Datenschutzklausel Funktionsübertragung
stellten personenbezogenen Daten bedarf der vorherigen schriftlichen Zustimmung des Kunden. Der Dienstleister verpflichtet sich, den Unterauftragnehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten sorgfältig auszuwählen und entsprechend den Vorgaben dieses Vertrags auf die Einhaltung der einschlägigen Datenschutzvorschriften zu verpflichten. Die Verpflichtung muss auch das Recht des Kunden umfassen, die Einhaltung der Datenschutzvorschriften direkt und im gleichen Umfang beim Unterauftragnehmer zu überprüfen, wie ihm dies nach Ziffer [1.5] beim Dienstleister gestattet ist. 1.7 Informationspflichten Der Dienstleister wird den Kunden sowie in den gesetzlich vorgesehenen Fällen auch die zuständigen Aufsichtsbehörden und die Betroffenen bei Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung und Nutzung der ihm vom Kunden zur Verfügung gestellten personenbezogenen Daten unverzüglich unterrichten. Der Dienstleister wird den Kunden zudem unverzüglich über Kontrollhandlungen und Maßnahmen nach § 38 BDSG sowie Ermittlungen nach §§ 43, 44 BDSG unterrichten, soweit diese die vertragsgegenständlichen Leistungen betreffen. 1.8 Datenrückgabe und -löschung Der Dienstleister hat nach Abschluss der vertragsgegenständlichen Leistungen oder früher auf Verlangen des Kunden diesem die Daten, die ihm vom Kunden zur Erbringung der vertragsgegenständlichen Leistungen zur Verfügung gestellt wurden, in einem mit dem Kunden abzustimmenden Format auszuhändigen und nach der vorherigen schriftlichen Freigabe durch den Kunden datenschutzgerecht zu löschen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Auf Verlangen hat der Dienstleister dem Kunden das Löschungsprotokoll vorzulegen. 1.9 Drittstaatentransfer Der Dienstleister verpflichtet sich, die Verarbeitung und Nutzung der ihm vom Kunden zur Verfügung gestellten personenbezogenen Daten ausschließlich auf dem Gebiet der Bundesrepublik Deutschland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum durchzuführen. Eine Übermittlung der Daten in Drittstaaten bedarf der vorherigen schriftlichen Zustimmung des Kunden und unterliegt den besonderen Anforderungen der §§ 4b, 4c BDSG. 1.10 Entsprechensklausel Die Bestimmungen dieser Ziffer [1] gelten entsprechend für personenbezogene Daten, die der Dienstleister für den Kunden bei der Erbringung der vertragsgegenständlichen Leistungen erhebt, sowie für Verarbeitungs- und Nutzungsergebnisse in Bezug auf personenbezogene Daten, die der Dienstleister für den Kunden bei der Erbringung der vertragsgegenständlichen Leistungen erzielt. 938
|
Gabel/Wieczorek
Rz. 7 Teil 6 I
Erläuterungen
C. Erläuterungen I. Vorbemerkung Nach Meinung der Aufsichtsbehörden muss bei einer Funktionsübertragung der Verarbeitungszweck ähnlich wie bei einer Auftragsdatenverarbeitung in einer vertraglichen Vereinbarung zwischen den beteiligten Unternehmen festgelegt werden, um zu gewährleisten, dass die personenbezogenen Daten beim Dienstleister zu keinem anderen Zweck verwendet werden als zu dem Zweck, zu dem der Kunde diese selbst verwenden dürfte. Auch muss sichergestellt sein, dass beim Dienstleister eine datenschutzgerechte Organisation der Datenverarbeitung vorhanden ist1.
5
Was zunächst nach einer Erschwernis klingt, birgt auch Vorteile. Denn durch eine entsprechend gestaltete vertragliche Vereinbarung besteht die Möglichkeit, die Anforderungen einer Rechtsvorschrift zu erfüllen, die die mit der Funktionsübertragung verbundene Datenübermittlung rechtfertigt. Insoweit ist vor allem an die „Abwägungsvorschrift“ des § 28 Abs. 1 Satz 1 Nr. 2 BDSG zu denken, die grundsätzlich als taugliche Rechtsgrundlage für Aufgabenverlagerungen gilt, die nicht in den Anwendungsbereich von § 11 BDSG fallen2. Für den Ausgang der Interessenabwägung ist dabei nicht zuletzt eine an den Anforderungen des § 11 Abs. 2 BDSG orientierte Vertragsgestaltung entscheidend3. Aus Sicht des Kunden empfiehlt sich eine solche Vertragsgestaltung häufig auch aus operativen, haftungsrechtlichen und – soweit einschlägig – aufsichtsrechtlichen Gründen4. Aus datenschutzrechtlicher Sicht ist jedoch zu berücksichtigen, dass der Dienstleister bei der Funktionsübertragung selbst zur verantwortlichen Stelle i.S.v. § 3 Abs. 7 BDSG wird, so dass die Anforderungen des § 11 Abs. 2 BDSG nicht immer eins zu eins übertragbar sind. So erscheint insbesondere die Vereinbarung eines Weisungsrechts des Kunden gegenüber dem Dienstleister in entsprechender Anwendung von § 11 Abs. 2 Satz 2 Nr. 9 BDSG nicht zwingend5.
6
Voraussetzung für diese Herleitung ist freilich, dass § 28 Abs. 1 Satz 1 Nr. 2 BDSG im konkreten Fall angewendet werden kann. Soweit besondere Arten
7
1 30. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg 2010/2011, LT-Drucks. 15/955, 156. 2 Vgl. Tätigkeitsbericht 2009/2010 des Bayerischen Landesamts für Datenschutzaufsicht (nicht-öffentlicher Bereich), S. 39; s. auch Simitis/Simitis, § 28 BDSG Rz. 101; Grützmacher, ITRB 2007, 183 (186); Kotthoff/Gabel, Outsourcing, S. 137 f.; a.A. Steding/ Meyer, BB 2001, 1693 (1699 ff.). 3 Tätigkeitsbericht 2009/2010 des Bayerischen Landesamts für Datenschutzaufsicht (nicht-öffentlicher Bereich), S. 39; 30. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg 2010/2011, LT-Drucks. 15/955, 156; Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ des Düsseldorfer Kreises, S. 7 ff.; Weichert, DuD 2010, 679 (683); Hilber/Knorr/Müller, CR 2011, 417 (421). 4 Kotthoff/Gabel, Outsourcing, S. 139 m.w.N. 5 S. 30. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg 2010/2011, LT-Drucks. 15/955, 156, in dem darüber hinaus auch Festlegungen i.S.d. § 11 Abs. 2 Satz 2 Nr. 7 und 8 BDSG als entbehrlich angesehen werden (s. hierzu aber die Erläuterungen zu den Ziffern 1.5. und 1.7.).
Gabel/Wieczorek
|
939
Teil 6 I
Rz. 8
Datenschutzklausel Funktionsübertragung
personenbezogener Daten i.S.v. § 3 Abs. 9 BDSG betroffen sind, ist dies aufgrund der spezielleren Erlaubnistatbestände in § 28 Abs. 6–9 BDSG problematisch1. Umstritten ist auch, inwieweit § 32 BDSG eine Anwendung von § 28 Abs. 1 Satz 1 Nr. 2 BDSG ausschließt, wenn es um Daten von Beschäftigten i.S.v. § 3 Abs. 11 BDSG geht. Richtigerweise steht § 32 BDSG jedoch der vor allem bei Konzernen anzutreffenden Aufgabenverlagerung und -zentralisierung im Bereich des Personalwesens nicht entgegen, da es sich insoweit um einen außerhalb des eigentlichen Beschäftigungsverhältnisses liegenden Zweck handelt2. Weitergehende Anforderungen und Restriktionen, auf die an dieser Stelle nicht näher eingegangen werden kann, können sich nach § 1 Abs. 3 BDSG aus bereichsspezifischen Vorschriften zum Datenschutz (z.B. TKG, TMG, SGB X) oder besonderen Geheimhaltungspflichten (z.B. § 203 StGB) ergeben. Dies macht es insgesamt erforderlich, die Zulässigkeit der Funktionsübertragung anhand des jeweiligen Einzelfalles näher zu prüfen. 8
Aus Gründen der Rechtssicherheit orientiert sich die Vertragsklausel eng an den vorstehend skizzierten, insbesondere von aufsichtsbehördlicher Seite aufgestellten Anforderungen. Aufgrund der thematischen Nähe zur Auftragsdatenverarbeitung ergeben sich teilweise alternative Gestaltungsmöglichkeiten aus den in Teil 2 I und II enthaltenen Vertragsmustern zur Auftragsdatenverarbeitung.
II. Erläuterung der einzelnen Klauseln 1. Erläuterungen zu Ziffer 1.1 9
E 1.1 Funktionsübertragung Der Dienstleister verpflichtet sich, bei der Erbringung der vertragsgegenständlichen Leistungen die einschlägigen Datenschutzvorschriften, insbesondere die Vorschriften des Bundesdatenschutzgesetzes (BDSG), einzuhalten. Er ist unbeschadet der weiteren Regelungen dieser Ziffer [1] für den rechtmäßigen Umgang mit den personenbezogenen Daten, die ihm vom Kunden zur Erbringung der vertragsgegenständlichen Leistungen zur Verfügung gestellt werden, sowie für die Wahrung der Rechte der Betroffenen (z.B. auf Berichtigung, Sperrung, Löschung und Auskunft) verantwortlich. Der Dienstleister ist auch für die Einhaltung der formalen Datenschutzvorschriften (z.B. Bestellung eines betrieblichen Datenschutzbeauftragten, Führung von Verfahrensverzeichnissen) verantwortlich. 1 Vgl. Orientierungshilfe – Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Stand 26.9.2011, S. 11; s. zu einer möglichen „Annexkompetenz“ zur Verarbeitung von besonderen Arten personenbezogener Daten bei der Verlagerung von Personalaufgaben Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ des Düsseldorfer Kreises, S. 9 ff. sowie die Erläuterungen in Teil 5 III Rz. 22 ff. 2 S. Taeger/Gabel/Zöll, § 32 BDSG Rz. 33; ebenfalls die grundsätzliche Zulässigkeit bejahend 30. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg 2010/2011, LT-Drucks. 15/955, 156 f.; s. auch Schulz, BB 2011, 2552 (2553); Nink/Müller, ZD 2012, 505 (506), jeweils m.w.N. zum Meinungsstand.
940
|
Gabel/Wieczorek
Erläuterungen
Rz. 13 Teil 6 I
In der Praxis ist häufig festzustellen, dass Aufgabenverlagerungen, die der Sache nach eine Funktionsübertragung darstellen, von den beteiligten Unternehmen fälschlich als Auftragsdatenverarbeitung qualifiziert werden1. Um insofern eine Beanstandung zu vermeiden, enthält die Vertragsklausel zunächst eine eindeutige Festlegung in Bezug auf die Funktionsübertragung.
10
Bei der Funktionsübertragung ist der Dienstleister selbst datenschutzrechtlich verantwortliche Stelle (siehe Rz. 6). Entsprechend weist ihm die Vertragsklausel sowohl in materieller als auch in formaler Hinsicht die Verantwortung für den rechtmäßigen Umgang mit den personenbezogenen Daten zu, die ihm zur Erbringung der vertragsgegenständlichen Leistungen vom Kunden zur Verfügung gestellt werden. Dies umfasst zunächst die Einhaltung der Datenschutzvorschriften, die in Bezug auf die jeweiligen Verarbeitungstatbestände einschlägig sind, sowie die Wahrung der Rechte der Betroffenen, erstreckt sich aber auch auf alle sonstigen Regelungen, deren Adressat die verantwortliche Stelle ist. Insoweit adressiert die Klausel umfassend die sich aus § 3 Abs. 7 BDSG sowie die sich in entsprechender Anwendung von § 11 Abs. 2 Satz 2 Nr. 4 und 5 BDSG ergebenden Anforderungen.
11
Hinsichtlich der näheren Einzelheiten in Bezug auf Art und Umfang der Funktionsübertragung knüpft die Klausel an die vertragsgegenständlichen Leistungen an. Angaben zu Gegenstand und Dauer der Funktionsübertragung analog § 11 Abs. 2 Satz 2 Nr. 1 BDSG sind in der Regel bereits in den allgemeinen Vertragsbestimmungen enthalten, in die die Klausel eingebettet werden soll2. Die in entsprechender Anwendung von § 11 Abs. 2 Satz 2 Nr. 2 BDSG erforderlichen Angaben sind in der Leistungsbeschreibung abzubilden, die im Vertrag enthalten oder diesem beigefügt ist. Erforderlich ist insoweit eine möglichst konkrete, verbindliche, vollständige und abschließende Beschreibung des dem Dienstleister erlaubten Datenumgangs3. Die Vertragsklausel setzt voraus, dass diese Angaben jeweils an anderer Stelle im Vertrag enthalten sind.
12
2. Erläuterungen zu Ziffer 1.2 E 1.2 Zweckbindung
13
Der Dienstleister verpflichtet sich, die ihm vom Kunden zur Verfügung gestellten personenbezogenen Daten ausschließlich für die Erbringung der vertragsgegenständlichen Leistungen zu verwenden. Eine weitergehende Verwendung der Daten, insbesondere eine solche zu eigenen Zwecken des Dienstleisters oder zu Zwecken Dritter, ist unzulässig.
1 Tätigkeitsbericht 2009/2010 des Bayerischen Landesamts für Datenschutzaufsicht (nicht-öffentlicher Bereich), S. 39. 2 Taeger/Gabel/Gabel, § 11 BDSG Rz. 42; Simitis/Petri, § 11 BDSG Rz. 66. 3 Däubler/Klebe/Wedde/Weichert/Wedde, § 11 Rz. 35 ff.; Simitis/Petri, § 11 BDSG Rz. 68; einschränkend Gola/Schomerus, § 11 BDSG Rz. 18a (schriftliche Festlegung, die die dem konkreten Auftrag immanenten Datenverwendungen im Wesentlichen beschreiben).
Gabel/Wieczorek
|
941
Teil 6 I 14
Rz. 14
Datenschutzklausel Funktionsübertragung
Die Zweckbindung1 gehört zu den zentralen Anforderungen an eine vertragliche Vereinbarung zur Funktionsübertragung (siehe Rz. 5). Dementsprechend verpflichtet die Vertragsklausel den Dienstleister, die ihm vom Kunden zur Verfügung gestellten personenbezogenen Daten ausschließlich zur Erbringung der vertragsgegenständlichen Leistungen zu verwenden. Ohne eine solche Verpflichtung stünde es dem Dienstleister in dem durch § 28 Abs. 5 BDSG definierten (weiten) Rahmen frei2, die ihm vom Kunden übermittelten Daten auch für andere Zwecke zu verwenden3. Durch den Hinweis auf die strenge Zweckbindung kommt der Kunde zugleich seiner Hinweispflicht nach § 28 Abs. 5 Satz 3 BDSG nach.
3. Erläuterungen zu Ziffer 1.3 15
E 1.3 Technische und organisatorische Schutzmaßnahmen Der Dienstleister verpflichtet sich, zur Wahrung der Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität der ihm vom Kunden zur Verfügung gestellten personenbezogenen Daten technische und organisatorische Maßnahmen in dem durch die einschlägigen Datenschutzvorschriften, insbesondere § 9 BDSG, vorgesehenen Umfang zu treffen. Die bei Vertragsabschluss geltenden technischen und organisatorischen Maßnahmen sind in Anlage [1] zu diesem Vertrag beschrieben und vom Dienstleister in Abstimmung mit dem Kunden während der Vertragslaufzeit kontinuierlich weiterzuentwickeln und an veränderte Gegebenheiten anzupassen. Wesentliche Änderungen sind zu dokumentieren.
16
Bei der Auftragsdatenverarbeitung sind die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen im Auftrag zwingend festzulegen, § 11 Abs. 2 Satz 2 Nr. 3 BDSG. Dies ist eine wesentliche Voraussetzung dafür, dass der Auftraggeber seinen Auswahl- und Kontrollpflichten nach § 11 Abs. 2 Satz 1 und 4 BDSG effektiv nachkommen kann. Die bloße Wiedergabe des § 9 BDSG und seiner Anlage ist dabei nicht ausreichend. Erforderlich sind vielmehr Angaben, wie die gesetzlichen Vorgaben im Einzelnen umgesetzt werden4. Die Angaben können sich auch aus einer Anlage ergeben, auf die im Vertrag Bezug genommen wird5. Hinsichtlich der konkreten Maßnahmen kann dem Auftragnehmer im Rahmen der Angemessenheit freilich eine gewisse Flexibilität eingeräumt werden6.
17
Diese Anforderungen gelten im Rahmen der Funktionsübertragung entsprechend; die Interessenlagen unterscheiden sich insoweit offenkundig nicht7. Die Vertragsklausel verpflichtet den Dienstleister daher, die notwendigen tech1 S. allgemein zum Zweckbindungsgrundsatz Taeger/Gabel/Taeger, § 28 BDSG Rz. 108 ff. m.w.N. 2 Krit. zu dieser gesetzlichen Regelung Simitis/Simitis, § 28 BDSG Rz. 283 ff. 3 Gola/Schomerus, § 28 BDSG Rz. 41. 4 Simitis/Petri, § 11 BDSG Rz. 73. 5 Gola/Schomerus, § 11 BDSG Rz. 18b. 6 Gola/Schomerus, § 11 BDSG Rz. 18b. 7 30. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg 2010/2011, LT-Drucks. 15/955, 156.
942
|
Gabel/Wieczorek
Erläuterungen
Rz. 20 Teil 6 I
nischen und organisatorischen Maßnahmen zu ergreifen, und verweist zur näheren Ausgestaltung auf eine dem Vertrag beizufügende Anlage. Zugleich wird eine gewisse Dynamisierung der betreffenden Maßnahmen im Sinne einer kontinuierlichen Weiterentwicklung und Anpassung an veränderte Gegebenheiten (z.B. System- oder Prozessänderungen) vorgesehen, wobei dies aus Gründen der Risikokontrolle stets in Abstimmung mit dem Kunden zu erfolgen hat und entsprechend zu dokumentieren ist. Bei Dienstleistern, die für mehrere Kunden tätig sind, schließen die vom Dienstleister zu ergreifenden Maßnahmen auch ohne ausdrückliche Erwähnung im Vertrag eine wirksame Mandantentrennung ein1.
4. Erläuterungen zu Ziffer 1.4 18
E 1.4 Geheimnisschutz Der Dienstleister verpflichtet sich, zur Erbringung der vertragsgegenständlichen Leistungen nur Mitarbeiter einzusetzen, die durch geeignete Maßnahmen mit den gesetzlichen Vorschriften über den Datenschutz und den speziellen datenschutzrechtlichen Anforderungen dieses Vertrags vertraut gemacht sowie umfassend schriftlich zur Vertraulichkeit, einschließlich der Wahrung des Datengeheimnisses gemäß § 5 BDSG sowie der Wahrung von Geschäftsund Betriebsgeheimnissen des Kunden, verpflichtet wurden. Die Vertragsklausel sieht in entsprechender Anwendung von § 11 Abs. 2 Satz 2 Nr. 4, Abs. 4 i.V.m. § 5 BDSG vor, dass der Dienstleister die von ihm zur Erbringung der vertragsgegenständlichen Leistungen eingesetzten Mitarbeiter auf die Einhaltung des Datengeheimnisses verpflichtet. Hierzu gehört auch eine möglichst spezifische Belehrung der Mitarbeiter über ihre datenschutzrechtlichen Pflichten2. Die – in der Sache ohnehin naheliegende und sinnvolle – Erweiterung der Vertraulichkeitspflicht auf die Wahrung von Betriebs- und Geschäftsgeheimnissen des Kunden folgt der allgemeinen Empfehlung, die Verpflichtung auf das Datengeheimnis und auf andere Geheimhaltungspflichten zusammen vorzunehmen3.
19
5. Erläuterungen zu Ziffer 1.5 E 1.5 Prüfungs- und Kontrollhandlungen
20
Der Kunde hat das Recht, die Einhaltung der Bestimmungen dieser Ziffer [1] durch den Dienstleister zu überprüfen. Zu diesem Zweck wird der Dienstleister dem Kunden auf Verlangen im erforderlichen Umfang Auskunft erteilen, geeignete Nachweise vorlegen und – in der Regel nach vorheriger Terminvereinbarung und während der üblichen Geschäftszeiten – eine Vor-Ort-Prüfung seiner Datenverarbeitungsanlagen und -verfahren gestatten. Das Ergebnis der Prüfungen ist zu dokumentieren. Der Dienstleister verpflichtet sich zudem, 1 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 81 f. 2 Gola/Schomerus, § 5 BDSG Rz. 12. 3 Taeger/Gabel/Kinast, § 5 BDSG Rz. 26.
Gabel/Wieczorek
|
943
Teil 6 I
Rz. 21
Datenschutzklausel Funktionsübertragung
mittels regelmäßiger eigener Prüfungen die Einhaltung der Bestimmungen dieser Ziffer [1] zu gewährleisten. 21
Vertrauen ist gut, Kontrolle ist besser. In diesem Sinne ordnet das Gesetz bei der Auftragsdatenverarbeitung an, dass sich der Auftraggeber laufend von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt, § 11 Abs. 2 Satz 4 BDSG. Es enthält jedoch keine spezifischen Vorgaben in Bezug auf Art und Umfang der vom Auftraggeber durchzuführenden Kontrollen und den damit verbundenen Duldungsund Mitwirkungspflichten des Auftragnehmers. Nach § 11 Abs. 2 Satz 2 Nr. 7 BDSG bedarf es daher entsprechender vertraglicher Festlegungen1. Diese müssen zumindest die Verpflichtung des Auftragnehmers umfassen, dem Auftraggeber auf Anforderung die zur Auftragskontrolle erforderlichen Auskünfte zu geben, Nachweise vorzulegen etc. Darüber hinaus wird in der Regel empfohlen, dass sich der Auftraggeber ein Recht zur Durchführung von Vor-Ort-Prüfungen beim Auftragnehmer vorbehält2. Die Duldungs- und Mitwirkungspflichten des Auftragnehmers gestalten sich in der Regel spiegelbildlich zu den Kontrollrechten des Auftraggebers3. Das Ergebnis der vorgenommenen Kontrollen ist jeweils zu dokumentieren, § 11 Abs. 2 Satz 5 BDSG.
22
Zur Häufigkeit der vom Auftraggeber durchzuführenden Kontrollen enthält das Gesetz unterschiedliche Vorgaben. Nach § 11 Abs. 2 Satz 4 BDSG muss sich der Auftraggeber zunächst vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugen. Nach Beginn der Datenverarbeitung hat der Auftraggeber eine entsprechende Überprüfung sodann in regelmäßigen Abständen vorzunehmen. Den zeitlichen Abstand der regelmäßigen Überprüfungen durch den Auftraggeber legt das Gesetz aufgrund der in der Praxis vorkommenden Bandbreite an Auftragsverhältnissen bewusst nicht fest. Es ist daher im Einzelfall auf Faktoren wie den Umfang der Datenverarbeitung, das Gefährdungspotenzial für die Betroffenen, die Sensibilität der verarbeiteten Daten etc. abzustellen4. Für den Prüfungsturnus in laufenden Auftragsverhältnissen werden von aufsichtsbehördlicher Seite in der Regel Fristen zwischen einem Jahr und drei Jahren als angemessen angesehen, wobei Umstände wie die öffentliche Berichterstattung zu Datenschutzverletzungen oder Negativerfahrungen mit dem Auftragnehmer auch zu vorgezogenen Prüfungen Anlass geben können5. Bei der Vertragsgestaltung empfiehlt sich daher im Zweifel die Vereinbarung eines jederzeitigen Kontrollrechts des Auftraggebers6.
1 Taeger/Gabel/Gabel, § 11 BDSG Rz. 48. 2 Simitis/Petri, § 11 BDSG Rz. 78; Gola/Schomerus, § 11 BDSG Rz. 18 f.; Taeger/Gabel/ Gabel, § 11 BDSG Rz. 48. 3 Taeger/Gabel/Gabel, § 11 BDSG Rz. 48. 4 Tätigkeitsbericht 2009 und 2010 des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, BT-Drucks. 17/5200, 34. 5 Tätigkeitsbericht 2009/2010 des Bayerischen Landesamts für Datenschutzaufsicht (nicht-öffentlicher Bereich), S. 37. 6 Taeger/Gabel/Gabel, § 11 BDSG Rz. 48.
944
|
Gabel/Wieczorek
Erläuterungen
Rz. 25 Teil 6 I
Da die Sicherstellung einer datenschutzgerechten Organisation der Datenverarbeitung beim Dienstleister auch bei der Funktionsübertragung eine wesentliche Rolle spielt (siehe Rz. 5), sieht die Vertragsklausel – unter angemessener Berücksichtigung der Belange des Dienstleisters – umfassende Prüfungs- und Kontrollmöglichkeiten des Kunden vor, welche den zuvor beschriebenen, für die Auftragsdatenverarbeitung geltenden Leitlinien entsprechen. Sie stellt zudem sicher, dass der Dienstleister durch regelmäßig durchgeführte Prüfungen selbst die Einhaltung der Datenschutzanforderungen kontrolliert, und trägt damit dem in § 11 Abs. 2 Satz 2 Nr. 5 BDSG besonders hervorgehobenen Gedanken der Eigenkontrolle des Auftragnehmers Rechnung.
23
6. Erläuterungen zu Ziffer 1.6 E 1.6 Unterauftragsverhältnisse
24
Die Einschaltung von Unterauftragnehmern durch den Dienstleister bei der Verarbeitung und Nutzung der ihm vom Kunden zur Verfügung gestellten personenbezogenen Daten bedarf der vorherigen schriftlichen Zustimmung des Kunden. Der Dienstleister verpflichtet sich, den Unterauftragnehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten sorgfältig auszuwählen und entsprechend den Vorgaben dieses Vertrags auf die Einhaltung der einschlägigen Datenschutzvorschriften zu verpflichten. Die Verpflichtung muss auch das Recht des Kunden umfassen, die Einhaltung der Datenschutzvorschriften direkt und im gleichen Umfang beim Unterauftragnehmer zu überprüfen, wie ihm dies nach Ziffer [1.5] beim Dienstleister gestattet ist. Bei der Einschaltung von Unterauftragnehmern durch den Dienstleister besteht naturgemäß die Gefahr, dass das im Verhältnis zwischen Kunde und Dienstleister begründete Datenschutzniveau unterlaufen wird1. Das Gesetz verlangt daher im Falle der Auftragsdatenverarbeitung eine vertragliche Regelung über die Berechtigung des Auftragnehmers zur Begründung von Unterauftragsverhältnissen, § 11 Abs. 2 Satz 2 Nr. 6 BDSG. Meist wird dabei die Vereinbarung eines allgemeinen Zustimmungsvorbehalts zugunsten des Auftraggebers empfohlen. Zwingend ist dies aber nicht2. Der Auftraggeber hat jedoch in jedem Fall dafür Sorge zu tragen, dass der Auftragnehmer bei der Auswahl eines Unterauftragnehmers die nach § 11 Abs. 2 Satz 1 BDSG gebotene Sorgfalt anwendet3. Um ein mögliches Absinken des Datenschutzniveaus zu verhindern, hat er ferner dafür Sorge zu tragen, dass der Auftragnehmer die von ihm übernommenen Verpflichtungen auch an den Unterauftragnehmer weitergibt4. Nicht zuletzt aufgrund verschiedener Datenschutzskandale, die durch das Fehlverhalten von (Unter-)Auftragnehmern ausgelöst wurden und zur Verschärfung 1 Taeger/Gabel/Gabel, § 11 BDSG Rz. 47. 2 Bierekoven, in: Redeker, Handbuch der IT-Verträge, Kap. 7.2 Rz. 76; Plath/Plath, § 11 BDSG Rz. 105; Gola/Schomerus, § 11 BDSG Rz. 18e. 3 Simitis/Petri, § 11 BDSG Rz. 76. 4 Gola/Schomerus, § 11 BDSG Rz. 18e; Plath/Plath, § 11 BDSG Rz. 106.
Gabel/Wieczorek
|
945
25
Teil 6 I
Rz. 26
Datenschutzklausel Funktionsübertragung
der Anforderungen an die Auftragsdatenverarbeitung im Rahmen der BDSGNovelle 2009 beigetragen haben, verlangen die Aufsichtsbehörden außerdem, dass dem Auftraggeber ein direktes Prüfrecht beim Unterauftragnehmer eingeräumt wird (sog. Durchgriffsprüfrecht)1. Aufgrund der vergleichbaren Interessenlage bei der Funktionsübertragung greift die Vertragsklausel diese Punkte unverändert auf.
7. Erläuterungen zu Ziffer 1.7 26
E 1.7 Informationspflichten Der Dienstleister wird den Kunden sowie in den gesetzlich vorgesehenen Fällen auch die zuständigen Aufsichtsbehörden und die Betroffenen bei Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung und Nutzung der ihm vom Kunden zur Verfügung gestellten personenbezogenen Daten unverzüglich unterrichten. Der Dienstleister wird den Kunden zudem unverzüglich über Kontrollhandlungen und Maßnahmen nach § 38 BDSG sowie Ermittlungen nach §§ 43, 44 BDSG unterrichten, soweit diese die vertragsgegenständlichen Leistungen betreffen.
27
Die Vertragsklausel begründet verschiedene Informationspflichten des Dienstleisters. Zunächst verpflichtet sie den Dienstleister bei Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Datenverarbeitung den Kunden sowie in den gesetzlich vorgesehenen Fällen (z.B. § 42a BDSG, § 109a TKG, § 15a TMG, § 83a SGB X) auch die zuständigen Aufsichtsbehörden und die Betroffenen zu unterrichten. Hinsichtlich der gesetzlichen Informationspflichten ist dabei zu berücksichtigen, dass diese – anders als bei der Auftragsdatenverarbeitung2 (vgl. § 11 Abs. 2 Satz 2 Nr. 8 BDSG) – bei der Funktionsübertragung nicht den Kunden, sondern unmittelbar den Dienstleister in seiner Eigenschaft als verantwortliche Stelle i.S.d. § 3 Abs. 7 BDSG treffen. Die weitergehende Verpflichtung, im Falle von Unregelmäßigkeiten bei der Datenverarbeitung stets auch den Kunden zu unterrichten, rechtfertigt sich dadurch, dass die Datenverarbeitung letztlich in seinem Interesse erfolgt und er in der Regel trotz Aufgabenverlagerung vertraglich mit den Betroffenen verbunden bleibt und diesen ggf. zivilrechtlich haftet. Die Pflicht des Dienstleisters, den Kunden über Kontrollhandlungen und Maßnahmen nach § 38 BDSG und Ermittlungen nach §§ 43, 44 BDSG zu unterrichten, korrespondiert schließlich mit § 11 Abs. 2 Satz 2 Nr. 5, Abs. 4 BDSG.
8. Erläuterungen zu Ziffer 1.8 28
E 1.8 Datenrückgabe und -löschung Der Dienstleister hat nach Abschluss der vertragsgegenständlichen Leistungen oder früher auf Verlangen des Kunden diesem die Daten, die ihm vom Kunden 1 Dreiundzwanzigster Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde, LTDrucks. 18/2942, 17 f. 2 Taeger/Gabel/Gabel, § 42a BDSG Rz. 9.
946
|
Gabel/Wieczorek
Erläuterungen
Rz. 31 Teil 6 I
zur Erbringung der vertragsgegenständlichen Leistungen zur Verfügung gestellt wurden, in einem mit dem Kunden abzustimmenden Format auszuhändigen und nach der vorherigen schriftlichen Freigabe durch den Kunden datenschutzgerecht zu löschen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Auf Verlangen hat der Dienstleister dem Kunden das Löschungsprotokoll vorzulegen. Vorbehaltlich etwaiger gesetzlicher Aufbewahrungspflichten gilt bei der Auftragsdatenverarbeitung nach § 11 Abs. 2 Satz 2 Nr. 10 BDSG der Grundsatz, dass nach Auftragsende keine personenbezogenen Daten beim Auftragnehmer zurückbleiben dürfen, die ihm vom Auftraggeber zur Leistungserbringung zur Verfügung gestellt worden sind1. Dies verhält sich bei der Funktionsübertragung, bei der es sich typischerweise auch nur um eine Beauftragung „auf Zeit“ handelt, nicht anders. Die Vertragsklausel sieht daher entsprechende Rückgabe- und Löschungspflichten des Dienstleisters vor. Sie begründet darüber hinaus einen Anspruch des Kunden, auch schon vor Vertragsende jederzeit eine Datenherausgabe verlangen zu können2. Aus praktischen Gründen empfiehlt sich zudem eine Regelung zur Art der Datenherausgabe (z.B. Formate), wenn diese nicht bereits an anderer Stelle im Vertrag getroffen ist3. Zusätzlich können etwaige Zurückbehaltungsrechte des Dienstleisters an den Daten ausgeschlossen werden4. Dabei sind jedoch mögliche AGB-rechtliche Einschränkungen zu beachten.
29
9. Erläuterungen zu Ziffer 1.9 E 1.9 Drittstaatentransfer
30
Der Dienstleister verpflichtet sich, die Verarbeitung und Nutzung der ihm vom Kunden zur Verfügung gestellten personenbezogenen Daten ausschließlich auf dem Gebiet der Bundesrepublik Deutschland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum durchzuführen. Eine Übermittlung der Daten in Drittstaaten bedarf der vorherigen schriftlichen Zustimmung des Kunden und unterliegt den besonderen Anforderungen der §§ 4b, 4c BDSG. Bei Datenübermittlungen ins Ausland sind zusätzlich zu den allgemeinen Verarbeitungsvorschriften der §§ 4, 28 ff. BDSG die spezifischen Anforderungen der §§ 4b, 4c BDSG einzuhalten5. Nach § 4b Abs. 1 BDSG ist eine Datenübermittlung ins Ausland grundsätzlich zulässig, wenn es sich bei dem betreffenden Land um einen Mitgliedsstaat der EU oder einen Vertragsstaat des Abkommens über den EWR handelt. Dies ist Folge der Umsetzung der EG-Daten1 Gola/Schomerus, § 11 BDSG Rz. 18i; Simitis/Petri, § 11 BDSG Rz. 82. 2 Eingehend zu vertraglichen und außervertraglichen Ansprüchen auf Herausgabe von Daten gegenüber Outsourcing-Anbietern Grützmacher, ITRB 2004, 260 ff. und 282 ff.; zum Anspruch auf Herausgabe von Daten gem. § 242 BGB s. OLG München v. 22.4.1999 – 6 U 1657/99, CR 1999, 484. 3 Taeger/Gabel/Gabel, § 11 BDSG Rz. 51. 4 S. Bierekoven, in: Redeker, Handbuch der IT-Verträge, Kap. 7.2 Rz. 105. 5 Taeger/Gabel/Gabel, § 4b BDSG Rz. 9 m.w.N.
Gabel/Wieczorek
|
947
31
Teil 6 I
Rz. 32
Datenschutzklausel Funktionsübertragung
schutzrichtlinie (RL 95/46/EG) durch diese Staaten. Bei einer Datenübermittlung in Drittstaaten hängt die Zulässigkeit nach § 4b Abs. 2 und 3 BDSG indes davon ab, ob in dem betreffenden Land ein angemessenes Datenschutzniveau besteht. Ist das nicht der Fall und liegt keiner der Ausnahmetatbestände des § 4c Abs. 1 BDSG vor, bedarf es nach § 4c Abs. 2 BDSG zusätzlicher Garantien für die Rechte der Betroffenen wie Vertragsklauseln1 oder verbindlicher Unternehmensregelungen2, um die Datenübermittlung zu legitimieren3. Die Vertragsklausel beschränkt die Datenverarbeitung vor diesem Hintergrund zunächst auf die Bundesrepublik Deutschland und andere EU- bzw. EWR-Staaten. Durch den Zustimmungsvorbehalt zugunsten des Kunden soll zudem sichergestellt werden, dass vor einer Datenübermittlung in Drittstaaten die Zulässigkeitsvoraussetzungen geprüft und ggf. die notwendigen Garantien für einen datenschutzkonformen Datenumgang geschaffen werden.
10. Erläuterungen zu Ziffer 1.10 32
E 1.10 Entsprechensklausel Die Bestimmungen dieser Ziffer [1] gelten entsprechend für personenbezogene Daten, die der Dienstleister für den Kunden bei der Erbringung der vertragsgegenständlichen Leistungen erhebt, sowie für Verarbeitungs- und Nutzungsergebnisse in Bezug auf personenbezogene Daten, die der Dienstleister für den Kunden bei der Erbringung der vertragsgegenständlichen Leistungen erzielt.
33
Die Vertragsklausel knüpft in Ziffer 1.1. bis 1.9. zur sprachlichen Vereinfachung an die personenbezogenen Daten an, die der Kunde dem Dienstleister zur Erbringung der vertragsgegenständlichen Leistungen zur Verfügung stellt. Regelungsbedürftig ist, je nach Gegenstand der Funktionsübertragung, aber auch der Umgang mit solchen Daten, die der Dienstleister für den Kunden bei der Erbringung der vertragsgegenständlichen Leistungen erhebt, sowie der Umgang mit Verarbeitungs- und Nutzungsergebnissen, die der Dienstleister für den Kunden bei der Erbringung der vertragsgegenständlichen Leistungen erzielt. Die Vertragsklausel erklärt die Ziffer 1.1. bis 1.9. insoweit für entsprechend anwendbar.
1 S. hierzu die Muster der EG-Standardvertragsklauseln, Teil 5 I–III. 2 S. hierzu das Muster der verbindlichen Unternehmensregelungen in Teil 5 V. 3 Vgl. Taeger/Gabel/Gabel, § 4b BDSG Rz. 3.
948
|
Gabel/Wieczorek
II. Datenschutzklausel Kaufvertrag Literaturverzeichnis: Ernst, Social Plugins: Der „Like-Button“ als datenschutzrechtliches Problem, NJOZ 2010, 1917; Gola/Schomerus, BDSG, 11. Aufl. 2012; Plath, BDSG, 2013; Simitis, BDSG, 7. Aufl. 2011.
A. Einleitung Im Rahmen eines Kaufvertrags ist in vielen Fällen keine besonders umfassende Regelung zum Datenschutz erforderlich. Allgemein bietet es sich aber vor allem aufgrund des zunehmend kritischen Datenschutzbewusstseins der Öffentlichkeit sicherlich an, Kunden darauf hinzuweisen, dass man sich der bestehenden Regelungen bewusst ist und die maßgeblichen Rechtsvorschriften beachtet. Das vorliegende Muster enthält einen verhältnismäßig detaillierten und ausdifferenzierten Vorschlag. Es ist im Wesentlichen klarstellender Natur bzw. dient der Erfüllung gesetzlicher Unterrichtungspflichten nach §§ 4 Abs. 3, 28 Abs. 4 Satz 2 BDSG sowie des § 7 Abs. 3 Nr. 4 UWG (s. hierzu auch noch Rz. 12 und 27).
1
B. Muster E Datenschutzklausel Kaufvertrag
2
[einzufügen in Kaufvertrag mit Überschrift: Datenschutz/Einwilligung in die Verwendung personenbezogener Daten] 1. Der Verkäufer wird im Hinblick auf personenbezogene Daten des Käufers die maßgeblichen gesetzlichen Bestimmungen, insbesondere das Bundesdatenschutzgesetz (BDSG), wahren. 2. Personenbezogene Daten des Käufers werden vom Verkäufer erhoben, verarbeitet und genutzt, wenn und soweit dies für die Begründung, die Durchführung oder die Beendigung dieses Vertrags erforderlich ist. Eine weitergehende Erhebung, Verarbeitung und Nutzung personenbezogener Daten des Käufers erfolgt nur, soweit eine Rechtsvorschrift dies erlaubt oder der Käufer eingewilligt hat. 3. Dem Käufer ist bekannt, dass für die Begründung und die Durchführung dieses Vertrags dessen Name, Verbraucher- bzw. Unternehmereigenschaft, Adresse, Geburtsdatum und Bankverbindung erforderlich sind und stimmt der Erhebung, Verarbeitung und Nutzung dieser Daten zu diesem Zweck zu. 4. Der Verkäufer ist berechtigt, – im Rahmen des gesetzlich Zulässigen – zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung des Kaufvertrags das Risiko von Zahlungsausfällen auf Käuferseite zu prüfen. Nowak/Zieger
|
949
Teil 6 II Rz. 3
Datenschutzklausel Kaufvertrag
Insoweit werden Wahrscheinlichkeitswerte für das künftige Verhalten des Käufers erhoben und verarbeitet. Zur Berechnung dieser Wahrscheinlichkeitswerte werden auch Anschriftendaten des Käufers verwendet. Für die Prüfung wird der Verkäufer Leistungen von Auskunfteien, z.B. der SCHUFA Holding AG (Wiesbaden), oder anderer Dritter in Anspruch nehmen und zu diesem Zweck Daten des Käufers an diese übermitteln bzw. bei diesen anfragen. 5. Der Verkäufer ist berechtigt, die Daten des Käufers an Dritte zu übermitteln, wenn und soweit dies zur Durchführung dieses Vertrags (z.B. für Versand, Rechnungsstellung oder Kundenbetreuung) erforderlich ist. Der Käufer ist auch damit einverstanden, dass der Verkäufer diese Daten – im Rahmen des gesetzlich Zulässigen – zum Zwecke der Forderungsdurchsetzung an Dritte (z.B. Inkasso-Unternehmen) weiterleitet. 6. Der Verkäufer wird dem Käufer unter den gesetzlichen Voraussetzungen auf Verlangen unentgeltlich Auskunft über die den Käufer betreffenden, gespeicherten personenbezogenen Daten erteilen. Der Käufer hat unter den gesetzlichen Voraussetzungen das Recht, die Löschung, Korrektur oder Sperrung seiner Daten zu verlangen. 7. Der Käufer kann einer etwaigen Verwendung seiner personenbezogenen Daten zu Werbezwecken jederzeit durch eine formlose Mitteilung gegenüber dem Verkäufer widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. Nach Erhalt des Widerspruchs wird der Verkäufer die betroffenen Daten nicht mehr zu Werbezwecken verwenden. 8. Verantwortliche Stelle für sämtliche datenschutzbezogenen Fragen sowie für die Ausübung der unter Ziffern 6 und 7 beschriebenen Rechte ist: [Name, Rechtsform, Anschrift und weitere Kontaktdaten des Unternehmens]
C. Erläuterungen I. Erläuterungen zu Ziffer 1 3
E 1. Der Verkäufer wird im Hinblick auf personenbezogene Daten des Käufers die maßgeblichen gesetzlichen Bestimmungen, insbesondere das Bundesdatenschutzgesetz (BDSG), wahren.
4
Ziffer 1 ist klarstellender Natur. Soweit personenbezogene Daten erhoben, verarbeitet oder genutzt werden, sind die maßgeblichen gesetzlichen Bestimmungen unabhängig von einer entsprechenden Vereinbarung einzuhalten. Der Begriff der personenbezogenen Daten ist in § 3 Abs. 1 BDSG legal definiert. Es handelt sich um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Auch Angaben über Unternehmen können zugleich personenbezogene Daten darstellen (z.B. Infor950
|
Nowak/Zieger
Erläuterungen
Rz. 7 Teil 6 II
mationen bzgl. der Firma eines Einzelkaufmanns)1. Bloße Angaben über juristische Personen sind allerdings keine personenbezogenen Daten2. Im Zusammenhang mit der Begründung und Durchführung eines Kaufvertrags können insbesondere Name, Adresse, Geburtsdatum, Bankverbindung und sonstige Zahlungsdaten, Informationen über den Kaufgegenstand, Kaufdatum sowie Angaben über die Geltendmachung von Mängelrechten relevant sein. Die Verwendung personenbezogener Daten im Zusammenhang mit der Begründung und Durchführung von Kaufverträgen richtet sich in der Regel maßgeblich nach dem BDSG. Daneben können im Bereich des E-Commerce insbesondere auch die besonderen datenschutzrechtlichen Bestimmungen der §§ 11 ff. TMG zu beachten sein. Diese gehen gem. § 1 Abs. 3 BDSG in ihrem Anwendungsbereich den Vorschriften des BDSG vor3. Die Abgrenzung der Anwendungsbereiche des TMG und des BDSG erfolgt nach dem sog. Schichtenmodell4. Das TMG gilt auf der Ebene der Interaktion zwischen Anbieter und Nutzer des Telemediums (z.B. Online-Shop) für die unmittelbar mit der Nutzung des Telemediums zusammenhängenden Datenverwendungen (z.B. zur Anmeldung und Nutzung eines Accounts)5. Die Verwendung der nur über das Telemedium ausgetauschten Daten (z.B. Bestellung bestimmter Waren und hierfür erhobene Adress- und Zahlungsdaten), d.h. die Inhaltsebene, bestimmt sich dagegen nach dem BDSG6.
5
II. Erläuterungen zu Ziffer 2 E 2. Personenbezogene Daten des Käufers werden vom Verkäufer erhoben, verarbeitet und genutzt, wenn und soweit dies für die Begründung, die Durchführung oder die Beendigung dieses Vertrags erforderlich ist. Eine weitergehende Erhebung, Verarbeitung und Nutzung personenbezogener Daten des Käufers erfolgt nur, soweit eine Rechtsvorschrift dies erlaubt oder der Käufer eingewilligt hat.
6
Auch Ziffer 2 hat nur klarstellende Bedeutung. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist gem. § 4 Abs. 1 BDSG nur dann zulässig, wenn der Betroffene eingewilligt hat oder das BDSG oder eine andere Rechtsvorschrift dies erlaubt. Zur Rechtfertigung von Datenverwendungen im Zusammenhang mit Kaufverträgen kommen als Erlaubnisvorschriften innerhalb des BDSG insbesondere die §§ 27 ff. BDSG in Betracht. Die unmittelbar für die Begründung und Durchführung von Kaufverträgen erforderlichen Datenverwendungen lassen sich grundsätzlich auf § 28 Abs. 1 Satz 1 Nr. 1 BDSG stützen. Hiernach ist die Erhebung, Speicherung, Veränderung und Übermittlung personenbezogener Daten zu eigenen Geschäftszwecken zulässig, soweit dies erforderlich ist, um ein rechtgeschäftliches oder rechtsgeschäftsähnliches
7
1 2 3 4 5 6
Gola/Schomerus, § 3 BDSG Rz. 11a. Gola/Schomerus, § 3 BDSG Rz. 11. Plath/Hullen/Roggenkamp, § 11 TMG Rz. 10. Ernst, NJOZ 2010, 1917 (1918); Plath/Hullen/Roggenkamp, § 11 TMG Rz. 12. Plath/Hullen/Roggenkamp, § 11 TMG Rz. 12. Plath/Hullen/Roggenkamp, § 11 TMG Rz. 12.
Nowak/Zieger
|
951
Teil 6 II Rz. 8
Datenschutzklausel Kaufvertrag
Schuldverhältnis mit dem Betroffenen zu begründen, durchzuführen oder zu beenden. Erforderlichkeit in diesem Sinne bedeutet nicht, dass die Datenverwendung für die Erfüllung des Geschäftszwecks zwingend notwendig sein muss1. Es genügt vielmehr, dass die verantwortliche Stelle hierauf bei vernünftiger Betrachtung angewiesen ist2. Darüber hinausgehend kann eine Datenverwendung im Zusammenhang mit Kaufverträgen innerhalb des BDSG insbesondere auf § 28 Abs. 1 Satz 1 Nr. 2 und Abs. 3 ff. sowie §§ 28a ff. BDSG gestützt werden (vgl. hierzu auch noch im Folgenden). Der Zweck der beabsichtigten Verwendung der Daten ist gem. § 28 Abs. 1 Satz 2 BDSG bereits bei der Erhebung der Daten konkret festzulegen und sollte im Vertrag daher auch dokumentiert werden. 8
Im Übrigen ist grundsätzlich die Einwilligung des Betroffenen i.S.v. § 4a BDSG in die Verwendung seiner Daten erforderlich. Eine solche Einwilligung unterliegt strengen Anforderungen. So muss sie gem. § 4a Abs. 1 Satz 1 und 2 BDSG auf einer freien Entscheidung des über Art, Umfang und Zweck der Datenverwendung hinreichend informierten Betroffenen beruhen. Zudem bedarf sie zu ihrer Wirksamkeit gem. § 4a Abs. 1 Satz 3 BDSG grundsätzlich der Schriftform. D.h. die Anforderungen an die gesetzliche Schriftform (§ 126 BGB) – eigenhändige Unterschrift oder elektronische Signatur – sind grundsätzlich einzuhalten3. Eine Erleichterung bietet § 4a Abs. 1 Satz 3 BDSG allerdings in Fällen, in denen „wegen besonderer Umstände“ eine andere Form angemessen sein kann. Dies ist insbesondere bei einem Vertragsschluss im Internet, per E-Mail oder am Telefon der Fall4. Die Einwilligung kann dann auch in Textform, mündlich oder durch schlüssiges Verhalten erteilt werden5. Nicht in Betracht kommt allerdings eine bloß mutmaßliche Einwilligung, da es dann an der nach dem Gesetz ausdrücklich erforderlichen bewussten Entscheidung des Betroffenen fehlt6. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie gem. § 4a Abs. 1 Satz 4 BDSG besonders hervorzuheben (z.B. durch Fettdruck). Da die Musterregelung grundsätzlich lediglich klarstellende Funktion hat, wurde hierauf verzichtet. Die Einwilligung kann auch vorformuliert im Rahmen von AGB erteilt werden, allerdings unterliegt sie dann – soweit man in ihr eine rechtsgeschäftliche Erklärung sieht – zudem der AGBKontrolle (§§ 305 ff. BGB)7. Der Betroffene kann seine Einwilligung grundsätzlich jederzeit frei widerrufen8.
9
Die Einholung einer Einwilligung wird häufig insbesondere bei der Verwendung von Daten des Käufers zu Werbezwecken erforderlich sein9. Gem. § 28 Abs. 3 Satz 1 BDSG ist für eine solche Verwendung datenschutzrechtlich grund1 2 3 4 5 6 7 8
Gola/Schomerus, § 28 BDSG Rz. 15; Plath/Plath, § 28 BDSG Rz. 24. Gola/Schomerus, § 28 BDSG Rz. 15. Simitis/Simitis, § 4a BDSG Rz. 33. Plath/Plath, § 4a BDSG Rz. 15 ff. Plath/Plath, § 4a BDSG Rz. 15 ff. Plath/Plath, § 4a BDSG Rz. 19. Plath/Plath, § 4a BDSG Rz. 39; s. hierzu auch die Erläuterungen in Teil 7 III Rz. 5. Simitis/Simitis, § 4a BSDG Rz. 94; Gola/Schomerus, § 4a BDSG Rz. 17f.; Plath/Plath, § 4a BDSG Rz. 70 ff.; vgl. auch Gedanke des § 28 Abs. 3a Satz 1 BDSG. 9 Vgl. hierzu die Mustererklärungen in Teil 7 III.
952
|
Nowak/Zieger
Erläuterungen
Rz. 11 Teil 6 II
sätzlich eine Einwilligung einzuholen. Wird die Einwilligung nicht schriftlich erteilt, ist sie gem. § 28 Abs. 3a Satz 1 BDSG schriftlich zu bestätigen. Im Falle einer elektronischen Einwilligung ist dies nicht erforderlich, wenn die Einwilligung für den Betroffenen jederzeit abrufbar protokolliert wird und der Betroffene diese jederzeit widerrufen kann. Ob der in § 28 Abs. 3 Satz 1 BDSG enthaltene Verweis auf § 28 Abs. 3a BDSG eine grundsätzliche Erleichterung des nach § 4a BDSG bestehenden (strengen gesetzlichen) Schriftformerfordernisses ist, d.h. bei Wahrung der Voraussetzungen des § 28 Abs. 3a BDSG sich die Einhaltung der Schriftform erübrigt, ist umstritten1. Sicherheitshalber sollte auf die Schriftform daher nur in den in § 4a Abs. 3 Satz 3 BDSG genannten Ausnahmefällen verzichtet werden. Erfolgt die Werbeeinwilligung zusammen mit anderen Erklärungen, ist sie gem. § 28 Abs. 3a Satz 2 BDSG durch drucktechnisch deutliche Gestaltung besonders hervorzuheben; die allgemeine Anforderung des § 4a Abs. 1 Satz 4 BDSG wird insoweit weiter präzisiert2. Die Einwilligung muss datenschutzrechtlich nicht generell als sog. „Opt-in“- Erklärung erfolgen. D.h. sie muss nicht in jedem Fall durch aktives Tun (etwa gesonderte Unterschrift, Ankreuzen, Häkchen setzen etc.) erklärt werden3. Es kann genügen, wenn der Käufer die betreffende Passagen streichen, seine Nicht-Zustimmung durch Ankreuzen erklären bzw. ein gesetztes Häkchen wieder entfernen kann (sog. „Opt-out“)4. Das hängt maßgeblich davon ab, in welche Art der Werbeansprache eingewilligt werden soll. Eine „Opt-in“-Einwilligung kann – je nach zugelassenem Werbekanal – wegen § 7 Abs. 2 UWG erforderlich sein (vgl. hierzu noch Rz. 12) Eine Werbeeinwilligung ist gem. § 28 Abs. 3b BDSG unwirksam, wenn der Vertragsschluss von der Erklärung der Einwilligung abhängig gemacht wurde und dem Betroffenen ein Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist (sog. Kopplungsverbot).
10
Eine Werbeeinwilligung ist gem. § 28 Abs. 3 Satz 2 ff. BDSG in bestimmten Fällen datenschutzrechtlich entbehrlich. Eine Ausnahme gilt insbesondere gem. § 28 Abs. 3 Satz 2 BDSG für die Verwendung von listenmäßig oder sonst zusammengefassten Daten einer Personengruppe zu Werbezwecken (Listenprivileg). Die Daten müssen sich dabei grundsätzlich auf die Zugehörigkeit des Betroffenen zu der fraglichen Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, Akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken. Die Verwendung dieser Daten ist insbesondere zulässig, soweit dies für Zwecke der Werbung für eigene Angebote der verantwortlichen Stelle erforderlich ist und diese die Daten, mit Ausnahme der Gruppenzugehörigkeit, bei dem Betroffenen für die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses gem. § 28 Abs. 1
11
1 Eingehend Plath/Plath, § 28 BDSG Rz. 154 ff. m.w.N. 2 Plath/Plath, § 28 BSDG Rz. 167. 3 BGH v. 11.11.2009 – VIII ZR 12/08, MMR 2010, 138; BGH v. 16.7.2008 – VIII ZR 348/06, MMR 2008, 731. 4 BGH v. 11.11.2009 – VIII ZR 12/08, MMR 2010, 138; BGH v. 16.7.2008 – VIII ZR 348/06, MMR 2008, 731.
Nowak/Zieger
|
953
Teil 6 II Rz. 12
Datenschutzklausel Kaufvertrag
Satz 1 Nr. 1 BDSG oder aus allgemein zugänglichen Verzeichnissen gem. § 28 Abs. 1 Satz 1 Nr. 3 BDSG erhoben wurde. Stets ist zudem erforderlich, dass schutzwürdige Interessen des Betroffenen nicht entgegenstehen (§ 28 Abs. 3 Satz 6 BDSG). Auch soweit eine Werbeeinwilligung datenschutzrechtlich nicht erforderlich ist, kann der Betroffene der Nutzung seiner Daten für Werbezwecke allerdings jederzeit für die Zukunft widersprechen1; hierüber ist der Betroffene gem. § 28 Abs. 4 Satz 2 BDSG auch bereits bei Vertragsschluss zu unterrichten (vgl. hierzu auch Rz. 12 und 27). 12
Neben den dargestellten datenschutzrechtlichen Vorgaben sind bei der Kundenansprache für Werbezwecke allerdings insbesondere auch die Bestimmungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) zu beachten. Ohne Einwilligung bzw. auf Basis eines „Opt-out“ ist grundsätzlich nur Briefwerbung zulässig, soweit diese nicht hartnäckig und erkennbar unerwünscht ist (§ 7 Abs. 1 und 2 Nr. 1 UWG). Eine telefonische Werbeansprache eines Verbrauchers erfordert dessen vorherige ausdrückliche „Opt-in“-Einwilligung (§ 7 Abs. 2 Nr. 2 UWG). Gegenüber anderen Marktteilnehmern gilt insoweit dagegen eine Erleichterung; hier reicht auch eine schlüssige oder nur mutmaßliche Einwilligung aus. Werbung mittels elektronischer Post (z.B. E-Mail, SMS, MMS) bedarf grundsätzlich unabhängig vom Adressaten einer ausdrücklichen „Opt-in“-Einwilligung (§ 7 Abs. 2 Nr. 3 UWG). Ausnahmsweise kann gem. § 7 Abs. 3 UWG auch Werbung mittels elektronischer Post ohne eine solche Einwilligung zulässig sein, wenn – ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat; – der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet; – der Kunde der Verwendung nicht widersprochen hat; und – der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. Der hiernach erforderliche Hinweis auf das Widerspruchsrecht ist im Muster in Ziffer 7 berücksichtigt (vgl. hierzu auch Rz. 27).
III. Erläuterungen zu Ziffer 3 13
E 3. Dem Käufer ist bekannt, dass für die Begründung und die Durchführung dieses Vertrags dessen Name, Verbraucher- bzw. Unternehmereigenschaft, Adresse, Geburtsdatum und Bankverbindung erforderlich sind und stimmt der Erhebung, Verarbeitung und Nutzung dieser Daten zu diesem Zweck zu. 1 Gola/Schomerus, § 28 BDSG Rz. 60 ff.
954
|
Nowak/Zieger
Erläuterungen
Rz. 17 Teil 6 II
Ziffer 3 benennt die für die Begründung und die Durchführung des Kaufvertrags erforderlichen Daten des Käufers und hat insoweit lediglich informatorischen Charakter. Welche Daten erforderlich sind, ist einzelfallabhängig. Bei Bargeschäften des täglichen Lebens dürfte häufig überhaupt keine Verwendung personenbezogener Daten gerechtfertigt sein1. Insbesondere im Versandhandel und bei bargeldlosen Geschäften können regelmäßig jedenfalls grundlegende Angaben, wie Name, Verbraucher- bzw. Unternehmereigenschaft, Adresse, Bankverbindung etc. verwendet werden2. Das Geburtsdatum kann z.B. zur Prüfung der Geschäftsfähigkeit des Käufers erforderlich sein3. Die ebenfalls in Ziffer 3 erklärte Einwilligung des Käufers in die Datenverwendung ist an sich obsolet. Soweit die Datenverwendung für die Begründung und die Durchführung des Kaufvertrags erforderlich ist, ergibt sich ihre Zulässigkeit bereits aus § 28 Abs. 1 Satz 1 Nr. 1 BDSG (siehe Rz. 7).
14
IV. Erläuterungen zu Ziffer 4 E 4. Der Verkäufer ist berechtigt, – im Rahmen des gesetzlich Zulässigen – zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung des Kaufvertrags das Risiko von Zahlungsausfällen auf Käuferseite zu prüfen. Insoweit werden Wahrscheinlichkeitswerte für das künftige Verhalten des Käufers erhoben und verarbeitet. Zur Berechnung dieser Wahrscheinlichkeitswerte werden auch Anschriftendaten des Käufers verwendet. Für die Prüfung wird der Verkäufer Leistungen von Auskunfteien, wie z.B. der SCHUFA Holding AG (Wiesbaden), oder anderer Dritter in Anspruch nehmen und zu diesem Zweck Daten des Käufers an diese übermitteln bzw. bei diesen anfragen.
15
Ziffer 4 verweist auf die Möglichkeit des Verkäufers, die Bonität des Käufers zu prüfen. Da sich die Regelung auf das gesetzlich Zulässige beschränkt, ist auch sie nur klarstellender Natur.
16
Die Verwendung von Käuferdaten zur Bonitätsprüfung richtet sich auf Verkäuferseite im Grundsatz nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG. Hiernach kann eine Datenverwendung zur Wahrung berechtigter Interessen der verantwortlichen Stelle zulässig sein. Erforderlich ist, dass sich die Datenverwendung im Rahmen des Erforderlichen bewegt. Zudem darf kein Grund zur Annahme bestehen, dass gegenläufige schutzwürdige Interessen des Betroffenen überwiegen. Es ist daher eine Interessenabwägung vorzunehmen. Eine Bonitätsprüfung wird hiernach bei einem Zahlungsausfallrisiko (z.B. „Kauf auf Rechnung“) grundsätzlich möglich sein4.
17
1 2 3 4
Plath/Plath, § 28 BDSG Rz. 30. Plath/Plath, § 28 BDSG Rz. 30. Plath/Plath, § 28 BDSG Rz. 30. Plath/Plath, § 28 BDSG Rz. 61; s. hierzu aber auch die Erläuterungen zur SCHUFAKlausel in Teil 7 IV Rz. 2 und 4 ff.
Nowak/Zieger
|
955
Teil 6 II Rz. 18
Datenschutzklausel Kaufvertrag
18
Bei der Bonitätsprüfung zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertrags sind grundsätzlich auch die Erhebung und Verarbeitung von Wahrscheinlichkeitswerten für das künftige Verhalten des Käufers (sog. Scoring) zulässig. Allerdings trifft § 28b BDSG hierfür besondere Anforderungen. So müssen die verwendeten Daten nachweisbar für die Berechnung anhand eines wissenschaftlich anerkannten, mathematisch-statistischen Verfahrens erheblich sein (Nr. 1). Zudem müssen die Voraussetzungen für eine Übermittlung nach § 29 BDSG vorliegen, soweit der Score-Wert von einer Auskunftei berechnet wird. In allen übrigen Fällen müssen die Voraussetzungen einer zulässigen Datenverwendung nach § 28 BDSG vorliegen (Nr. 2).
19
Darüber hinaus verbietet § 28b BDSG die Berechnung eines Score-Werts ausschließlich anhand von Anschriftendaten (sog. Geo-Scoring) (Nr. 3). Die Verwendung von Anschriftendaten im Übrigen bleibt im Rahmen des Scoring jedoch erlaubt. Der Betroffene ist hierüber allerdings vor Berechnung des Score-Werts zu unterrichten und die Unterrichtung ist zu dokumentieren (Nr. 4). Eine bestimmte Form für die Unterrichtung ist nicht einzuhalten. Die Unterrichtung ist auch, wie im Muster vorgesehen, im Rahmen Allgemeiner Geschäftsbedingungen möglich1. Wird ein Score-Wert vor Vertragsschluss berechnet, müssen die AGB dem Käufer allerdings auch vorher zur Kenntnis gebracht werden.
20
Dem Wortlaut nach gilt § 28b BDSG bei der Berechnung des Score-Werts durch eine Auskunftei auf Verkäuferseite erst ab Kenntnisnahme des von der Auskunftei übermittelten Werts. § 28b BDSG ist aber auch schon bei der Datenverwendung zur Anfrage der Bonitätsauskunft einzuhalten. Diese richtet sich zwar im Grunde nach § 28 Abs.1 Satz 1 Nr. 2 BDSG. Ist aber bereits bei der Anfrage ersichtlich, dass die Voraussetzungen des § 28b BDSG für die Erhebung bzw. Verwendung des angefragten Score-Werts nicht erfüllt sind, kann auch an der Verwendung personenbezogener Daten für die Anfrage eines solchen Werts kein berechtigtes Interesse bestehen.
21
Die Tätigkeit der Auskunftei richtet sich maßgeblich nach § 29 BDSG. Bei der Übermittlung von Forderungsdaten durch den Verkäufer an die Auskunftei ist § 28a BDSG zu beachten2.
V. Erläuterungen zu Ziffer 5 22
E 5. Der Verkäufer ist berechtigt, die Daten des Käufers an Dritte zu übermitteln, wenn und soweit dies zur Durchführung dieses Vertrags (z.B. für Versand, Rechnungsstellung oder Kundenbetreuung) erforderlich ist. Der Käufer ist auch damit einverstanden, dass der Verkäufer diese Daten – im Rahmen des gesetzlich Zulässigen – zum Zwecke der Forderungsdurchsetzung an Dritte (z.B. Inkasso-Unternehmen) weiterleitet.
23
Ziffer 5 spricht klarstellend mögliche Datenübermittlungen an Dritte an. Die Übermittlung personenbezogener Daten des Käufers an Dritte kann gem. § 28 1 Simitis/Ehmann, § 28b BDSG Rz. 75. 2 S. hierzu auch die Erläuterungen zu dem Muster eines Auskunfteivertrags in Teil 3 I.
956
|
Nowak/Zieger
Erläuterungen
Rz. 27 Teil 6 II
Abs. 1 Satz 1 Nr. 1 BDSG gerechtfertigt sein, soweit dies zur Begründung, Durchführung oder Beendigung des Vertrags erforderlich ist. Dies kommt insbesondere für die Übermittlung von Käuferdaten an Vertragspartner des Verkäufers in Betracht, deren Dienstleistungen er zur Erfüllung des Kaufvertrags benötigt (z.B. Paketdienstleister im Rahmen des Versandhandels). Darüber hinausgehend kann eine Übermittlung insbesondere gem. § 28 Abs. 1 Satz 1 Nr. 2 BDSG zur Wahrung berechtigter Interessen des Verkäufers zulässig sein. Erforderlich ist, dass keine Anhaltspunkte bestehen, dass schutzwürdige Interessen des Käufers am Ausschluss der Übermittlung überwiegen. Die Zulässigkeit einer Übermittlung der Käuferdaten an Dritte muss aber letztlich jeweils im Einzelfall bewertet werden.
VI. Erläuterungen zu Ziffer 6 E 6. Der Verkäufer wird dem Käufer unter den gesetzlichen Voraussetzungen auf Verlangen unentgeltlich Auskunft über die den Käufer betreffenden gespeicherten personenbezogenen Daten erteilen. Der Käufer hat unter den gesetzlichen Voraussetzungen das Recht, die Löschung, Korrektur oder Sperrung seiner Daten zu verlangen.
24
Ziffer 6 verweist klarstellend auf die Auskunfts-, Korrektur-, Lösch- und Sperransprüche des Betroffenen in §§ 34 und 35 BDSG. Diese sollen dem Betroffenen die Durchsetzung seines Rechts auf informationelle Selbstbestimmung ermöglichen. Es ist dringend anzuraten, datenschutzbezogene Anfragen und Auskunftsbegehren der Betroffenen ernst zu nehmen und zeitnah zu beantworten. Dies insbesondere, weil sich der Betroffene andernfalls ggf. zur Durchsetzung seiner Rechte an die zuständige Datenschutzaufsichtsbehörde wendet. Dies kann zu behördlichen Prüfungen, Bußgeld- oder Strafverfahren führen. Eine Verletzung der genannten Betroffenenrechte kann nämlich ggf. als Ordnungswidrigkeit oder auch Straftat geahndet werden (vgl. z.B. § 42 Abs. 1 Nr. 8a bis 9 BDSG).
25
VII. Erläuterungen zu Ziffer 7 E 7. Der Käufer kann einer etwaigen Verwendung seiner personenbezogenen Daten zu Werbezwecken jederzeit durch eine formlose Mitteilung gegenüber dem Verkäufer widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. Nach Erhalt des Widerspruchs wird der Verkäufer die betroffenen Daten nicht mehr zu Werbezwecken verwenden.
26
Der Betroffene kann – auch soweit seine Einwilligung nicht erforderlich ist (siehe hierzu Rz. 11 und 12) – der Verarbeitung oder Nutzung seiner personenbezogenen Daten zu Werbezwecken jederzeit widersprechen. Infolge dessen wird die weitere Verarbeitung bzw. Nutzung seiner Daten zu diesem Zweck für die Zukunft unzulässig. Eine Verpflichtung der verantwortlichen Stelle zur Unterrichtung des Betroffenen über das Widerspruchsrecht enthalten die Vor-
27
Nowak/Zieger
|
957
Teil 6 II Rz. 28
Datenschutzklausel Kaufvertrag
schriften des § 28 Abs. 4 Satz 2 BDSG sowie des § 7 Abs. 3 Nr. 4 UWG (vgl. hierzu schon Rz. 11 und 12). Diesen Informationspflichten tragen die Ziffern 7 und 8 Rechnung.
VIII. Erläuterungen zu Ziffer 8 28
E 8. Verantwortliche Stelle für sämtliche datenschutzbezogenen Fragen sowie für die Ausübung der unter Ziffern 6 und 7 beschriebenen Rechte ist: [Name, Rechtsform, Anschrift und weitere Kontaktdaten des Unternehmens]
29
Ziffer 8 dient im Wesentlichen der Erfüllung der Informationspflichten gem. §§ 4 Abs. 3 Satz 1 Nr. 1 und 28 Abs. 4 Satz 2 BDSG sowie § 7 Abs. 3 Nr. 4 UWG. Hiernach ist der Betroffene über die Identität der datenschutzrechtlich verantwortlichen Stelle zu unterrichten. Dies soll dem Betroffenen die effektive Wahrnehmung seiner Rechte (vgl. insbesondere auch Rz. 25 und 27) ermöglichen. Hier dürfen mit Blick auf § 7 Abs. 3 Nr. 4 UWG keine Kontaktdaten angegeben werden, bei denen dem Käufer für die Übermittlung des Widerspruchs gegen die Verwendung seiner Daten zu Werbezwecken Kosten entstehen, die die Übermittlungskosten nach den Basistarifen (z.B. normale Telefongebühr) übersteigen (z.B. Mehrwertnummern).
958
|
Nowak/Zieger
Teil 7 Datenschutzerklärungen und Einwilligungen I. Internet Privacy Policy* Literaturverzeichnis Alich/Voigt, Mitteilsame Browser, CR 2012, 344; Bilenko/Richardson/Tsai, Targeted, Not Tracked: Client-side Solutions for Privacy-Friendly Behavioral Advertising, veröffentlicht im Rahmen des 11th Privacy Enhancing Technologies Symposium, abrufbar unter http://petsymposium.org/2011/papers/hotpets11-final3Bilenko.pdf (Stand 02/2013); Freund/Schnabel: Bedeutet IPv6 das Ende der Anonymität im Internet?, MMR 2011, 495; Heidrich, Anm. zu OLG München v. 27.9.2012 – 29 U 1682/12, MMR 2013, 39; Heidrich/Forgó/Feldmann, Heise Online-Recht, Loseblattwerk, Stand 3. Ergänzungslieferung 2011; Hoeren, Google Analytics – datenschutzrechtlich unbedenklich?, ZD 2011, 3; Köhntopp/Köhntopp, Datenspuren im Internet, CR 2000, 248; Lerch/Krause/ Hotho/Roßnagel/Stumme: Social Bookmarking-Systeme, MMR 2010, 454; v. Lewinski, Privacy Policies, DuD 2002, 395; Maunz/Dürig, Grundgesetz, Loseblattwerk, Stand 66. Ergänzungslieferung 2012; Menke/Witte, Aktuelle Rechtsprobleme beim Email-Marketing, K&R 2013, 25; Meyerdierks, Sind IP-Adressen personenbezogene Daten?, MMR 2009, 8; Moos, Unmittelbare Anwendbarkeit der Cookie-Richtlinie, K&R 2012, 635; Plath, BDSG, 2013; Roßnagel, Konflikte zwischen Informationsfreiheit und Datenschutz, MMR 2007, 16; Schröder, Datenschutzrechtliche Fragen beim Einsatz von Flash-Cookies, ZD 2011, 59; Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2011; Spindler/Schuster, Recht der elektronischen Medien, 2. Aufl. 2011; Taeger/Gabel, Kommentar zum BDSG, 2010; Wegener/Heidrich, Neuer Standard – Neue Herausforderungen: IPv6 und Datenschutz, CR 2011, 479; Wintermeier, Rechtskonforme Erstellung einer Datenschutzerklärung, ZD 2013, 21; Woitke, Web-Bugs, MMR 2003, 310.
A. Einleitung I. Grundlagen der Informationspflicht bei Internet-Angeboten Personenbezogene Daten stehen im Spannungsfeld zweier grundrechtlicher Schutzbereiche: Das Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG1 schreibt einen möglichst sparsamen Umgang mit den Daten vor. Andererseits wird durch das Gebot der Datensparsamkeit gem. § 3a BDSG die aus Art. 5 Abs. 1 GG hergeleitete Informationsfreiheit beschränkt2. Das Recht auf informationelle Selbstbestimmung schreibt dabei grundsätzlich vor, dass der Betroffene erst über die beabsichtigte Datenerhebung informiert wird, um dann entscheiden zu können, was mit seinen Daten passiert.
1
Dieses Spannungsfeld ist bei einer Datennutzung und -verarbeitung im Internet besonders schwierig aufzulösen: Jede Interaktion hängt dort von einem
2
* Der Autor dieses Kapitels dankt Herrn Rechtsreferendar Hannes Meyle für die wertvolle Mitarbeit bei der Erstellung dieses Kapitels. 1 Dieses Recht wird auch als Grundrecht auf Datenschutz bezeichnet und gibt dem Betroffenen das Recht, selbst über Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen, s. Maunz/Dürig/Fabio, Art. 2 Rz. 173. 2 Roßnagel, MMR 2007, 16 f.
Jansen
|
959
Teil 7 I
Rz. 2
Internet Privacy Policy
möglichst unbeschränkten Datenfluss ab. Weil aber Daten über das Internet prinzipiell allzugänglich sind und theoretisch unbeschränkt gespeichert werden können, ist das Allgemeine Persönlichkeitsrecht in besonderer Weise gefährdet. Online angebotene Dienstleistungen und damit in der Regel1 alle Websites fallen unter den Begriff der Telemedien i.S.d. § 1 Abs. 1 Satz 1 TMG2. Für Daten, die im Zusammenhang mit der Nutzung einer Website erfasst werden, sind daher vor allem die Spezialregelungen des TMG zu beachten3. Daten, die nicht unmittelbar mit der Nutzung des Dienstes zusammenhängen, sondern nur mittels des Dienstes ausgetauscht werden (z.B. bei Online-Shops: Lieferadresse, Kreditkartendaten des Käufers), unterliegen dem allgemeinen BDSG4. Genauso wie im allgemeinen Datenschutzrecht5 gilt gem. § 12 Abs. 1 TMG für Telemedien: Der Diensteanbieter darf personenbezogene Daten nur dann erheben und verwenden, soweit dies gesetzlich erlaubt ist oder der Nutzer eingewilligt hat. Eine Einwilligung kann allerdings nicht im Rahmen einer Internet Privacy Policy erteilt werden, wenn diese nur zum Abruf bereitsteht. Internet Privacy Policies dienen in der Regel der Erfüllung von Informationspflichten und sollen dem Nutzer verdeutlichen, welche Arten von Daten für welchen Zweck erhoben werden und welche Rechte er hat. Daher bestimmt § 13 Abs. 1 Satz 1 TMG, dass der Nutzer „zu Beginn des Nutzungsvorgangs […] in allgemein verständlicher Form zu unterrichten“ ist. Um verständlich im Sinne dieser Vorschrift zu sein, muss die Unterrichtung in deutscher Sprache abgefasst sein und der Inhalt auch vom durchschnittlichen Nutzer, d.h. auch vom technischen und juristischen Laien, erfasst werden können6. Im Gegensatz zu einer datenschutzrechtlichen Einwilligung muss die Unterrichtung im Rahmen einer Privacy Policy nicht vor dem Nutzungsvorgang erfolgen. Der Nutzer muss aber während des Nutzungsvorgangs die Rechtmäßigkeit der Datenverarbeitung überprüfen können7. Nach § 13 Abs. 1 Satz 3 TMG muss der Inhalt dieser Unterrichtung außerdem „für den Nutzer jederzeit abrufbar sein.“ Diesen Anforderungen wird bspw. ein gut sichtbarer Hyperlink auf der Startseite gerecht, welcher auf eine HTML-Seite mit der Privacy Policy verweist8. Der Link kann auch am unteren Ende der Seite platziert werden, da Nutzer es regelmäßig gewohnt sind, nach unten zu scrollen. Es kann mittlerweile sogar von einer Erwartungshaltung ausgegangen werden, dass sich derartige Links an dieser Stelle befinden9. 1 Wichtige Ausnahmen sind gem. § 11 Abs. 1 TMG die Bereitstellung von Diensten „im Rahmen eines Dienst- oder Arbeitsverhältnisses zu ausschließlich beruflichen oder dienstlichen Zwecken“ (Nr. 1) sowie die Bereitstellung von Diensten innerhalb einer Organisation „ausschließlich zur Steuerung von Arbeits- oder Geschäftsprozessen“ (Nr. 2). 2 Spindler/Schuster/Holznagel/Ricke, § 1 TMG Rz. 10 mit Beispielen und Abgrenzungen. 3 Plath/Hullen/Roggenkamp, TMG Rz. 2. 4 Plath/Hullen/Roggenkamp, § 11 TMG Rz. 12 nennt dies die Inhaltsebene, im Gegensatz zur vorgenannten Interaktionsebene. 5 Sog. Verbot mit Erlaubnisvorbehalt, s. z.B. Taeger/Gabel/Moos, § 12 TMG Rz. 1 ff. 6 Plath/Hullen/Roggenkamp, § 13 TMG Rz. 9. 7 Spindler/Schuster/Nink, § 13 TMG Rz 3. 8 V. Lewinski, DuD 2002, 395 (398). 9 Arning/Haag, Heise Online-Recht, Kap. C-II-2 Rz. 40.
960
|
Jansen
Internet Privacy Policy
Rz. 4 Teil 7 I
II. Einwilligungserklärungen Für jede Datenverwendung, die über die Regelungen der Internet Privacy Policy und die gesetzlichen Datenschutzbestimmungen hinausgeht, muss dagegen eine gesonderte Einwilligung nach den Anforderungen des § 13 Abs. 2 TMG1 erteilt werden: Sie ist nur dann wirksam, wenn der Anbieter sicherstellt, dass erstens der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, zweitens die Einwilligung protokolliert wird, drittens der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und viertens der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
3
Um die bewusste Einwilligung sicherzustellen, empfiehlt es sich, eine Opt-in-Lösung so auszugestalten, dass der Nutzer den Inhalt der Einwilligung auch wahrnimmt und z.B. unten auf der Seite eine Checkbox anklicken muss. Wie die zweite Voraussetzung, die Protokollierung, auszusehen hat, ergibt sich nicht aus dem Gesetz. Die Art der Protokollierung kann aber von Bedeutung sein, wenn der Betroffene behauptet, er habe die Einwilligung nicht selbst erteilt. Grundsätzlich muss nämlich der Diensteanbieter als Datennutzer beweisen, dass die Einwilligung nicht von einem unbekannten Dritten erklärt wurde2. Dieser Nachweis kann am besten mit Hilfe des sog. Double-Opt-in-Verfahrens erbracht werden: Nachdem der Betroffene den Button zur Datenschutzerklärung angeklickt hat, wird ihm mittels E-Mail ein Bestätigungs-Link zugeschickt. Erst wenn der Betroffene diesen Link aktiviert hat, ist der Prozess der Einwilligungserteilung abgeschlossen3. Bisher war dieses Verfahren als rechtmäßig anerkannt4; ein aktuelles Urteil des OLG München stellt die bisherige Rechtslage allerdings in Frage: Nach Auffassung des Gerichts ist die erste Mail mit dem Bestätigungslink für die Einwilligungserteilung als unzulässige Werbung und demnach als unzumutbare Belästigung zu qualifizieren5. Da dies einen Verstoß gegen wettbewerbsrechtliche Vorschriften darstellt, ist nach dieser Ansicht ein rechtskonformer Einsatz des Double-Opt-in-Verfahrens nicht mehr möglich6. Die Ansicht des Gerichts ist zwar abzulehnen und stößt in der Literatur auf vehemente Kritik7, jedoch herrscht nun bezüglich der Einwilligungserteilung erhebliche Rechtsunsicherheit. Eine höchstrichterliche Klärung der Frage ist zum gegenwärtigen Zeitpunkt nicht absehbar, weshalb die Entwicklung und etwaige zukünftige Gerichtsentscheidungen unbedingt verfolgt werden sollten. Eine weitere Voraussetzung für eine wirksame Einwilligungserteilung gem. § 13 Abs. 2 TMG ist die jederzeitige Abrufbarkeit der Einwilligung. Dies bedeutet, dass der Text der Einwilligung im konkreten Einzelfall bereitgehalten werden muss, entweder online abrufbar oder auf Anfrage8. Schließlich muss auch eine Widerrufsmöglichkeit technisch-organisatorisch vorgesehen sein und darf auch nicht auf eine bestimmte Form beschränkt werden9.
4
1 2 3 4 5 6 7 8 9
S. hierzu die Muster in Teil 7 III. OLG Bamberg v. 12.5.2005 – 1 U 143/04, MMR 2006, 481 (482). Plath/Hullen/Roggenkamp, § 13 TMG Rz. 28. Heidrich, MMR 2013, 39 (40). OLG München v. 27.9.2012 – 29 U 1682/12, Menke/Witte, K&R 2013, 25 (28). Menke/Witte, K&R 2013, 25 (28). Plath/Hullen/Roggenkamp, § 13 TMG Rz. 26. Plath/Hullen/Roggenkamp, § 13 TMG Rz. 27.
Jansen
|
961
Teil 7 I
Rz. 5
Internet Privacy Policy
III. Europarechtliche und internationale Aspekte 5
BDSG und TMG beruhen zu weiten Teilen auf europäischen Vorgaben, weshalb bei der Auslegung u.a. das Europarecht zu berücksichtigen ist1. Dabei sollte man neben dem geltenden Recht auch aktuelle Entwicklungen im Blick behalten. Zurzeit verfolgt nämlich die Kommission das Ziel, durch eine neue Datenschutz-Grundverordnung das Datenschutzrecht in Europa zu modernisieren2.
6
Da das Internet darauf basiert, dass Informationen – und damit auch personenbezogene Daten im Sinne des Datenschutzrechts – ohne Rücksicht auf die Ländergrenzen übertragen werden können, ist diese Europäisierung des Datenschutzrechts auch zu begrüßen. Wann grenzüberschreitende Sachverhalte überhaupt vom deutschen Datenschutzrecht erfasst werden, hängt gem. § 1 Abs. 5 BDSG davon ab, ob sich der Sitz des Diensteanbieters in einem Staat innerhalb oder außerhalb der EU bzw. des EWR befindet: Bei einem Sitz in einem EU-/ EWR-Staat gilt grundsätzlich nur das Recht dieses Sitzstaates. Wenn zusätzlich eine Niederlassung in Deutschland existiert3, gilt darüber hinaus auch das deutsche Datenschutzrecht.
IV. Verstöße und Sanktionen 7
Die Akzeptanz der Datenschutzvorschriften im Internet ist noch sehr gering4. Dennoch sollten diese Vorschriften ernst genommen werden, da Verstöße für die Betreiber der Online-Angebote verschiedene negative Konsequenzen haben können. Zwar ist eine Durchsetzung wettbewerbsrechtlicher Ansprüche durch konkurrierende Unternehmen in solchen Fällen grundsätzlich nicht möglich5. Den Betroffenen eines Verstoßes stehen aber bei materiellen und ausnahmsweise bei immateriellen Schäden deliktische Schadensersatzansprüche zu6. Am wahrscheinlichsten ist jedoch die Verhängung eines Bußgeldes oder die Einleitung eines Strafverfahrens. Bisher war dies nur bei wiederholten und schwerwiegenden Verstößen zu befürchten, da die Datenschutzbehörden sich eher in einer beratenden und aufklärenden Rolle sahen. Sie wollen aber in Zukunft die Bußgeldpraxis professionalisieren, woraus folgt, dass in Zukunft der verstärkte 1 Taeger/Gabel/Taeger/Schmidt, Einf. BDSG Rz. 34 ff. 2 Eine Umsetzung ist jedoch nicht vor Ende der aktuellen Legislaturperiode zu erwarten. Der aktuelle Entwurf KOM 2012/11 v. 25.1.2012 ist abrufbar unter http://eur-lex.euro pa.eu/LexUriServ/LexUriServ. do?uri=COM:2012:0011:FIN:DE:PDF. 3 Gem. EuGH v. 25.7.1991 – C-221/89 – Factortame, Slg. I-3905, Rz. 20, umfasst der Begriff der Niederlassung die tatsächliche Ausübung einer wirtschaftlichen Tätigkeit mittels einer festen Einrichtung auf unbestimmte Zeit. 4 Eine Studie des Marktforschungsunternehmens XAMIT kommt zu dem Ergebnis, dass im Jahr 2012 91 % der untersuchten Websites nicht konform mit den deutschen Datenschutzvorschriften betrieben wurden (Studie abrufbar unter http://www.xamit-leistun gen.de/downloads/Files.php?f=XamitDatenschutzbarometer2012.pdf (Stand 02/2013). 5 Die Möglichkeit der Durchsetzung durch Konkurrenten hängt davon ab, ob die jeweilige datenschutzrechtliche Vorschrift als Marktverhaltensregel i.S.d. § 4 Nr. 11 UWG eingestuft werden kann. Dies ist umstritten und einzelfallabhängig, s. Hullen, Anm. zu LG Berlin v. 14.3.2011 – 91 O 25/11, MMR 2011, 387 (388). 6 Jeweils i.V.m. § 823 Abs. 2 BGB, s. Taeger/Gabel/Mackenthum, § 43 BDSG Rz. 7; Plath/Hullen/Roggenkamp, § 15a TMG Rz. 9.
962
|
Jansen
Rz. 4 Teil 7 I
Vertragstext
Gebrauch von Bußgeldern zu präventiven und sanktionierenden Zwecken zu erwarten ist1. Auch der Gesichtspunkt, dass durch eine rechtskonforme und verständliche Erklärung über die Datenerhebung und -verwendung das Vertrauen des Nutzers gegenüber dem Diensteanbieter gestärkt wird, unterstreicht die Wichtigkeit, eine Privacy Policy aufzustellen und auch einzuhalten2.
B. Muster E Internet Privacy Policy
4
[Name und Adresse des Diensteanbieters] (Im Folgenden: „Wir“) sind als Betreiber der Website [Name der Website] die verantwortliche Stelle für die personenbezogenen Daten der Nutzer (Im Folgenden: „Sie“) der Website im Sinne des Bundesdatenschutzgesetzes („BDSG“). Wir schützen Ihre Privatsphäre und Ihre privaten Daten. Wir erheben, verarbeiten und nutzen Ihre personenbezogenen Daten in Übereinstimmung mit dem Inhalt dieser Datenschutzbestimmungen sowie den anwendbaren deutschen Datenschutzgesetzen, insbesondere dem BDSG sowie dem Telemediengesetz („TMG“). In diesen Datenschutzbestimmungen wird geregelt, welche personenbezogenen Daten wir über Sie erheben, verarbeiten und nutzen. Wir bitten Sie daher, die nachfolgenden Ausführungen sorgfältig durchzulesen. 1. Erheben personenbezogener Daten 1.1 Personenbezogene Daten im Sinne dieser Datenschutzbestimmungen sind Einzelangaben über Ihre persönlichen oder sachlichen Verhältnisse. Hierzu zählen insbesondere [Ihr Name] Ihre E-Mail-Adresse [und ggf. Ihre Adresse und Ihre Telefonnummer sowie Ihre Kreditkarten- und Kontodaten und Ihre Umsatzsteuerangaben, wenn Sie ein registrierter Händler sind]. 1.2 Zu den personenbezogenen Daten zählen auch Informationen über Ihre Nutzung unserer Website. In diesem Zusammenhang erheben wir personenbezogene Daten wie folgt von Ihnen: Informationen über Ihre Besuche unserer Website wie bspw. Umfang des Datentransfers, den Ort, von dem aus Sie Daten von unserer Website abrufen sowie andere Verbindungsdaten und Quellen, die Sie abrufen. Dies geschieht in der Regel durch die Verwendung von Logfiles und Cookies. Nähere Information zu Logfiles und Cookies erhalten Sie weiter unten. 2. Verwendungszweck Wir verwenden Ihre personenbezogenen Daten zu folgenden Zwecken: 2.1 Um die von Ihnen gewünschten Dienste [ggf. näher spezifizieren, z.B. Warenkorb-Funktionen] zu erbringen; 1 Plath/Becker, § 43 BDSG Rz. 1 ff.; Taeger/Gabel/Moos, § 16 TMG Rz. 18 ff. 2 Wintermeier, ZD 2013, 21 (22).
Jansen
|
963
Teil 7 I
Rz. 4
Internet Privacy Policy
2.2 Um sicherzustellen, dass unsere Website in möglichst effektiver und interessanter Weise Ihnen gegenüber präsentiert wird [ggf. näher spezifizieren, z.B. Speicherung von Anzeigepräferenzen]; 2.3 Um unseren Verpflichtungen aus etwaigen zwischen Ihnen und uns geschlossenen Verträgen nachzukommen [ggf. näher spezifizieren oder löschen]; 2.4 Um Ihnen die Teilnahme an interaktiven Angeboten zu ermöglichen, sofern Sie dies wünschen; 2.5 Um Sie über Änderungen unserer Leistungen zu informieren. 3. Informationen über Ihren Computer, Cookies und Targeting 3.1 Bei jedem Zugriff auf unsere Seite erheben wir folgende Informationen über Ihren Computer: Die IP-Adresse Ihres Computers, die Anfrage Ihres Browsers sowie die Zeit dieser Anfrage. Außerdem werden der Status und die übertragene Datenmenge im Rahmen dieser Anfrage erfasst. [Wir erheben auch Produkt- und Versionsinformationen über den verwendeten Browser und das Betriebssystem ihres Computers. Wir erfassen weiter, von welcher Website aus der Zugriff auf unsere Seite erfolgte.] Die IPAdresse Ihres Computers wird dabei nur für die Zeit Ihrer Nutzung der Website gespeichert und im Anschluss daran unverzüglich gelöscht oder durch Kürzung anonymisiert. Die übrigen Daten werden für eine begrenzte Zeitdauer gespeichert. Wir verwenden diese Daten für den Betrieb unserer Website, insbesondere um Fehler der Website festzustellen und zu beseitigen, um die Auslastung der Website festzustellen und um Anpassungen oder Verbesserungen vorzunehmen. 3.2 Unter Umständen erheben wir außerdem Informationen über Ihre Nutzung unserer Website durch die Verwendung sog. Browser-Cookies. Dies sind kleine Textdateien, die auf Ihrem Datenträger gespeichert werden und die bestimmte Einstellungen und Daten zum Austausch mit unserem System über Ihren Browser speichern. Ein Cookie enthält in der Regel den Namen der Domain, von der die Cookie-Daten gesendet wurden sowie Informationen über das Alter des Cookies und ein alphanumerisches Identifizierungszeichen. Cookies ermöglichen unseren Systemen, das Gerät des Nutzers zu erkennen und eventuelle Voreinstellungen sofort verfügbar zu machen. Sobald ein Nutzer auf die Plattform zugreift, wird ein Cookie auf die Festplatte des Computers des jeweiligen Nutzers übermittelt. Cookies helfen uns, unsere Website zu verbessern und Ihnen einen besseren und noch mehr auf Sie zugeschnittenen Service anbieten zu können. Sie ermöglichen uns, Ihren Computer wieder zu erkennen, wenn Sie auf unsere Website zurückkehren und dadurch: – Informationen über Ihre bevorzugten Aktivitäten auf der Website zu speichern und so unsere Website an Ihren individuellen Interessen auszurichten. Dies beinhaltet bspw. Werbung, die Ihren persönlichen Interessen entspricht; – Die Geschwindigkeit der Abwicklung Ihrer Anfragen zu beschleunigen; 964
|
Jansen
Vertragstext
Rz. 4 Teil 7 I
3.3 In den von uns verwendeten Cookies werden lediglich die oben erläuterten Daten über Ihre Nutzung der Website gespeichert. Dies erfolgt nicht durch eine Zuordnung zu Ihnen persönlich, sondern durch Zuweisung einer Identifikationsnummer zu dem Cookie („Cookie-ID“). Eine Zusammenführung der Cookie-ID mit Ihrem Namen, Ihrer IP-Adresse oder mit ähnlichen Daten, die eine Zuordnung des Cookies zu Ihnen ermöglichen würden, erfolgt nicht. Wie Sie den Einsatz von Browser-Cookies unterbinden können, erfahren Sie unter Ziffer 3.6. 3.4 Unsere Website verwendet sog. Tracking-Technologien. Wir nutzen diese Technologien, um für Sie das Internetangebot interessanter zu gestalten. Diese Technik ermöglicht es, Internetnutzer, die sich bereits für unsere Website interessiert haben, auf den Websites unserer Partner mit Werbung anzusprechen. Die Einblendung dieser Werbemittel auf den Seiten unserer Partner erfolgt auf Basis einer Cookie-Technologie und einer Analyse des vorherigen Nutzungsverhaltens. Diese Analyse erfolgt unter einem Pseudonym und es werden keine Nutzungsprofile mit Ihren personenbezogenen Daten zusammengeführt. Falls Sie der Erstellung von Nutzungsprofilen nicht zustimmen, können Sie dem durch Nachricht an uns widersprechen. Es wird dann ein spezielles Opt-out-Cookie auf Ihrem Computer abgelegt, das dauerhaft gespeichert werden muss. Falls Sie dieses Cookie löschen oder es durch Browser-Einstellungen automatisch gelöscht wird, müssen Sie bei einem erneuten Besuch unserer Seite dieses Cookie erneut installieren. 3.5 Wir arbeiten mit Geschäftspartnern [ggf. näher spezifizieren] zusammen, die uns dabei unterstützen, das Internetangebot und die Website für Sie interessanter zu gestalten. Daher werden bei einem Besuch der Website auch Cookies von diesen Partnerunternehmen auf Ihrer Festplatte gespeichert. Hierbei handelt es sich um Cookies, die sich automatisch nach der vorgegebenen Zeit löschen. Auch durch die Cookies unserer Partnerunternehmen werden lediglich unter einer Cookie-ID Daten erhoben, die es unseren Werbepartnern ermöglichen, Sie mit Werbung anzusprechen, die Sie auch tatsächlich interessieren könnte. Wie Sie den Einsatz solcher Cookies unterbinden können, erfahren Sie unter Ziffer 3.6. 3.6 Sollten Sie eine Verwendung von Browser-Cookies nicht wünschen, können Sie Ihren Browser so einstellen, dass eine Speicherung von Cookies nicht akzeptiert wird. Bitte beachten Sie, dass Sie unsere Website in diesem Fall ggf. nur eingeschränkt oder gar nicht nutzen können. Wenn Sie nur unsere eigenen Cookies, nicht aber die Cookies unserer Dienstleister und Partner akzeptieren wollen, können Sie die Einstellung in Ihrem Browser „Cookies von Drittanbietern blockieren“ wählen. 4. Datensicherheit Alle Informationen, die Sie an uns übermitteln, werden auf Servern innerhalb der Europäischen Union gespeichert. Leider ist die Übertragung von Informationen über das Internet nicht vollständig sicher, weshalb wir die Sicherheit der über das Internet an unserer Website übermittelten Daten nicht garantieJansen
|
965
Teil 7 I
Rz. 8
Internet Privacy Policy
ren können. Wir sichern unsere Website und sonstigen Systeme jedoch durch technische und organisatorische Maßnahmen gegen Verlust, Zerstörung, Zugriff, Veränderung oder Verbreitung Ihrer Daten durch unbefugte Personen ab. Insbesondere werden Ihre persönlichen Daten bei uns verschlüsselt übertragen. Wir bedienen uns dabei des Codierungssystems SSL (Secure Socket Layer) [bzw. TLS (Transport Layer Security)]. 5. Keine Weitergabe Ihrer personenbezogenen Daten Wir geben Ihre personenbezogenen Daten nicht an Dritte weiter, es sei denn, Sie haben in die Datenweitergabe eingewilligt oder wir sind aufgrund gesetzlicher Bestimmungen und/oder behördlicher oder gerichtlicher Anordnungen zu einer Datenweitergabe berechtigt oder verpflichtet. Dabei kann es sich insbesondere um die Auskunftserteilung für Zwecke der Strafverfolgung, zur Gefahrenabwehr oder zur Durchsetzung geistiger Eigentumsrechte handeln. 6. Datenschutz und Websites Dritter Die Website kann Hyperlinks zu und von Websites Dritter enthalten. Wenn Sie einem Hyperlink zu einer dieser Websites folgen, beachten Sie bitte, dass wir keine Verantwortung oder Gewähr für fremde Inhalte oder Datenschutzbedingungen übernehmen können. Bitte vergewissern Sie sich über die jeweils geltenden Datenschutzbedingungen, bevor Sie personenbezogene Daten an diese Websites übermitteln. 7. Änderungen dieser Datenschutzbestimmungen Wir behalten uns das Recht vor, diese Datenschutzbestimmungen jederzeit mit Wirkung für die Zukunft zu ändern. Eine jeweils aktuelle Version ist auf der Website verfügbar. Bitte suchen Sie die Website regelmäßig auf und informieren Sie sich über die geltenden Datenschutzbestimmungen. 8. Ihre Rechte und Kontakt Sie können Ihre personenbezogenen Daten jederzeit kostenlos einsehen und ggf. deren Berichtigung und/oder Löschung und/oder Sperrung verlangen. Zu diesem Zweck und/oder um nähere Informationen hierüber zu erhalten, wenden Sie sich an uns über [Support-E-Mail-Adresse]. Sollten Sie Fragen, Kommentare oder Anfragen bezüglich der Erhebung, Verarbeitung und Nutzung Ihrer personenbezogenen Daten durch uns haben, wenden Sie sich bitte ebenfalls an uns unter den angegebenen Kontaktdaten.
C. Erläuterungen I. Erläuterungen zur Einleitung 8
E Einleitung [Name und Adresse des Diensteanbieters] (Im Folgenden: „Wir“) sind als Betreiber der Website [Name der Website] die verantwortliche Stelle für die per966
|
Jansen
Erläuterungen
Rz. 12 Teil 7 I
sonenbezogenen Daten der Nutzer (Im Folgenden: „Sie“) der Website im Sinne des Bundesdatenschutzgesetzes („BDSG“). Wir schützen Ihre Privatsphäre und Ihre privaten Daten. Wir erheben, verarbeiten und nutzen Ihre personenbezogenen Daten in Übereinstimmung mit dem Inhalt dieser Datenschutzbestimmungen sowie den anwendbaren deutschen Datenschutzgesetzen, insbesondere dem BDSG sowie dem Telemediengesetz („TMG“). In diesen Datenschutzbestimmungen wird geregelt, welche personenbezogenen Daten wir über Sie erheben, verarbeiten und nutzen. Wir bitten Sie daher, die nachfolgenden Ausführungen sorgfältig durchzulesen. Aus §§ 5, 6 TMG folgen für den Anbieter von Telemediendiensten umfangreiche Informationspflichten. Die datenschutzrechtlichen Vorschriften schreiben zusätzlich vor, dass der Betroffene bei der Erhebung personenbezogener Daten von der verantwortlichen Stelle über deren Identität zu unterrichten ist (§ 4 Abs. 3 Satz 1 BDSG). Daher sollte zu Beginn der Privacy Policy die verantwortliche Stelle kurz mit Namen, Anschrift und Kontaktdaten genannt werden.
10
Die anwendbaren Datenschutzgesetze, auf die in der Einleitung Bezug genommen wird, sind §§ 28, 29 BDSG sowie die §§ 14, 15 TMG. Diese Erlaubnistatbestände berechtigen die verantwortliche Stelle in bestimmtem Umfang zur Erhebung personenbezogener Daten, ohne dass der Nutzer darin einwilligen muss. Welche der Vorschriften anwendbar ist, richtet sich nach der Art der erhobenen personenbezogenen Daten. Unterschieden wird zwischen sog. Bestands-, Nutzungs- und Inhaltsdaten. Bedeutung und Abgrenzung dieser Datenarten ist Gegenstand der Erläuterungen zu Ziffer 1.
11
II. Erläuterungen zu Ziffer 1 12
E 1. Erheben personenbezogener Daten 1.1 Personenbezogene Daten im Sinne dieser Datenschutzbestimmungen sind Einzelangaben über Ihre persönlichen oder sachlichen Verhältnisse. Hierzu zählen insbesondere [Ihr Name] Ihre E-Mail-Adresse [und ggf. Ihre Adresse und Ihre Telefonnummer sowie Ihre Kreditkarten- und Kontodaten und Ihre Umsatzsteuerangaben, wenn Sie ein registrierter Händler sind]. 1.2 Zu den personenbezogenen Daten zählen auch Informationen über Ihre Nutzung unserer Website. In diesem Zusammenhang erheben wir personenbezogene Daten wie folgt von Ihnen: Informationen über Ihre Besuche unserer Website wie bspw. Umfang des Datentransfers, den Ort, von dem aus Sie Daten von unserer Website abrufen sowie andere Verbindungsdaten und Quellen, die Sie abrufen. Dies geschieht in der Regel durch die Verwendung von Logfiles und Cookies. Nähere Information zu Logfiles und Cookies erhalten Sie weiter unten.
Jansen
|
967
Teil 7 I
Rz. 13
Internet Privacy Policy
1. Bestands- und Nutzungsdaten 13
Für alle personenbezogene Daten, die unmittelbar mit der Nutzung des Dienstes zusammenhängen, schreibt § 13 Abs. 1 TMG vor, dass der Nutzer zu Beginn des Nutzungsvorgangs „in allgemein verständlicher Form“ unterrichtet werden soll „über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten.“ Die Unterrichtung über Art und Umfang der Erhebung personenbezogener Daten in Ziffer 1.1 ist damit ein wichtiger Kernbestandteil der Internet Privacy Policy. In welchem Umfang die Datenerhebung zulässig ist, richtet sich für sog. Bestands- und Nutzungsdaten nach § 12 Abs. 1 i.V.m. den §§ 14, 15 TMG. Inhaltsdaten dürfen gem. §§ 28, 29 BDSG erhoben werden.
14
Bestandsdaten sind gem. § 14 Abs. 1 TMG Daten, die „für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind.“ Bspw. erfordern Verträge über die Nutzung von Verkaufsplattformen mit Angebotsgebühr oder Verträge über kostenpflichtige DownloadInhalte die Übermittlung bestimmter Daten1. Daher dürfen in solchen Fällen Daten wie Name und Zahlungsmodalitäten ohne gesonderte Einwilligung gespeichert werden2. Voraussetzung für eine rechtmäßige Erhebung ist aber die ordnungsgemäße Erfüllung der Informationspflichten aus § 13 Abs. 1 TMG. Dieser Erlaubnistatbestand gilt nicht, wenn der Online-Auftritt nur Mittel zur Kommunikation ist, wie bspw. bei Online-Shops. In diesen Fällen greift aber in der Regel der Rechtfertigungstatbestand des § 28 Abs. 1 Satz 1 Nr. 1 BDSG ohne wesentliche Unterschiede3. Die zweite im TMG besonders geregelte Form personenbezogener Daten sind die sog. Nutzungsdaten gem. § 15 TMG, die in Ziffer 1.2 nur erwähnt werden. Die zusätzlichen Regeln und der damit verbundene Erläuterungsbedarf sind der Grund für die gesonderte Behandlung in Ziffer 3. Inhaltsdaten sind Daten, die durch den Nutzer selbst erst generiert werden, etwa Nutzereinträge in sozialen Netzwerken oder Nutzerkommentare auf Webseiten4. Die Speicherung und Nutzung solcher Daten kann insbesondere gem. § 28 Abs. 1 Satz 1 Nr. 1 BDSG zulässig sein, wenn dies zur Vertragsdurchführung im Rahmen der Geschäftszwecke erforderlich ist. Regelmäßig wird dies zu bejahen sein, wenn bestimmte Funktionalitäten gerade durch die Speicherung und ggf. Veränderung dieser Daten ermöglicht werden, etwa Social Bookmarking in sozialen Netzwerken5.
15
Insgesamt ist wichtig, dass die Auflistung der zu erhebenden Daten auf das konkrete Online-Angebot angepasst wird, damit der Nutzer erkennt, welche Daten betroffen sind. Dies dient dem Recht auf informationelle Selbstbestimmung des Nutzers, der in die Position versetzt werden soll, die Verwendung seiner Daten durch den Diensteanbieter zu kontrollieren6. 1 2 3 4 5 6
Plath/Hullen/Roggenkamp, § 14 TMG Rz. 3. Taeger/Gabel/Zscherpe, § 14 TMG Rz. 16. Plath/Hullen/Roggenkamp, § 14 TMG Rz. 5. Lerch/Krause/Hotho/Roßnagel/Stumme, MMR 2010, 454 (456 f.). Lerch/Krause/Hotho/Roßnagel/Stumme, MMR 2010, 454 (457). Plath/Hullen/Roggenkamp, § 3 BDSG Rz. 62 ff.
968
|
Jansen
Erläuterungen
Rz. 17 Teil 7 I
2. Personenbezug, Anonymisierung und Pseudonymisierung Statische IP-Adressen sind einem bestimmten Anschluss dauerhaft zugeordnet1 und daher als personenbezogene Daten zu klassifizieren2. Die wenigsten Internetnutzer, in der Regel juristische Personen, haben statische IP-Adressen. Aufgrund der Begrenztheit der gegenwärtigen IPv4-Adressen werden normalen Internetnutzern üblicherweise IP-Adressen für jede Sitzung neu zugeteilt. Die Frage, ob diese sog. dynamischen IP-Adressen als personenbezogene Daten einzuordnen sind, ist umstritten und noch nicht höchstrichterlich geklärt3. Solange der Personenbezug nicht für alle IP-Adressen ausgeschlossen werden kann, sollten sie vorsichtshalber als personenbezogene Daten behandelt werden. Dies gilt erst recht für die Zukunft, da der neue Standard IPv6 (Internet Protocol Version 6) mittelfristig die bisherigen IPv4-Adressen verdrängen wird4. Zwar besteht bei IPv6 die Möglichkeit, über entsprechende Einstellungen die Privatsphäre zu schützen5, doch grundsätzlich wird man bei den IPv6-Adressen, die dauerhaft einem bestimmten Gerät zugewiesen sind, von personenbezogenen Daten ausgehen müssen6.
16
Im Gegensatz zu personenbezogenen Daten können anonymisierte Daten unbeschränkt gespeichert, verarbeitet oder weitergegeben werden. Eine Anonymisierung setzt gem. § 3 Abs. 6 BDSG voraus, dass „die Einzelangaben […] nicht mehr oder nur mit unverhältnismäßigem Aufwand […] einer bestimmten oder bestimmbaren Person zugeordnet werden können.“ Die Rückgängigmachung der Anonymisierung muss dabei nicht für jedermann, sondern für die verantwortliche Stelle unmöglich oder unverhältnismäßig sein7. Um dies zu erreichen, müssen die Daten entweder in anonymer Form erhoben oder im Nachhinein anonymisiert werden. Eine Anonymisierung wird dadurch erreicht, dass Identifikationsmerkmale mit Personenbezug gelöscht oder bestimmte Merkmale aggregiert werden8. Aggregation von Merkmalen heißt, dass exakte Angaben durch allgemeinere ersetzt und die Daten dann zusammengefasst werden. Z.B. kann eine Gruppenbildung anhand des Geburtsjahres anstelle des genauen Geburtsdatums oder anhand einer weiträumigen Gebietsangabe anstelle der Adressangabe erfolgen. Auch IP-Adressen – vorausgesetzt, man qualifiziert diese überhaupt als personenbezogen – können anonymisiert werden9. Jedenfalls aus-
17
1 Köhntopp/Köhntopp, CR 2000, 248. 2 Für die Region Europa können die Anschlussinhaber z.B. mithilfe der Adressdatenbank der RIPE NCC (http://ripe.net/) festgestellt werden. 3 Plath/Hullen/Roggenkamp, § 12 TMG Rz. 10 ff. Einen Überblick über die unterinstanzliche Rechtsprechung gibt Voigt, MMR 2009, 377 (378). 4 Offizielle Mitteilung des RIPE NCC vom 14.9.2012 https://www.ripe.net/internet-co ordination/news/announcements/ripe-ncc-begins-to-allocate-ipv4-address-space-fromthe-last-8 (Stand: 05/2013). 5 Zu den technischen Hintergründen und den Schutzmöglichkeiten s. Wegener/Heidrich, CR 2011, 479 ff. 6 Freund/Schnabel, MMR 2010, 495 (497); Wegener/Heidrich, CR 2011, 479 (484). 7 Simitis/Dammann, § 3 BDSG Rz. 200. 8 Simitis/Dammann, § 3 BDSG Rz. 206 f. 9 Vgl. Beschluss des Düsseldorfer Kreises vom 26./27. November 2009 in Stralsund, abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/ DuesseldorferKreis/Nov09Reichweitenmessung.pdf?_blob=publicationFile (Stand: 05/2013).
Jansen
|
969
Teil 7 I
Rz. 18
Internet Privacy Policy
reichend für eine Anonymisierung ist dabei die Streichung des letzten Oktetts, also der letzten drei Ziffern der IP-Adresse1. Bei der Übermittlung anonymisierter Datenbestände ist aber immer zu berücksichtigen, dass diese im Verhältnis zu anderen Datenbeständen Zusatzwissen enthalten könnten, die eine Wiederherstellung des Personenbezugs ermöglichen2. Da der Personenbezug und damit auch die Anonymität von Daten aus Sicht der datenverarbeitenden Stelle zu beurteilen ist3, können auf diese Weise anonymisierte Daten wieder zu personenbezogenen Daten werden („Re-Anonymisierung“). 18
Die Pseudonymisierung schließt zwar die Anwendbarkeit der datenschutzrechtlichen Bestimmungen nicht aus, kann aber in bestimmten Fällen den Umgang mit Daten erleichtern. Insbesondere sind pseudonymisierte Nutzungsprofile unter bestimmten Voraussetzungen zulässig, was Gegenstand der Ziffer 3.4 und der dazugehörigen Erläuterung ist. Pseudonymisierung ist gem. § 3 Abs. 6a BDSG „das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen mit dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“ Bei der Pseudonymisierung gibt es grundsätzlich zwei Verfahrensarten: Erstens die Erzeugung von Zufallswerten und deren Zuordnung zum Betroffenen mittels einer Referenzliste4 und zweitens die Erstellung von Pseudonymen durch Hash-Verfahren mit geheimen Parametern5. Für denjenigen, der die Zuordnungsregel bzw. die Parameter kennt, bleiben die Daten allerdings personenbezogen6. Im Ergebnis können Betreiber von Websites Daten also nur dann unbeschränkt und ohne Einwilligung für Marktforschung oder ähnliche Zwecke verwenden, wenn sie anonym erhoben oder anonymisiert wurden und zudem sichergestellt ist, dass sie nicht mit Hilfe anderer Datenbestände re-anonymisiert werden.
III. Erläuterungen zu Ziffer 2 19
E 2. Verwendungszweck Wir verwenden Ihre personenbezogenen Daten zu folgenden Zwecken: 2.1 Um die von Ihnen gewünschten Dienste [ggf. näher spezifizieren, z.B. Warenkorb-Funktionen] zu erbringen; 2.2 Um sicherzustellen, dass unsere Website in möglichst effektiver und interessanter Weise Ihnen gegenüber präsentiert wird [ggf. näher spezifizieren, z.B. Speicherung von Anzeigepräferenzen]; 2.3 Um unseren Verpflichtungen aus etwaigen zwischen Ihnen und uns geschlossenen Verträgen nachzukommen [ggf. näher spezifizieren oder löschen]; 1 2 3 4 5 6
Kaufmann, ZD-Aktuell, 02945. Simitis/Dammann, § 3 BDSG Rz. 211. Plath/Plath/Schreiber, § 3 BDSG Rz. 14. Simitis/Dammann, § 3 BDSG Rz. 221. Simitis/Dammann, § 3 BDSG Rz. 222. Plath/Plath/Schreiber, § 3 BDSG Rz. 62 ff.
970
|
Jansen
Erläuterungen
Rz. 21 Teil 7 I
2.4 Um Ihnen die Teilnahme an interaktiven Angeboten zu ermöglichen, sofern Sie dies wünschen; 2.5 Um Sie über Änderungen unserer Leistungen zu informieren.
1. Zweckbindungsgrundsatz Diese Ziffer gibt einen Überblick über die Zwecke der Datenverwendung und trägt damit dem wichtigen Zweckbindungsgrundsatz des § 12 Abs. 2 TMG bzw. § 4a BDSG Rechnung. Dieser Grundsatz ist ebenfalls ein Kernbestandteil der Internet Privacy Policy und besagt, dass Daten immer nur für den Zweck verwendet werden dürfen, für den sie erhoben wurden, was insbesondere eine Speicherung auf Vorrat verbietet1. Ohne eine solche Zweckbindung bestünde die Gefahr, dass Daten verschiedener datenerhebender Stellen ohne Einwilligung der Betroffenen zusammengeführt werden und so ein umfassendes Persönlichkeitsprofil erstellt wird. Das Recht des Betroffenen auf informationelle Selbstbestimmung kann auch dadurch beeinträchtigt werden, dass die Daten in einem anderen als dem Erhebungskontext verwendet werden, ohne dass der Betroffene davon Kenntnis oder darin eingewilligt hat. Der Betreiber der Website muss also den Verwendungszweck genau und verständlich formulieren und sich an diese Zweckbindung halten. Ohne Einwilligung des Betroffenen in eine Zweckänderung darf davon nur in Ausnahmefällen abgewichen werden. Dies können insbesondere Zwecke der Rechts- oder Strafverfolgung sein. Unter bestimmten Voraussetzungen dürfen dann Bestands- und Nutzungsdaten an die zuständigen Stellen weitergegeben werden (siehe Rz. 35). Außerdem können Abrechnungsdaten zur Erfüllung von Aufbewahrungspflichten gesperrt (§ 15 Abs. 4 Satz 2 TMG) oder personenbezogene Daten der Nutzer zum Zwecke der Rechtsverfolgung gespeichert werden (§ 15 Abs. 8 TMG). Im Bereich der Telemedien sind dies die einzigen Ausnahmen vom Zweckbindungsgrundsatz2.
20
2. Erläuterungen zu Ziffer 2.1–2.5 Die hier aufgeführten Zwecke sind aufgrund der Vielfalt und der fortlaufenden Entwicklung von Online-Angeboten allgemein gehalten und auch nicht abschließend. Ziffer 2.1 muss unbedingt auf den konkreten Fall angepasst und die Funktionalitäten der Webseite möglichst einzeln aufgezählt werden. Ziffer 2.2 ist für Webseiten gedacht, die dem Nutzer Möglichkeiten der Personalisierung bieten, wie etwa spezielle Arten der Seitendarstellung. Diese können dann insbesondere mithilfe von Cookies beim nächsten Besuch wieder abgerufen werden. Wenn im Rahmen dieser Dienste Verträge geschlossen werden, dann müssen je nach Art des Vertrags Kontakt- oder Zahlungsdaten gem. Ziffer 2.3 gespeichert werden. Diese Passage muss ggf. auf das jeweilige Angebot abgestimmt, andernfalls gelöscht werden. Die Ziffern 2.4 und 2.5 weisen auf die Möglichkeit hin, dass der Webseitenbetreiber zu Informationszwecken auf den Nutzer zugehen kann. Wenn dies zu Zwecken der Werbung erfolgen soll, muss 1 Plath/Hullen/Roggenkamp, § 12 TMG Rz. 24 ff. 2 Taeger/Gabel/Moos, § 12 TMG Rz. 20.
Jansen
|
971
21
Teil 7 I
Rz. 22
Internet Privacy Policy
hierfür allerdings eine gesonderte Einwilligung eingeholt werden, damit dies keinen Verstoß gegen wettbewerbsrechtliche Vorschriften darstellt.
IV. Erläuterungen zu Ziffer 3 22
E 3. Informationen über Ihren Computer, Cookies und Targeting 3.1 Bei jedem Zugriff auf unsere Seite erheben wir folgende Informationen über Ihren Computer: Die IP-Adresse Ihres Computers, die Anfrage Ihres Browsers sowie die Zeit dieser Anfrage. Außerdem werden der Status und die übertragene Datenmenge im Rahmen dieser Anfrage erfasst. [Wir erheben auch Produkt- und Versionsinformationen über den verwendeten Browser und das Betriebssystem ihres Computers. Wir erfassen weiter, von welcher Website aus der Zugriff auf unsere Seite erfolgte.] Die IPAdresse Ihres Computers wird dabei nur für die Zeit Ihrer Nutzung der Website gespeichert und im Anschluss daran unverzüglich gelöscht oder durch Kürzung anonymisiert. Die übrigen Daten werden für eine begrenzte Zeitdauer gespeichert. Wir verwenden diese Daten für den Betrieb unserer Website, insbesondere um Fehler der Website aufzuspüren und zu beseitigen, um die Auslastung der Website festzustellen und um Anpassungen oder Verbesserungen vorzunehmen. 3.2 Unter Umständen erheben wir außerdem Informationen über Ihre Nutzung unserer Website durch die Verwendung sog. Browser-Cookies. Dies sind kleine Textdateien, die auf Ihrem Computer gespeichert werden und die bestimmte Einstellungen und Daten zum Austausch mit unserem System über Ihren Browser speichern. Ein Cookie enthält in der Regel den Namen der Domain, von der die Cookie-Daten gesendet wurden, sowie Informationen über das Alter des Cookies und ein alphanumerisches Identifizierungszeichen. Cookies ermöglichen unseren Systemen, das Gerät des Nutzers zu erkennen und eventuelle Voreinstellungen sofort verfügbar zu machen. Sobald ein Nutzer auf die Plattform zugreift, wird ein Cookie auf die Festplatte des Computers des jeweiligen Nutzers übermittelt. Cookies helfen uns, unsere Website zu verbessern und Ihnen einen besseren und noch mehr auf Sie zugeschnittenen Service anbieten zu können. Sie ermöglichen uns, Ihren Computer wieder zu erkennen, wenn Sie auf unsere Website zurückkehren und dadurch: – Informationen über Ihre bevorzugten Aktivitäten auf der Website zu speichern und so unsere Website an Ihren individuellen Interessen auszurichten. Dies beinhaltet bspw. Werbung, die Ihren persönlichen Interessen entspricht; – Die Geschwindigkeit der Abwicklung Ihrer Anfragen zu beschleunigen; 3.3 In den von uns verwendeten Cookies werden lediglich die oben erläuterten Daten über Ihre Nutzung der Website gespeichert. Dies erfolgt nicht durch eine Zuordnung zu Ihnen persönlich, sondern durch Zuweisung einer Identifikationsnummer zu dem Cookie („Cookie-ID“). Eine Zusammenführung der Cookie-ID mit Ihrem Namen, Ihrer IP-Adresse oder mit 972
|
Jansen
Erläuterungen
Rz. 23 Teil 7 I
ähnlichen Daten, die eine Zuordnung des Cookies zu Ihnen ermöglichen würden, erfolgt nicht. Wie Sie den Einsatz von Browser-Cookies unterbinden können, erfahren Sie unter Ziffer 3.6. 3.4 Unsere Website verwendet sog. Tracking-Technologien. Wir nutzen diese Technologien, um für Sie das Internetangebot interessanter zu gestalten. Diese Technik ermöglicht es, Internetnutzer, die sich bereits für unsere Website interessiert haben, auf den Websites unserer Partner mit Werbung anzusprechen. Die Einblendung dieser Werbemittel auf den Seiten unserer Partner erfolgt auf Basis einer Cookie-Technologie und einer Analyse des vorherigen Nutzungsverhaltens. Diese Analyse erfolgt unter einem Pseudonym und es werden keine Nutzungsprofile mit Ihren personenbezogenen Daten zusammengeführt. Falls Sie der Erstellung von Nutzungsprofilen nicht zustimmen, können Sie dem durch Nachricht an uns widersprechen. Es wird dann ein spezielles Opt-out-Cookie auf Ihrem Computer abgelegt, das dauerhaft gespeichert werden muss. Falls Sie dieses Cookie löschen oder es durch Browser-Einstellungen automatisch gelöscht wird, müssen Sie bei einem erneuten Besuch unserer Seite dieses Cookie erneut installieren. 3.5 Wir arbeiten mit Geschäftspartnern [ggf. näher spezifizieren] zusammen, die uns dabei unterstützen, das Internetangebot und die Website für Sie interessanter zu gestalten. Daher werden bei einem Besuch der Website auch Cookies von diesen Partnerunternehmen auf Ihrer Festplatte gespeichert. Hierbei handelt es sich um Cookies, die sich automatisch nach der vorgegebenen Zeit löschen. Auch durch die Cookies unserer Partnerunternehmen werden lediglich unter einer Cookie-ID Daten erhoben, die es unseren Werbepartnern ermöglichen, Sie mit Werbung anzusprechen, die Sie auch tatsächlich interessieren könnte. Wie Sie den Einsatz solcher Cookies unterbinden können, erfahren Sie unter Ziffer 3.6. 3.6 Sollten Sie eine Verwendung von Browser-Cookies nicht wünschen, können Sie Ihren Browser so einstellen, dass eine Speicherung von Cookies nicht akzeptiert wird. Bitte beachten Sie, dass Sie unsere Website in diesem Fall ggf. nur eingeschränkt oder gar nicht nutzen können. Wenn Sie nur unsere eigenen Cookies, nicht aber die Cookies unserer Dienstleister und Partner akzeptieren wollen, können Sie die Einstellung in Ihrem Browser „Cookies von Drittanbietern blockieren“ wählen.
1. Erhebung und Verwendung von Nutzungsdaten Ziffer 3 behandelt die sog. Nutzungsdaten und die Datenerhebung mittels Cookies1 sowie Targeting-Technologien2. Nutzungsdaten i.S.d. § 15 sind Daten 1 Zu den technischen Spezifikationen im Einzelnen http://tools.ietf.org/html/rfc6265 (Stand 05/2013). 2 Targeting meint das Benutzen von Daten zu Zwecken der Personalisierung in einem bestimmten Aufgabenkontext. Targeting oder Re-Targeting setzt das sog. Tracking voraus, also das Sammeln und Aufzeichnen von Daten, s. Bilenko/Richardson/Tsai, S. 3. Bspw. kann damit aufgezeichnet werden, welche Websites der Nutzer besucht und bspw. welche Artikel er kauft.
Jansen
|
973
23
Teil 7 I
Rz. 24
Internet Privacy Policy
wie Beginn, Umfang, Ende der Nutzung und Angaben über in Anspruch genommene Dienste1. In Bezug auf Telemedien fallen darunter insbesondere: Merkmale zur Identifikation des Nutzers wie ggf. Nutzername und Passwort, Angaben über den Umfang von Downloads oder Angaben darüber, welche einzelnen Seiten innerhalb der Website für welche Zeitdauer abgerufen wurden2. Ohne Einwilligung ist die Speicherung dieser Nutzungsdaten grundsätzlich in den folgenden Fällen zulässig: Gem. § 15 Abs. 1 TMG, „soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen oder abzurechnen.“ § 15 Abs. 3 TMG erlaubt darüber hinaus die pseudonyme Erstellung von Nutzungsprofilen „zu Zwecken der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien.“
2. Erläuterungen zu Ziffer 3.1 24
Ziffer 3.1 informiert über Daten, die in den sog. Logfiles der Webserver gespeichert werden. Die IP-Adresse ist dabei erforderlich, um die Datenpakete an das richtige Endgerät zu senden; auch die Informationen über den Status der Anfrage sind technisch notwendig3. Häufig werden aber erweiterte Logfiles verwendet, um genauere Konfigurationsdaten über den Rechner zu erhalten, wie etwa Bildschirmauflösung, Sprache oder das verwendete Betriebssystem4. Wenn der Zugriff auf die Seite über einen Link erfolgt, kann auch dieser sog. Referrer erfasst werden5. Durch eine Analyse dieser Informationen kann bspw. das Angebot der tatsächlichen Auslastung angepasst werden oder auch die Unterstützung für nicht mehr verwendete Browser eingestellt werden. Wenn man nun die IP-Adresse als personenbezogenes Datum einstuft, darf diese gem. § 15 Abs. 1 TMG während der Nutzung des Dienstes gespeichert werden, jedoch nicht länger. Die Speicherung über den jeweiligen Nutzungsvorgang hinaus ist nach dieser Ansicht ohne gesonderte Einwilligung des Nutzers unzulässig. Um Unsicherheiten zu vermeiden, ist daher von der dauerhaften Speicherung vollständiger IP-Adressen abzuraten. Die übrigen Daten wie Bildschirmauflösung und Spracheinstellungen des Rechners sind für sich genommen nicht personenbezogen. Die isolierte Speicherung dieser Daten über den Nutzungsvorgang hinaus ist daher unproblematisch, wenn keine Verknüpfung mit personenbezogenen Daten vorgenommen wird. Die Einstellungen des verwendeten Webservers sollten aber überprüft und die Datenschutzerklärung daran angepasst werden6.
3. Erläuterungen zu Ziffer 3.2–3.6 a) Einsatz und Funktionsweise von Cookies 25
Ziffer 3.2 hat die Datenerhebung und -speicherung mithilfe von Cookies zum Gegenstand. Mit diesen Dateien werden insbesondere Funktionalitäten wie 1 2 3 4 5 6
Plath/Hullen/Roggenkamp, § 15 TMG Rz. 8. Taeger/Gabel/Zscherpe, § 15 TMG Rz. 17. Meyerdierks, MMR 2009, 8 (9). Köhntopp/Köhntopp, CR 2000, 248 (251). Köhntopp/Köhntopp, CR 2000, 248 (251). Plath/Hullen/Roggenkamp, § 15 TMG Rz. 17.
974
|
Jansen
Erläuterungen
Rz. 26 Teil 7 I
das Online-Shopping mittels Warenkorb oder die Wiedererkennung zu Werbezwecken ermöglicht. Die Personenbezogenheit hängt zwar von den jeweils gespeicherten Daten und damit vom Cookie-Typ ab1, in jedem Fall ist bei Cookies aber § 13 Abs. 1 Satz 2 TMG zu beachten. Demzufolge ist „bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, […] der Nutzer zu Beginn dieses Verfahrens zu unterrichten.“ Automatisierte Verfahren im Sinne dieser Vorschrift sind insbesondere Cookies, selbst wenn personenbezogene Daten nicht unmittelbar erhoben werden, aber dadurch eine Erhebung vorbereitet2 oder wenigstens ermöglicht wird3. Da § 13 TMG Ausfluss des Transparenzgebotes ist4, empfiehlt sich eine kurze Darstellung der Funktionsweise von Cookies.
b) Zulässigkeit von Cookies Als Anhaltspunkt für die Bewertung der Zulässigkeit von Cookies kann folgende Einteilung dienen: Werden Cookies am Ende des Nutzungsvorgangs gelöscht, bedarf deren Verwendung keiner gesonderten Einwilligung, da von deren Erforderlichkeit für die Nutzung des Dienstes ausgegangen werden kann5. Hingegen ist die Verwendung von Cookies, die über einen längeren Zeitraum gespeichert werden, ohne gesonderte Einwilligung grundsätzlich unzulässig6. Es ist allerdings zu betonen, dass in diesem Bereich in Deutschland erhebliche Rechtsunsicherheit herrscht. Denn die europäische E-PrivacyRichtlinie7 regelt die Cookie-Technologie und hätte bereits zum 25.5.2011 in nationales Recht umgesetzt werden müssen. Nachdem das nicht geschehen ist, vertritt bspw. der Bundesdatenschutzbeauftragte Peter Schaar die Auffassung, die Richtlinie gelte nun unmittelbar8. Auch wenn die unmittelbare Geltung im Verhältnis zwischen Privaten zu verneinen ist9, so kann sich jedenfalls der einzelne Bürger gegenüber dem Staat auf die Richtlinie berufen10. Deswegen erfolgt eine kurze Darstellung dieser Vorschrift, da zumindest in Zukunft eine Umsetzung in nationales Recht zu erwarten ist. Nach Art. 5 Abs. 3 der Richtlinie bedarf grundsätzlich jede Speicherung von Informationen auf dem Endgerät des Teilnehmers der Einwilligung, unabhängig davon, ob tatsächlich personenbezogene Daten erfasst werden. Ohne Einwilligung ist der Einsatz von Cookies dann zulässig, wenn dies für die Bereitstellung des Dienstes unbedingt erforderlich ist. Bereits der Begriff der Erforderlichkeit lässt Interpretationsspielraum. Nach Ansicht der beratenden, unabhängigen EU-Datenschutz1 2 3 4 5 6 7 8 9 10
Schröder, ZD 2011, 59 (60). Taeger/Gabel/Moos, § 13 TMG Rz. 10. Plath/Hullen/Roggenkamp, § 13 TMG Rz. 13. Taeger/Gabel/Moos, § 13 TMG Rz. 2. Taeger/Gabel/Zscherpe, § 15 TMG Rz. 34. Taeger/Gabel/Zscherpe, § 15 TMG Rz. 35. Kritik an dieser Unterscheidung s. dieselb., Rz. 36. RL 2009/136/EG v. 22.11.2009, häufig auch als „Cookie-Richtlinie“ bezeichnet. http://www.heise.de/newsticker/meldung/Schaar-Cookie-Regeln-der-EU-gelten-unmit telbar-1570745.html (Stand 02/2013). Moos, K&R 2012, 635 (639). Moos, K&R 2012, 635 (638).
Jansen
|
975
26
Teil 7 I
Rz. 27
Internet Privacy Policy
gruppe (sog. Artikel-29-Datenschutzgruppe) fallen darunter folgende CookieTypen: „Nutzer-Eingabe“-Cookies, Authentifizierungscookies, Nutzerbezogene Sicherheitscookies, Audio-Video Session Cookies, Load-Balancing Session Cookies und Cookies zur Speicherung von Anzeigepräferenzen1. Mit Ausnahme von Sicherheitscookies gilt dabei auch nach Ansicht der Artikel-29Datenschutzgruppe: Eine Speicherung ist grundsätzlich nur für die aktuelle Sitzung zulässig, für eine längere Speicherung muss die Einwilligung des Nutzers eingeholt werden. 27
Allerdings ist nicht eindeutig, wie eine solche Einwilligung auszusehen hätte: Muss der Nutzer aktiv einwilligen (Opt-in) oder gilt bereits die Nutzung des Dienstes als Einwilligung, sofern nach den Browsereinstellungen Cookies für die Seite zugelassen werden (Opt-out)2? Zurzeit ist im deutschen Rechtsraum die weitere Entwicklung noch offen. Die Beispielsziffern 3.2 und 3.3 bilden daher die gegenwärtige deutsche Rechtslage ab, um Betreiber nicht unnötig zu beschränken. Hier sollte aber unbedingt die weitere Entwicklung beachtet werden und erforderlichenfalls gesondert die Einwilligung in die Cookie-Verwendung eingeholt werden. Derzeit noch gilt unter Zugrundelegung des Transparenzgrundsatzes aus § 13 Abs. 1 TMG: Der Nutzer muss nachvollziehen können, welche Arten von Cookies für welche Zwecke verwendet werden.
c) Verwendung von Cookies für Nutzertracking 28
Mithilfe von Cookies und ähnlichen Technologien können auch seitenübergreifend umfangreiche Nutzungsprofile erstellt werden, was dann als Tracking bezeichnet wird und den Gegenstand der Ziffer 3.4 bildet. Die Erstellung von Nutzungsprofilen ist gem. § 15 Abs. 3 TMG nur unter engen Voraussetzungen zulässig: Ein Nutzungsprofil im Sinne dieser Vorschrift ist die systematische Zusammenfassung von Nutzungsdaten3; dazu gehört sowohl die Analyse einzelner Nutzungen (Momentprofil) als auch die Auswertung aller Arten von Nutzungen über einen bestimmten Zeitraum hinweg (Langzeitprofil)4. In Ermangelung einer wirksamen Einwilligung dürfen Nutzungsprofile nur erstellt werden, wenn die Aufzeichnung unter einem Pseudonym erfolgt, der Betreiber der Website eine Widerspruchsmöglichkeit vorsieht und den Nutzer auch darauf hinweist. Wenn aber mit Tracking-Tools ein Profil unter einem Pseudonym gespeichert wird, kann nicht ausgeschlossen werden, dass diese Daten wieder re-anonymisiert werden5. Dann wären die Daten wieder personenbezogen und deren Verarbeitung oder Weitergabe bedürfte der Einwilligung des Be1 Empfehlungen und kurze Erläuterungen zu den verschiedenen Cookie-Typen abrufbar unter: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2012/wp194_en.pdf vom 7.6.2012 (Stand 05/2013). 2 Obwohl der Wortlaut eher für eine Opt-in Lösung spricht, haben die EU-Mitgliedstaaten die Richtlinie diesbezüglich uneinheitlich umgesetzt. Eine Übersicht über die Umsetzung der Richtlinie in den verschiedenen Staaten gibt Britta Hinzpeter im Beitrag „Cookie-Richtlinie in Europa“ vom 11.1.2013, abrufbar unter http://www.computer woche.de/a/cookie-richtlinie-in-europa, 2518064 (Stand 05/2013). 3 Taeger/Gabel/Zscherpe, § 15 TMG Rz. 58. 4 Taeger/Gabel/Zscherpe, § 15 TMG Rz. 60. 5 Hoeren, ZD 2011, 3; Bilenko/Richardson/Tsai, S. 4.
976
|
Jansen
Erläuterungen
Rz. 30 Teil 7 I
troffenen. Aus diesem Grund schreibt § 15 Abs. 3 TMG zusätzlich vor, dass derlei „Nutzungsprofile nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden“ dürfen. Dieses Zusammenführungsverbot ist gem. § 13 Abs. 4 Nr. 6 TMG durch geeignete technische und organisatorische Maßnahmen sicherzustellen. Es gibt Tracking-Tools, die nur mit pseudonymisierten Datenbeständen arbeiten1 und auch das am weitesten verbreitete TrackingTool Google Analytics kann mittlerweile rechtskonform auf pseudonymisierter Basis betrieben werden2. Der Anbieter der Website sollte daher die Einstellung etwaiger Tracking-Tools überprüfen und ggf. anpassen, um im Einklang mit seiner Privacy Policy und den gesetzlichen Vorgaben zu handeln. Eine andere Möglichkeit, einen bestimmten Nutzer im Internet zu verfolgen, wiederzuerkennen und diese Informationen für Werbezwecke zu verwenden, ist das Tracking mittels Browser-Fingerprints. Dabei werden die von einem Browser übermittelten Daten wie Art und Version des Browsers, Betriebssystem, installierte Plug-Ins, Sprachen, Header-Einstellungen, Bildschirmauflösung und Cookie-Einstellungen ausgewertet3. Je nach Menge der übermittelten Informationen kann so ein Datensatz entstehen, der die zweifelsfreie Identifizierung des Browsers ermöglicht4. In der Regel wird bei dieser Datenübermittlung auch die IP-Adresse erfasst, weshalb zumindest nach Ansicht der Datenschutzbehörden dieser Datensatz als personenbezogen anzusehen wäre5. Eine Speicherung wäre danach nur unter den Voraussetzungen des § 15 Abs. 3 TMG zulässig, also pseudonymisiert, mit Einräumung einer Widerspruchsmöglichkeit und nach Erfüllung der Hinweispflichten. Es ist jedoch äußerst problematisch, wie das Widerspruchsrecht des Nutzers umzusetzen ist: Es gibt zwar entsprechende Opt-out Cookies, sie werden aber zusammen mit anderen Cookies gelöscht, wenn der Nutzer dies nicht durch spezielle Einstellungen an seinem Computer verhindert6. Aktuelle Browser bieten die Möglichkeit, die Information „Do Not Track“ zu übermitteln und so das Tracking zu verhindern7. Noch hat sich diese Technologie jedoch nicht durchgesetzt8. Bevor dies nicht der Fall ist, sollte dieses Instrument nicht eingesetzt werden.
29
Die Beispielsziffern beziehen sich auf Cookies, die vom Browser verarbeitetet werden. Bei allen gängigen Browsern kann dies mittlerweile durch einfache
30
1 Bspw. das Tool „Piwik“, s. http://piwik.org/docs/javascript-tracking/ (Stand 05/2013). 2 Hoeren, ZD 2011, 6; die darin noch vom Hamburger Datenschutzbeauftragten als unzureichend bemängelten Möglichkeiten, den Datenschutz zu wahren, wurden mittlerweile von Google ausgebaut, so dass ein beanstandungsfreier Betrieb möglich ist: http://www.datenschutz-hamburg.de/news/detail/article/beanstandungsfreier-betriebvon-google-analytics-ab-sofort-moeglich.html?tx_ttnews %5BbackPid %5D=170&cHash =09e1cbe956f62edb1e9f0386b4ca78f5 (Stand 05/2013). 3 Alich/Voigt, CR 2012, 344 (345). 4 Ein Test, ob der eigene Browser-Datensatz eine Wiedererkennung ermöglichen würde, ist unter http://panopticlick.eff.org/ verfügbar (Stand: 05/2013). 5 Alich/Voigt, CR 2012, 344 (347). 6 Alich/Voigt, CR 2012, 344 (348). 7 Zu den technischen Einzelheiten s. http://www.w3.org/TR/tracking-dnt/ (Stand: 05/2013). 8 Ein aktuelles Ziel des W3C ist es, „Do Not Track“ zu standardisieren. Der Zeitplan ist abrufbar unter http://www.w3.org/2011/tracking-protection/ (Stand: 05/2013).
Jansen
|
977
Teil 7 I
Rz. 31
Internet Privacy Policy
Einstellungen verhindert werden. Aus diesem Grund wurden Cookies entwickelt, die über das Flash-Player-Plug-In gespeichert werden, die sog. FlashCookies. Flash-Cookies werden auch bei einem Browserwechsel wiedererkannt1. Ebenso wie Browser-Cookies sind auch Flash-Cookies automatisierte Verfahren i.S.d. § 13 Abs. 1 Satz 2 TMG, über die der Nutzer aufgeklärt werden muss. Es ist jedoch zu unterstreichen, dass die genaue Rechtslage in diesem Bereich noch ungeklärt ist2. Falls dennoch Flash-Cookies verwendet werden, genügte ein bloßer Hinweis auf den Einsatz von Flash-Cookies wohl nicht. Vielmehr müsste der Nutzer kurz, aber verständlich über die technischen Hintergründe und auch über Löschungsmöglichkeiten aufgeklärt werden3. Eine Verhinderung dieser Cookies ist allerdings meist nur mit erhöhtem Aufwand möglich4. Je nach Betriebssystem und Browsertyp müssen spezielle Erweiterungen installiert, der Flashplayer konfiguriert oder die Cookies manuell gelöscht werden. Solange nicht für den durchschnittlichen Nutzer eine einfachere Möglichkeit besteht, diese Datenerhebung zu verhindern, sollte aus datenschutzrechtlicher Sicht diese Technik nicht verwendet werden5. 31
Eine andere Alternative zu Cookies ist der Einsatz sog. Web-Bugs6. Dies sind kleine, unsichtbare Grafiken, die sich nicht auf dem Server der aufgerufenen Website befinden, sondern von einem externen Server geladen werden und auf diesem Server in einer Logdatei gespeichert werden7. So kann der Webseitenbetreiber diese Informationen erhalten, ohne auf den eigenen Webserver zuzugreifen und ohne Cookies zu verwenden. Der Nutzer merkt dabei in der Regel nicht, ob solche Techniken eingesetzt werden. Web-Bugs sind jedoch automatisierte Verfahren i.S.d. § 13 Abs. 1 Satz 2 TMG8. Ggf. müssten diese daher erläutert werden, um dem Transparenzgrundsatz zu genügen. Problematisch an Web-Bugs ist jedoch, dass diese nur mit einigem technischen Aufwand unterbunden werden können und ein Widerspruch des Nutzers immer nur gegenüber dem jeweiligen Website-Anbieter wirksam wäre9. Aus datenschutzrechtlicher Sicht ist daher vom Einsatz dieser Instrumente abzuraten10. Etwas anderes gilt nur dann, wenn vollständig anonyme Daten erhoben werden, die auch keine Erhebung personenbezogener Daten vorbereiten.
1 2 3 4 5
6 7 8 9 10
Alich/Voigt, CR 2012, 344 (345). Schröder, ZD 2011, 59 (62 f.). Schröder, ZD 2011, 59 (63). Schröder, ZD 2011, 59 (60). Vgl. Schröder, ZD 2011, 59 (63), der nur bei einem Hinweis auf die Möglichkeiten der Löschung dieser Cookies eine rechtskonforme Nutzung als möglich ansieht. Gerade die Löschung ist aber mit einigem Aufwand verbunden, der den durchschnittlichen Internetnutzer schon abschrecken dürfte. Synonyme sind bspw. Clear-Gif, 1-Pixel-Bild, Pixel-Tag, Zählpixel, Netzboje. Woitke, MMR 2003, 310. Taeger/Gabel/Moos, § 13 TMG Rz. 10. Woitke, MMR 2003, 310 (313 f.). Vgl. Woitke, MMR 2003, 310 (314), der in Web-Bugs eine „ernstzunehmende Gefahr“ sieht.
978
|
Jansen
Erläuterungen
Rz. 34 Teil 7 I
V. Erläuterungen zu Ziffer 4 E 4. Datensicherheit
32
Alle Informationen, die Sie an uns übermitteln, werden auf Servern innerhalb der Europäischen Union gespeichert. Leider ist die Übertragung von Informationen über das Internet nicht vollständig sicher, weshalb wir die Sicherheit der über das Internet an unserer Website übermittelten Daten nicht garantieren können. Wir sichern unsere Website und sonstigen Systeme jedoch durch technische und organisatorische Maßnahmen gegen Verlust, Zerstörung, Zugriff, Veränderung oder Verbreitung Ihrer Daten durch unbefugte Personen ab. Insbesondere werden Ihre persönlichen Daten bei uns verschlüsselt übertragen. Wir bedienen uns dabei des Codierungssystems SSL (Secure Socket Layer) [bzw. TLS (Transport Layer Security)].
1. Grenzüberschreitender Datentransfer In Bezug auf den grenzüberschreitenden Transfer personenbezogener Daten gilt Folgendes: Datenübertragungen innerhalb des EWR sind inländischen Übermittlungen praktisch gleichgestellt1. Eine Übermittlung personenbezogener Daten in Länder außerhalb des EWR ist gem. § 13 Abs. 1 Satz 1 TMG und § 4b Abs. 2, 3 BDSG hingegen nur zulässig, wenn auch im Empfängerland ein angemessenes Datenschutzniveau herrscht. In jedem Fall ist der Betroffene über eine Verwendung seiner Daten außerhalb des EWR zu informieren. Wenn im Empfängerland kein dem EWR entsprechendes Datenschutzniveau herrscht, muss der Betroffene auch ausdrücklich auf die dort geltenden Verarbeitungsvoraussetzungen und die damit verbundenen Risiken hingewiesen werden, um auf dieser Grundlage eine gesonderte Einwilligung erteilen zu können.
33
2. Technische und organisatorische Maßnahmen Außerdem werden in Ziffer Nr. 4 die Verpflichtungen abgebildet, die sich aus § 13 Abs. 4 Nr. 3 TMG und § 9 BDSG i.V.m. der Anlage zu § 9 Satz 1 BDSG ergeben: Der Diensteanbieter muss durch technische und organisatorische Vorkehrungen sicherstellen, dass die Daten gegen die Kenntnisnahme Dritter geschützt sind. Dies bedeutet insbesondere eine Zugangs- und Zugriffskontrolle nach aktuellem Stand der Technik. Ab der Version 3.0 des Codierungssystems SSL wurde die neue Bezeichnung TLS eingeführt2; je nach verwendetem Codierungssystem sollte die o.g. Ziffer näher spezifiziert werden. Wenn es doch zu einem Datenverlust oder Datendiebstahl kommt und dadurch schutzwürdige Rechte oder Interessen des Betroffenen beeinträchtigt werden könnten, muss der Betreiber der Website gem. § 15a TMG i.V.m. § 42a BDSG den Betroffenen und die zuständigen Aufsichtsbehörden unverzüglich nach Kenntniserlangung informieren. Wenn Daten in großem Umfang verloren gegangen sind, kann gem. § 42a Satz 5 BDSG auch eine Mitteilung an die Öffentlichkeit diesen Zweck erfüllen. 1 Taeger/Gabel/Gabel, § 4b BDSG Rz. 3. 2 S. Website der TLS-Arbeitsgruppe http://datatracker.ietf.org/wg/tls/charter/ (Stand 05/2013).
Jansen
|
979
34
Teil 7 I
Rz. 35
Internet Privacy Policy
VI. Erläuterungen zu Ziffer 5 35
E 5. Keine Weitergabe Ihrer personenbezogenen Daten Wir geben Ihre personenbezogenen Daten nicht an Dritte weiter, es sei denn, Sie haben in die Datenweitergabe eingewilligt oder wir sind aufgrund gesetzlicher Bestimmungen und/oder behördlicher oder gerichtlicher Anordnungen zu einer Datenweitergabe berechtigt oder verpflichtet. Dabei kann es sich insbesondere um die Auskunftserteilung für Zwecke der Strafverfolgung, zur Gefahrenabwehr oder zur Durchsetzung geistiger Eigentumsrechte handeln.
36
Bei der Weitergabe personenbezogener Daten gilt wie bei der Erhebung: Grundsätzlich ist diese verboten und nur unter der Voraussetzung einer wirksamen Einwilligung erlaubt. Daneben gibt es verschiedene gesetzliche Rechtfertigungstatbestände, die eine Datenweitergabe zulassen. Für Bestands- und Nutzungsdaten (zum Begriff siehe Rz. 14) gelten die §§ 14 Abs. 2, 15 Abs. 5 Satz 4 TMG: Im Einzelfall, für Zwecke der Strafverfolgung oder zur Gefahrenabwehr kann eine Auskunftserteilung insbesondere gegenüber den Polizei- und Verfassungsschutzbehörden erforderlich und zulässig sein.
37
Nutzungsdaten dürfen gem. § 15 Abs. 5 Satz 1 TMG ohne gesonderte Einwilligung an Dritte weitergegeben werden, „soweit dies zur Ermittlung des Entgelts und zur Abrechnung mit dem Nutzer erforderlich ist.“ Damit sollen vor allem Fälle erfasst werden, in denen der Nutzer eine Leistung des Content-Provider in Anspruch nimmt, diese aber gegenüber dem Access-Provider bezahlen will1.
VII. Erläuterungen zu Ziffer 6 38
E 6. Datenschutz und Websites Dritter Die Website kann Hyperlinks zu und von Websites Dritter enthalten. Wenn Sie einem Hyperlink zu einer dieser Websites folgen, beachten Sie bitte, dass wir keine Verantwortung oder Gewähr für fremde Inhalte oder Datenschutzbedingungen übernehmen können. Bitte vergewissern Sie sich über die jeweils geltenden Datenschutzbedingungen, bevor Sie personenbezogene Daten an diese Websites übermitteln.
39
Die datenschutzrechtliche Verantwortlichkeit im Bereich der Telemedien richtet sich danach, wer objektiv über die Daten bestimmen kann und über Zweck und Mittel der Datenverarbeitung bestimmen kann. Somit sind Anbieter von Telemedien für die von ihnen bereitgehaltenen Inhalte verantwortlich2. Grundsätzlich ist der Betreiber der Website auch nicht dazu verpflichtet, verlinkte Seiten zu kontrollieren; nur wenn im Einzelfall begründete Anhaltspunkte dafür bestehen, dass die verlinkte Seite rechtswidrige Inhalte enthält oder auf andere Weise Rechtsverstöße gefördert werden3. Der Hinweis auf die Eigenverantwortung der Nutzer ist damit klarstellender Natur. 1 Taeger/Gabel/Zscherpe, § 15 TMG Rz. 78. 2 Kilian/Heussen/Polenz, Computerrecht, Teil 13 IV 1 Rz. 46. 3 BGH v. 1.4.2004 – I ZR 317/01, NJW 2004, 2158 (2160).
980
|
Jansen
Erläuterungen
Rz. 43 Teil 7 I
VIII. Erläuterungen zu Ziffer 7 E 7. Änderungen dieser Datenschutzbestimmungen
40
Wir behalten uns das Recht vor, diese Datenschutzbestimmungen jederzeit mit Wirkung für die Zukunft zu ändern. Eine jeweils aktuelle Version ist auf der Website verfügbar. Bitte suchen Sie die Website regelmäßig auf und informieren Sie sich über die geltenden Datenschutzbestimmungen. Wenn die Nutzer sich mit einer E-Mail-Adresse registriert haben, sollten sie bei inhaltlichen Änderungen der Datenschutzbestimmungen per E-Mail benachrichtigt werden. Wenn keine E-Mail-Adressen erhoben werden, reicht der Hinweis aus, eigenverantwortlich die Datenschutzbestimmungen auf Änderungen zu überprüfen. Bei maßgeblichen Änderungen ist gleichwohl ein Hinweis an prominenter Stelle der Website empfehlenswert. Grund für diese Maßnahmen ist der Zweckbindungsgrundsatz des § 12 Abs. 2 TMG (siehe Ziffer 2), demzufolge eine Zweckänderung nur in bestimmten, gesetzlich geregelten Ausnahmefällen oder nach entsprechender ausdrücklicher Einwilligung des Nutzers zulässig ist. Daraus folgt, dass Daten, die rechtmäßig und gemäß der Privacy Policy erhoben wurden, nicht durch die bloße Änderung der Datenschutzbestimmungen für darin festgelegte, neue Zwecke verwendet werden dürfen. Wenn eine Einwilligung in die Zweckänderung nicht erteilt werden kann, sollten daher bei maßgeblichen Änderungen der Datenschutzbestimmungen die verschiedenen Datenbestände getrennt behandelt werden.
41
IX. Erläuterungen zu Ziffer 8 E 8. Ihre Rechte und Kontakt
42
Sie können Ihre personenbezogenen Daten jederzeit kostenlos einsehen und ggf. deren Berichtigung und/oder Löschung und/oder Sperrung verlangen. Zu diesem Zweck und/oder um nähere Informationen hierüber zu erhalten, wenden Sie sich an uns über [Support-E-Mail-Adresse]. Sollten Sie Fragen, Kommentare oder Anfragen bezüglich der Erhebung, Verarbeitung und Nutzung Ihrer personenbezogenen Daten durch uns haben, wenden Sie sich bitte ebenfalls an uns unter den angegebenen Kontaktdaten. § 13 Abs. 7 TMG verpflichtet den Betreiber des Online-Auftritts, „dem Nutzer […] auf Verlangen Auskunft über die zu seiner Person oder seinem Pseudonym gespeicherten Daten zu erteilen.“ Dabei ist es wichtig, eine Auskunft über die pseudonymisierten Daten erst zu erteilen, nachdem der Nutzer darüber aufgeklärt worden ist, dass dies eine Re-Identifizierung der Daten erforderlich macht1. Das Auskunftsrecht dient auch zur Vorbereitung der allgemeinen datenschutzrechtlichen Ansprüche der §§ 34, 35 BDSG, nach denen der Betroffene erforderlichenfalls Berichtigung oder Löschung seiner Daten verlangen kann.
1 Plath/Hullen/Roggenkamp, § 13 TMG Rz. 45f.
Jansen
|
981
43
II. Datenschutzbestimmungen und Einwilligungserklärungen für soziale Netzwerke Literaturverzeichnis: Albrecht, Anonyme oder pseudonyme Nutzung sozialer Netzwerke? – Ein Beitrag zu § 13 Abs. 6 Satz 1 TMG, AnwZert ITR 1/2011, Anm. 2; Ballhausen/Roggenkamp, Personenbezogene Bewertungsplattformen, K&R 2008, 403; Bauer, Personalisierte Werbung auf Social-Community-Websites. Datenschutzrechtliche Zulässigkeit der Verwendung von Bestandsdaten und Nutzungsprofilen, MMR 2008, 435; Bräutigam, Das Nutzungsverhältnis bei sozialen Netzwerken, MMR 2012, 635; Gola/ Schomerus, BDSG, 11. Aufl. 2012; Härting, Datenschutz zwischen Transparenz und Einwilligung, CR 2011, 169; Heckmann, jurisPK-Internetrecht, 3. Aufl. 2011; Hoeren/ Sieber, Multimedia-Recht, Loseblattwerk, Stand 12. Ergänzungslieferung 2012; Holtz, Datenschutzkonformes Social Networking: Clique und Scramble!, DuD 2010, 439; Jandt/ Roßnagel, Social Networks für Kinder und Jugendliche, MMR 2011, 637; Karg/Fahl, Rechtsgrundlagen für den Datenschutz in sozialen Netzwerken, K&R 2011, 453; Krieg, Der „Düsseldorfer Kreis“ und die datenschutzrechtskonforme Gestaltung – nicht nur – von sozialen Netzwerken, AnwZert ITR 24/2008, Anm. 3; Krieg, Impressumspflicht bei Twitter?, AnwZert ITR 10/2009, Anm. 3; Krieg, Twitter und Recht: Kurze Tweets, große Wirkung – die rechtlichen Stolperfallen beim Twittern, K&R 2010, 73; Moos, Unmittelbare Anwendbarkeit der Cookie-Richtlinie – Mythos oder Wirklichkeit?, K&R 2012, 635; Plath, BDSG, 2013; Schulz/Skistims/Zirfas/Atzmüller/Scholz, Rechtliche Ausgestaltung sozialer Konferenzplattformen, ZD 2013, 60; Schnabel/Freund, Selbstdatenschutz bei der Nutzung von Telemedienangeboten, CR 2010, 718; Schwenke, Nutzungsbedingungen sozialer Netzwerke und Onlineplattformen, WRP 2013, 37; Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2011; Spiecker gen. Döhmann, Die Durchsetzung datenschutzrechtlicher Mindestanforderungen bei Facebook und anderen sozialen Netzwerken, K&R 2012, 717; Spindler/Schuster, Recht der elektronischen Medien, 2. Aufl. 2011; Stadler, Verstoßen Facebook und GooglePlus gegen deutsches Recht?, ZD 2011, 57; Taeger/Gabel, Kommentar zum Bundesdatenschutzgesetz, 2010; Thürauf, Cookie Opt-in in Großbritannien – Zukunft der Cookies?, ZD 2012, 24; Wintermeier, Inanspruchnahme sozialer Netzwerke durch Minderjährige, ZD 2012, 210; Wintermeier, Rechtskonforme Erstellung einer Datenschutzerklärung, ZD 2013, 21.
A. Einleitung 1
Das Paradebeispiel schlechthin für ein soziales Netzwerk ist Facebook1, die nicht nur in Deutschland, sondern nahezu weltweit mit Abstand erfolgreichste Plattform dieser Art. Aufgrund des überragenden Erfolgs von Facebook und nicht zuletzt auch wegen des Niedergangs der in Deutschland einst mit Abstand marktführenden VZ-Netzwerke2 ließe sich der Eindruck gewinnen, dass keine anderen sozialen Netzwerke auf Dauer neben Facebook bestehen können – abgesehen vielleicht von Spartenangeboten wie bspw. die auf eine berufliche Nutzung ausgerichteten Plattformen Xing3 und LinkedIn4. 1 S. www.facebook.com. 2 S. www.vz-netzwerke.net, und zum Niedergang bspw. „Holtzbrinck überlässt studiVZ sich selbst“ vom 11.6.2012, abrufbar unter www.welt.de/wirtschaft/webwelt/article 106495722/Holtzbrinck-ueberlaesst-StudiVZ-sich-selbst.html (Stand 25.7.2013). 3 S. www.xing.de. 4 S. www.linkedin.com.
982
|
Krieg
Datenschutz soziale Netzwerke
Rz. 4 Teil 7 II
Tatsächlich aber agiert durchaus eine ganze Anzahl weiterer Anbieter mit Erfolg am Markt. Zudem integriert auch eine Vielzahl von Plattformen mit anderer primärer Ausrichtung wie etwa Fotosharing-, Microblogging-, Blogging- und Musik-Plattformen Funktionen, die für soziale Netzwerke typisch sind (und in datenschutzrechtlicher Hinsicht Herausforderungen bereithalten)1. Und selbst klassische Angebote des „Web 1.0“ wie bspw. Diskussionsforen weisen für soziale Netzwerke typische Merkmale auf: Auch bei ihnen können Nutzer häufig u.a. Profilseiten einrichten, Inhalte veröffentlichen oder Direktnachrichten an andere Nutzer verschicken.
2
Daher sind die Möglichkeiten zur Verwendung der hier vorliegenden „Datenschutzbestimmungen und Einwilligungserklärungen für soziale Netzwerke“ weiter, als ihre Bezeichnung es auf den ersten Blick vielleicht vermuten lässt. Auf Basis des hier bereitgestellten Musters können Anbieter entsprechender Plattformen ihren datenschutzrechtlichen Informationspflichten gegenüber sich registrierenden Nutzern nachkommen und, soweit ihre Erhebung, Verarbeitung und/oder Nutzung von Nutzerdaten nicht bereits gesetzlich erlaubt ist, die erforderlichen Einwilligungen vom jeweiligen Nutzer einholen. Je nach Ausgestaltung der jeweiligen Plattform ist das Muster natürlich entsprechend anzupassen.
3
Die potentielle Bedeutung einer in datenschutzrechtlicher Hinsicht rechtskonformen, transparenten und von Nutzern als fair empfundenen Gestaltung sozialer Netzwerke sollte nicht unterschätzt werden. Zwar ist mit Facebook gerade der Plattformbetreiber besonders erfolgreich, dem in dieser Hinsicht eher eine „laissez faire“ Haltung vorgeworfen wird2. Auf der anderen Seite haben aber andere Anbieter wie bspw. die VZ-Netzwerke3 und selbst die mittlerweile zu Facebook gehörende Fotosharing-Plattform Instagram4 aufgrund datenschutzrechtlicher Mängel und Intransparenz massive Wettbewerbsnachteile erlitten. Auch sollte nicht übersehen werden, dass fehlende, unvollständige oder unrichtige Datenschutzbestimmungen eine Ordnungswidrigkeit darstellen, die mit Bußgeldern von bis zu 50 000 Euro geahndet werden kann (siehe § 16 Abs. 2 Nr. 2 bis 5 TMG, § 43 Abs. 1 Nr. 3 bis 7b BDSG). Nach einer Entscheidung des OLG Hamburg soll es sich bei § 13 TMG sogar um eine das Marktverhalten regelnde Vorschrift i.S.v. § 4 Nr. 11 UWG handeln5, in welchem Fall fehlerhafte oder unvollständige Datenschutzerklärungen auch von Wettbewerbern abgemahnt werden können.
4
1 S. auch Schulz/Skistims/Zirfas/Atzmüller/Scholz, ZD 2013, 60 ff. mit Hinweisen auf soziale Konferenzplattformen. 2 S. in diesem Kontext auch Ulbricht, „Facebook & Recht – Marktvorteil durch Datenschutzverstöße?“, abrufbar unter www.rechtzweinull.de/archives/174-Facebook-RechtMarktvorteile-durch-Datenschutzverstoesse.html (Stand 25.7.2013). 3 S. hierzu Schneider, „Das Ende von studiVZ“, abrufbar unter http://tlmd.in/a/2328 (Stand 25.7.2013). 4 S. hierzu bspw. „Die vielen Fehler im Fall Instagram“ auf ZEIT Online, abrufbar unter www.zeit.de/digital/datenschutz/2012_12/instagram-agb-kommentar (Stand 25.7.2013). 5 OLG Hamburg v. 26.6.2013 – 3 U 26/12, BeckRS 2013, 11804.
Krieg
|
983
Teil 7 II Rz. 5 5
Datenschutz soziale Netzwerke
Das nachfolgende Muster ist auf ein soziales Netzwerk mit typischen Basisfunktionalitäten zugeschnitten, in dem die Nutzer im Wesentlichen Profile anlegen, Kontakte bestätigen oder „Freundschaften“ eingehen, Inhalte veröffentlichen und die Inhalte und Profile anderer Nutzer kommentieren können. Als Betreiber der Plattform, die „Network XYZ“ genannt wird, tritt die „Network XYZ GmbH“ auf.
B. Muster 6
E Datenschutzbestimmungen und Einwilligungserklärungen für soziale Netzwerke Datenschutzbestimmungen Dies sind die Datenschutzbestimmungen für Network XYZ, das von der Network XYZ GmbH betriebene soziale Netzwerk im Internet. Mit diesen Datenschutzbestimmungen möchten wir – die Network XYZ GmbH – Sie darüber informieren, welche personenbezogenen Daten wir von Ihnen erheben und wie wir diese verwenden, wenn Sie Network XYZ besuchen und nutzen. Mit Ihrer für die Anmeldung auf Network XYZ erforderlichen Zustimmung zu diesen Datenschutzbestimmungen willigen Sie uns gegenüber in die nachfolgend beschriebene Erhebung, Verarbeitung und Nutzung Ihrer personenbezogenen Daten ein, die im Kontext der Begründung, der Durchführung und der Abwicklung Ihres Nutzungsverhältnisses bezüglich Network XYZ erfolgt. „Personenbezogene Daten“ sind nach dem Bundesdatenschutzgesetz alle „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“. Etwas anders ausgedrückt sind Ihre personenbezogenen Daten also Informationen, die sich auf Sie beziehen oder etwas über Sie persönlich aussagen und mit Ihnen in Verbindung gebracht werden können. Der Einfachheit halber und zur besseren Verständlichkeit sprechen wir in diesen Datenschutzbestimmungen auch kurz von „Ihren Daten“, wenn von Ihren personenbezogenen Daten die Rede ist. Der Schutz Ihrer Daten ist uns wichtig. Und dieser Schutz lässt sich nur sicherstellen, wenn Sie wissen, was mit Ihren Daten auf Network XYZ geschieht. Daher möchten wir Sie bitten, sich die Zeit zu nehmen, um diese Datenschutzbestimmungen sorgfältig zu lesen. Wir halten uns strikt an die geltenden datenschutzrechtlichen Bestimmungen und wir setzen technische wie auch organisatorische Maßnahmen ein, um Ihre Daten zu schützen. 1. Mindestalter für die Anmeldung bei Network XYZ Die Anmeldung bei und die Nutzung von Network XYZ ist ausschließlich volljährigen Personen erlaubt. Minderjährigen sind die Anmeldung und die Nutzung nicht gestattet.
984
|
Krieg
Vertragstext
Rz. 6 Teil 7 II
2. Ihre von uns erhobenen Daten sowie Art und Zweck von deren Verarbeitung und Nutzung 2.1 Bei der Anmeldung von Ihnen anzugebende Daten Bei der Anmeldung auf Network XYZ müssen Sie zunächst einen – Nutzernamen und ein – Passwort wählen und eine – E-Mail-Adresse angeben. Ihr Passwort und Ihre E-Mail-Adresse sind für andere Personen nicht einsehbar, und wir werden sie auch nicht an Dritte weitergeben. Ihre E-Mail-Adresse verwenden wir, um mit Ihnen in Kontakt zu treten. Ihr Passwort und Ihre E-Mail-Adresse können Sie jederzeit ändern, Ihren Nutzernamen nicht. 2.2 Weitere Daten, die Sie freiwillig angeben können Sie können bei der Anmeldung – aber auch später noch – freiwillig weitere Angaben machen (nachfolgend „freiwillige Angaben“ genannt). Dies können bspw. Angaben zu Ihren Hobbies, Ihren privaten Interessen, Ihrem Beziehungsstatus oder zu Ihren Mitgliedschaften bei anderen Internet-Plattformen sein. Sie können auch ein Profilfoto von sich hochladen. Ihre freiwilligen Angaben können Sie jederzeit ändern oder wieder löschen. 2.3 Ihre Profilseite Sie willigen darin ein, dass mit Abschluss Ihrer Anmeldung unter Ihrem Nutzernamen eine Profilseite für Sie angelegt wird, auf der auch von Ihnen eventuell gemachte freiwilligen Angaben aufgeführt sind und das von Ihnen möglicherweise hochgeladene Profilbild angezeigt wird. Sie willigen ferner darin ein, dass Sie unter Ihrem Nutzernamen über die Suchfunktion von Network XYZ auffindbar sind und Ihre Profilseite entsprechend den von Ihnen festgelegten Einstellungen zur Privatsphäre Ihres Accounts (nachfolgend „Privatsphäreneinstellungen“ genannt) von anderen Personen eingesehen werden kann. Die anfängliche Standardeinstellung nach Abschluss Ihrer Anmeldung ist, dass Ihre Profilseite für niemanden außer für durch Sie bestätigte Kontakte auf Network XYZ einsehbar ist. Sie können Ihre Privatsphäreneinstellungen bspw. so ändern, dass Ihre Profilseite für alle anderen Nutzer von Network XYZ einsehbar ist, oder dass Ihre Profilseite auch von jedermann außerhalb des Nutzerkreises von Network XYZ eingesehen und auch über Suchmaschinen im Internet aufgefunden werden kann.
Krieg
|
985
Teil 7 II Rz. 6
Datenschutz soziale Netzwerke
2.4 Ihre Inhalte und Kommentare Nach Abschluss der Anmeldung können Sie auf Network XYZ Inhalte wie bspw. Statusmeldungen oder Bilder veröffentlichen. Die von Ihnen veröffentlichten Inhalte werden in chronologischer Reihenfolge mit Datums- und Zeitangabe auf Ihrer Profilseite angezeigt. Personen, denen Sie den Zugang zu Ihrer Profilseite gestatten, können also auch Ihre Inhalte einsehen. Sie willigen darin ein, dass die von Ihnen veröffentlichten Inhalte auf Ihrer Profilseite für die von Ihnen in Ihren Privatsphäreneinstellungen gewählten Personenkreise einsehbar sind. Sie können auch Kommentare auf Profilseiten oder zu Inhalten anderer Nutzer veröffentlichen, die dann dort unter Ihrem Nutzernamen angezeigt werden. Datum und Zeit Ihrer Kommentierung werden auch hier mit angegeben. Sie willigen darin ein, dass Kommentare, die Sie auf Profilseiten oder zu Inhalten anderer Nutzer veröffentlichen, dort unter Ihrem Nutzernamen entsprechend den von den jeweiligen anderen Nutzern gewählten Privatsphäreneinstellungen einsehbar sind. Die von diesen anderen Nutzern gewählten Privatsphäreneinstellungen können weniger restriktiv sein als die von Ihnen gewählten. Wenn Sie Kommentare auf Profilseiten oder zu Inhalten anderer Nutzer veröffentlichen, dann können diese daher zusammen mit Ihrem Nutzernamen unter Umständen auch für Personenkreise einsehbar sein, die Ihre Profilseite und Ihre Inhalte ansonsten nicht einsehen können. Sie können die von Ihnen auf Network XYZ veröffentlichten Inhalte wie bspw. Statusmeldungen oder Bilder und Ihre Kommentare auf Profilseiten oder zu Inhalten anderer Nutzer jederzeit wieder löschen. 2.5 Weitere Privatsphäreneinstellungen Sie können in Ihren Privatsphäreneinstellungen noch weitere Einstellungen vornehmen. So können Sie bspw. bestimmen, ob – und wenn ja, für wen – einsehbar ist, welche anderen Nutzer Sie als Kontakt bestätigt haben. Sie willigen darin ein, dass Ihre Daten für andere Personen im Allgemeinen gemäß den von Ihnen gewählten Privatsphäreneinstellungen einsehbar sind. 2.6 Logfiles Jedes Mal, wenn Sie eine Internetseite aufrufen, werden von Ihrem Browser automatisch bestimmte Informationen an den Server der Internetseite gesendet und von diesem dann in einem so genannten Logfile gespeichert. Dies sind bspw. Informationen über – den Typ und die Version des von Ihnen verwendeten Browsers, – das von Ihnen verwendete Betriebssystem, – die Internetseite, von der aus Sie zur aktuellen Seite gekommen sind, – den Hostnamen (IP-Adresse) Ihres Rechners sowie – die Uhrzeit, zu der der Aufruf erfolgt ist. 986
|
Krieg
Vertragstext
Rz. 6 Teil 7 II
Vorbehaltlich etwaiger gesetzlicher Aufbewahrungspflichten löschen oder anonymisieren wir Ihre IP-Adresse nach Ihrem Verlassen der Internetseiten von Network XYZ. Im Übrigen nutzen wir die durch Ihren Browser an unsere Server übermittelten Informationen in anonymisierter Form – also ohne dass Rückschlüsse auf Sie möglich wären – zur Analyse und Verbesserung unserer Dienste. Auf diese Weise können wir bspw. mögliche Fehler entdecken oder ermitteln, an welchen Tagen und zu welchen Uhrzeiten Network XYZ besonders stark genutzt wird. 2.7 Cookies Cookies sind sehr kleine, von Internetseiten verwendete Textdateien, die Ihr Browser auf Ihrem Computer speichert. Sog. „Session Cookies“ werden temporär im Arbeitsspeicher abgelegt und beim Schließen des Browsers automatisch gelöscht. Sog. „permanente Cookies“ werden über eine festgelegte längere Zeitspanne auf der Festplatte gespeichert; sie werden nach Ablauf der jeweils festgelegten Zeitspanne automatisch gelöscht. Cookies dienen vor allem dazu, die Benutzung einer Internetseite einfacher, effektiver und sicherer zu machen. Wir setzen Cookies ein, um Sie nach dem Einloggen auf Network XYZ während Ihrer Sitzung durchgängig identifizieren zu können. Nach dem Ende Ihrer Sitzung verfällt der entsprechende Session Cookie automatisch. Sie können Ihren Browser so einstellen, dass er Cookies generell nicht akzeptiert, oder sie nur nach ausdrücklicher Bestätigung durch Sie akzeptiert. Wie dies funktioniert, finden Sie leicht über die Hilfe-Funktion Ihres Browsers heraus. Wenn von Ihrem Browser keine Cookies akzeptiert werden, steht jedoch der Funktionsumfang von Network XYZ eventuell nur eingeschränkt oder gar nicht zur Verfügung. 3. Übermittlung oder Weitergabe Ihrer Daten an Dritte Wir übermitteln Ihre Daten grundsätzlich nicht ohne Ihre Einwilligung an Dritte. Eine technische Weitergabe kann allerdings erfolgen, wenn und soweit dies für den Betrieb von Network XYZ oder aus anderen Gründen für die Begründung, die Durchführung oder die Abwicklung Ihres Nutzungsverhältnisses mit uns erforderlich ist. Dies kann z.B. der Fall sein, wenn Network XYZ bei einem externen Dienstleister gehostet wird, also ein externer Dienstleister die Server für Networks XYZ betreibt. Daneben können wir gesetzlich verpflichtet sein, Daten im Einzelfall auf Anordnung einer zuständigen Stelle weiterzugeben, wenn und soweit dies für Zwecke der Strafverfolgung, zur Gefahrenabwehr durch die Polizeibehörden der Länder, zur Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes oder des Bundeskriminalamtes im Rahmen seiner Aufgabe zur Abwehr von Gefahren des internationalen Terrorismus oder zur Durchsetzung der Rechte am geistigen Eigentum erforderlich ist. Krieg
|
987
Teil 7 II Rz. 6
Datenschutz soziale Netzwerke
4. Schutz Ihrer Daten Um Ihre Daten bspw. vor Manipulationen, Verlust und unbefugtem Zugriff durch Dritte zu schützen, setzen wir technische und organisatorische Maßnahmen ein. Zu diesen Maßnahmen gehören u.a. der Einsatz von Firewalls und von Antivirus-Programmen sowie manuelle Sicherheitsvorkehrungen. Unsere Sicherheitsmaßnahmen überprüfen und verbessern wir fortlaufend entsprechend des technologischen Fortschritts. 5. Aktuelle Version und Änderung dieser Datenschutzbestimmungen Dies ist die Version 1.0 der Datenschutzbestimmungen für Network XYZ. Wir entwickeln Network XYZ laufend weiter, um Ihnen einen immer besser werdenden Dienst zur Verfügung stellen zu können. Diese Datenschutzbestimmungen werden wir stets aktuell halten und entsprechend anpassen, wenn und soweit dies erforderlich werden sollte. Über eventuelle Änderungen dieser Datenschutzbestimmungen werden wir Sie natürlich informieren. Dies werden wir sowohl mittels einer E-Mail an die uns von Ihnen mitgeteilte E-Mail-Adresse tun, als auch durch einen automatischen Hinweis bei Ihrem ersten Einloggen auf Network XYZ nach einer erfolgten Aktualisierung dieser Datenschutzbestimmungen. Insofern darüber hinaus eine weitere Einwilligung von Ihnen zu unserem Umgang mit Ihren Daten erforderlich werden sollte, werden wir diese selbstverständlich von Ihnen einholen, bevor entsprechende Änderungen wirksam werden. Sie können die aktuelle Version der Datenschutzbestimmungen für Network XYZ jederzeit im Internet unter [URL einzufügen] abrufen. Auch eventuelle ältere Versionen dieser Datenschutzbestimmungen halten wir unter dieser Adresse für Sie bereit. 6. Auskunft, Widerruf Ihrer Einwilligungen und Berichtigung, Sperrung oder Löschung Ihrer Daten Sie können von uns Auskunft darüber verlangen, welche Daten wir über Sie gespeichert haben. Einwilligungen in die Erhebung, Verarbeitung und Nutzung Ihrer personenbezogenen Daten, die Sie uns gegenüber mit der Zustimmung zu diesen Datenschutzbestimmungen abgegeben haben, können Sie mit Wirkung für die Zukunft ganz oder teilweise widerrufen. Gleiches gilt für eventuelle spätere, weitergehende Einwilligungen in die Erhebung, Verarbeitung oder Nutzung Ihrer personenbezogenen Daten. Die Folge eines solchen Widerrufs kann sein, dass Sie Network XYZ nicht mehr oder nur noch eingeschränkt nutzen können. Sie können darüber hinaus auch jederzeit die Berichtigung unrichtiger Daten über Sie sowie die Sperrung oder Löschung Ihrer Daten von uns verlangen. Die Löschung Ihrer Daten können Sie durch das Löschen ihres Accounts auf Network XYZ jederzeit auch selbst vornehmen: Bitte gehen Sie hierfür in Ihren Account, klicken auf den Link „Profil löschen“ und folgen den dortigen An988
|
Krieg
Rz. 8 Teil 7 II
Erläuterungen
weisungen. Ihr Account – d.h. Ihre Profilseite und Ihre bei uns vorliegenden Daten – wird in diesem Fall automatisch gelöscht. Ihre Inhalte und Kommentare können Sie auch jederzeit selbst manuell löschen. Ansonsten kontaktieren Sie uns bspw. per E-Mail unter [E-Mail-Adresse einzufügen], per Fax unter [Faxnummer einzufügen] oder postalisch unter [postalische Adresse einzufügen]. Ggf. verlangen wir einen Nachweis Ihrer Identität, bevor wir Ihr Anliegen umsetzen. Dies dient dem Schutz Ihrer Daten vor Manipulation oder Löschung durch Dritte. Falls und insoweit allerdings gesetzliche Aufbewahrungsrechte oder -pflichten bestehen, werden wir die entsprechenden Daten für eine weitere Verwendung sperren. Sollten Sie Inhalte anderer Nutzer kommentiert haben, dann werden wir bei der Löschung Ihres Accounts Ihren Nutzernamen von diesen Kommentaren entfernen. Die Kommentare als solche werden nicht gelöscht. Vor Löschung Ihres Accounts haben Sie jedoch jederzeit die Möglichkeit, Ihre Kommentare selbst manuell zu löschen. 7. Verantwortliche Stelle, Datenschutzbeauftragter und Kontakt Die hier im datenschutzrechtlichen Sinn „verantwortliche Stelle“ ist die Network XYZ GmbH. Umfassende Informationen über die Network XYZ GmbH wie bspw. Anschrift oder Handelsregisterdaten können Sie in unserem Impressum unter [URL einzufügen] abrufen. Dort finden Sie auch Informationen zu dem von uns bestellten Datenschutzbeauftragten und dessen Kontaktdaten. Sollten Sie Fragen zu diesen Datenschutzbestimmungen oder zur Erhebung, Verarbeitung oder Nutzung Ihrer Daten durch uns haben, dann kontaktieren Sie uns per E-Mail unter [E-Mail-Adresse einzufügen], per Fax unter [Faxnummer einzufügen] oder postalisch unter [postalische Adresse einzufügen].
C. Erläuterungen I. Vorbemerkungen Mit dem vorliegenden Muster für „Datenschutzbestimmungen und Einwilligungserklärungen für soziale Netzwerke“ kann ein Diensteanbieter grundsätzlich sowohl seinen datenschutzrechtlichen Informationspflichten gegenüber sich registrierenden Nutzern nachkommen, als auch – soweit seine Erhebung, Verarbeitung und/oder Nutzung der Nutzerdaten nicht bereits gesetzlich erlaubt ist – erforderliche Einwilligungen von den Nutzern einholen.
7
Soziale Netzwerke im Internet stellen Telemediendienste i.S.v. § 1 Abs. 1 Satz 1 TMG dar1. Nur einzelne ihrer üblichen Funktionalitäten wie bspw. die Möglichkeit zum Versand von Direktnachrichten zwischen Nutzern, welche
8
1 Karg/Fahl, K&R 2011, 453 (456, 457).
Krieg
|
989
Teil 7 II Rz. 9
Datenschutz soziale Netzwerke
sich als Telekommunikationsdienst nach § 3 Nr. 24 TKG einordnen lässt1, sind anders zu qualifizieren. Entsprechend finden für soziale Netzwerke in datenschutzrechtlicher Hinsicht gem. § 1 Abs. 3 Satz 1 BDSG im Wesentlichen die §§ 11 ff. TMG vorrangig vor den Regelungen des BDSG Anwendung. 9
Es gilt gem. § 4 Abs. 1 BDSG das allgemeine Verbot mit Erlaubnisvorbehalt, personenbezogene Daten zu erheben, zu verarbeiten und zu nutzen. Diese Handlungen sind nur zulässig, wenn der Betroffene einwilligt oder das Gesetz sie ausdrücklich erlaubt. Gem. § 12 Abs. 1 TMG darf der Anbieter eines Telemediendienstes personenbezogene Daten zur Bereitstellung des Dienstes nur erheben und verwenden, soweit das TMG oder eine andere sich ausdrücklich auf Telemedien beziehende Rechtsvorschrift dies erlaubt, oder aber der Nutzer eingewilligt hat. Weiter darf der Diensteanbieter solche für die Bereitstellung von Telemedien erhobenen personenbezogenen Daten gem. § 12 Abs. 2 TMG für andere Zwecke als die Bereitstellung des Dienstes nur dann verwenden, soweit das TMG oder eine andere sich ausdrücklich auf Telemedien beziehende Rechtsvorschrift dies erlaubt, oder aber der Nutzer eingewilligt hat.
10
In § 14 hält das TMG Erlaubnisregelungen zu Bestandsdaten, in § 15 Erlaubnisregelungen zu Nutzungsdaten bereit. Eine Spezialvorschrift zu Inhaltsdaten findet sich im TMG jedoch nicht. Hinsichtlich nutzergenerierter Inhalte, die nicht die Inanspruchnahme des Dienstes ermöglichen, sondern deren Generierung quasi die Inanspruchnahme des Dienstes darstellen, finden nach überwiegender Ansicht die Regelungen des BDSG direkte Anwendung2.
11
Theoretisch ist es denkbar, dass ein Diensteanbieter die Klauseln zur Einholung von Einwilligungserklärungen anstelle in gesonderten Datenschutzbestimmungen in seinen allgemeinen Geschäftsbedingungen aufnimmt – und dies sogar, ohne dass es für die Erteilung der Einwilligungen einer gesonderten Checkbox bedürfte3. Allerdings dürfte eine solche Gestaltung das Risiko einer Unwirksamkeit dieser Klauseln bzw. der angestrebten Einwilligungen der Nutzer erhöhen. Datenschutzrechtliche Einwilligungsklauseln müssen inhaltlich und formal den Kriterien des § 4a BDSG und des § 13 Abs. 2 TMG gerecht werden. Sprich: Sie müssen die Voraussetzungen dafür schaffen, dass freiwillige, bewusst und eindeutig erfolgende Einwilligungen der Betroffenen zustande kommen. Entscheidend ist die Transparenz der Datenerhebung und -verarbeitung für den Nutzer. Ist keine Transparenz gegeben, kann keine freiwillige, bewusste und eindeutige Einwilligung erfolgen4. Schon allein der zwangsläufig größere Umfang des Textes, aber auch die Verknüpfung mit thematisch breiter gestreuten Regelungen bei einer Aufnahme der Datenschutzbestimmungen in Allgemeinen Geschäftsbedingungen dürfte sich in Sachen Transparenz fast zwangsläufig negativ auswirken und das Risiko einer Unwirksamkeit erhöhen. 1 Karg/Fahl, K&R 2011, 453 (456, 457). 2 Karg/Fahl, K&R 2011, 453 (458); Plath/Hullen/Roggenkamp, § 14 TMG Rz. 5, § 15 TMG Rz. 13; a.A. Spindler/Schuster/Spindler/Nink, § 15 TMG Rz. 5a; Bauer, MMR 2008, 435 (436). 3 BGH v. 16.7.2008 – VIII ZR 348/06, CR 2008, 720; Plath/Plath, § 4a BDSG Rz. 38. 4 Schwenke, WRP 2013, 37 (39, 40), im Übrigen auch zur möglichen AGB-rechtlichen Kontrolle von Datenschutzbestimmungen.
990
|
Krieg
Erläuterungen
Rz. 14 Teil 7 II
Vereinzelt wird vorgeschlagen, zu Zwecken einer möglichst großen Transparenz die der Erfüllung von Informationspflichten, nicht aber dem Einholen von Einwilligungen dienenden Klauseln in einem gesonderten Text zu erfassen und dem Nutzer mit diesem zur Kenntnis zu bringen1. Es erscheint jedoch fraglich, ob hierdurch wirklich eine bessere Übersichtlichkeit und/oder Verständlichkeit der Klauseln erreicht werden kann. Der Nutzer wäre statt mit zwei (AGB und Datenschutzbestimmungen) nun mit drei gesonderten Texten konfrontiert (AGB, datenschutzrechtlicher Informationstext und schließlich dem „Einwilligungstext“), und Wiederholungen zumindest bestimmter Ausführungen aus dem Informationstext im Einwilligungstext wären in diesem Fall wohl unvermeidlich, da die Einwilligungsklauseln allein aus sich heraus ansonsten nicht verständlich sein dürften2.
12
Im Kontext ist schließlich zu beachten, dass auch auf die Einholung von Einwilligungserklärungen gerichtete Klauseln in Datenschutzbestimmungen Gegenstand einer AGB-rechtlichen Kontrolle nach §§ 305 ff. BGB sein können. Entscheidend ist nach neuerer Ansicht in diesem Zusammenhang, ob die Einwilligungserklärung eine rechtsgeschäftliche Erklärung darstellt – was auch der Fall sein könne, wenn die Einwilligungserklärung mit einem Rechtsgeschäft verbunden ist3. Bei der Anmeldung bei einem sozialen Netzwerk – wie auch bei der Anmeldung bei anderen Internet-Plattformen – wird der Abschluss eines Nutzungsvertrags bezüglich der jeweiligen Plattform angestrebt. Im Zusammenhang angestrebte Einwilligungserklärungen sind daher regelmäßig mit einem Rechtsgeschäft verbunden und entsprechende Klauseln in Datenschutzbestimmungen somit der Kontrolle gem. §§ 305 ff. BGB unterworfen. Vor allem das Transparenzgebot aus § 307 Abs. 1 Satz 2 BGB kommt hier zum Tragen4.
13
II. Erläuterung der einzelnen Klauseln 1. Erläuterungen zum einleitenden Teil E Datenschutzbestimmungen
14
Dies sind die Datenschutzbestimmungen für Network XYZ, das von der Network XYZ GmbH betriebene soziale Netzwerk im Internet. Mit diesen Datenschutzbestimmungen möchten wir – die Network XYZ GmbH – Sie darüber informieren, welche personenbezogenen Daten wir von Ihnen erheben und wie wir diese verwenden, wenn Sie Network XYZ besuchen und nutzen. 1 Wintermeier, ZD 2013, 21 (23). 2 S. in diesem Zusammenhang auch Spies, „Zwei Datenschutzerklärungen pro Unternehmen? Eine für die Verbraucher – eine für die „Juristen“?“, abrufbar unter http:// blog.beck.de/2013/04/04/zwei-datenschutzerkl-rungen-pro-unternehmen-eine-f-r-dieverbraucher-eine-f-r-die-juristen (Stand 25.7.2013), der den Gedanken aufwirft, für Verbraucher „eine einfache, leicht lesbare Zusammenfassung der wichtigsten Begriffe und Bestimmungen“ und zusätzlich „ein ausführlicheres Dokument mit den juristischen Details“ bereitzustellen. 3 KG v. 26.8.2010 – 23 U 34/10, NJW 2011, 466; Plath/Plath, § 4a BDSG Rz. 39, 40. 4 LG Berlin v. 30.4.2013 – 15 O 92/12, K&R 2013, 411 (412); Plath/Plath, § 4a BDSG Rz. 40 ff.
Krieg
|
991
Teil 7 II Rz. 15
Datenschutz soziale Netzwerke
Mit Ihrer für die Anmeldung auf Network XYZ erforderlichen Zustimmung zu diesen Datenschutzbestimmungen willigen Sie uns gegenüber in die nachfolgend beschriebene Erhebung, Verarbeitung und Nutzung Ihrer personenbezogenen Daten ein, die im Kontext der Begründung, der Durchführung und der Abwicklung Ihres Nutzungsverhältnisses bezüglich Network XYZ erfolgt. „Personenbezogene Daten“ sind nach dem Bundesdatenschutzgesetz alle „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“. Etwas anders ausgedrückt sind Ihre personenbezogenen Daten also Informationen, die sich auf Sie beziehen oder etwas über Sie persönlich aussagen und mit Ihnen in Verbindung gebracht werden können. Der Einfachheit halber und zur besseren Verständlichkeit sprechen wir in diesen Datenschutzbestimmungen auch kurz von „Ihren Daten“, wenn von Ihren personenbezogenen Daten die Rede ist. Der Schutz Ihrer Daten ist uns wichtig. Und dieser Schutz lässt sich nur sicherstellen, wenn Sie wissen, was mit Ihren Daten auf Network XYZ geschieht. Daher möchten wir Sie bitten, sich die Zeit zu nehmen, um diese Datenschutzbestimmungen sorgfältig zu lesen. Wir halten uns strikt an die geltenden datenschutzrechtlichen Bestimmungen und wir setzen technische wie auch organisatorische Maßnahmen ein, um Ihre Daten zu schützen.
a) Ratio 15
Diesem einleitenden Teil der Datenschutzbestimmungen kommt noch kein eigentlicher Regelungsgehalt zu. Vielmehr dient er dazu, mit möglichst nicht übertrieben rechtstechnischen Formulierungen – die sich aus Gründen der Verständlichkeit in Datenschutzbestimmungen ohnehin verbieten1 – in die hier adressierten Themen Datenschutz, datenschutzrechtlich relevante Unterrichtungen und angestrebte Einwilligungen einzuführen. Es kann sinnvoll sein, zusätzlich über das rechtlich Erforderliche hinausgehende Erläuterungen an anderer Stelle zur Verfügung zu stellen, um die Datenschutzbestimmungen selbst nicht zu überfrachten. So hat bspw. studiVZ auf seinen Hilfeseiten themenbezogene Informationstexte veröffentlicht, die in ihrem Umfang deutlich über den der eigentlichen Datenschutzbestimmungen hinausgehen2.
b) Bezeichnung des Textes 16
Für Texte, auf deren Basis Anbieter von Telemediendiensten sowohl ihren datenschutzrechtlichen Informationspflichten nachkommen, als auch erforderliche Einwilligungen von Betroffenen einholen möchten, hat sich bislang keine einheitliche Bezeichnung durchgesetzt. „Datenschutzbestimmungen“, „Datenschutzerklärung“, „Datenschutzhinweise“ und „Datenschutzrichtlinie“ dürften die wohl am weitesten verbreiteten Begriffe sein. 1 Plath/Hullen/Roggenkamp, § 13 TMG Rz. 9. 2 S. www.studivz.net/l/policy/info (Stand 25.7.2013).
992
|
Krieg
Erläuterungen
Rz. 18 Teil 7 II
Keine dieser vier Bezeichnungen deutet ihrem Wortlaut nach ausdrücklich darauf hin, dass der entsprechende Text auch der Einholung von Einwilligungen von den Nutzern dienen soll1. Ein u.a. vom LG Berlin geforderter2, ausdrücklicher Hinweis auf die angestrebte Erklärungseinholung, der vom Nutzer während des Anmeldeprozesses auch ohne das Lesen der Datenschutzbestimmungen wahrgenommen wird, lässt sich leicht mit dem eine Checkbox begleitenden Text geben, durch deren Anklicken ein sich registrierender Nutzer den Datenschutzbestimmungen zustimmt und in die Erhebung und Verwendung seiner Daten einwilligt. Es ist zu vermeiden, sich mit dem Begleittext der Checkbox lediglich bestätigen zu lassen, dass der Nutzer „die Datenschutzbestimmungen gelesen habe und diese bestätige“, da hiermit kein Hinweis auf die angestrebten Einwilligungen erfolgt3. Bspw. die Formulierung „Hiermit willige ich in die in den Datenschutzbestimmungen näher beschriebene Erhebung, Verarbeitung und Nutzung meiner Daten ein“ bietet sich an, wobei idealiter auch noch der Zweck der Datenerhebung und Verwendung überschlägig erwähnt werden sollte.
c) Grundsätzliche Anforderungen an Hinweise zum Datenschutz und an vorformulierte Einwilligungserklärungen aa) Informationspflichten (1) Unterrichtung über Art, Umfang und Zwecke der Erhebung und Verwendung der Daten Nach § 13 Abs. 1 Satz 1 TMG muss ein Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form unterrichten. Unnötige juristische oder technische Fachbegriffe sollten daher in Datenschutzbestimmungen entweder vermieden oder in für juristische und technische Laien verständlicher Weise erläutert werden4.
17
(2) Unterrichtung über den Ort der Verarbeitung Ein Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs ebenfalls über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG zu unterrichten. Zum Teil könnten Kommentierungen zu § 13 Abs. 1 Satz 1 TMG dahingehend verstanden werden, dass ein Diensteanbieter Betroffene immer informieren muss, ob eine Verarbeitung ihrer Daten außerhalb der EU oder des EWR stattfindet – und nicht nur dann, wenn dies tatsächlich der Fall ist5. Richtigerweise muss gemäß dem Wortlaut von § 13 Abs. 1 TMG über den Ort der Datenverarbeitung jedoch nur dann in1 Härting, CR 2011, 169 (170) sieht den Begriff der „Datenschutzbestimmungen“ in der Praxis regelmäßig eher für Texte verwendet, mit denen lediglich Informationspflichten nachgekommen, aber keine Einwilligungen eingeholt werden. 2 LG Berlin v. 6.3.2012 – 16 O 551/10, CR 2012, 270. 3 LG Berlin v. 6.3.2012 – 16 O 551/10, CR 2012, 270. 4 Plath/Hullen/Roggenkamp, § 13 TMG Rz. 9. 5 S. bspw. Plath/Hullen/Roggenkamp, § 13 TMG Rz. 7.
Krieg
|
993
18
Teil 7 II Rz. 19
Datenschutz soziale Netzwerke
formiert werden, wenn eine Datenverarbeitung außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG erfolgt1. Es steht einem Diensteanbieter aber natürlich frei, darauf hinzuweisen, dass kein Export von Daten zu einem Ort außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG erfolgt.
bb) Einwilligungserklärungen 19
Einwilligungserklärungen können gem. § 13 Abs. 2 TMG elektronisch erklärt werden, wenn der Diensteanbieter entsprechend § 13 Abs. 2 Nr. 1 TMG sicherstellt, dass der Nutzer seine Einwilligung bewusst und eindeutig erteilt. Zudem ist für die Wirksamkeit einer Einwilligung nach § 4a Abs. 1 Satz 1 BDSG erforderlich, dass diese freiwillig abgegeben wird2.
(1) Allgemeines Transparenzgebot 20
Grundsätzliche Voraussetzung für die bewusste und eindeutige Einwilligung eines Nutzers ist zunächst, dass die Einwilligungsklausel – ebenso wie der Unterrichtung von Nutzern dienende Klauseln – allgemein verständlich abgefasst ist. Der Nutzer muss erkennen können, in was er einwilligen soll, also welche seiner Daten zu welchen Zwecken erhoben und verwendet werden sollen3. Mitunter wird bezweifelt, ob es bei sozialen Netzwerken mit extrem vielfältigen Verarbeitungs- und Übermittlungstatbeständen überhaupt noch möglich ist, allgemein verständliche Einwilligungsklauseln zusammenzustellen, oder ob nicht eine Unüberschaubarkeit von Tatbeständen und zwangsläufig auch der korrespondierenden Texte der geforderten Verständlichkeit entgegensteht4. In Extremfällen mag dies sogar diskutabel sein – im Normalfall jedoch wohl eher nicht.
(2) Freiwilligkeit der Einwilligung 21
Weist ein Arbeitgeber einen Arbeitnehmer an, bestimmte Social Media Plattformen zu beruflichen Zwecken zu nutzen5, so lässt sich durchaus diskutieren, ob diese Anweisung nicht der erforderlichen Freiwilligkeit der Einwilligungserklärungen entgegensteht, die in diesem Kontext durch den Arbeitnehmer gegenüber dem Plattformbetreiber abzugeben wären6. Spiecker gen. Döhmann sieht darüber hinaus die Freiwilligkeit auch dann in Gefahr, wenn im privaten Bereich aufgrund eines sozialen Drucks gleichsam ein faktischer Zwang zur Nutzung einer bestimmten Plattform besteht. Ein solcher Druck bestünde vor allem, wenn ein Anbieter auf seinem Feld quasi ein monopolistisches Angebot bereitstelle. Nähme man das Kriterium der Freiwilligkeit ernst, so Spiecker 1 2 3 4
Heckmann, jurisPK-Internetrecht, § 13 TMG Rz. 198. Plath/Plath, § 4a BDSG Rz. 23 ff. Plath/Hullen/Roggenkamp, § 13 TMG Rz. 19. Kläner, „Datenschutz und Datensicherheit in sozialen Netzwerken“, abrufbar unter http://tlmd.in/a/1806 (Stand 24.7.2013); Spiecker gen. Döhmann, K&R 2012, 717 (719). 5 S. zu dieser Problematik auch das kommentierte Muster einer Social Media-Richtlinie in Teil 4 VII Rz. 12 ff. 6 S. bspw. Plath/Plath, § 4a BDSG Rz. 27 für die möglichen Auswirkungen des Abhängigkeitsverhältnisses in Arbeitsbeziehungen.
994
|
Krieg
Erläuterungen
Rz. 24 Teil 7 II
gen. Döhmann, dann sei die (freiwillige) Einwilligung ab einer bestimmten Größe und Bedeutung der jeweiligen Plattform gar nicht mehr möglich1. Im Zweifel wäre dies eher wohl ein „Luxusproblem“, dem sich nur die wenigsten Anbieter ausgesetzt sehen. Aber ohnehin ist dieser Ansicht mit Skepsis zu begegnen, da ein solcher Druck – wenn man nicht zu seichte Anforderungen stellt – wohl nur in seltenen Fällen überhaupt ein Maß erreichen kann, in dem dieser Ansatz diskutiert werden könnte.
(3) „Drucktechnische“ Hervorhebung Soll eine datenschutzrechtliche Einwilligung zusammen mit anderen Erklärungen vom Nutzer eingeholt werden, so müssen die Einwilligungsklauseln gem. § 4a Abs. 1 Satz 4 BDSG besonders hervorgehoben werden. Im Rahmen der Anmeldung bei einem sozialen Netzwerk stimmt ein sich anmeldender Nutzer nicht nur den Datenschutzbestimmungen, sondern auch den allgemeinen Geschäftsbedingungen zu. Aber auch wenn Datenschutzbestimmungen und AGB in voneinander getrennten Texten vorliegen, so finden sich in den Datenschutzbestimmungen regelmäßig neben den Einwilligungsklauseln auch auf eine bloße Unterrichtung des Nutzers gerichtete, informative Regelungen. Daher sollten in jedem Fall die Einwilligungsklauseln grafisch hervorgehoben werden – wie dies in diesem Muster bspw. durch Fettdruck und Umrahmung geschieht.
22
(4) Opt-in vs. Opt-out Bei der Ausgestaltung des Anmeldeprozesses muss der Anbieter dafür Sorge tragen, dass ein sich registrierender Nutzer die Einbeziehung der Datenschutzbestimmungen z.B. durch das Anklicken eines Kästchens („Checkbox“) aktiv bestätigt, in dessen Kontext die Datenschutzbestimmungen durch eine Verlinkung verfügbar gemacht werden. Der Checkbox kann bspw. der folgende Text vorangehen: „Hiermit willige ich in die in den Datenschutzbestimmungen näher beschriebene Erhebung, Verarbeitung und Nutzung meiner Daten ein.“
23
Es soll eine eindeutige und bewusste Handlung des Nutzers zur Erteilung der Einwilligung erfolgen. Entsprechend ist es nach wohl zumindest im Schrifttum überwiegender Ansicht nicht ausreichend, wenn ein Nutzer in Umkehrung des oben geschilderten Prinzips eine Checkbox anklicken muss, um seine Ablehnung der Datenschutzbestimmungen und die Verweigerung seiner Einwilligungen zum Ausdruck zu bringen2. Daher sollte eine Checkbox nicht bereits voraktiviert sein, so dass der Nutzer ein Opt-out vornehmen müsste.
24
1 Spiecker gen. Döhmann, K&R 2012, 717 (719, 720). 2 Plath/Hullen/Roggenkamp, § 13 TMG Rz. 19, 23; Taeger/Gabel/Moos, § 13 TMG Rz. 21; zustimmend zum Opt-out-Verfahren unter datenschutzrechtlichen Aspekten jedoch BGH v. 16.7.2008 – VIII ZR 348/06, CR 2008, 720; BGH v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87.
Krieg
|
995
Teil 7 II Rz. 25
Datenschutz soziale Netzwerke
2. Erläuterungen zu Ziffer 1 25
E 1. Mindestalter für die Anmeldung bei Network XYZ Die Anmeldung bei und die Nutzung von Network XYZ ist ausschließlich volljährigen Personen erlaubt. Minderjährigen sind die Anmeldung und die Nutzung nicht gestattet.
a) Ratio 26
Die Festlegung des für eine Anmeldung auf der Plattform erforderlichen Mindestalters ist eine Regelung, die thematisch auch – oder sogar eher – in die Allgemeinen Geschäftsbedingungen passen würde. Sie sollte daher auch in den AGB nicht fehlen. Hier ist sie in den Datenschutzbestimmungen aufgenommen, um möglichst umfassend möglichen Schwierigkeiten im Zusammenhang mit der Anmeldung nicht erwünschter weil aufgrund ihres Alters nicht einwilligungsfähiger (potentieller) Nutzer zu begegnen – auch wenn sich Minderjährige durch ein entsprechendes Verbot in der Praxis wohl eher selten von einer Anmeldung abschrecken lassen werden.
b) Grundsätzliches zur Einwilligungs- und Einsichtsfähigkeit 27
Anders als bei der unbeschränkten Geschäftsfähigkeit, die nach §§ 104, 106, 2 BGB regelmäßig mit Erreichen der Volljährigkeit im Alter von 18 Jahren vorliegt, ist die Altersgrenze fließend, mit deren Überschreiten die datenschutzrechtliche Einwilligungsfähigkeit erreicht wird. Obwohl vereinzelt offenbar vertreten wird, dass Minderjährige hinsichtlich automatisierter Verfahren grundsätzlich nicht einwilligungsfähig wären1, können nach herrschender Ansicht durchaus auch Minderjährige bereits einwilligungsfähig sein – wenn sie denn die Bedeutung und Tragweite ihrer jeweiligen Einwilligungserklärung verstehen2. Ob ein solches Verständnis vorliegt, lässt sich nicht pauschal, sondern immer nur im Einzelfall und nur anhand der jeweils konkreten Umstände bestimmen. Heckmann sieht eine Einsichtsfähigkeit von Minderjährigen zumindest ab dem Alter von 16 Jahren als regelmäßig gegeben an, soweit keine gegenteiligen Anhaltspunkte ersichtlich sind3. Eine Bestimmung im Einzelfall ist für einen Diensteanbieter offensichtlich weder praktikabel, noch in der Regel überhaupt möglich. Wer einen Dienst anbietet, zu dessen Zielgruppe auch Minderjährige gehören und für dessen Nutzung die Erklärung datenschutzrechtlicher Einwilligungen erforderlich sind, läuft entsprechend Gefahr, diese Einwilligungen in der Praxis nicht einzuholen bzw. überhaupt einholen zu können.
1 Wintermeier, ZD 2012, 210 (212). 2 Jandt/Roßnagel, MMR 2011, 637 (638); Plath/Plath, § 4a BDSG Rz. 8, 9; Simitis/Simitis, § 4a BDSG Rz. 20, 21. 3 Heckmann, § 13 TMG Rz. 217.
996
|
Krieg
Erläuterungen
Rz. 29 Teil 7 II
c) (Keine) gesetzliche Erlaubnis bei Minderjährigen Zu den oben dargestellten datenschutzrechtlichen Problemen bei der Einholung von Einwilligungen Minderjähriger kommt hinzu, dass die gesetzlichen Erlaubnistatbestände der §§ 14 Abs. 1, 15 Abs. 1 TMG bei Minderjährigen nach verbreiteter (jedoch nicht unstreitiger) Ansicht nicht greifen können1. Unabhängig von der Typisierung eines Nutzungsvertrags für ein Social Network – Schwenke2 sowie Jandt/Roßnagel3 sehen hierin einen Dienstvertrag und Wintermeier4 eine Mischung aus werk- und dienstvertraglichen Elementen – stellt ein solcher Nutzungsvertrag nach überwiegender Ansicht keine für den Nutzer rechtlich lediglich vorteilhafte Vereinbarung i.S.v. § 107 BGB dar. Denn zwar kann eine Nutzung von Social Networks durch den Nutzer meist unentgeltlich erfolgen, jedoch sollen mit dem Nutzungsvertrag auch Pflichten für den Nutzer begründet werden5. Damit bedarf ein von einem Minderjährigen angestrebter Nutzungsvertrag zu seiner Wirksamkeit regelmäßig der Einwilligung seitens seiner Erziehungsberechtigten, ohne die in der Konsequenz dann auch die gesetzlichen Erlaubnisse aus §§ 14 Abs. 1, 15 Abs. 1 TMG nicht greifen.
28
Nach anderer Ansicht ist der Abschluss eines Vertrags für die Begründung eines „Nutzungsverhältnisses“ i.S.v. § 11 TMG jedoch nicht erforderlich. Die rein faktische Inanspruchnahme des Dienstes sei notwendige, aber auch hinreichende Bedingung für die Anwendung der §§ 11 ff. TMG und somit auch von §§ 14 und 15 TMG. Faktisch nutzen kann den Dienst aber auch ein Minderjähriger6.
d) Alternative Lösungsansätze Einige Anbieter von speziell auf Minderjährige ausgerichteten Social Networks und Communities verfolgen verschiedene Lösungsansätze, um den oben geschilderten datenschutzrechtlichen Herausforderungen zu begegnen. Die Anbieter der Lehrerbewertungsplattform spickmich7 bspw. verzichten vollständig auf – zustimmungsbedürftige – Datenschutzbestimmungen. Bei der vom ZDF für Kinder betriebenen Community „tivi“ wird eine Anmeldung erst dann abgeschlossen und ein Account eingerichtet, wenn die Betreiber per Fax oder Post eine von den Eltern unterzeichnete Anmeldung erhalten haben, mit denen die „tivi Treff Regeln“ bestätigt werden8. 1 Jandt/Roßnagel, MMR 2011, 637 (639); Plath/Hullen/Roggenkamp, § 14 TMG Rz.14; Wintermeier, ZD 2012, 210 (212); mit entsprechenden Überlegungen auch Bräutigam, MMR 2012, 635 ff. 2 Schwenke, WRP 2013, 37 (40). 3 Jandt/Roßnagel, MMR 2011, 637 (639). 4 Wintermeier, ZD 2012, 210 (211); s. zum Ganzen auch Hoeren/Sieber/Redeker, Teil 12 Rz. 421. 5 Bräutigam, MMR 2012, 635 (639); Jandt/Roßnagel, MMR 2011, 637 (639); Wintermeier, ZD 2012, 210 (212). 6 Taeger/Gabel/Moos, § 11 TMG Rz. 25. 7 S. www.spickmich.de. 8 S. www.tivi.de und www.tivi.de/tivitreff/registrierungtivitreff/anmeldung.html (Stand 25.7.2013).
Krieg
|
997
29
Teil 7 II Rz. 30
Datenschutz soziale Netzwerke
3. Erläuterungen zu Ziffer 2 30
E 2. Ihre von uns erhobenen Daten sowie Art und Zweck von deren Verarbeitung und Nutzung 2.1 Bei der Anmeldung von Ihnen anzugebende Daten Bei der Anmeldung auf Network XYZ müssen Sie zunächst einen – Nutzernamen und ein – Passwort wählen und eine – E-Mail-Adresse angeben. Ihr Passwort und Ihre E-Mail-Adresse sind für andere Personen nicht einsehbar, und wir werden sie auch nicht an Dritte weitergeben. Ihre E-Mail-Adresse verwenden wir, um mit Ihnen in Kontakt zu treten. Ihr Passwort und Ihre E-Mail-Adresse können Sie jederzeit ändern, Ihren Nutzernamen nicht. 2.2 Weitere Daten, die Sie freiwillig angeben können Sie können bei der Anmeldung – aber auch später noch – freiwillig weitere Angaben machen (nachfolgend „freiwillige Angaben“ genannt). Dies können bspw. Angaben zu Ihren Hobbies, Ihren privaten Interessen, Ihrem Beziehungsstatus oder zu Ihren Mitgliedschaften bei anderen Internet-Plattformen sein. Sie können auch ein Profilfoto von sich hochladen. Ihre freiwilligen Angaben können Sie jederzeit ändern oder wieder löschen. 2.3 Ihre Profilseite Sie willigen darin ein, dass mit Abschluss Ihrer Anmeldung unter Ihrem Nutzernamen eine Profilseite für Sie angelegt wird, auf der auch von Ihnen eventuell gemachte freiwilligen Angaben aufgeführt sind und das von Ihnen möglicherweise hochgeladene Profilbild angezeigt wird. Sie willigen ferner darin ein, dass Sie unter Ihrem Nutzernamen über die Suchfunktion von Network XYZ auffindbar sind und Ihre Profilseite entsprechend den von Ihnen festgelegten Einstellungen zur Privatsphäre Ihres Accounts (nachfolgend „Privatsphäreneinstellungen“ genannt) von anderen Personen eingesehen werden kann. Die anfängliche Standardeinstellung nach Abschluss Ihrer Anmeldung ist, dass Ihre Profilseite für niemanden außer für durch Sie bestätigte Kontakte auf Network XYZ einsehbar ist. Sie können Ihre Privatsphäreneinstellungen bspw. so ändern, dass Ihre Profilseite für alle anderen Nutzer von Network XYZ einsehbar ist, oder dass Ihre Profilseite auch von jedermann außerhalb des Nutzerkreises von Network XYZ eingesehen und auch über Suchmaschinen im Internet aufgefunden werden kann. 998
|
Krieg
Erläuterungen
Rz. 30 Teil 7 II
2.4 Ihre Inhalte und Kommentare Nach Abschluss der Anmeldung können Sie auf Network XYZ Inhalte wie bspw. Statusmeldungen oder Bilder veröffentlichen. Die von Ihnen veröffentlichten Inhalte werden in chronologischer Reihenfolge mit Datums- und Zeitangabe auf Ihrer Profilseite angezeigt. Personen, denen Sie den Zugang zu Ihrer Profilseite gestatten, können also auch Ihre Inhalte einsehen. Sie willigen darin ein, dass die von Ihnen veröffentlichten Inhalte auf Ihrer Profilseite für die von Ihnen in Ihren Privatsphäreneinstellungen gewählten Personenkreise einsehbar sind. Sie können auch Kommentare auf Profilseiten oder zu Inhalten anderer Nutzer veröffentlichen, die dann dort unter Ihrem Nutzernamen angezeigt werden. Datum und Zeit Ihrer Kommentierung werden auch hier mit angegeben. Sie willigen darin ein, dass Kommentare, die Sie auf Profilseiten oder zu Inhalten anderer Nutzer veröffentlichen, dort unter Ihrem Nutzernamen entsprechend den von den jeweiligen anderen Nutzern gewählten Privatsphäreneinstellungen einsehbar sind. Die von diesen anderen Nutzern gewählten Privatsphäreneinstellungen können weniger restriktiv sein als die von Ihnen gewählten. Wenn Sie Kommentare auf Profilseiten oder zu Inhalten anderer Nutzer veröffentlichen, dann können diese daher zusammen mit Ihrem Nutzernamen unter Umständen auch für Personenkreise einsehbar sein, die Ihre Profilseite und Ihre Inhalte ansonsten nicht einsehen können. Sie können die von Ihnen auf Network XYZ veröffentlichten Inhalte wie bspw. Statusmeldungen oder Bilder und Ihre Kommentare auf Profilseiten oder zu Inhalten anderer Nutzer jederzeit wieder löschen. 2.5 Weitere Privatsphäreneinstellungen Sie können in Ihren Privatsphäreneinstellungen noch weitere Einstellungen vornehmen. So können Sie bspw. bestimmen, ob – und wenn ja, für wen – einsehbar ist, welche anderen Nutzer Sie als Kontakt bestätigt haben. Sie willigen darin ein, dass Ihre Daten für andere Personen im Allgemeinen gemäß den von Ihnen gewählten Privatsphäreneinstellungen einsehbar sind. 2.6 Logfiles Jedes Mal, wenn Sie eine Internetseite aufrufen, werden von Ihrem Browser automatisch bestimmte Informationen an den Server der Internetseite gesendet und von diesem dann in einem so genannten Logfile gespeichert. Dies sind bspw. Informationen über – den Typ und die Version des von Ihnen verwendeten Browsers, – das von Ihnen verwendete Betriebssystem, – die Internetseite, von der aus Sie zur aktuellen Seite gekommen sind, – den Hostnamen (IP-Adresse) Ihres Rechners sowie – die Uhrzeit, zu der der Aufruf erfolgt ist. Krieg
|
999
Teil 7 II Rz. 31
Datenschutz soziale Netzwerke
Vorbehaltlich etwaiger gesetzlicher Aufbewahrungspflichten löschen oder anonymisieren wir Ihre IP-Adresse nach Ihrem Verlassen der Internetseiten von Network XYZ. Im Übrigen nutzen wir die durch Ihren Browser an unsere Server übermittelten Informationen in anonymisierter Form – also ohne dass Rückschlüsse auf Sie möglich wären – zur Analyse und Verbesserung unserer Dienste. Auf diese Weise können wir bspw. mögliche Fehler entdecken oder ermitteln, an welchen Tagen und zu welchen Uhrzeiten Network XYZ besonders stark genutzt wird. 2.7 Cookies Cookies sind sehr kleine, von Internetseiten verwendete Textdateien, die Ihr Browser auf Ihrem Computer speichert. Sog. „Session Cookies“ werden temporär im Arbeitsspeicher abgelegt und beim Schließen des Browsers automatisch gelöscht. Sog. „permanente Cookies“ werden über eine festgelegte längere Zeitspanne auf der Festplatte gespeichert; sie werden nach Ablauf der jeweils festgelegten Zeitspanne automatisch gelöscht. Cookies dienen vor allem dazu, die Benutzung einer Internetseite einfacher, effektiver und sicherer zu machen. Wir setzen Cookies ein, um Sie nach dem Einloggen auf Network XYZ während Ihrer Sitzung durchgängig identifizieren zu können. Nach dem Ende Ihrer Sitzung verfällt der entsprechende Session Cookie automatisch. Sie können Ihren Browser so einstellen, dass er Cookies generell nicht akzeptiert, oder sie nur nach ausdrücklicher Bestätigung durch Sie akzeptiert. Wie dies funktioniert, finden Sie leicht über die Hilfe-Funktion Ihres Browsers heraus. Wenn von Ihrem Browser keine Cookies akzeptiert werden, steht jedoch der Funktionsumfang von Network XYZ eventuell nur eingeschränkt oder gar nicht zur Verfügung. 31
In Ziffer 2 des Musters sind die der erforderlichen Unterrichtung der Nutzer und der Einholung von Einwilligungen von den sich anmeldenden Nutzern dienenden Klauseln zusammengefasst.
a) Erläuterungen zu Ziffer 2.1 aa) Ratio 32
Ziffer 2.1 dient der Unterrichtung darüber, welche Pflichtangaben von einem Nutzer bei der Anmeldung gemacht werden müssen. Der Umfang der Pflichtangaben ist in diesem Muster bewusst auf ein Minimum beschränkt.
bb) Anonyme Nutzung vs. pseudonyme Nutzung vs. Klarnamenzwang 33
Es ist umstritten, ob es dem Anbieter eines sozialen Netzwerkes gestattet ist, einen sog. „Klarnamenzwang“ zu etablieren und die Nutzer zu verpflichten, auf der Plattform unter ihrem realen Namen und nicht unter einem Pseudonym aufzutreten. Dabei lassen sich in diesem Kontext drei mögliche Fallgestaltungen ausmachen: 1000
|
Krieg
Erläuterungen
Rz. 37 Teil 7 II
– Der Klarname wird nicht zwingend erhoben und der Nutzer kann unter einem beliebigen Nutzernamen auf der Plattform auftreten (anonyme Nutzung); – der Klarname wird zwar zwingend erhoben, aber der Nutzer kann dennoch unter Pseudonym auf der Plattform auftreten (pseudonyme Nutzung); – der Klarname wird zwingend erhoben und der Anbieter schreibt den Nutzern vor, auch unter ihrem Klarnamen auf der Plattform aufzutreten (Klarnamenzwang). Nach § 13 Abs. 6 Satz 1 TMG hat der Anbieter die Nutzung seines Telemediendienstes und eine eventuelle Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Ob eine pseudonyme Nutzung ihrer Plattformen für die Betreiber von Social Networks allgemein zumutbar ist, ist umstritten.
34
Facebook ist der wohl bekannteste Vertreter des Klarnamenzwangs. Facebooks Argumentation läuft im Wesentlichen darauf hinaus, man verfolge mit der Klarnamenpflicht eine „Mission des Vertrauens und der Sicherheit“, eine Abkehr vom Realnamenprinzip sei daher nicht zumutbar1.
35
In der Literatur ist das Interesse, gerade im Social Web unter einem Pseudonym aufzutreten, wiederholt als grundsätzlich legitimes Bedürfnis der Nutzer anerkannt worden2. Gleichzeitig erscheint unbestritten, dass durchaus Szenarien denkbar sind, in denen ein legitimes Interesse des Betreibers eines sozialen Netzwerks an einem Klarnamenzwang besteht. Die erforderliche Zumutbarkeitsprüfung nach § 13 Abs. 6 Satz 1 TMG kann dabei aber immer nur mit Blick auf den jeweiligen Einzelfall vorgenommen werden. Bspw. BusinessNetzwerke wie Xing oder LinkedIn funktionieren im Gegensatz zu den meisten privaten sozialen Netzwerken regelmäßig nur dann, wenn die Teilnehmer unter ihrem Klarnamen auftreten3.
36
Mit Blick auf soziale Netzwerke, die für eine private Nutzung gedacht sind, überwiegen die Bedenken gegen einen grundsätzlichen Klarnamenzwang. Zwar kann durchaus erwartet werden, dass Nutzer sich allgemein besser und regelkonformer verhalten, wenn sie nach außen unter ihrem realen Namen auftreten (müssen), und dass so bspw. der Gefahr von Beleidigungen anderer Nutzer oder dem Veröffentlichen rechtlich kritischer Inhalte entgegengewirkt werden kann. Allerdings ließe sich dieser Erfolg wohl schon realisieren, wenn den Nutzern nur eine pseudonyme Nutzung gestattet wird, sie also ihren Klarnamen zumindest gegenüber den Diensteanbieter offenlegen müssen. Zudem
37
1 S. „ULD erlässt Verfügungen gegen Facebook wegen Klarnamenpflicht“, Pressemeldung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein vom 17.12.2012, abrufbar unter www.datenschutzzentrum.de/presse/20121217-facebookklarnamen.htm (Stand 25.7.2013). 2 Ballhausen/Roggenkamp, K&R 2008, 403 (406); Plath/Hullen/Roggenkamp, § 13 TMG Rz. 41; Stadler, ZD 2011, 57 (58). 3 Plath/Hullen/Roggenkamp, § 13 TMG Rz. 42; Krieg, AnwZert ITR 24/2008, Anm. 3; krit. hierzu Albrecht, AnwZert ITR 1/2011, Anm. 2.
Krieg
|
1001
Teil 7 II Rz. 38
Datenschutz soziale Netzwerke
findet in den allermeisten Fällen ohnehin grundsätzlich keine Verifizierung der Identitäten von Nutzern durch die Anbieter sozialer Netzwerke statt. Ein Klarnamenzwang kann daher durch die Angabe eines falschen Namens durch Nutzer leicht unterlaufen werden1. 38
Der Einschätzung, dass die Bedenken gegen einen grundsätzlichen Klarnamenzwang bei für eine private Nutzung gedachten sozialen Netzwerken überwiegt, steht auch nicht entgegen, dass die von dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein in diesem Kontext geführten Verfahren des vorläufigen Rechtsschutzes gegen die Facebook, Inc. und die Facebook Ireland Limited vor dem schleswig-holsteinischen Verwaltungs- und Oberverwaltungsgericht gescheitert sind2. Die Gerichte entschieden in diesen Verfahren, dass in diesen Fällen deutsches Datenschutzrecht nicht zur Anwendung käme, und haben sich entsprechend nicht näher zur Legitimität eines Klarnamenzwangs bei sozialen Netzwerken im Lichte des § 13 Abs. 6 TMG geäußert.
39
Der Gedanke einer anonymen oder pseudonymen Nutzung gem. § 13 Abs. 6 Satz 1 TMG wird allerdings ohnehin dann ausgehebelt, wenn sich das Profil eines Nutzers auf einem sozialen Netzwerk als eigenständiger Telemediendienst qualifiziert, hinsichtlich dessen der jeweilige Nutzer anbieterkennzeichnungspflichtig nach § 5 Abs. 1 TMG und/oder § 55 RStV ist. In diesem Fall hat der Nutzer seine Identität sowie weitere Informationen aufgrund gesetzlicher Verpflichtungen offen zu legen. Dass Nutzerprofile auf Social Media Plattformen sich als eigene Telemediendienste qualifizieren können, dürfte inzwischen unstrittig sein3.
b) Erläuterungen zu Ziffer 2.2 aa) Ratio 40
Soziale Netzwerke leben wie jede „Mitmachplattform“ im Internet insbesondere von den Inhalten, die die Nutzer generieren. Darüber hinaus haben ihre Betreiber regelmäßig ein besonderes Interesse daran, dass die Nutzer auch über sich selbst weitere, sogar möglichst viele Informationen preisgeben. Kontrovers diskutiert wird, wie solche freiwilligen zusätzlichen Angaben der Nutzer über sich selbst zu qualifizieren sind – ob als Bestands-, als Nutzungs- oder als Inhaltsdaten.
bb) Rechtliche Qualifizierung freiwilliger Angaben 41
In § 14 Abs. 1 hält das TMG Erlaubnisregelungen zu Bestandsdaten, in § 15 Erlaubnisregelungen zu Nutzungsdaten bereit. Erlaubnisregelungen zu sonstigen – Inhaltsdaten – sieht das TMG jedoch nicht vor. 1 Krit. gegenüber einem Recht auf eine anonyme Nutzung jedoch Schnabel/Freund, CR 2010, 718 (719). 2 VG Schleswig v. 14.2.2013 – 8 B 61/12; VG Schleswig v. 14.2.2013 – 8 B 60/12, CR 2012, 254; OVG Schleswig v. 22.4.2013 – 4 MB 11/13, NJW 2013, 1977. 3 LG Aschaffenburg v. 19.8.2011 – 2 HK O 54/11, CR 2012, 57; Krieg, AnwZert ITR 10/2009, Anm. 3; Krieg, K&R 2010, 73 (76).
1002
|
Krieg
Erläuterungen
Rz. 45 Teil 7 II
U.a. Schwenke scheint der Auffassung zu sein, dass es sich bei freiwilligen Nutzerangaben um von den gesetzlichen Erlaubnistatbeständen der §§ 14, 15 TMG erfasste Daten handelt und es entsprechend keiner Einwilligung der Nutzer in ihre Erhebung und Verarbeitung bedarf. Für den Betrieb eines sozialen Netzwerkes sei es schlicht erforderlich, dass die Nutzer gegenseitigen Einblick in Profildetails wie Hobbys anderer Nutzer erhielten1.
42
Diese Ansicht ist abzulehnen. Bei den freiwilligen Nutzerangaben handelt es sich regelmäßig um Inhaltsdaten2. Zwar intendiert der Zweck eines sozialen Netzwerks, dass die Nutzer Informationen auch über sich selbst preisgeben – zwingend voraussetzen tut er dies jedoch nicht. Was sich in der Praxis auch daran erkennen lässt, dass eine nicht unerhebliche Anzahl von Nutzern schlicht keine oder nur sehr wenige zusätzlichen freiwilligen Angaben über sich machen.
cc) Information über die Freiwilligkeit von Angaben gem. § 4 Abs. 3 Satz 2 BDSG Der Vollständigkeit halber ist noch anzumerken, dass bei Angaben, die vom Betroffenen nicht zwingend zu machen sind und die auch für den Abschluss eines Rechtsgeschäfts nicht erforderlich sind, gem. § 4 Abs. 3 Satz 2 BDSG auf die Freiwilligkeit der Angabe hinzuweisen ist. Eine ausführliche Belehrung ist in diesem Kontext nicht erforderlich; es genügt ein knapper Hinweis, so lange dieser eindeutig und unmissverständlich ist3.
43
c) Erläuterungen zu Ziffer 2.3 aa) Ratio Ziffer 2.3 ist ein zentraler Teil dieser Datenschutzbestimmungen – sie beinhaltet die Einwilligungserklärung des Nutzers hinsichtlich der Einsehbarkeit seiner Profilseite, auf der auch seine freiwilligen Angaben aufgeführt sind.
44
bb) Erforderlichkeit der Einwilligung Mit Einblick in das Profil eines Nutzers erfolgt hier u.a. auch Einsicht in die vom jeweiligen Nutzer gemachten freiwilligen Angaben. Entsprechend dem oben unter Rz. 42 Gesagten sind auf freiwillige Nutzerangaben, da sie weder Bestands- noch Nutzungsdaten darstellen, die Vorschriften des BDSG anwendbar. Gesetzliche Erlaubnistatbestände für die Erhebung und Verarbeitung von Inhalts- und darüber hinausgehenden Daten könnten sich im BDSG in den §§ 27 ff. finden. 1 Schwenke, WRP 2013, 37 (41); s.a. Bauer, MMR 2008, 435 (436); Spindler/Schuster/ Spindler/Nink, § 15 TMG Rz. 5a. 2 Karg/Fahl, K&R 2011, 453 (458); Plath/Hullen/Roggenkamp, § 14 TMG Rz. 5, § 15 TMG Rz. 13; a.A. Spindler/Schuster/Spindler/Nink, § 15 TMG Rz. 5a; Bauer, MMR 2008, 435 (436). 3 Plath/Plath, § 4 BDSG Rz. 42.
Krieg
|
1003
45
Teil 7 II Rz. 46 46
Datenschutz soziale Netzwerke
Die Erlaubnis aus § 28 Abs. 1 Nr. 1 BDSG greift jedoch nicht, da – wie unter Rz. 42 dargelegt – freiwillige Nutzerangaben nicht im Sinne der Vorschrift „erforderlich“ für das Vertragsverhältnis zwischen Betreiber und Nutzer des Netzwerkes sind1. Zwar intendiert der Zweck eines sozialen Netzwerks, dass die Nutzer Informationen auch über sich preisgeben, zwingend voraussetzen tut er dies aber nicht. Und ein Rückgriff auf § 29 Abs. 1 Nr. 1 BDSG2 kommt jedenfalls nicht pauschal in Betracht. Es lässt sich zwar vertreten, dass in sozialen Netzwerken personenbezogene Daten einschließlich der freiwilligen Nutzerangaben im weitesten Sinne zum Zwecke der Übermittlung erhoben und verarbeitet werden. Ein schutzwürdiges Interesse des jeweiligen Nutzers, das einer unbeschränkten Verarbeitung entgegenstehen könnte, lässt sich jedoch nicht grundsätzlich und in jeder denkbaren Hinsicht ausschließen – letztlich kommt es hier jeweils auf den Einzelfall an. Insofern erscheint die in Ziffer 2.3 des Musters vorgesehene Einwilligungsklausel unverzichtbar.
cc) Erforderliche Voreinstellungen der Privatsphäreneinstellungen nach dem Entwurf der Datenschutz-Grundverordnung 47
Anzumerken ist, dass Art. 23 Abs. 1 Satz 1 des Entwurfs der DatenschutzGrundverordnung (2012/0011 (COD)) die ausdrückliche Verpflichtung von Diensteanbietern vorsieht, die restriktivste Voreinstellung von Privatsphäreneinstellungen vorzunehmen. Das hier vorgelegte Muster orientiert sich bereits an dieser Vorgabe.
d) Erläuterungen zu Ziffer 2.4 aa) Ratio 48
Ziffer 2.4 des Musters ist nach Ziffer 2.3 der nächste zentrale Teil dieser Datenschutzbestimmungen – sie beinhaltet die Einwilligungserklärung des Nutzers hinsichtlich der von ihm veröffentlichten Inhalte und Kommentare.
bb) Erforderlichkeit der Einwilligung 49
Hinsichtlich der von Nutzern veröffentlichten Inhalte und Kommentare gilt das zuvor unter Rz. 42 und und Rz. 46 zu den freiwilligen Nutzerangaben Gesagte entsprechend: Da sie weder Bestands- noch Nutzungsdaten darstellen, sind die Vorschriften des BDSG grundsätzlich anwendbar. Dass gesetzliche Erlaubnistatbestände für die Erhebung und Verarbeitung, insbesondere aus § 28 Abs. 1 Nr. 1 BDSG oder § 29 Abs. 1 Nr. 1 BDSG greifen, kommt jedenfalls nicht pauschal in Betracht. Aus diesem Grund erscheint eine Regelung entsprechend Ziffer 2.4 dieses Musters in den Datenschutzbestimmungen eines jeden sozialen Netzwerks unverzichtbar.
1 Plath/Plath, § 29 BDSG Rz. 28 zur grundsätzlichen Anwendungsmöglichkeit. 2 Plath/Plath, § 29 BDSG Rz. 27 zur grundsätzlichen Anwendungsmöglichkeit.
1004
|
Krieg
Erläuterungen
Rz. 54 Teil 7 II
e) Erläuterungen zu Ziffer 2.5 Regelmäßig stellen die Anbieter sozialer Netzwerke den Nutzern ein Instrumentarium an Möglichkeiten zur Justierung ihrer Privatsphäreneinstellungen zur Verfügung. Und fast ebenso regelmäßig könnten die Anbieter Gefahr laufen, dass ihre Datenschutzbestimmungen aufgrund extremer Länge unüberschaubar, damit intransparent und angestrebte Einwilligungen somit unwirksam werden, wenn sie alle denkbaren Privatsphäreneinstellungen in den Datenschutzbestimmungen selbst erläutern würden.
50
Zudem passiert es nicht selten, dass den Nutzern im Laufe der Zeit neue Optionen für ihre Privatsphäreneinstellungen bereitgestellt werden. Würden die Möglichkeiten zur Privatsphäreneinstellung in den Datenschutzbestimmungen enumerativ aufgelistet und erklärt, so müssten die Datenschutzbestimmungen bei jeder Veränderung oder Erweiterung der Einstellungsmöglichkeiten aktualisiert werden. Schon allein aufgrund des erforderlichen administrativen Aufwands sollten Datenschutzbestimmungen aber möglichst selten ohne zwingenden oder zumindest dringenden Grund aktualisiert werden. Hinzu kommt, dass eine Änderung von Datenschutzbestimmungen – selbst wenn sie (auch) mit Verbesserungen für die Nutzer einhergehen – zur Verunsicherung der Nutzer führen können.
51
Aus diesem Grund bietet es sich an, die Möglichkeiten zur Privatsphäreneinstellung in den Datenschutzbestimmungen nicht enumerativ aufzulisten und zu erklären. Falls und insoweit (neue) Einstellungsmöglichkeiten bereitgestellt werden, deren Aktivierung eine (weitere) datenschutzrechtliche Information und/oder Einwilligung des betroffenen Nutzers erfordert, so sollten diese auch anlässlich der Ausübung der jeweiligen Wahlmöglichkeit durch den Nutzer im Rahmen von dessen Änderung seiner Privatsphäreneinstellung vorgenommen und eingeholt werden können. Hier ist dann allerdings darauf zu achten, dass die für eine wirksame Einwilligungserklärung erforderlichen Voraussetzungen auch in diesem Kontext erfüllt werden (siehe Rz. 19 ff.).
52
f) Erläuterungen zu Ziffer 2.6 aa) Ratio Mit Blick auf Logfiles steht vor allem die Verwendung von IP-Adressen im Mittelpunkt der datenschutzrechtlichen Diskussion. Die hier verwendete Klausel ist vor dem Hintergrund dieser Diskussion auf eine Minimalerhebung von Daten in Logfiles ausgerichtet.
53
bb) IP-Adressen als personenbezogene Daten Der Streit, ob IP-Adressen personenbezogene Daten darstellen oder nicht, wurde lang und ausführlich geführt. Zumindest hinsichtlich statischer IP-Adressen kann davon ausgegangen werden, dass diese von der h.M. sowie natürlich auch von den Aufsichtsbehörden als personenbezogene Daten angesehen werden1. 1 Vgl. allein Simitis/Dammann, § 3 BDSG Rz. 20 ff.; Plath/Plath, § 3 BDSG Rz. 20.
Krieg
|
1005
54
Teil 7 II Rz. 55
Datenschutz soziale Netzwerke
Und auch bei dynamischen IP-Adressen dürfte die inzwischen überwiegende Ansicht von einem relevanten relativen Personenbezug ausgehen1. 55
Selbst wenn man einen Personenbezug bei dynamischen IP-Adressen – zumindest für einen Content- oder Plattform- (und nicht Access-) Provider – verneinen würde, so könnte dieser Provider doch nicht ausschließen, dass auch Nutzer unter Verwendung statischer IP-Adressen seine Plattform nutzen. Schon allein unter praktischen Gesichtspunkten hat er daher IP-Adressen grundsätzlich als personenbezogene Daten zu behandeln.
cc) Rechtliche Gestattung zur Verwendung von IP-Adressen 56
Unbenommen ist einem Plattform-Anbieter, Einwilligungen von seinen Nutzern für von ihm mit einer Verwendung von IP-Adressen verfolgte Zwecke einzuholen. Unabhängig von der Erlaubnis auf Basis entsprechender Einwilligungen kann – und muss – er IP-Adressen während der Nutzung seiner Plattform durch einen Nutzer schlicht für deren grundsätzliche Bereitstellung verwenden. Darüber hinaus tolerieren die deutschen Aufsichtsbehörden die Speicherung und Verwendung von IP-Adressen zu Sicherheitszwecken (bspw. zur Abwehr von DOSAttacken) für einen Zeitraum von sieben Tagen, wobei die Zweckbindung gem. § 31 BDSG zu beachten ist. Eine Verwendung zu Abrechnungszwecken ist gem. § 15 Abs. 7 TMG je nach Abrechnungszeitraum und Einwendungsfristen für einen Zeitraum von bis zu maximal sechs Monaten nach Rechnungsstellung zulässig, wobei sich der Zeitraum bei Einwendungen eines Betroffenen gegen die Abrechnung um die Frist bis zur Erledigung der Einwendung verlängert.
g) Erläuterungen zu Ziffer 2.7 aa) Ratio 57
Cookies können personenbezogene Daten enthalten, müssen dies jedoch nicht zwingend. Je nach Ausgestaltung der Cookies können dementsprechend keine rechtlichen Aspekte zu beachten sein, d.h., es kann ausreichen, wenn ein Diensteanbieter über die Verwendung von Cookies informiert – oder es kann aber auch erforderlich sein, dass ein Diensteanbieter die Einwilligung von Nutzern zu den von ihm gesetzten Cookies einholt.
bb) Unterrichtungspflichten nach § 13 Abs. 1 Satz 2 TMG 58
§ 13 Abs. 1 Satz 2 TMG verlangt von Diensteanbietern, Nutzer bei Beginn von automatisierten Verfahren zu unterrichten, welche eine spätere Identifizierung des Nutzers ermöglichen und eine Erhebung oder Verwendung personenbezogener Daten vorbereiten. Diese Unterrichtungspflicht greift bereits dann, wenn mit den automatisierten Verfahren noch keine personenbezogenen Daten erhoben oder verwendet werden, sondern deren Erhebung oder Verwendung nur vorbereitet wird. 1 Vgl. allein Simitis/Dammann, § 3 BDSG Rz. 20 ff.; Plath/Plath, § 3 BDSG Rz. 21; s. hierzu auch Teil 7 I Rz. 16.
1006
|
Krieg
Erläuterungen
Rz. 63 Teil 7 II
Das hier vorliegende Muster ist auf eine Minimalnutzung von Cookies ausgerichtet. Bei umfassenderem Einsatz von Cookies kann es entsprechend erforderlich sein, die Datenschutzbestimmungen zu ergänzen.
59
cc) Anforderungen gemäß der E-Privacy-Richtlinie Art. 5 Abs. 3 der Richtlinie 2002/58/EG legt in seiner Neufassung durch die Richtlinie 2009/136/EG fest, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, grundsätzlich nur gestattet sein soll, wenn der Nutzer hierin wirksam eingewilligt hat. Dieses Einwilligungserfordernis besteht allerdings dann nicht, wenn die Speicherung bzw. der Zugriff dem alleinigen Zweck der Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn die Speicherung oder der Zugang unbedingt erforderlich ist, damit der Anbieter des Dienstes, den der Nutzer ausdrücklich wünscht, vom Anbieter zur Verfügung gestellt werden kann.
60
Diese Regelung hat massive Implikationen für die Möglichkeit, Cookies einzusetzen – weswegen die Richtlinie umgangssprachlich auch „Cookie-Richtlinie“ genannt wird (obwohl sie sich nicht nur auf Cookies bezieht). Wesentliche Kritikpunkte an Art. 5 Abs. 3 der Richtlinie sind u.a., dass er unklar ist, hierdurch Rechtsunsicherheit mit sich bringt – und im Übrigen unbotmäßige Einschränkungen beinhaltet, im Endeffekt nämlich eine weitgehende „Opt-inPflicht“ für Cookies.
61
Die Neufassung der Richtlinie war bis zum 25.5.2011 von den EU-Mitgliedsstaaten in nationales Recht umzusetzen. Allerdings ist die Bundesrepublik Deutschland dieser Verpflichtung bislang nicht nachgekommen. Der Bundesbeauftragte für den Datenschutz vertritt die Auffassung, dass die Richtlinie daher nun unmittelbar anzuwenden sei1. Diese Ansicht ist in dieser Allgemeinheit abzulehnen. In Betracht kommt allenfalls eine vertikale, aber nicht eine horizontale unmittelbare Anwendbarkeit2.
62
Dies ändert jedoch nichts daran, dass unverändert die Pflicht zur Umsetzung der Richtlinie besteht und auch private Anbieter von Telemedien sich in der Zukunft mit dem – dann in nationales Recht umgesetzten – Regelungsgehalt seines Art. 5 Abs. 3 werden auseinandersetzen müssen. Die Artikel-29-Datenschutzgruppe, ein im Wesentlichen aus Vertretern der datenschutzrechtlichen Aufsichtsbehörden der EU-Mitgliedsstaaten bestehendes Gremium, hat hilfreiche Empfehlungen und Stellungnahmen zur Ausnahme von der Einwilligungspflicht unter Art. 5 Abs. 3 der Richtlinie veröffentlicht3. Ebenfalls aufschluss-
63
1 S. „Schaar: Cookie-Regeln der EU gelten unmittelbar“, abrufbar unter www.heise.de/ newsticker/meldung/Schaar-Cookie-Regeln-der-EU-gelten-unmittelbar-1570745.html (Stand 25.7.2013). 2 Moos, K&R 2012, 635 (638). 3 S. „Opinion 04/2012 on Cookie Consent Exemption“, abrufbar unter http://ec.europa. eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/ 2012/wp194_en.pdf (Stand 25.7.2013).
Krieg
|
1007
Teil 7 II Rz. 64
Datenschutz soziale Netzwerke
reich ist die „Cookies Guidance“, die von der britischen Datenschutzaufsichtsbehörde (Information Commissioner’s Office) veröffentlicht wurden1.
4. Erläuterungen zu Ziffer 3 64
E 3. Übermittlung oder Weitergabe Ihrer Daten an Dritte Wir übermitteln Ihre Daten grundsätzlich nicht ohne Ihre Einwilligung an Dritte. Eine technische Weitergabe kann allerdings erfolgen, wenn und soweit dies für den Betrieb von Network XYZ oder aus anderen Gründen für die Begründung, die Durchführung oder die Abwicklung Ihres Nutzungsverhältnisses mit uns erforderlich ist. Dies kann z.B. der Fall sein, wenn Network XYZ bei einem externen Dienstleister gehostet wird, also ein externer Dienstleister die Server für Networks XYZ betreibt. Daneben können wir gesetzlich verpflichtet sein, Daten im Einzelfall auf Anordnung einer zuständigen Stelle weiterzugeben, wenn und soweit dies für Zwecke der Strafverfolgung, zur Gefahrenabwehr durch die Polizeibehörden der Länder, zur Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes oder des Bundeskriminalamtes im Rahmen seiner Aufgabe zur Abwehr von Gefahren des internationalen Terrorismus oder zur Durchsetzung der Rechte am geistigen Eigentum erforderlich ist.
a) Ratio 65
Ziffer 3 dieser Muster-Datenschutzbedingungen befasst sich mit der Weitergabe von Nutzerdaten an Dritte. Bei der hier zugrunde gelegten Ausgestaltung eines sozialen Netzwerks finden keine erlaubnispflichtigen Übermittlungen, sondern lediglich erlaubnisfreie Weitergaben statt. Ziffer 3 informiert den Nutzer hierüber – ohne dass eine Verpflichtung des Betreibers bestünde, diese Unterrichtung vorzunehmen.
b) Erlaubnispflichtige „Übermittlung“ und erlaubnisfreie „Weitergabe“ von Daten 66
Gem. § 3 Abs. 4 Nr. 3 BDSG ist die Übermittlung von personenbezogenen Daten das Bekanntgeben personenbezogener Daten an einen Dritten in der Weise, dass die Daten an den Dritten weitergegeben werden oder der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft. Als eine Form der Datenverarbeitung steht auch die Datenübermittlung unter dem datenschutzrechtlichen Verbot mit Erlaubnisvorbehalt: Die Übermittlung ist nur dann erlaubt, wenn das Gesetz dies ausdrücklich gestattet oder der Betroffene in die Übermittlung einwilligt.
1 Abrufbar unter www.ico.org.uk/for_organisations/privacy_and_electronic_communica tions/the_guide/cookies (Stand 25.7.2012); s. hierzu auch Thürauf, ZD 2012, 24 ff.
1008
|
Krieg
Erläuterungen
Rz. 71 Teil 7 II
Die Bekanntgabe personenbezogener Daten im Rahmen einer Auftragsdatenverarbeitung stellt dabei keine „Übermittlung“ dar, da ein Auftragsdatenverarbeiter gem. § 3 Abs. 8 Satz 3 BDSG kein „Dritter“ ist und somit bei der Auftragsdatenverarbeitung keine Bekanntgabe an einen Dritten erfolgt. Das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt greift bei der Auftragsdatenverarbeitung daher nicht. Bezüglich eventueller Auftragsdatenverarbeitungen bestehen auch keine Unterrichtungspflichten der verantwortlichen Stelle gegenüber dem Betroffenen.
67
c) Weitergabe an zuständige Stellen Der Hinweis auf eine mögliche Weitergabe von Nutzerdaten an zuständige Stellen spiegelt die Regelung des § 14 Abs. 2 TMG wieder, wiewohl sich aus der Vorschrift keine Pflicht ableiten lässt, Nutzer im Vorhinein abstrakt hierüber zu informieren. Trotzdem ist ein solcher Hinweis durchaus nicht unüblich. Im Sinne einer „User Education“ kann er durchaus sinnvoll sein, werden die Nutzer doch hier einmal daran erinnert, dass sie sich nicht im „rechtsfreien Raum“ bewegen und auch ihre Online-Aktionen eine weitere rechtliche Relevanz haben können.
68
d) Zusätzlicher Klauseltext bei Angebot auch kostenpflichtiger Dienste Sollten auch kostenpflichtige Leistungen angeboten werden, dann bietet es sich an, in die Klausel folgenden zusätzlichen Hinweis aufzunehmen:
69
E Sollten Sie kostenpflichtige Angebote von uns nutzen, dann müssen wir natürlich Ihre Zahlungsdaten im erforderlichen Umfang an einen Dienstleister wie beispielsweise eine Bank oder ein Kreditkarteninstitut übermitteln, damit die entsprechende Transaktion stattfinden kann.
e) Weiterführende Vertragsmuster Erfahrungsgemäß besorgen die Betreiber insbesondere kleinerer sozialer Netzwerke regelmäßig nicht sämtliche Vorgänge selbst, in deren Rahmen personenbezogene Daten von Nutzern verarbeitet werden. Wird hierfür auf externe Dienstleister zurückgegriffen, dann erfolgt regelmäßig eine Verarbeitung der Daten durch den Dienstleister im Auftrag des Betreibers gem. § 11 Abs. 1 BDSG. Der Betreiber des sozialen Netzwerks ist in diesem Fall nach § 11 Abs. 2 Satz 2 BDSG verpflichtet, einen schriftlichen Vertrag über die Auftragsdatenverarbeitung mit dem externen Dienstleister abzuschließen1.
70
5. Erläuterungen zu Ziffer 4 E 4. Schutz Ihrer Daten
71
Um Ihre Daten bspw. vor Manipulationen, Verlust und unbefugtem Zugriff durch Dritte zu schützen, setzen wir technische und organisatorische Maßnah1 S. hierzu die Muster in Teil 2 I und 2 II.
Krieg
|
1009
Teil 7 II Rz. 72
Datenschutz soziale Netzwerke
men ein. Zu diesen Maßnahmen gehören u.a. der Einsatz von Firewalls und von Antivirus-Programmen sowie manuelle Sicherheitsvorkehrungen. Unsere Sicherheitsmaßnahmen überprüfen und verbessern wir fortlaufend entsprechend des technologischen Fortschritts. 72
Das Datenschutzrecht sieht keine Pflicht eines Diensteanbieters vor, Betroffene über Art oder Umfang der von ihm zum Schutz ihrer personenbezogenen Daten ergriffenen technischen und organisatorischen Maßnahmen zu informieren. Er ist noch nicht einmal gehalten darüber zu informieren, dass er solche Maßnahmen überhaupt ergreift1.
73
Insofern dient die vorliegende Ziffer 5 der Datenschutzbestimmungen nicht dazu, gesetzlichen Verpflichtungen nachzukommen und könnte daher auch weggelassen werden. Sie ist als vertrauensbildende Maßnahme gegenüber den Nutzern gedacht. Fast notwendigerweise erschöpft sie sich inhaltlich allerdings auf Allgemeinplätze. Eine zu detaillierte Darstellung der ergriffenen Sicherheitsmaßnahmen könnte zwangsläufig zu einer größeren Verwundbarkeit der Systeme führen2.
6. Erläuterungen zu Ziffer 5 74
E 5. Aktuelle Version und Änderung dieser Datenschutzbestimmungen Dies ist die Version 1.0 der Datenschutzbestimmungen für Network XYZ. Wir entwickeln Network XYZ laufend weiter, um Ihnen einen immer besser werdenden Dienst zur Verfügung stellen zu können. Diese Datenschutzbestimmungen werden wir stets aktuell halten und entsprechend anpassen, wenn und soweit dies erforderlich werden sollte. Über eventuelle Änderungen dieser Datenschutzbestimmungen werden wir Sie natürlich informieren. Dies werden wir sowohl mittels einer E-Mail an die uns von Ihnen mitgeteilte E-Mail-Adresse tun, als auch durch einen automatischen Hinweis bei Ihrem ersten Einloggen auf Network XYZ nach einer erfolgten Aktualisierung dieser Datenschutzbestimmungen. Insofern darüber hinaus eine weitere Einwilligung von Ihnen zu unserem Umgang mit Ihren Daten erforderlich werden sollte, werden wir diese selbstverständlich von Ihnen einholen, bevor entsprechende Änderungen wirksam werden. Sie können die aktuelle Version der Datenschutzbestimmungen für Network XYZ jederzeit im Internet unter [URL einzufügen] abrufen. Auch eventuelle ältere Versionen dieser Datenschutzbestimmungen halten wir unter dieser Adresse für Sie bereit.
75
Die Klausel dient zum einen dazu, den Nutzer bereits jetzt über das Verfahren bei eventuellen Änderungen der Datenschutzbestimmungen aufzuklären. Zum anderen dient sie – genauer gesagt: die im letzten Absatz vorgesehene 1 Härting, CR 2011, 169 (170). 2 S. bspw. Holtz, DuD 2010, 439 ff. für ein Konzept der Einführung eines erhöhten datensicherheitstechnischen Niveaus in einem sozialen Netzwerk.
1010
|
Krieg
Erläuterungen
Rz. 77 Teil 7 II
ständige Abrufbarkeit der Datenschutzbestimmungen – dazu, den Anforderungen aus § 13 Abs. 1 Satz 3, Abs. 2 Nr. 3 TMG gerecht zu werden, nach denen die datenschutzrechtlich bedingten Unterrichtungen und der Inhalt der vom Nutzer abgegebenen Einwilligungen von ihm jederzeit abgerufen können werden müssen.
7. Erläuterungen zu Ziffer 6 E 6. Auskunft, Widerruf Ihrer Einwilligungen und Berichtigung, Sperrung oder Löschung Ihrer Daten
76
Sie können von uns Auskunft darüber verlangen, welche Daten wir über Sie gespeichert haben. Einwilligungen in die Erhebung, Verarbeitung und Nutzung Ihrer personenbezogenen Daten, die Sie uns gegenüber mit der Zustimmung zu diesen Datenschutzbestimmungen abgegeben haben, können Sie mit Wirkung für die Zukunft ganz oder teilweise widerrufen. Gleiches gilt für eventuelle spätere, weitergehende Einwilligungen in die Erhebung, Verarbeitung oder Nutzung Ihrer personenbezogenen Daten. Die Folge eines solchen Widerrufs kann sein, dass Sie Network XYZ nicht mehr oder nur noch eingeschränkt nutzen können. Sie können darüber hinaus auch jederzeit die Berichtigung unrichtiger Daten über Sie sowie die Sperrung oder Löschung Ihrer Daten von uns verlangen. Die Löschung Ihrer Daten können Sie durch das Löschen ihres Accounts auf Network XYZ jederzeit auch selbst vornehmen: Bitte gehen Sie hierfür in Ihren Account, klicken auf den Link „Profil löschen“ und folgen den dortigen Anweisungen. Ihr Account – d.h. Ihre Profilseite und Ihre bei uns vorliegenden Daten – wird in diesem Fall automatisch gelöscht. Ihre Inhalte und Kommentare können Sie auch jederzeit selbst manuell löschen. Ansonsten kontaktieren Sie uns bspw. per E-Mail unter [E-Mail-Adresse einzufügen], per Fax unter [Faxnummer einzufügen] oder postalisch unter [postalische Adresse einzufügen]. Ggf. verlangen wir einen Nachweis Ihrer Identität, bevor wir Ihr Anliegen umsetzen. Dies dient dem Schutz Ihrer Daten vor Manipulation oder Löschung durch Dritte. Falls und insoweit allerdings gesetzliche Aufbewahrungsrechte oder -pflichten bestehen, werden wir die entsprechenden Daten für eine weitere Verwendung sperren. Sollten Sie Inhalte anderer Nutzer kommentiert haben, dann werden wir bei der Löschung Ihres Accounts Ihren Nutzernamen von diesen Kommentaren entfernen. Die Kommentare als solche werden nicht gelöscht. Vor Löschung Ihres Accounts haben Sie jedoch jederzeit die Möglichkeit, Ihre Kommentare selbst manuell vollständig zu löschen.
a) Ratio Mit Ziffer 6 dieser Muster-Datenschutzbestimmungen wird der Nutzer über die ihm zustehenden Rechte informiert – so seine Rechte auf Auskunft nach Krieg
|
1011
77
Teil 7 II Rz. 78
Datenschutz soziale Netzwerke
§ 13 Abs. 7 TMG, auf Löschung und Sperrung nach § 13 Abs. 4 Nr. 2 TMG, auf Auskunft nach § 34 BDSG sowie auf Berichtigung, Löschung und Sperrung nach § 35 BDSG. 78
Zudem kommt der Diensteanbieter mit dieser Ziffer 6 seiner Verpflichtung aus § 13 Abs. 3, Abs. 2 Nr. 4 TMG nach, gemäß der er den Betroffenen vor Erklärung der Einwilligung auf sein Recht hinzuweisen hat, die Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen.
b) Praxisnahe Handhabung 79
Die genannten Rechte können vom Betroffenen grundsätzlich formlos geltend gemacht werden1. Daher sollte eine Festlegung auf einen bestimmten Kommunikationskanal vermieden werden, welche bei einem Nutzer den Eindruck erwecken kann, dass er nur auf diesem Wege seine Rechte geltend machen kann. Allerdings kann durchaus auf eine möglichst effiziente administrative Abwicklung entsprechender Nutzeranfragen und -verlangen hingewirkt werden, indem die Nutzer darauf hingewiesen werden, dass sie ihre Inhalte, Kommentare und durch eine Accountlöschung auch sämtliche ihrer Daten selbst löschen können, und indem zumindest auf bestimmte dedizierte Kontaktmöglichkeiten hingewiesen wird.
c) Handhabung von Nutzerkommentaren bei Account-Löschung 80
Im letzten Absatz von Ziffer 6 dieses Musters ist vorgesehen, dass bei Löschung eines Nutzer-Accounts zwar der Nutzername von den vom Nutzer abgegebenen Kommentaren entfernt, die Kommentare als solche aber nicht gelöscht werden. Theoretisch besteht die Gefahr, dass auch in den Kommentaren an sich unter Umständen noch auf den Nutzer (personen-)bezogene Daten enthalten sind. Allerdings könnte eine auch inhaltliche Löschung der Kommentare dazu führen, dass Gesprächsverläufe (Threads) nicht mehr nachvollziehbar werden. Das datenschutzrechtliche Risiko erscheint in diesem Zusammenhang gering und hinnehmbar. Anbieter, die absolut sicher gehen und quasi Gürtel und Hosenträger zugleich tragen wollen, löschen allerdings zur Sicherheit nicht nur den Nutzernamen von den Kommentaren, sondern auch die Kommentare selbst.
8. Erläuterungen zu Ziffer 7 81
E 7. Verantwortliche Stelle, Datenschutzbeauftragter und Kontakt Die hier im datenschutzrechtlichen Sinn „verantwortliche Stelle“ ist die Network XYZ GmbH. Umfassende Informationen über die Network XYZ GmbH wie bspw. Anschrift oder Handelsregisterdaten können Sie in unserem Impressum unter [URL einzufügen] abrufen. Dort finden Sie auch Informationen zu dem von uns bestellten Datenschutzbeauftragten und dessen Kontaktdaten. 1 S. bspw. Plath/Hullen/Roggenkamp, § 13 TMG Rz. 45 zum Auskunftsrecht aus § 13 Abs. 7.
1012
|
Krieg
Erläuterungen
Rz. 86 Teil 7 II
Sollten Sie Fragen zu diesen Datenschutzbestimmungen oder zur Erhebung, Verarbeitung oder Nutzung Ihrer Daten durch uns haben, dann kontaktieren Sie uns per E-Mail unter [E-Mail-Adresse einzufügen], per Fax unter [Faxnummer einzufügen] oder postalisch unter [postalische Adresse einzufügen].
a) Ratio Die Datenschutzbestimmungen schließen schlicht mit der Benennung der verantwortlichen Stelle ab.
82
b) Zusätzlicher möglicher Klauseltext Um datenschutzrechtliche Nutzeranfragen zu ermöglichen, kann auch hier nochmals auf eine dedizierte Kontaktmöglichkeit hingewiesen werden, idealiter den oder die Datenschutzbeauftragte(n). Dies kann z.B. mit folgendem Klauseltext geschehen:
83
E Sie können sich auch direkt unter [E-Mail-Adresse einzufügen] an unseren Datenschutzbeauftragten wenden. Bei Angabe einer E-Mail-Adresse, unter der der Datenschutzbeauftragte erreicht werden kann, sollte ggf. statt einer personalisierten E-MailAdresse (vorname.nachname@domain) eine themenbezogene E-Mail-Adresse (datenschutz@domain) verwendet werden. Tritt ein Wechsel in der Person des Datenschutzbeauftragten ein, dann muss die Angabe an dieser Stelle nicht aktualisiert werden.
84
III. Weitere Anmerkungen, Muster für weitere zusätzliche Klauseltexte 1. Abrechnungsdaten bei Anbieten kostenpflichtiger Funktionalitäten Bietet der Betreiber eines sozialen Netzwerks auch kostenpflichtige Funktionalitäten an, so bedarf er zu deren Abrechnung zusätzlicher Daten des Nutzers. Das TMG enthält in § 15 Abs. 1, 2, 4 bis 7 diesbezügliche gesetzliche Erlaubnistatbestände.
85
Zu Informationszwecken kann in diesem Zusammenhang folgende Klausel unter einer zusätzlichen Unterziffer zu Ziffer 2 hinzugefügt werden1:
86
E 2.X Abrechnungsdaten Für die Anmeldung auf und die Nutzung von Network XYZ erheben wir grundsätzlich kein Entgelt von Ihnen. Bestimmte zusätzliche Funktionalitäten von Network XYZ können jedoch kostenpflichtig sein. In diesem Fall weisen wir Sie vor einer Inanspruchnahme ausdrücklich darauf hin. Ohne Ihre Zustim1 S. in diesem Zusammenhang auch das Muster der Schufa-Klausel in Teil 7 IV zur Verwendung im Falle einer eventuellen Überprüfung der Kreditwürdigkeit eines Nutzers.
Krieg
|
1013
Teil 7 II Rz. 87
Datenschutz soziale Netzwerke
mung fällt kein Entgelt an, jedoch können Sie dann die entsprechende kostenpflichtige Funktionalität natürlich auch nicht nutzen. Falls Sie kostenpflichtige Funktionalitäten nutzen möchten, sind von Ihnen Abrechnungsdaten wie bspw. Ihr Name, Ihre Adresse, Kreditkarteninformationen und/oder Bankdaten anzugeben. Wir verwenden Ihre Abrechnungsdaten ausschließlich zur Abrechnung kostenpflichtiger Funktionalitäten entsprechend des Umfangs ihrer Nutzung durch Sie.
2. Dritt-Applikationen 87
Viele soziale Netzwerke implementieren Dienste oder Applikationen von Drittanbietern oder halten zumindest Schnittstellen zu diesen bereit. Bei der Nutzung dieser Dritt-Dienste oder -Applikationen werden häufig personenbezogene Daten der Nutzer an den jeweiligen Drittanbieter weitergegeben. Aufgrund der Zweckbindung, siehe auch § 12 Abs. 2 TMG, bedarf es für diese Weitergabe einer gesonderten gesetzlichen Erlaubnis oder der Einwilligung des Betroffenen. Regelmäßig wird in diesem Kontext eine Einwilligung des jeweiligen Nutzers erforderlich sein. Der Anbieter eines sozialen Netzwerkes sollte also auch in dieser Hinsicht die Datenströme analysieren und die erforderlichen Maßnahmen für eine datenschutzkonforme Gestaltung ergreifen. Es bietet sich am ehesten an, erforderliche Einwilligungen mit dem Zugriff auf und der Nutzung der jeweiligen Dritt-Dienste und -Applikationen zu verbinden. Eine vorweggenommene Einholung von Einwilligungen mit den Datenschutzbestimmungen wird regelmäßig schon deshalb nicht in Frage kommen, weil in der Zukunft neue Dritt-Dienste und -Applikationen hinzukommen könnten.
88
Zumindest kann der Betreiber eines sozialen Netzwerks in seinen Datenschutzbestimmungen aber auf die grundsätzliche Thematik hinweisen und diese erläutern. Hierfür kann die folgende Klausel als Unterziffer zu Ziffer 2 des Musters hinzugefügt werden: E 2.X Applikationen Auf Network XYZ können Sie unter Umständen auch auf zusätzliche Applikationen zugreifen. Hierbei kann es sich um von uns oder um von Dritten angebotene Applikationen handeln, welche über eine Schnittstelle mit Network XYZ verbunden sind. Ggf. bestehen für die Nutzung dieser Applikationen zusätzliche, spezifische Datenschutzbestimmungen (nachfolgend „App-Bestimmungen“ genannt), auf die vor einer Nutzung der jeweiligen Applikation durch Sie hingewiesen wird und auf Basis derer auch eventuell erforderliche weitere Einwilligungen von Ihnen eingeholt werden können.
3. Personalisierte Werbung 89
Ein wesentlicher Teil des Erlösmodells insbesondere von grundsätzlich entgeltfrei angebotenen sozialen Netzwerken ist die Einblendung von Werbung. Je 1014
|
Krieg
Erläuterungen
Rz. 89 Teil 7 II
zielgerichteter diese Werbung eingebunden werden kann, desto größer die Erlöschancen. § 15 Abs. 3 Satz 1 TMG erlaubt einem Diensteanbieter, für Zwecke der Werbung Nutzungsprofile bei Verwendung von Pseudonymen zu erstellen, allerdings nur, wenn der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 TMG hinzuweisen (§ 15 Abs. 3 Satz 2 TMG) und die Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden (§ 15 Abs. 3 Satz 3 TMG).
Krieg
|
1015
III. Werbe-Einwilligungserklärung Literaturverzeichnis: Gola/Schomerus, BDSG, 11. Aufl. 2012; Hanloser, „opt-in“ im
Datenschutzrecht und Wettbewerbsrecht, CR 2008, 713; Hoeren/Föhlisch, Trusted Shops Praxishandbuch, Stand: Februar 2013; Isele, Telefonwerbung: Was ist noch erlaubt?; Jankowski, Nichts ist unmöglich! – Möglichkeiten der formularmäßigen Einwilligung in die Telefonwerbung, GRUR 2010, 495; Köhler/Bornkamm, Gesetz gegen den unlauteren Wettbewerb, 30. Aufl. 2012; Plath, BDSG, 2013; Spindler/Schuster, Recht der elektronischen Medien, 2. Aufl. 2011; Taeger/Gabel, Kommentar zum BDSG, 2010; von Nussbaum/Krienke, Telefonwerbung gegenüber Verbrauchern nach dem Payback-Urteil, MMR 2009, 372; von Wallenberg, Ist das Telefonmarketing gegenüber Verbrauchern tot?, BB 2009, 1768.
A. Einleitung 1
Die nachfolgend dargestellten Muster sind für Situationen gestaltet, in denen sich für Unternehmer in der Praxis typischerweise die Gelegenheit bietet, Einwilligungen von Verbrauchern für Direktwerbung einzuholen: Zum einen ist dies die Situation, in der personenbezogene Daten originär aus einem anderen Anlass, nämlich zum Zweck der Begründung und Durchführung eines Vertragsverhältnisses erhoben werden und der Neukunde gleichzeitig um seine Werbe-Einwilligung in einem Offline- oder Online-Auftragsformular gebeten wird (siehe dazu die zwei Vertragsmuster unter B 1. Rz. 2 ff.). Zum zweiten werden Möglichkeiten aufgezeigt, wie man den BDSG-Gesetzgeber beim Wort nehmen1 und Interessenten durch die Gewährung von Vorteilen für eine Werbe-Einwilligung gewinnen kann, konkret in Gestalt des Bietens von Gewinnchancen bei der Teilnahme an einem Offline- oder Online-Gewinnspiel, in dessen Rahmen der Verbraucher als Werbungsadressat für mehrere Unternehmen, die als Gewinnspiel-Sponsoren auftreten, gewonnen werden soll (siehe dazu die zwei Vertragsmuster unter B 2. Rz. 23 ff.).
B.1 Muster 1 2
E Werbe-Einwilligungserklärung bei Abschluss eines Vertrags: Offline-Variante (Brief-, E-Mail- und Telefon-Werbung) Ich bin einverstanden, dass die X-GmbH meine oben für die Begründung, Durchführung und ggf. Beendigung des Vertrags erhobenen Daten auch verwendet, um mich per S Brief (bei Nichtzustimmung bitte streichen) und/oder l E-Mail und/oder l Telefon
1 Vgl. Gesetzesbegründung der BDSG-Novelle 2009, BT-Drucks. 16/12011, 31.
1016
|
Rohwedder
Rz. 5 Teil 7 III
Erläuterungen
über Produkte aus dem Y-Sortiment der X-GmbH zu informieren. Meine Einwilligung kann ich jederzeit mit Wirkung für die Zukunft widerrufen, z.B. per Brief an die o.g. Firmenanschrift oder per E-Mail an: [email protected]. Ort, den … Unterschrift: …
B.1 Muster 2 E Werbe-Einwilligungserklärung bei Abschluss eines Vertrags: Online-Variante (Brief-, E-Mail- und Telefon-Werbung)
3
Ich bin einverstanden, dass die X-GmbH meine oben für die Begründung, Durchführung und ggf. Beendigung des Vertrags erhobenen Daten auch verwendet, um mich per S Brief (bei Nichtzustimmung bitte Häkchen entfernen) und/oder l E-Mail und/oder l Telefon über Produkte aus dem Y-Sortiment der X-GmbH zu informieren. Meine Einwilligung kann ich jederzeit mit Wirkung für die Zukunft widerrufen, z.B. per Brief an die o.g. Firmenanschrift oder per E-Mail an: [email protected]. [Schaltfläche:]
Kostenpflichtig bestellen
C. Erläuterungen I. Vorbemerkung Die Verarbeitung und Nutzung personenbezogener Daten für Zwecke der Werbung erfordert grundsätzlich eine vorherige Einwilligung des Betroffenen1. Eine entsprechende Einwilligung ist nur wirksam, wenn die Willensbekundung auf der freien informierten Entscheidung des Werbungsadressaten beruht; dieser muss ohne Zwang und in Kenntnis der Sachlage akzeptieren, dass seine personenbezogenen Daten verarbeitet werden2.
4
An der Freiwilligkeit der Einwilligung kann es insbesondere fehlen, wenn sie in einer Situation wirtschaftlicher oder sozialer Schwäche oder Unterordnung erteilt wird oder wenn der Betroffene durch übermäßige Anreize finanzieller
5
1 Vgl. § 28 Abs. 3 Satz 1 BDSG; gesetzliche Ausnahmen bilden etwa das Listenprivileg gem. § 28 Abs. 3 Satz 2 BDSG oder elektronische Folgewerbung gegenüber Bestandskunden gem. § 7 Abs. 3 UWG; zum Streit über die Rechtsnatur der Einwilligung vgl. etwa Plath/Plath, § 4a BDSG Rz. 7 und Köhler/Bornkamm/Köhler, § 7 UWG Rz. 143. 2 Vgl. § 4a BDSG i.V.m. Art. 2h der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr v. 24.10.1995 („Datenschutzrichtlinie“).
Rohwedder
|
1017
Teil 7 III
Rz. 6
Werbe-Einwilligungserklärung
oder sonstiger Natur zur Preisgabe seiner Daten verleitet wird1. Im Bereich der Werbung zieht zudem das Kopplungsverbot gem. § 28 Abs. 3b BDSG der Freiwilligkeit eine weitere Grenze2. Danach darf der Abschluss eines Vertrags nicht von einer Werbe-Einwilligung des Betroffenen abhängig gemacht werden, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. 6
Handelt es sich wie in den hier vorgeschlagenen Mustern um einseitig vorformulierte Werbe-Einwilligungserklärungen, die im Zusammenhang mit einer Sonderverbindung, hier in Gestalt eines Vertragsverhältnisses, stehen3, so unterliegen solche Klauseln darüber hinaus der AGB-Inhaltskontrolle gemäß den §§ 305 ff. BGB4. Der BGH hat seine ältere Rechtsprechung, nach der Einwilligungen in Telefonwerbung generell nicht wirksam in Allgemeinen Geschäftsbedingungen erteilt werden können5, mittlerweile ausdrücklich aufgegeben6. Vorformulierte Werbe-Einwilligungen müssen insbesondere dem Transparenzgebot des § 307 Abs. 1 Satz 2 BGB genügen und noch mit den wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, zu vereinbaren sein, § 307 Abs. 2 Nr. 1 BGB. Prüfungsmaßstab sind dabei einerseits die gesetzlichen Datenschutz-Regelungen der §§ 4, 4a, 28 BDSG (bzw. die spezialgesetzlichen Datenverarbeitungsverbote mit Erlaubnisvorbehalt im TMG oder TKG), andererseits aber zugleich auch die wettbewerbsrechtlichen Bestimmungen in § 7 UWG7, mit denen der deutsche Gesetzgeber die Vorgaben der E-Privacy-Richtlinie8 in nationales Recht transformiert hat. Die Anforderungen an die hinreichende Klarheit und Verständlichkeit einer Werbe-Einwilligungsklausel sind hoch: Der Werbungsadressat muss so konkret wie möglich darüber aufgeklärt werden, wer ihm unter Verwendung welcher Datenkategorien über welches Kommunikationsmedium welche Werbeinhalte präsentieren wird9. Führt insoweit auch nur eine von mehreren Auslegungsmöglichkeiten zu einem vagen Ergebnis, ist die Klausel unwirksam10. 1 BGH v. 16.7.2008 – VIII ZR 348/06, GRUR 2008, 1010 – Payback; einen Ausschluss der Freiwilligkeit bei Über-/Unterordnungsverhältnissen sieht ferner auch Art. 7 Nr. 4 des Vorschlages für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) v. 25.1.2012, KOM (2012) 11 endgültig vor. 2 Gleiches gilt über § 12 Abs. 3 TMG im Anwendungsbereich des TMG und gem. § 95 Abs. 5 TKG im Anwendungsbereich des TKG. 3 Hinsichtlich dieser Voraussetzung krit. Köhler/Bornkamm/Köhler, § 7 UWG Rz. 152. 4 BGH v. 16.7.2008 – VIII ZR 348/06, GRUR 2008, 1010 – Payback; BGH v. 25.10.2012 – I ZR 169/10 – Einwilligung in Werbeanrufe II. 5 BGH v. 27.1.2000 – I ZR 241/97, GRUR 2000, 818 – Telefonwerbung VI; BGH v. 2.11.2000 – I ZR 154/98, VersR 2001, 315. 6 BGH v. 25.10.2012 – I ZR 169/10 – Einwilligung in Werbeanrufe II. 7 BGH v. 16.7.2008 – VIII ZR 348/06, GRUR 2008, 1010 – Payback. 8 Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation v. 12.7.2002. 9 Vgl. Plath/Plath, § 4a BDSG Rz. 47. 10 BGH v. 18.7.2012 – VIII ZR 337/11.
1018
|
Rohwedder
Rz. 9 Teil 7 III
Erläuterungen
II. Erläuterung der einzelnen Klauseln 1. Erläuterungen zu Vertragsmuster 1 E Werbe-Einwilligungserklärung bei Abschluss eines Vertrags: Offline-Variante (Brief-, E-Mail- und Telefon-Werbung)
7
Ich bin einverstanden, dass die X-GmbH meine oben für die Begründung, Durchführung und ggf. Beendigung des Vertrags erhobenen Daten auch verwendet, um mich per S Brief (bei Nichtzustimmung bitte streichen) und/oder l E-Mail und/oder l Telefon über Produkte aus dem Y-Sortiment der X-GmbH zu informieren. Meine Einwilligung kann ich jederzeit mit Wirkung für die Zukunft widerrufen, z.B. per Brief an die o.g. Firmenanschrift oder per E-Mail an: [email protected]. Ort, den … Unterschrift: … Die Klausel ist für ein Offline-Auftragsformular konzipiert, in dem ein Unternehmer personenbezogene Daten gem. § 28 Abs. 1 Satz 1 Nr. 1 BDSG zum Zweck der Begründung und Durchführung (und ggf. der späteren Beendigung) eines Vertrags erhebt und bei dieser Gelegenheit gleichzeitig eine Einwilligung des Betroffenen für Brief-, E-Mail- und Telefon-Werbung einholt. Insofern kann zu Beginn des Klauseltextes zwecks eindeutiger Zuordnung auf die vom Betroffenen „oben“ im Auftrags- oder Bestellformular zu Vertragszwecken bereits eingetragenen Daten (Vorname, Name, Anschrift, E-Mail-Adresse, Telefonnummer) Bezug genommen werden1.
8
In Anlehnung an die Begrifflichkeiten im TMG wird im Muster zwecks für den Laien angenommener besserer Verständlichkeit das Wort „verwenden“ stellvertretend für die Verarbeitung und Nutzung der erhobenen Daten eingesetzt. Wer sich mit den im BDSG definierten Begriffen sicherer fühlt, mag das Wort „verwenden“ durch „verarbeiten und nutzen“2 ersetzen. Der im Zeitpunkt des Erscheinens dieses Buches noch nicht verabschiedete Entwurf einer EU-Datenschutz-Grundverordnung sieht als zentralen Begriff für jeglichen Umgang mit personenbezogenen Daten das Wort „Verarbeitung“ vor3.
9
1 Vgl. Plath/Plath, § 4a BDSG Rz. 48. 2 Gem. § 3 Abs. 4 BDSG steht „Verarbeiten“ für das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. „Nutzen“ ist gem. § 3 Abs. 5 BDSG jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt. Das Wort „Verwenden“ wird im BDSG nicht definiert, ihm wird aber im Rahmen der Definition des Wortes „Nutzen“ die Bedeutung jeglichen Umgangs mit personenbezogenen Daten beigemessen. 3 Vgl. Art. 4 (3) des Vorschlages für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) v. 25.1.2012, KOM (2012) 11 endgültig.
Rohwedder
|
1019
Teil 7 III
Rz. 10
Werbe-Einwilligungserklärung
10
Was die vorformulierte Einwilligung für Briefwerbung anbelangt, sind Prüfungsmaßstab für die Inhaltskontrolle allein die Vorschriften des BDSG, d.h. konkret die §§ 4, 4a, 28 BDSG. Danach ist es für die Wirksamkeit der Einwilligung nicht erforderlich, dass sie vom Betroffenen durch zusätzliche Unterschrift oder Ankreuzen eines Kästchens aktiv und gesondert erklärt wird („Opt-in“). Es reicht vielmehr, wenn dem Betroffenen die Möglichkeit gegeben wird, die vorformulierte Einwilligung in Briefwerbung gemäß dem Muster zu streichen oder ein Häkchen zu setzen, mit dem die Nichtzustimmung erklärt wird („Opt-out“)1. Soll die Einwilligung für Briefwerbung zusammen mit anderen Erklärungen erteilt werden, ist sie in drucktechnisch deutlicher Gestaltung besonders hervorzuheben, §§ 4a Abs. 1 Satz 4, 28 Abs. 3a Satz 2 BDSG, z.B. durch Fettdruck2.
11
Die Einwilligung für E-Mail- und Telefonwerbung ist nach höchstrichterlicher Rechtsprechung hingegen gesondert zu erklären, d.h. es ist eine ausdrückliche, nur auf die Einwilligung in die Zusendung von E-Mail-Werbung3 bzw. eine nur auf die Werbung per Telefonanruf4 bezogene Zustimmungserklärung („Optin“) erforderlich. Eine – für Briefwerbung noch als zulässig erachtete – Opt-outGestaltung oder die Hervorhebung einer in Textpassagen mit auch anderen Erklärungen oder Hinweisen enthaltene Einwilligung genügt laut BGH nicht den Anforderungen des im Lichte der E-Privacy-Richtlinie auszulegenden § 7 Abs. 2 Nr. 2 Fall 1 bzw. Nr. 3 UWG5. Vor diesem Hintergrund werden im Muster je Kommunikationsmedium gesonderte Tick-Boxen verwendet, die vom Betroffenen aktiv durch Ankreuzen auszuwählen sind.
12
Um dem Transparenzgebot hinreichend Rechnung zu tragen, muss aus dem Formular eindeutig hervorgehen, welche verantwortliche Stelle aus der WerbeEinwilligung begünstigt wird. Die Erklärung des Betroffenen beruht nur dann auf seiner informierten Entscheidung, wenn er unzweifelhaft erkennen kann, wer ihn über das von ihm ausgewählte Kommunikationsmedium werblich kontaktieren und ob es sich ausschließlich um Eigenwerbung der verantwortlichen Stelle oder (auch) um Werbung für Angebote von Drittunternehmen handeln wird6. Lässt die Einwilligungsklausel dagegen Spielraum für die Auslegung, dass auch namentlich nicht benannte Dritte aus der Werbe-Einwilligung begünstigt werden, so ist die vorformulierte Erklärung intransparent und damit unwirksam7. Soweit im Auftragsformular an anderer Stelle die ladungsfähige Anschrift des Werbenden bereits angegeben wurde, muss diese nach der hier vertretenen Ansicht nicht nochmals im Einwilligungstext wie1 Vgl. BGH v. 11.11.2009 – VIII ZR 12/08, K&R 2010, 116 – Happy Digits; BGH v. 16.7.2008 – VIII ZR 348/06, GRUR 2008, 1010 – Payback. 2 Einen entsprechenden Normbefehl/Spielraum enthält auch der Vorschlag für eine EU Datenschutz-Grundverordnung (s. Fn. 3 zu Rz. 9) in Art. 7 Nr. 2. 3 BGH v. 16.7.2008 – VIII ZR 348/06, GRUR 2008, 1010 – Payback. 4 BGH v. 14.4.2011 – I ZR 38/10, MMR 2011, 458. 5 Ebenso OLG München v. 21.7.2011 – 6 U 4039/10, BeckRS 2011, 22564; krit. zu diesem Auslegungsergebnis Hanloser, CR 2008, 713. 6 Vgl. BGH v. 18.7.2012 – VIII ZR 337/11; von Nussbaum/Krienke, MMR 2009, 372. 7 Vgl. BGH v. 18.7.2012 – VIII ZR 337/11; Köhler/Bornkamm/Köhler, § 7 UWG Rz. 153d m.w.N.; Isele, GRUR-Prax 2011, 463.
1020
|
Rohwedder
Erläuterungen
Rz. 14 Teil 7 III
derholt werden, es reicht insofern die Angabe des vollständigen Namens bzw. der Firma. Darüber hinaus ist zu empfehlen, in der vorformulierten Einwilligungserklärung von vornherein den Werbungsinhalt einzugrenzen. Ohne entsprechende Präzisierung könnte die Einwilligungsklausel als unwirksam angesehen werden, was insbesondere für Generaleinwilligungen gilt1. Insoweit zu streng ist nach der hier vertretenen Ansicht zwar die frühere „Telefonwerbung-Rechtsprechung“ des BGH, nach der eine Einwilligung wegen unangemessener Benachteiligung bereits unwirksam sein sollte, wenn sie sich nicht auf Werbung im Rahmen des angebahnten konkreten Vertragsverhältnisses beschränkte, sondern auch darauf abzielte, Werbung für sonstige Vertragsschlüsse oder durch andere Unternehmen zu ermöglichen2. Auch wenn der BGH diesen strengen Maßstab seit der Payback-Entscheidung nicht mehr anwendet3 und sich von seiner früheren Rechtsprechung mittlerweile auch ausdrücklich distanziert4, sind einige Instanzgerichte in der Vergangenheit allerdings weiterhin von dieser Rechtsprechung beeinflusst geblieben5. Die damit verbundene inhaltlich sehr weitreichende Einschränkung für Unternehmer bei der Einholung von Werbe-Einwilligungen wird sich in der Zukunft jedoch nicht aufrechterhalten lassen. Mit der Aufgabe seiner früheren „Telefonwerbung-Rechtsprechung“ erkennt der BGH nun ausdrücklich an, dass eine im modernen Geschäftsleben praktikable Möglichkeit verbleiben muss, die Einwilligung – auch in Telefonwerbung – zu erhalten. Maßgeblich sei allein, dass der Verbraucher seine Einwilligung in Kenntnis der Sachlage und für den konkreten Fall erteilt, indem er weiß, dass seine Erklärung ein Einverständnis darstellt und worauf sie sich bezieht, und weil ihm klar wird, welche Waren oder Dienstleistungen welcher Unternehmen sie konkret erfasst6. Insofern zählt in vorformulierten Einwilligungserklärungen neben der Nennung der verantwortlichen Stelle grundsätzlich auch die Angabe der Produktgattung, die künftig beworben werden soll, zum Pflichtprogramm7.
13
Auch wenn das BDSG das Recht des Betroffenen, seine Einwilligung jederzeit zu widerrufen, allein im Zusammenhang mit der elektronisch erklärten Einwilligung (§ 28 Abs. 3a BDSG) erwähnt, ist ein entsprechendes Widerrufsrecht des Betroffenen mit Blick auf den Schutz der informationellen Selbstbestimmung allgemein anerkannt8. Im Anwendungsbereich des TMG besteht gem. § 13 Abs. 3 TMG eine entsprechende Hinweispflicht. Im Offline-Muster wurde ein entsprechender Hinweis aufgenommen, um den Betroffenen bei Begründung des Vertragsverhältnisses gem. § 28 Abs. 4 Satz 2 BDSG über sein Recht
14
1 2 3 4 5
Vgl. Köhler/Bornkamm/Köhler, § 7 UWG Rz. 149c; von Wallenberg, BB 2009, 1768. BGH v. 27.1.2000 – I ZR 241/97, GRUR 2000, 818 – Telefonwerbung VI. Vgl. Jankowski, GRUR 2010, 495; von Nussbaum/Krienke, MMR 2009, 372. BGH v. 25.10.2012 – I ZR 169/10 – Einwilligung in Werbeanrufe II. Vgl. OLG Hamburg v. 4.3.2009 – 5 U 260/08, MMR 2009, 557; OLG Düsseldorf v. 20.4.2012 – I-20 U 128/11; LG Hamburg v. 23.4.2009 – 315 O 358/08, MMR 2009, 578. 6 BGH v. 25.10.2012 – I ZR 169/10 – Einwilligung in Werbeanrufe II. 7 Vgl. insofern auch KG Berlin v. 29.10.2012 – 5 W 107/12. 8 Plath/Plath, § 4a BDSG Rz. 70; Gola/Schomerus, § 4a BDSG Rz. 38; Köhler/Bornkamm/Köhler, § 7 UWG Rz. 148a.
Rohwedder
|
1021
Teil 7 III
Rz. 15
Werbe-Einwilligungserklärung
zu informieren, der Verarbeitung oder Nutzung seiner Daten zu Werbezwecken durch Widerruf der Einwilligung zu widersprechen1, und um gleichzeitig die Freiwilligkeit der Erteilung sowie die mangelnde Kopplung der Einwilligung an das Vertragsverhältnis zu betonen. Auch wenn der Widerruf nach der hier vertretenen Ansicht keiner besonderen Form bedarf, dürfte die formularmäßige Vorgabe einer strengeren Form für den Widerruf als für die Einwilligung einer AGB-Inhaltskontrolle kaum standhalten2. Zwecks besserer Steuerung und optimierter Überwachung eingehender Widerrufe/Widersprüche empfiehlt es sich aber, hierfür – wie im Muster vorgesehen – beispielhaft konkrete Adressen anzugeben.
2. Erläuterungen zu Vertragsmuster 2 15
E Werbe-Einwilligungserklärung bei Abschluss eines Vertrags: Online-Variante (Brief-, E-Mail- und Telefon-Werbung) Ich bin einverstanden, dass die X-GmbH meine oben für die Begründung, Durchführung und ggf. Beendigung des Vertrags erhobenen Daten auch verwendet, um mich per S Brief (bei Nichtzustimmung bitte Häkchen entfernen) und/oder l E-Mail und/oder l Telefon über Produkte aus dem Y-Sortiment der X-GmbH zu informieren. Meine Einwilligung kann ich jederzeit mit Wirkung für die Zukunft widerrufen, z.B. per Brief an die o.g. Firmenanschrift oder per E-Mail an: [email protected]. [Schaltfläche:]
Kostenpflichtig bestellen
16
Hinsichtlich der allgemeinen Anforderungen an die Wirksamkeit einer vorformulierten Werbe-Einwilligungserklärung siehe die Erläuterungen oben in Rz. 7 ff. Bei elektronischen vorformulierten Werbe-Einwilligungen sind darüber hinaus folgende Besonderheiten zu beachten.
17
Gem. § 28 Abs. 3a Satz 1 BDSG kann eine Werbe-Einwilligung auch elektronisch eingeholt werden, solange die verantwortliche Stelle sicherstellt, dass die Einwilligung protokolliert wird, der Betroffene deren Inhalt jederzeit abrufen und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Entsprechendes gilt gem. § 94 TKG und § 13 Abs. 2 TMG in den jeweiligen Anwendungsgebieten dieser Gesetze, die zusätzlich noch verlangen, dass die Einwilligung bewusst und eindeutig erklärt wird. Gem. § 13 Abs. 3 TMG besteht außerdem die Pflicht, auf das Widerrufsrecht vor Erklärung der Einwilligung hinzuweisen.
18
Eine bewusste und eindeutige Einwilligungserklärung setzt neben den oben bereits erläuterten Anforderungen an eine informierte Entscheidung eine objek1 Vgl. Gola/Schomerus, § 4a BDSG Rz. 38. 2 Vgl. Plath/Plath, § 4a BDSG Rz. 72.
1022
|
Rohwedder
Erläuterungen
Rz. 20 Teil 7 III
tiv nach außen erkennbare Erklärungshandlung des Nutzers und als subjektive Elemente Handlungsbewusstsein, Erklärungswille und Geschäftswille voraus1. Diese Voraussetzungen werden im Muster durch Tick-Boxen erfüllt, die vom Nutzer/Betroffenen für E-Mail- und Telefonwerbung aktiv angekreuzt werden müssen, während es für Briefwerbung entsprechend den Grundsätzen der BGHRechtsprechung für Offline-Formulare2 auch im elektronischen Verfahren ausreichen dürfte, wenn der Nutzer/Betroffene ein vorab gesetztes Häkchen wieder entfernt3. Wem diese Form der Erklärungshandlung nicht eindeutig und bewusst genug ist4, sollte sicherheitshalber und abweichend vom Muster auch für Briefwerbung eine aktiv anzukreuzende Tick-Box vorsehen. Für die erforderliche Protokollierung der elektronischen Einwilligungserklärung muss mittels geeigneter Trackingmethoden/Logfiles5 aufgezeichnet werden, dass, wann (Tag und Uhrzeit) und wie (Eingabe welcher personenbezogenen Daten, Setzen/Entfernen welcher Häkchen in den Einwilligungs-Tick-Boxen, Klick der Bestell-Schaltfläche) der Nutzer/Betroffene in welchen Inhalt (Zweck und Umfang der Datenverwendung) eingewilligt hat6.
19
Zu beachten ist, dass die für die Wirksamkeit der elektronischen Einwilligung notwendige Protokollierung der oben unter Rz. 19 genannten Eingaben einer bei Datenerhebung regelmäßig nur als Nutzer mit einer bestimmten IP-Adresse (un)bekannten Person als Beweis für die Erteilung der Einwilligung durch eine bestimmte Person allein nicht geeignet ist7. Für die Verifizierung einer elektronisch erteilten Einwilligung in E-Mail-Werbung hat sich in der Praxis daher das sog. Double-opt-in-Verfahren etabliert, d.h. eine online eingegebene E-MailAdresse wird erst dann in den E-Mail-Werbungsverteiler aufgenommen, wenn der Betroffene diese Einwilligung z.B. über einen Link in einer per E-Mail an die zu verifizierende E-Mail-Adresse verschickten Bestätigungsaufforderung des Werbenden nochmals bestätigt hat. Da dieses elektronische Verfahren lediglich Beweiserleichterungen für E-Mail-Werbung, nicht jedoch für die Einwilligung in werbliche Telefonanrufe an eine online eingegebene Telefonnummer mit sich bringt8, käme als geeignete Dokumentationsmethode für eine elektronisch erteilte Einwilligung in Telefonwerbung ein sog. Verification Call, d.h. ein Anruf in Betracht, der allein der Feststellung dient, ob der Inhaber der online eingegebenen Telefonnummer tatsächlich eine entsprechende Einwilligung erteilt hat. Zwecks Beweissicherung sollte das ggf. positive Ergebnis dieses Bestätigungsanrufs, der nach der hier vertretenen Auffassung noch keinen Werbeanruf
20
1 Vgl. Plath/Hullen/Roggenkamp, § 13 TMG Rz. 18 m.w.N. 2 BGH v. 11.11.2009 – VIII ZR 12/08, K&R 2010, 116 – Happy Digits; BGH v. 16.7.2008 – VIII ZR 348/06, GRUR 2008, 1010 – Payback. 3 Wie hier Spindler/Schuster/Nink, § 13 TMG Rz. 6; Plath/Hullen/Roggenkamp, § 13 TMG Rz. 23; Hanloser, CR 2008, 713; a.A. Taeger/Gabel/Moos, § 13 TMG Rz. 21. 4 Vgl. die entsprechende Auffassung von Taeger/Gabel/Moos, § 13 TMG Rz. 21. 5 Über das zum Einsatz kommende Verfahren ist in der Datenschutzerklärung der Website aufzuklären. 6 Vgl. Plath/Plath, § 28 BDSG Rz. 163 m.w.N. 7 Vgl. BGH v. 10.2.2011 – I ZR 164/09, K&R 2011, 587 – Double-opt-in-Verfahren. 8 BGH v. 10.2.2011 – I ZR 164/09, K&R 2011, 587 – Double-opt-in-Verfahren.
Rohwedder
|
1023
Teil 7 III
Rz. 21
Werbe-Einwilligungserklärung
darstellt1, mit Einverständnis des Betroffenen als Audiofile aufgezeichnet werden2. Obwohl der BGH das Double-opt-in-Verfahren als Erleichterung des Beweises für die elektronische Erteilung einer Einwilligung in E-Mail-Werbung anerkannt3 und der Düsseldorfer Kreis als Gremium der Datenschutzaufsichtsbehörden nach § 38 BDSG dieses Verfahren in seinen unter Federführung des Bayerischen Landesamtes für Datenschutzaufsicht herausgegebenen Anwendungshinweisen zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke sogar ausdrücklich als geboten ansieht4, können solche Verifizierungsmethoden nicht uneingeschränkt empfohlen werden. Grund dafür ist ein jüngeres Urteil des OLG München, in dem diese Art von Bestätigungskommunikation bereits als Werbung eingestuft wird, die ihrerseits einer vorherigen ausdrücklichen Einwilligung bedürfe5. Als Werbung gilt jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen zu fördern6. Hierzu zählen nach Ansicht des OLG München auch Bestätigungsaufforderungen, die selbst keine Werbebotschaft enthielten. Wenn danach nicht nur die unmittelbare, sondern jede noch so entfernte Motivation, den Absatz zu fördern, Werbung darstellte, gäbe es faktisch keine unternehmerische Kommunikation mehr, die nicht gleichzeitig Werbung wäre. Denn Unternehmen verfolgen in der Regel keine altruistischen Ziele. Insofern bleibt abzuwarten, ob der BGH ein praxisnäheres Verständnis zeigen wird. 21
Die für die elektronische Form der Einwilligung des Weiteren geforderte jederzeitige Abrufbarkeit des Inhalts der Einwilligung kann etwa gewährleistet werden, indem der Einwilligungsklauseltext – für jedermann zugänglich – nochmals in der Datenschutzerklärung der Website wiederholt [„Die folgende(n) Einwilligung(en) haben Sie uns durch Setzen bzw. Nichtentfernung der entsprechenden Häkchen ggf. erteilt …“]7 oder im persönlichen Online Kundenkonto nach dem Login wiedergegeben wird – praktischerweise verbunden mit der Möglichkeit, an dieser Stelle die erklärten Einwilligungen mittels entsprechender Tick-Boxen und Schaltflächen wieder zu ändern oder gänzlich zu widerrufen. Als praktische Alternative käme der automatische Versand einer E-Mail mit dem Text der Einwilligungserklärung oder einem Link, über den der Text online abgerufen werden kann, in Betracht8.
22
Hinsichtlich des Hinweises auf das Widerrufsrecht gelten im Übrigen die Erläuterungen zu Rz. 14 entsprechend. 1 2 3 4
5 6 7 8
Wie hier Köhler/Bornkamm/Köhler, § 7 UWG Rz. 154a. Vgl. Köhler/Bornkamm/Köhler, § 7 UWG Rz. 154a. BGH v. 10.2.2011 – I ZR 164/09, K&R 2011, 587 – Double-opt-in-Verfahren. Bayerisches Landesamt für Datenschutzaufsicht, Anwendungshinweise zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke, Stand: November 2012, http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/ Anwendungshinweise_Werbung.pdf. OLG München v. 27.9.2012 – 29 U 1682/12 – Bestätigungsaufforderung. BGH v. 20.5.2009 – I ZR 218/07, GRUR 2009, 980. Vgl. die Empfehlung von Hoeren/Föhlisch im Trusted Shops Praxishandbuch, S. 99, R177. Vgl. Plath/Plath, § 28 BDSG Rz. 164.
1024
|
Rohwedder
Rz. 24 Teil 7 III
Erläuterungen
B.2 Muster 1 E Werbe-Einwilligungserklärung im Rahmen eines Gewinnspiels: Offline-Variante (Brief-, E-Mail- und Telefon-Werbung für mehrere Werber)
23
Ich bin einverstanden, dass meine oben für die Teilnahme am Gewinnspiel erhobenen Kontaktdaten vom Veranstalter X-GmbH l an die Y-GmbH, ABC-Straße 1, 20000 Musterstadt übermittelt werden, damit diese mich über deren Produkte aus dem W-Sortiment informiert und zwar per S Brief (bei Nichtzustimmung bitte streichen) und/oder l E-Mail und/oder l Telefon und/oder l an die Z-GmbH übermittelt werden, damit diese mich über deren Produkte aus dem V-Sortiment informiert und zwar per S Brief (bei Nichtzustimmung bitte streichen) und/oder l E-Mail und/oder l Telefon Meine Einwilligung kann ich jederzeit mit Wirkung für die Zukunft widerrufen, z.B. per Brief an die o.g. Firmenanschrift des Veranstalters X-GmbH oder direkt an die angegebenen Firmenanschriften der Y-GmbH bzw. der Z-GmbH oder per E-Mail an: [email protected]. Ort, den … Unterschrift: …
B.2 Muster 2 E Werbe-Einwilligungserklärung im Rahmen eines Gewinnspiels: Online-Variante (nur E-Mail-Werbung für mehrere Werber) l Ich bin einverstanden, dass meine oben für die Teilnahme am Gewinnspiel erhobenen Kontaktdaten vom Veranstalter X-GmbH an die GewinnspielSponsoren [Link auf Informationsseite mit Liste der Sponsoren-Firmen] übermittelt werden, damit diese mich per E-Mail an meine oben angegebene Adresse über deren jeweiligen Produktsortimente [Link auf Informationsseite mit Liste der Sponsoren-Firmen und deren jeweils beworbene Produktgattung] informieren. Meine Einwilligung kann ich jederzeit mit Wirkung für die Zukunft widerrufen, z.B. per Nachricht an die o.g. Firmenanschrift des Veranstalters X-GmbH oder an dessen E-Mail-Adresse [email protected] oder direkt an die angegebenen Firmenanschriften/E-Mail-Adressen der Gewinnspiel-Sponsoren. [Schaltfläche:]
Teilnehmen Rohwedder
|
1025
24
Teil 7 III
Rz. 25
Werbe-Einwilligungserklärung
C.2 Erläuterungen I. Erläuterungen zu Vertragsmuster 1 25
E Werbe-Einwilligungserklärung im Rahmen eines Gewinnspiels: Offline-Variante (Brief-, E-Mail- und Telefon-Werbung für mehrere Werber) Ich bin einverstanden, dass meine oben für die Teilnahme am Gewinnspiel erhobenen Kontaktdaten vom Veranstalter X-GmbH l an die Y-GmbH, ABC-Straße 1, 20000 Musterstadt übermittelt werden, damit diese mich über deren Produkte aus dem W-Sortiment informiert und zwar per S Brief (bei Nichtzustimmung bitte streichen) und/oder l E-Mail und/oder l Telefon und/oder l an die Z-GmbH übermittelt werden, damit diese mich über deren Produkte aus dem V-Sortiment informiert und zwar per S Brief (bei Nichtzustimmung bitte streichen) und/oder l E-Mail und/oder l Telefon Meine Einwilligung kann ich jederzeit mit Wirkung für die Zukunft widerrufen, z.B. per Brief an die o.g. Firmenanschrift des Veranstalters X-GmbH oder direkt an die angegebenen Firmenanschriften der Y-GmbH bzw. der Z-GmbH oder per E-Mail an: [email protected]. Ort, den … Unterschrift: …
26
Werbe-Einwilligungserklärungen, die im Zusammenhang mit einem Gewinnspiel vom Veranstalter vorgegeben werden, unterliegen der AGB-rechtlichen Inhaltskontrolle nach den §§ 305 ff. BGB. Denn mit der Teilnahme an einem Gewinnspiel ist ein Rechtsverhältnis verbunden, aus dem Pflichten zur sorgfältigen und ordnungsgemäßen Durchführung des Spiels sowie zum Schutz der persönlichen Daten der Teilnehmer erwachsen1. Diese neben dem einseitigen Rechtsgeschäft des Preisausschreibens als solchem begründete schuldrechtliche Sonderverbindung rechtfertigt die AGB-Kontrolle unabhängig davon, ob für die am Gewinnspiel interessierten Verbraucher der Eindruck entsteht, dass die Spielteilnahme ohne Werbe-Einwilligung nicht möglich sei2. In der Rechtsprechung lässt sich eine allgemeine Tendenz erkennen, im Rahmen der Veranstaltung von Gewinnspielen, formularmäßig eingeholte Werbe-Einwilligun1 BGH v. 25.10.2012 – I ZR 169/10 – Einwilligung in Werbeanrufe II. 2 BGH v. 25.10.2012 – I ZR 169/10 – Einwilligung in Werbeanrufe II; a.A. KG Berlin v. 26.8.2010 – 23 U 34/10, NJW 2011, 466.
1026
|
Rohwedder
Erläuterungen
Rz. 29 Teil 7 III
gen wegen deren inhaltlichen Reichweite für unwirksam zu erklären1. Soweit offenbar noch unter Einfluss der früheren „Telefonwerbung-Rechtsprechung“ des BGH auch im Rahmen von Gewinnspielen vertreten wurde, dass ein inhaltlicher Bezug der Einwilligung zum Gewinnspiel vorliegen muss2, etwa dergestalt, dass bei Auslobung eines Autos auch lediglich Sponsoren aus der Automobilbranche begünstigt werden dürften3, so ist diese Rechtsprechung nach der hier vertretenen Ansicht jedenfalls seit den BGH-Entscheidungen „Payback“ und „Einwilligung in Werbeanrufe II“ überholt (vgl. oben die Erläuterungen in Rz. 13). Es ist auch dogmatisch nicht erklärlich, aus welchem Grunde eine vorformulierte Einwilligungserklärung, die klar erkennen lässt, mit welcher Produktwerbung welcher Unternehmen der Betroffene über welche Kommunikationsmedien zu rechnen hat, einer AGB-Inhaltskontrolle aufgrund der inhaltlichen Reichweite nicht standhalten sollte. Das Offline-Formular einer im Rahmen der Veranstaltung eines Gewinnspiels eingeholten Werbe-Einwilligung folgt der Systematik der im Zuge eines Vertragsschlusses eingeholten Einwilligung (vgl. die insoweit entsprechend geltenden Erläuterungen in Rz. 7 ff. oben). Zur Herstellung der erforderlichen Transparenz müssen die begünstigten Sponsoren sowie die jeweils zu bewerbende Produktgattung im Einwilligungstext einzeln und konkret benannt werden. Soweit im Muster Einwilligungen für E-Mail- und Telefonwerbung eingeholt werden, ist deren Trennung von weiteren Erklärungen zu beachten; insbesondere die Erhebung einer Telefonnummer unter kombinierter Zweckangabe der Gewinnbenachrichtigung und der E-Mail- und/oder Telefonwerbung wäre mangels gesonderter Werbe-Einwilligung unwirksam4.
27
Der Widerruf der Einwilligung(en) kann nach dem Muster sowohl gegenüber dem Gewinnspielveranstalter als verantwortlicher Stelle als auch gegenüber den benannten Sponsoren als Empfänger der übermittelten Daten gerichtet werden. Insofern ist zwischen allen Beteiligten ein entsprechender Informationsfluss – ggf. über Auftragsdatenverarbeitungsvereinbarungen – sicherzustellen. Im Übrigen gelten die Erläuterungen in Rz. 14 entsprechend.
28
II. Erläuterungen zu Vertragsmuster 2 E Werbe-Einwilligungserklärung im Rahmen eines Gewinnspiels: Online-Variante (nur E-Mail-Werbung für mehrere Werber)
29
l Ich bin einverstanden, dass meine oben für die Teilnahme am Gewinnspiel erhobenen Kontaktdaten vom Veranstalter X-GmbH an die GewinnspielSponsoren [Link auf Informationsseite mit Liste der Sponsoren-Firmen] übermittelt werden, damit diese mich per E-Mail an meine oben angegebene Adresse über deren jeweiligen Produktsortimente [Link auf Informationsseite 1 Vgl. Plath/Plath, § 4a BDSG Rz. 64 m.w.N. 2 Vgl. OLG Hamburg v. 4.3.2009 – 5 U 260/08, MMR 2009, 557; OLG Köln v. 29.4.2009 – 6 U 218/08, CR 2009, 783; von Wallenberg, BB 2009, 1768. 3 Beispiel nach Plath/Plath, § 4a BDSG Rz. 65. 4 Vgl. BGH v. 14.4.2011 – I ZR 38/10, MMR 2011, 458.
Rohwedder
|
1027
Teil 7 III
Rz. 30
Werbe-Einwilligungserklärung
mit Liste der Sponsoren-Firmen und deren jeweils beworbene Produktgattung] informieren. Meine Einwilligung kann ich jederzeit mit Wirkung für die Zukunft widerrufen, z.B. per Nachricht an die o.g. Firmenanschrift des Veranstalters X-GmbH oder an dessen E-Mail-Adresse [email protected] oder direkt an die angegebenen Firmenanschriften/E-Mail-Adressen der Gewinnspiel-Sponsoren. [Schaltfläche:] 30
Teilnehmen
Das Online-Formular zur Einholung einer E-Mail-Werbe-Einwilligung im Rahmen der Veranstaltung eines Gewinnspiels hat im Vergleich zur OfflineVariante den Vorzug, sich übersichtlicher gestalten zu lassen, da die zur Herstellung von Transparenz erforderlichen Angaben über die einzelnen werbenden Unternehmen (Gewinnspiel-Sponsoren) einschließlich der jeweils zu bewerbenden Produktgattung über elektronische Verweise (Links) bereit gestellt werden können. Die Link-Technik ist vom BGH als für den Verbraucher leicht erkennbare Variante der Information im Internet anerkannt1. Im Übrigen kann auf die entsprechend geltenden Erläuterungen in Rz. 25 ff., verwiesen werden.
1 Vgl. BGH v. 7.4.2005 – I ZR 314/02, GRUR 2005, 690; BGH v. 20.7.2006 – I ZR 228/03, GRUR 2007, 159.
1028
|
Rohwedder
IV. Die SCHUFA-Klausel Literaturverzeichnis: Beckhusen, Der Datenumgang innerhalb des Kreditinformationssystems der SCHUFA, 2004; Burgartz/Röhrig, Information Security Management, Stand 38. Ergänzungslieferung 2013; Hornung, Erweiterung der SCHUFA-Klausel möglich?, CR 2007, 753; Kamlah, Das SCHUFA-Verfahren und seine datenschutzrechtliche Zulässigkeit, MMR 1999, 395; Liedke, Die Einwilligung im Datenschutzrecht, 2012; Plath, BDSG, 2013; Vahldiek, Datenschutz in der Bankpraxis, 2012.
A. Einleitung Die SCHUFA-Klausel kommt regelmäßig beim Abschluss von Verträgen mit wirtschaftlichen Risiken zum Einsatz, um bestimmte Daten aus der Geschäftsverbindung mit natürlichen Personen zu übermitteln. Hierzu zählen Anträge auf Kontoeröffnung und Kredite ebenso wie Verträge mit Telekommunikationsunternehmen. Die Datenübermittlung an die SCHUFA setzt – je nach Art der Daten und Art des Vertrags – eine Einwilligung oder zumindest eine Information der Betroffenen voraus.
1
Die SCHUFA-Klausel in der vorliegenden Form entspricht im Wesentlichen den inhaltlichen und strukturellen Grundzügen, die im Jahre 1985 neu bestimmt worden sind. Seinerzeit wurde die SCHUFA-Klausel aufgrund einer Entscheidung des BGH1 in Abstimmung mit den zuständigen Datenschutzaufsichtsbehörden, den im Zentralen Kreditausschuss organisierten Spitzenverbänden der Kreditwirtschaft und der SCHUFA völlig neu gefasst2. Weitere Neufassungen gab es in den Jahren 2000/2002 sowie nach der BDSG-Novelle im Jahre 20103. Bei den letzten beiden Neufassungen wurde der Aufbau der Klausel aber im Wesentlichen unverändert gelassen, da sich dieser als rechtssicher bewährt und relativ breiten Konsens gefunden hatte. An der SCHUFA-Klausel wurde auch nach Einführung des § 28a Abs. 2 BDSG festgehalten, da dieser neue datenschutzrechtliche Zulässigkeitstatbestand die Problematik der, jedenfalls im Bereich der Kreditinstitute, erforderlichen Befreiung vom Bankgeheimnis nicht lösen konnte4. Außerdem werden von § 28a Abs. 2 BDSG nicht alle Kreditgeschäfte erfasst, bei denen in aller Regel ein Datenaustausch mit der SCHUFA erfolgt5.
2
1 BGH v. 19.9.1985 – III ZR 213/83, NJW 1986, 46. 2 Zur gesamten Historie der damals quasi völlig neu geschaffenen SCHUFA-Klausel s. Kamlah, MMR 1999, 395 (397) m.w.N. in Fn. 14. 3 Gesetz v. 29.7.2009, BGBl. I 2009, S. 2254. 4 Vgl. Plath/Kamlah, § 28a BDSG Rz. 55. 5 S. hierzu Plath/Kamlah, § 28a BDSG Rz. 44 ff.
Lang/Kamlah
|
1029
Teil 7 IV
Rz. 3
Die SCHUFA-Klausel
B. Muster (Beispiel Kontoeröffnungsanträge) 3
E SCHUFA-Klausel Ich willige ein, dass das Kreditinstitut [konkret zu bezeichnen] der SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden, Daten über die Beantragung, die Durchführung und Beendigung dieser Kontoverbindung übermittelt. Unabhängig davon wird das Kreditinstitut der SCHUFA auch Daten über seine gegen mich bestehenden fälligen Forderungen übermitteln. Dies ist nach dem Bundesdatenschutzgesetz (§ 28a Absatz 1 Satz 1) zulässig, wenn ich die geschuldete Leistung trotz Fälligkeit nicht erbracht habe, die Übermittlung zur Wahrung berechtigter Interessen des Kreditinstituts oder Dritter erforderlich ist und – die Forderung vollstreckbar ist oder ich die Forderung ausdrücklich anerkannt habe oder – ich nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden bin, das Kreditinstitut mich rechtzeitig, jedoch frühestens bei der ersten Mahnung, über die bevorstehende Übermittlung nach mindestens vier Wochen unterrichtet hat und ich die Forderung nicht bestritten habe oder – das der Forderung zugrunde liegende Vertragsverhältnis aufgrund von Zahlungsrückständen vom Kreditinstitut fristlos gekündigt werden kann und das Kreditinstitut mich über die bevorstehende Übermittlung unterrichtet hat. Darüber hinaus wird das Kreditinstitut der SCHUFA auch Daten über sonstiges nicht vertragsgemäßes Verhalten (Konten- oder Kreditkartenmissbrauch oder sonstiges betrügerisches Verhalten) übermitteln. Diese Meldungen dürfen nach dem Bundesdatenschutzgesetz (§ 28 Abs. 2) nur erfolgen, soweit dies zur Wahrung berechtigter Interessen des Kreditinstituts oder Dritter erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung überwiegt. Insoweit befreie ich das Kreditinstitut zugleich vom Bankgeheimnis. Die SCHUFA speichert und nutzt die erhaltenen Daten. Die Nutzung umfasst auch die Errechnung eines Wahrscheinlichkeitswertes auf Grundlage des SCHUFA-Datenbestandes zur Beurteilung des Kreditrisikos (Score). Die erhaltenen Daten übermittelt sie an ihre Vertragspartner im Europäischen Wirtschaftsraum und der Schweiz, um diesen Informationen zur Beurteilung der Kreditwürdigkeit von natürlichen Personen zu geben. Vertragspartner der SCHUFA sind Unternehmen, die aufgrund von Leistungen oder Lieferung finanzielle Ausfallrisiken tragen (insbesondere Kreditinstitute sowie Kreditkarten- und Leasinggesellschaften, aber auch etwa Vermietungs-, Handels-, Telekommunikations-, Energieversorgungs-, Versicherungs- und Inkassounternehmen). Die SCHUFA stellt personenbezogene Daten nur zur Verfügung, wenn ein berechtigtes Interesse hieran im Einzelfall glaubhaft dargelegt wurde und die Über1030
|
Lang/Kamlah
Rz. 6 Teil 7 IV
Erläuterungen
mittlung nach Abwägung aller Interessen zulässig ist. Daher kann der Umfang der jeweils zur Verfügung gestellten Daten nach Art der Vertragspartner unterschiedlich sein. Darüber hinaus nutzt die SCHUFA die Daten zur Prüfung der Identität und des Alters von Personen auf Anfrage ihrer Vertragspartner, die bspw. Dienstleistungen im Internet anbieten. Ich kann Auskunft bei der SCHUFA über die mich betreffenden gespeicherten Daten erhalten. Weitere Informationen über das SCHUFA-Auskunfts- und ScoreVerfahren sind unter www.meineschufa.de abrufbar. Die postalische Adresse der SCHUFA lautet: SCHUFA Holding AG, Privatkunden Servicecenter, Postfach 103441, 50474 Köln. … Ort, Datum … Unterschrift
C. Erläuterungen I. Inhalt und Aufbau der SCHUFA-Klausel Die SCHUFA-Klausel ist in erster Linie eine Einwilligungserklärung zur Übermittlung personenbezogener Daten an die SCHUFA. Sie ist in der vorliegenden Form hinreichend bestimmt und transparent, wie es § 4a Abs. 1 Satz 2 BDSG für datenschutzrechtliche Einwilligungen verlangt. Die SCHUFA-Klausel enthält auch Informationen über die Verarbeitung und Nutzung personenbezogener Daten, die nicht aufgrund einer Einwilligung des Betroffenen, sondern auf Basis gesetzlicher Erlaubnistatbestände erfolgen.
4
Die SCHUFA-Klausel muss dergestalt zum Einsatz kommen, dass die Anforderungen des Schriftformerfordernisses gem. § 4a Abs. 1 Satz 3 und 4 BDSG erfüllt sind. Daher ist die SCHUFA-Klausel vom Kunden gesondert zu unterschreiben oder bei einer Einbindung in andere Erklärungen zumindest in ihrem äußeren Erscheinungsbild – drucktechnisch – hervorzuheben.
5
Die SCHUFA-Klausel enthält im Einzelnen
6
– eine Einwilligungserklärung bezüglich der Weitergabe bestimmter Arten von Kundendaten an die SCHUFA (sog. Positivdaten; Abs. 1), – eine Information über die gesetzliche Möglichkeit, weitere Datenarten, nämlich Daten über bestehende fällige Forderungen, zu übermitteln (sog. Negativdaten; Abs. 2), – eine Information über die gesetzliche Möglichkeit, weitere Datenarten, nämlich Daten über sonstiges nicht vertragsgemäßes Verhalten, zu übermitteln (sog. Negativdaten; Abs. 3), – im Fall von Kreditinstituten eine Befreiung vom Bankgeheimnis (Abs. 4), Lang/Kamlah
|
1031
Teil 7 IV
Rz. 7
Die SCHUFA-Klausel
– Informationen über die Datenverarbeitung und -nutzung durch die SCHUFA einschließlich Scoring (Abs. 5) und – Informationen über das gesetzliche Auskunftsrecht des Betroffenen sowie die Kontaktdaten der SCHUFA (Abs. 6).
II. Erläuterung der einzelnen Absätze 1. Erläuterungen zu Absatz 1 7
E Ich willige ein, dass das Kreditinstitut [konkret zu bezeichnen] der SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden, Daten über die Beantragung, die Durchführung und Beendigung dieser Kontoverbindung übermittelt.
8
Der Einwilligungscharakter wird bereits durch die Eingangsformulierung deutlich gemacht. Denkbar wäre auch die Wendung „Ich bin damit einverstanden“, aber die hier gewählte Formulierung ist kürzer und prägnanter. Dem Einwilligenden soll hierdurch sofort klar werden, dass er eine Einwilligungserklärung abgibt. Die vorliegende Formulierung vermeidet im Sinne der Transparenz bewusst einen bei anderen Einwilligungserklärungen teilweise anzutreffenden Aufbau, bei dem der Einwilligungscharakter erst im Wege einer Gesamtschau der Erklärung deutlich wird. Schließlich ist auch die „Wir-Form“ entbehrlich und zu vermeiden, da eine Einwilligung von jedem Einwilligenden erteilt werden muss1.
9
Die Einwilligungserklärung regelt die Weitergabe von Kundendaten an die SCHUFA (siehe Rz. 1). Es wird nur die Übermittlung von dem die SCHUFAKlausel einsetzenden Unternehmen an die SCHUFA geregelt. Der Grund dieser Regelung liegt darin, dass mit einer Bonitätsanfrage an die SCHUFA zwingend die Übermittlung von Antragsdaten des Kunden einhergeht. Das setzt zunächst eine Einwilligung des Kunden des übermittelnden Unternehmens voraus. Demgegenüber erfolgt die Auskunftserteilung (Rückübermittlung) durch die SCHUFA allein auf Basis des § 29 BDSG2. Soweit in SCHUFA-Klauseln gleichwohl die Wendung „… und Auskünfte über mich von der SCHUFA erhält“ zu finden ist, ist das darauf zurückzuführen, dass in diesen (Alt-)Klauseln der entsprechende Datenempfänger (noch) nicht als solcher genannt und insoweit konstitutiv zu erfassen war.
10
Da die Einwilligungserklärung die Weitergabe von Kundendaten an die SCHUFA regelt, wird die Einwilligung zugunsten des die Daten übermittelnden Unternehmens und damit der insoweit datenschutzrechtlich verantwortlichen Stelle i.S.d. § 3 Abs. 7 BDSG erteilt. Für die Wirksamkeit einer Einwilligung ist es entscheidend, dass das „begünstigte“ Unternehmen genau bezeichnet wird, damit dem Betroffenen klar ist, auf welche übermittelnde Stelle sich seine Einwilligung bezieht bzw. beziehen soll. Die Nennung mehrerer Unternehmen ist damit nicht ausgeschlossen, so lange alle Unternehmen hinreichend genau be1 Zu den allgemeinen Wirksamkeitserfordernissen einer Einwilligung s. Burgartz/Röhrig/ Lang, Kap. 07110, Abschn. 4.4; eingehend Liedtke, S. 9 ff. 2 S. auch Erläuterungen zu Abs. 5 der SCHUFA-Klausel unter Rz. 34 f.
1032
|
Lang/Kamlah
Erläuterungen
Rz. 12 Teil 7 IV
zeichnet werden. Problematisch sind dagegen sog. „Blankoklauseln“, aus denen die verantwortliche Stelle, die sich der Einwilligung bedient, auf dieser Basis Daten an die SCHUFA übermittelt und letztlich auch die SCHUFA-Anfrage stellt, nicht oder nicht hinreichend erkennbar ist. Dieses Problem tritt häufig bei sog. Kreditvermittlungsplattformen auf. Es ist nur lösbar, indem dem Betroffenen zumindest an anderer leicht zugänglicher Stelle des Einwilligungsformulars deutlich gemacht wird, welche Kreditinstitute an der Vermittlungsplattform teilnehmen. Diese Lösung sollte idealerweise mit einer Opt-out-Option verbunden werden, damit ein Kunde der Kreditvermittlungsplattform bei Bedarf, aus welchen Gründen auch immer, eine Zusammenarbeit mit einem bestimmten Kreditinstitut von vornherein ausschließen kann. Es ist jedoch nicht nur der Adressat der Einwilligung zu nennen, sondern auch die Stelle, an die die Antragsdaten übermittelt werden sollen – hier die SCHUFA. Die SCHUFA wird nicht nur mit der Firmierung, sondern auch mit kompletter Anschrift genannt. Der Grund hierfür liegt darin, dass die SCHUFA mit der an sie erfolgten Datenübermittlung auch verantwortliche Stelle wird und der Betroffene sogleich erfahren soll, wo er seine insoweit bestehenden Betroffenenrechte gem. §§ 33 ff. BDSG geltend machen kann1.
11
Es folgt eine Aufzählung der Daten bzw. Datenkategorien, auf die sich die Einwilligung konkret bezieht. Diese Datenkategorien betreffen die Aufnahme und ordnungsgemäße Abwicklung des Vertragsverhältnisses (sog. Positivdaten). Sie können je nach beabsichtigtem Geschäft unterschiedlich sein. Daher gibt es nicht „die“ eine SCHUFA-Klausel, sondern jeweils eine eigene SCHUFAKlausel für die Girokontoeröffnung, den Kreditantrag, die Immobilienfinanzierung, die Bürgschaft etc. Die SCHUFA-Klausel ist mithin geschäftsbezogen zu formulieren („diese Kontoverbindung“, „dieses Kredits“ etc.). Das bedeutet aber auch, dass eine SCHUFA-Klausel für jedes Geschäft neu eingeholt werden muss. Sie ist also auch vertragsbezogen. Es kann nicht grundsätzlich davon ausgegangen werden, dass bei einmaliger Unterzeichnung der SCHUFA-Klausel alle mit einem Institut getätigten Geschäfte der vorherigen Bonitätsprüfung mit Unterstützung der SCHUFA unterliegen sollen. Daraus resultieren vier Fragestellungen:
12
a) Ist es gleichwohl möglich, mit dem Betroffenen eine sog. Institutsklausel zu vereinbaren, mit der ein Betroffener einmalig zu Beginn der Geschäftsbeziehung für alle denkbaren Formen von Kreditverträgen eine Einwilligung in die SCHUFA-gestützte Bonitätsprüfung erteilt? b) Ist es denkbar, mit dem Betroffenen eine sog. Kundenstammklausel zu vereinbaren, mit der ein Betroffener für gleichartige Geschäfte nur einmalig eine Einwilligung in den Datenaustausch mit der SCHUFA erteilt? c) Ist es denkbar, mit dem Betroffenen eine sog. Kombiklausel zu vereinbaren, mit der ein Betroffener innerhalb eines Vertrags eine Einwilligung für einen aus verschiedenen der o.g. Geschäfte zusammengesetzten Vertrag erteilt? 1 Zum Recht auf Auskunft s. auch Abs. 6 der SCHUFA-Klausel und die entsprechenden Erläuterungen unter Rz. 37 f.
Lang/Kamlah
|
1033
Teil 7 IV
Rz. 13
Die SCHUFA-Klausel
d) Ist es denkbar, mit dem Betroffenen eine sog. integrierte Klausel zu vereinbaren, mit der ein Betroffener in die Zusammenarbeit mit verschiedenen Auskunfteien einwilligt?
a) Institutsklausel 13
Bei der Abfassung einer sog. Institutsklausel müssten alle SCHUFA-Klauseln in der Form verbunden werden, dass die je nach beabsichtigtem Geschäft zu übermittelnden Datenkategorien innerhalb des ersten Absatzes der Klausel aufgeführt werden. Damit besteht die Gefahr, dass der erste Absatz der Klausel entsprechend lang und damit möglicherweise intransparent wird.
14
Weiterhin ist zu bedenken, dass zwischen den tatsächlich geschlossenen Verträgen möglicherweise mehrere Jahre liegen und sich der Betroffene bei den später geschlossenen Verträgen nicht mehr an den Inhalt der beim initialen Geschäft unterzeichneten Institutsklausel erinnert. Zur Sicherstellung der Transparenz und damit auch der Wirksamkeit der Institutsklausel wäre bei jedem später vereinbarten Geschäft zumindest ein Hinweis auf die seinerzeit unterzeichnete Institutsklausel erforderlich. Damit kommt aber – aus Sicht des Formularwesens – ein wesentliches Argument für die Etablierung einer sog. Institutsklausel nicht mehr zum Tragen.
b) Kundenstammklausel 15
Bei einer sog. Kundenstammklausel, bei der gleichartige Geschäfte mittels einer SCHUFA-Klausel abgesichert werden sollen, liegt das Problem im Gegensatz zu der unter a) erörterten sog. Institutsklausel lediglich in der zeitlichen Dimension. Praktisch relevant wird dies bei Girovertragsverhältnissen, bei denen bspw. zu einem Hauptkonto im weiteren Verlauf der Geschäftsbeziehung mehrere Unterkonten eingerichtet werden sollen. Bei der später erfolgenden Einrichtung von Unterkonten soll nicht jeweils eine neue SCHUFA-Klausel erteilt werden, sondern ein Verweis auf den Kundenstammvertrag mit einer Kundenstammklausel möglich sein. Ähnlich wie bei der unter a) erörterten Institutsklausel wird aber auch hier bei der später erfolgenden Einrichtung von Unterkonten zumindest ein Hinweis auf die zu Beginn des Geschäftsverhältnisses einmalig erteilte SCHUFA-Kundenstammklausel nötig sein.
c) Kombiklausel 16
Gelegentlich werden bspw. Girokonto- und Kreditverträge in einem Vertragsdokument miteinander verbunden. In diesen Fällen kann das praktische Bedürfnis bestehen, auch die SCHUFA-Klauseln miteinander zu verweben, um das Unterzeichnen mehrerer – im Übrigen wortgleicher – Klauseln zu vermeiden. In diesen Fällen ist bei der Formulargestaltung darauf zu achten, dass die Gebote der Transparenz und Bestimmtheit beachtet werden. Es muss deutlich werden, dass den unterschiedlichen Geschäften entsprechend in die Übermittlung unterschiedlicher Datenkategorien eingewilligt wird. Das kann bspw. dadurch sichergestellt werden, dass der erste Absatz einer solchen Kombiklausel je nach Geschäft mit entsprechenden Spiegelstrichen unterteilt wird. 1034
|
Lang/Kamlah
Erläuterungen
Rz. 19 Teil 7 IV
d) Integrierte Klausel In der Praxis ist zuweilen eine sog. integrierte Klausel anzutreffen, mit der ein Betroffener in die Zusammenarbeit mit verschiedenen Auskunfteien einwilligt. Dieses Vorgehen erfolgt vor dem Hintergrund, dass Kreditgeber parallel Dienstleistungen sowohl der SCHUFA als auch anderer Auskunfteien in Anspruch nehmen, die wie die SCHUFA Informationen zur Kreditwürdigkeit anbieten. Soll die Datenübermittlung mit allen Auskunfteien auf Basis einer Einwilligung erfolgen, muss die Einwilligungserklärung besonders sorgfältig gestaltet werden.
17
Es ist datenschutzrechtlich und AGB-rechtlich bedenklich, die hier kommentierte SCHUFA-Klausel zu nutzen und unter Beibehaltung des übrigen Wortlauts lediglich das Wort „SCHUFA“ durch eine Aufzählung aller relevanten Auskunfteien zu ersetzen. Im fünften Absatz der SCHUFA-Klausel ist zur Sicherstellung der Transparenz und der sog. informierten Einwilligung1 das SCHUFA-Verfahren beschrieben, nicht aber das Verfahren anderer Auskunfteien. Die Auflistung verschiedener Auskunfteien in der SCHUFA-Klausel unter Beibehaltung des sonstigen Inhalts dieser Klausel, insbesondere der konkreten Beschreibung des SCHUFA-Verfahrens, würde bei dem Betroffenen den unzutreffenden Eindruck wecken, dass die Verfahren sämtlicher Auskunfteien völlig deckungsgleich sind. Das ist aber gerade nicht der Fall. Im Ergebnis würde der Betroffene in die Irre geführt werden. Daher spricht viel für eine AGB- und datenschutzrechtliche Unwirksamkeit dieser Form der integrierten Klausel, wenn nicht zumindest die unterschiedlichen Verfahrensweisen deutlich unterscheidbar und der jeweiligen Auskunftei zuordenbar dargestellt werden2.
18
2. Erläuterungen zu Absatz 2 E Unabhängig davon wird das Kreditinstitut der SCHUFA auch Daten über seine gegen mich bestehenden fälligen Forderungen übermitteln. Dies ist nach dem Bundesdatenschutzgesetz (§ 28a Abs. 1 Satz 1) zulässig, wenn ich die geschuldete Leistung trotz Fälligkeit nicht erbracht habe, die Übermittlung zur Wahrung berechtigter Interessen des Kreditinstituts oder Dritter erforderlich ist und – die Forderung vollstreckbar ist oder ich die Forderung ausdrücklich anerkannt habe oder – ich nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden bin, das Kreditinstitut mich rechtzeitig, jedoch frühestens bei der ersten Mahnung, über die bevorstehende Übermittlung nach mindestens vier Wochen unterrichtet hat und ich die Forderung nicht bestritten habe oder – das der Forderung zugrunde liegende Vertragsverhältnis aufgrund von Zahlungsrückständen vom Kreditinstitut fristlos gekündigt werden kann und das Kreditinstitut mich über die bevorstehende Übermittlung unterrichtet hat. 1 Dazu s. Abs. 5 der SCHUFA-Klausel unter Rz. 27 ff. 2 Hierzu eingehend Hornung, CR 2007, 753 ff.
Lang/Kamlah
|
1035
19
Teil 7 IV
Rz. 20
Die SCHUFA-Klausel
20
Der Wortlaut von Absatz 2 der SCHUFA-Klausel ist § 28a Abs. 1 BDSG nachgebildet1. Es wird darauf hingewiesen, dass und in welchen Fällen unabhängig von der Einwilligung in Absatz 1 der SCHUFA-Klausel eine Übermittlung von Daten erfolgen „wird“. Der zweite Absatz regelt die Datenübermittlung anders als Absatz 1 nicht konstitutiv im Sinne einer Einwilligung, sondern weist auf die Rechtslage hin und ist damit eine datenschutzrechtlich erforderliche Information nach § 4 Abs. 3 Satz 1 BDSG2.
21
Nach § 28a Abs. 1 BDSG darf die Übermittlung von sog. Negativdaten auch ohne Einwilligung des Betroffenen erfolgen. Da dieser Hinweis auf die Rechtslage jedoch in eine Einwilligungserklärung integriert wurde, ist es mit Blick auf § 307 Abs. 1 Satz 2 BGB erforderlich, nicht nur auf das Gesetz zu verweisen, sondern die entsprechenden Passagen wörtlich in die SCHUFA-Klausel zu integrieren, um eine Präsenz des Wortlauts und damit Transparenz der Erklärung zu erreichen.
3. Erläuterungen zu Absatz 3 22
E Darüber hinaus wird das Kreditinstitut der SCHUFA auch Daten über sonstiges nicht vertragsgemäßes Verhalten (Konten- oder Kreditkartenmissbrauch oder sonstiges betrügerisches Verhalten) übermitteln. Diese Meldungen dürfen nach dem Bundesdatenschutzgesetz (§ 28 Abs. 2) nur erfolgen, soweit dies zur Wahrung berechtigter Interessen des Kreditinstituts oder Dritter erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung überwiegt.
23
Da unabhängig von der Einführung des § 28a BDSG im Jahre 2010 bonitätsrelevante nicht forderungsbezogene Sachverhalte denkbar sind3, enthält Absatz 3 der SCHUFA-Klausel weiterhin den Hinweis auf den Interessenabwägungstatbestand des § 28 Abs. 2 BDSG. In diesem Rahmen dürfen Informationen über ein vertragswidriges Verhalten (sog. Negativdaten) ebenfalls übermittelt werden. Absatz 3 der SCHUFA-Klausel hat wie Absatz 2 keinen konstitutiven, sondern deklaratorischen Charakter.
4. Erläuterungen zu Absatz 4 24
E Insoweit befreie ich das Kreditinstitut zugleich vom Bankgeheimnis.
25
Der vierte Absatz der SCHUFA-Klausel trägt dem Umstand Rechnung, dass es im Falle von Kreditinstituten als Nutzer der SCHUFA-Klausel neben den datenschutzrechtlichen Vorgaben noch die vertragliche Verpflichtung zur Wahrung des Bankgeheimnisses gibt4. In SCHUFA-Klauseln, die von Kreditinstituten verwendet werden, ist dieser Satz immer enthalten. 1 Zur Norm des § 28a BDSG im Einzelnen s. Plath/Kamlah, § 28a BDSG Rz. 47. 2 Zur Informationspflicht gem. § 4 Abs. 3 BDSG s. Burgartz/Röhrig/Lang, Kap. 07111, Abschn. 2.1. 3 Zur Abgrenzung von § 28 zu § 28a BDSG s. Plath/Kamlah, § 28a BDSG Rz. 3, 15. 4 Hierzu Vahldiek/Suhren, S. 40 f.; zur Erforderlichkeit einer SCHUFA-Klausel s. Plath/ Kamlah, § 28a BDSG Rz. 55.
1036
|
Lang/Kamlah
Erläuterungen
Rz. 30 Teil 7 IV
Der vierte Absatz ist so formuliert, dass er sich auf die vorangehenden Absätze 2 und 3 der SCHUFA-Klausel bezieht. Die Befreiung vom Bankgeheimnis reicht soweit wie die Datenübermittlung an die SCHUFA nach datenschutzrechtlichen Vorgaben zulässig ist1.
26
5. Erläuterungen zu Absatz 5 E Die SCHUFA speichert und nutzt die erhaltenen Daten. Die Nutzung umfasst auch die Errechnung eines Wahrscheinlichkeitswertes auf Grundlage des SCHUFA-Datenbestandes zur Beurteilung des Kreditrisikos (Score). Die erhaltenen Daten übermittelt sie an ihre Vertragspartner im Europäischen Wirtschaftsraum und der Schweiz, um diesen Informationen zur Beurteilung der Kreditwürdigkeit von natürlichen Personen zu geben. Vertragspartner der SCHUFA sind Unternehmen, die aufgrund von Leistungen oder Lieferung finanzielle Ausfallrisiken tragen (insbesondere Kreditinstitute sowie Kreditkarten- und Leasinggesellschaften, aber auch etwa Vermietungs-, Handels-, Telekommunikations-, Energieversorgungs-, Versicherungs- und Inkassounternehmen). Die SCHUFA stellt personenbezogene Daten nur zur Verfügung, wenn ein berechtigtes Interesse hieran im Einzelfall glaubhaft dargelegt wurde und die Übermittlung nach Abwägung aller Interessen zulässig ist. Daher kann der Umfang der jeweils zur Verfügung gestellten Daten nach Art der Vertragspartner unterschiedlich sein. Darüber hinaus nutzt die SCHUFA die Daten zur Prüfung der Identität und des Alters von Personen auf Anfrage ihrer Vertragspartner, die bspw. Dienstleistungen im Internet anbieten.
27
Mit Absatz 5 der SCHUFA-Klausel wird der Informationspflicht der verantwortlichen Stelle entsprochen (sog. informierte Einwilligung)2. In diesem Absatz werden kurz und prägnant die Aufgabe und die Tätigkeit der SCHUFA beschrieben. Entsprechend den unterschiedlichen Phasen einer Datenverarbeitung wird in Satz 1 darauf hingewiesen, dass die (zuvor) übermittelten Daten zunächst bei der SCHUFA gespeichert und genutzt werden3.
28
In Satz 2 folgt entsprechend der gestiegenen Bedeutung von Score-Verfahren im Rahmen der Kreditwürdigkeitsprüfung ein Hinweis darauf, dass die SCHUFA auch solche Verfahren einsetzt.
29
In den Sätzen 3 und 4 wird der Betroffene darüber aufgeklärt, an wen und zu welchem Zweck die SCHUFA (auf Anfrage) Daten übermittelt. Der Betroffene wird darüber informiert, dass nur „Vertragspartner“ Daten erhalten. Empfänger
30
1 Nach einigen Gerichtsentscheidungen kommt es für eine Übermittlung von sog. Negativdaten nicht auf das Vorliegen der SCHUFA-Klausel an, wenn die Datenübermittlung aufgrund eines gesetzlichen Erlaubnistatbestands datenschutzrechtlich zulässig ist, zusammenfassend Freise, ITRB 2012, 54 f. Aus den jeweiligen Entscheidungsgründen ergibt sich allerdings nicht, ob der datenschutzgesetzliche Erlaubnistatbestand auch auf die Ebene des vertraglich verpflichtenden Bankgeheimnisses „durchschlägt“ und ob es damit in jedem Fall nicht mehr auf eine gesonderte Befreiung vom Bankgeheimnis ankommt. 2 Das Kriterium der Informiertheit einer Einwilligung ist für die Wirksamkeit einer Einwilligung von entscheidender Bedeutung, s. Burgartz/Röhrig/Lang, Kap. 07110, Abschn. 4.4.2. 3 Mit der Speicherung wird die SCHUFA verantwortliche Stelle i.S.v. § 3 Abs. 7 BDSG.
Lang/Kamlah
|
1037
Teil 7 IV
Rz. 31
Die SCHUFA-Klausel
von Daten kann mithin nicht jeder werden, sondern nur solche Unternehmen, mit denen die SCHUFA einen entsprechenden Vertrag geschlossen hat. Gleichzeitig wird mitgeteilt, wo diese Vertragspartner gelegen sind – nämlich im EWR und in der Schweiz. Bei dieser Formulierung lehnt sich die SCHUFA-Klausel an den Geltungsbereich der europäischen Datenschutzrichtlinie 95/46/EG an. 31
Schließlich folgt eine Zweckbindungserklärung, die zwei Dimensionen hat. Zum einen wird klar und deutlich ausgesprochen, dass die SCHUFA „Informationen zur Beurteilung der Kreditwürdigkeit“ übermittelt. Diese Formulierung bestätigt gleichzeitig die Nutzung der ursprünglich seitens der übermittelnden Vertragspartner gelieferten Daten zur Beurteilung des Kreditrisikos im Rahmen der Ermittlung von Wahrscheinlichkeitswerten (Abs. 5 Satz 2 der SCHUFAKlausel). Insgesamt ist damit der Zweck der SCHUFA beschrieben und gleichzeitig begrenzt: die SCHUFA verarbeitet und nutzt die Daten zum Zwecke der Ermittlung der Kreditwürdigkeitsprüfung.
32
Zum anderen ist in der Zweckbindungserklärung der Kreis der Betroffenen definiert, auf die sich diese Kreditwürdigkeitsprüfung erstreckt. Erfasst sind explizit die natürlichen Personen in Abgrenzung zu juristischen Personen. Die Kreditwürdigkeitsprüfung der SCHUFA bezieht sich anders als die Tätigkeit von Wirtschaftsauskunfteien (nur) auf natürliche Personen. Das bedeutet aber nicht, dass die Betroffenen nur in ihrer Eigenschaft als Verbraucher oder Konsumenten begriffen werden. Die Kreditwürdigkeitsprüfung der SCHUFA umfasst vielmehr das Haftungssubjekt der natürlichen Person als Ganzes und damit auch jede Form der persönlichen Haftung wie die von wirtschaftlich tätigen Freiberuflern oder Kleingewerbetreibenden. Das ist insoweit konsequent, als es für die Kreditwürdigkeitsprüfung einer natürlichen Person keine Rolle spielen kann, ob diese natürliche Person als Verbraucher oder Unternehmer Kreditverpflichtungen im wirtschaftlichen Kontext aufgenommen hat oder aufnehmen möchte. Bereits für eine im Rahmen einer Kreditvergabe üblicherweise durchzuführende Haushaltsrechnung ist die persönliche Gesamtbelastung zugrunde zu legen und dementsprechend die Kreditwürdigkeit im Ganzen zu prüfen.
33
Während Absatz 5 Satz 3 der SCHUFA-Klausel die Vertragspartner noch allgemein nennt und deren Belegenheit definiert, werden in Satz 4 ausdrücklich die am SCHUFA-Auskunfteisystem teilnehmenden Branchen und damit gleichzeitig die Kategorien von Empfängern genannt1. Dabei wird zunächst klargestellt, dass eine Kreditwürdigkeitsprüfung – jedenfalls mit Unterstützung der SCHUFA – nur erfolgt, wenn es um die Absicherung „finanzieller Ausfallrisiken“ geht. Das ist insoweit einschränkend, als ein berechtigtes Interesse am Erhalt von Bonitätsinformationen nicht zwingend vom Vorliegen eines finanziellen Ausfallrisikos abhängt2. Es folgt eine Nennung der Empfängerkategorien beginnend mit den wesentlichen dem Gesetz über das Kreditwesen unter1 Vgl. auch die bei der Datenerhebung zu realisierenden Informationspflichten nach § 4 Abs. 3 BDSG; bei der Nennung von Kategorien von Empfängern sind Branchenbezeichnungen ausreichend, s. Plath/Plath, § 4 BDSG Rz. 30. 2 Ein berechtigtes Interesse im Sinne der Abwägungstatbestände wird in der Regel wesentlich weiter definiert. Danach kann ein berechtigtes Interesse auch ein bloß rechtliches Interesse beinhalten, s. Plath/Plath, § 29 BDSG Rz. 81.
1038
|
Lang/Kamlah
Erläuterungen
Rz. 36 Teil 7 IV
liegenden Branchen, deren Teilnahme am SCHUFA-Verfahren in der Regel seitens des Betroffenen aufgrund des überragenden Bekanntheitsgrades der SCHUFA ohnehin vermutet wird. Am Ende von Satz 3 wird klargestellt, dass auch weitere Branchen wie Telekommunikations- und Energieversorgungsunternehmen am SCHUFA-Auskunfteisystem teilnehmen können1. Absatz 5 Satz 5 der SCHUFA-Klausel ist § 29 Abs. 2 BDSG nachgebildet und stellt klar, dass personenbezogene Daten nur zur Verfügung gestellt werden, wenn ein berechtigtes Interesse an deren Erhalt glaubhaft dargelegt wurde und die Übermittlung durch die SCHUFA nach Abwägung aller Interessen zulässig ist. Die glaubhafte Darlegung erfolgt im SCHUFA-Auskunfteisystem in aller Regel durch sog. Merkmale, die von der SCHUFA aufgezeichnet werden und auch für Betroffene in Selbstauskünften entsprechend erkennbar sind. Dem Betroffenen wird damit gleichzeitig die Möglichkeit eröffnet, Datenübermittlungen zu kontrollieren2.
34
Die Zulässigkeit der Datenübermittlung erfordert gem. § 29 Abs. 2 BDSG eine Interessenabwägung3, bei der die Interessen des potenziellen Auskunftsempfängers und des Betroffenen gegeneinander zu gewichten sind. Diese Interessenabwägung kann hinsichtlich der potenziellen Empfänger zu unterschiedlichen Ergebnissen führen. Das bedeutet aber nicht, dass im Zweifel eine Übermittlung von personenbezogenen Daten durch die SCHUFA gänzlich unterbleiben muss. Vielmehr kann die Interessenabwägung ergeben, dass eine unterschiedliche Auskunftsintensität geboten ist. Die SCHUFA stellt daher verschiedene Verfahren zur Verfügung, um diesem Umstand Rechnung zu tragen4. Dementsprechend weist Absatz 5 Satz 6 der SCHUFA-Klausel darauf hin, dass die den Vertragspartnern erteilte Auskunft unterschiedlich (umfangreich) ausfallen kann.
35
Absatz 5 Satz 7 der SCHUFA-Klausel erweitert den Zweck der Datenverarbeitung und -nutzung durch die SCHUFA über die Kreditwürdigkeitsprüfung hinaus auf die Identitäts- und Altersprüfung von Personen auf Anfrage der SCHUFA-Vertragspartner. Insbesondere für die Seriosität von Internetmarktplätzen und Portalen ist es wesentlich, dass die Teilnehmer nicht mit Scheinidentitäten agieren. Teilweise besteht auch die Pflicht, bestimmte Angebote nur an Volljährige zu richten. In diesen Fällen kann es – quasi als Minus zur Kreditwürdigkeitsprüfung und dem Gedanken von Absatz 5 Satz 6 der SCHUFAKlausel entsprechend – ausreichend sein, lediglich die Identität oder das Alter des Betroffenen zu verifizieren. Die Übermittlung der Informationen wie bei einer vollen Kreditwürdigkeitsauskunft ist nicht erforderlich. Diese eingeschränkte SCHUFA-Verifizierung ermöglicht es, bestimmte Angebote im Internet zu realisieren.
36
1 Zu den unterschiedlichen Auskunftsverfahren s. Beckhusen, S. 46 ff. 2 Auskunfteiverfahren sind in aller Regel als automatisierte Abrufverfahren ausgestaltet. Damit findet neben § 29 Abs. 2 BDSG insbesondere auch § 10 BDSG Anwendung. 3 Diese Interessenabwägung ist entsprechend der gesetzgeberischen Absicht durch den Verweis des § 29 Abs. 2 Satz 3 BDSG insbesondere auf § 28a BDSG weitestgehend determiniert, s. hierzu Plath/Kamlah, § 28a BDSG Rz. 20 f. Die teilweise vertretene Ansicht, die Tätigkeit von Auskunfteien richte sich nach den Regeln der Auftragsdatenverarbeitung i.S.v. § 11 BDSG, findet keine Stütze im Gesetz. 4 Die verschiedenen Verfahren der SCHUFA beschreibend Beckhusen, S. 46 ff.
Lang/Kamlah
|
1039
Teil 7 IV
Rz. 37
Die SCHUFA-Klausel
6. Erläuterungen zu Absatz 6 37
E Ich kann Auskunft bei der SCHUFA über die mich betreffenden gespeicherten Daten erhalten. Weitere Informationen über das SCHUFA-Auskunfts- und ScoreVerfahren sind unter www.meineschufa.de abrufbar. Die postalische Adresse der SCHUFA lautet: SCHUFA Holding AG, Privatkunden Servicecenter, Postfach 103441, 50474 Köln. … Ort, Datum … Unterschrift
38
Der Absatz 6 hat rein informatorischen Charakter und dient dazu, die Betroffenenrechte zu wahren. Der Betroffene wird zunächst darüber aufgeklärt, wo er weitergehende Informationen und insbesondere Auskunft nach § 34 BDSG erhalten bzw. geltend machen kann. Für den Fall, dass der Betroffene nach bzw. unabhängig von einer Auskunftserteilung gem. § 34 BDSG weitergehende Fragen hat oder etwaige Rechte auf Löschung, Berichtigung oder Sperrung nach § 35 BDSG geltend machen möchte, wird ihm die Anschrift derjenigen Einheit der SCHUFA bekanntgegeben, die diese Eingaben auf der Primärebene bearbeitet. Diese Information dient dazu, die Bearbeitung entsprechender Eingaben zu beschleunigen. Die Anfrage des Betroffenen muss nicht von dem in Absatz 1 der SCHUFA-Klausel genannten Sitz der SCHUFA an die sachbearbeitende Stelle der SCHUFA weitergeleitet werden. Davon unberührt bleibt selbstverständlich die Möglichkeit, unter der Anschrift des Sitzes der SCHUFA Holding AG weitergehende Rechte auszuüben.
1040
|
Lang/Kamlah
Stichwortverzeichnis Abberufung – Datenschutzbeauftragter 1 II 1 – Datenschutzbeauftragter, externer 1 II 38 – des Datenschutzbeauftragten bei Kündigung 1 II 64 – Vertrag des Datenschutzbeauftragten 1 II 62 Abberufungserklärung 1 II 64 Abberufungsschutz – Datenschutzbeauftragter, Widerruf 1 I 21, 57 ff. Abhängige Unternehmen – Unternehmensrichtlinien 4 I 25 – Veröffentlichung der Unternehmensrichtlinie 4 I 175 Abhängigkeitsverhältnis – Freiwilligkeit der Einwilligung 4 I 54 Abhilfemaßnahmen – Datensicherheitsvorfälle 2 I 101 Abhören – Videoüberwachung am Arbeitsplatz 4 II 2 Abmahnung – Adresslieferungsrahmenvertrag 3 II 42 – Amtsniederlegung, Datenschutzbeauftragter 1 I 101 – Arbeitgeberkritik in sozialen Medien 4 VII 54 – Datenschutzverstoß, soziale Netzwerke 7 II 4 – Kommunikation in sozialen Medien 4 VII 39 – Nutzung betrieblicher Ressourcen 4 VII 44 – Privatnutzung betrieblicher Accounts 4 V 97 – rechtsfehlerhafte Adressgewinnung 3 II 38 Abrechnungsdaten – Einwilligungserklärung bei sozialen Netzwerken 7 II 85 ff. Abrechnungszweck – Speicherung der IP-Adresse 7 II 56 Account siehe Internet-Account Ad-hoc-Vertrag – EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung 5 III 16, 93 Adressen, individuelle – Ausschluss des Unterauftragnehmers 3 II 22 Adressenkauf 3 II 1 ff.
Adresshandelsunternehmen – Datenschutzbeauftragter, Arbeitsvertrag 1 I 1 Adresslieferungsrahmenvertrag siehe auch Direktmarketing – 24-Stunden-Ausstiegsklausel 3 II 16 – 48-Stunden-Frist für Einwilligungsnachweis 3 II 38 – Allgemeine Geschäftsbedingungen 3 II 6 – Anforderungen der Rechtsprechung 3 II 33 ff. – Aufrechnung und Zurückbehaltungsrecht 3 II 55 f. – Auslegung des Leistungsumfangs 3 II 19 – Ausschluss des Unterauftragnehmers 3 II 22 – besonderer Art 3 II 4 – Bürgschaft des Lieferanten 3 II 53 – Datenabgleich und Abrechnung 3 II 42 ff. – Datenbeschaffung 3 II 15 – Datenqualität 3 II 14, 24 ff. – Einwilligung in Datenverarbeitung 3 II 3 – Gewährleistungsrecht 3 II 48 ff. – Kaufpreisminderung 3 II 19 f. – Lieferantenhaftung und Freistellung 3 II 50 ff. – Listbrokingvertrag 3 II 5 – Mindestabrechnungsquote 3 II 45 – Offenlegungspflicht der Identität des Unterlieferanten 3 II 23 – personenbezogene Daten 3 II 9 – Qualität und Validität 3 II 30 – Rahmenvertrag 3 II 7 – rechtliche Einordnung des Stornos 3 II 17 – Schlechtleistung 3 II 31 – Unterauftragnehmer 3 II 21 ff. – Verantwortung beim Käufer 3 II 40 – Verjährung 3 II 38 – Vertragsdurchführung 3 II 18 ff. – Vertragsgegenstand 3 II 12 ff. – Vertragsstrafe 3 II 39 – Vorselektion 3 II 44 AGB – Einwilligungserklärung bei sozialen Netzwerken 7 II 11 – integrierte Schufa-Klausel 7 IV 18
1041
Stichwortverzeichnis – Mindestalter, soziale Netzwerke 7 II 26 AGB, Haftungsklausel – Auftragsdatenverarbeitung 2 I 159 – Auskunfteivertrag 3 I 3 AGB, Inhaltskontrolle – Adresslieferungsrahmenvertrag 3 II 6 – Gewährleistungsrecht, Adresslieferung 3 II 48 ff. – Individualabrede, Schriftform 1 I 68 ff. – Verfallklauseln, Datenschutzbeauftragter 1 I 64 f. – Vertragsstrafe bei Adresslieferung 3 II 39 – Werbe-Einwilligungserklärung bei Offline-Werbung 7 III 26 – Werbe-Einwilligungserklärungs-Klausel 7 III 6 AGB, unangemessene Benachteiligung – Kostenregelung bei BYOD 4 VI 83 – Vor-Ort-Kontrolle 2 I 112 AGB-Kontrolle – Einwilligungserklärung bei sozialen Netzwerken 7 II 13 AGB-Verstoß – Herausgabepflicht des Mobilgerätes 4 VI 101 Aktenvernichtung – Datenträger siehe Entsorgung Allgemeinheit – Daten aus sozialen Netzwerken 3 III 22 f. Alternative Kontrollmöglichkeiten 2 II 86 ff. Alternative Standardvertragsklauseln siehe Standardvertrag II Amtsniederlegung – Datenschutzbeauftragter 1 I 101 – einvernehmliche, Datenschutzbeauftragter 1 I 104 – Vertrag des Datenschutzbeauftragten 1 II 62 Anbieterkennzeichnungspflicht – soziale Netzwerke 7 II 39 Änderung von Daten – Betriebsvereinbarung, BYOD 4 VI 55 Änderungen siehe Vertragsänderungen Änderungen, Unternehmensrichtlinien 4 I 177 ff. Änderungskündigung – Datenschutzbeauftragter, Widerruf 1 I 19 Änderungsverfahren – Auftragsdatenverarbeitung 2 II 58 Änderungsvorbehalt – Kostenerstattung bei BYOD 4 VI 82 f.
1042
Angemessenheit – Datenverarbeitung 4 I 66 Anhang, Standardvertrag II – Aktualisierung 5 II 79 – Aufbewahrungszeitraum 5 II 81 – Beschreibung der Übermittlung 5 II 77 ff. – Datenschutzmelderegister 5 II 81 – Datenverarbeitungsgrundsätze 5 II 57 ff. – Haupt-/Rahmenvertrag 5 II 76 – Inhalt 5 II 80 – Unterschrift 5 II 78 – Verarbeitungszweck 5 II 79 – Vorgaben in Anlage 2, Standardvertrag I 5 II 57 f. Anlage, Standardvertrag I – Aufbewahrungszeitraum 5 I 51 – automatisierte Einzelentscheidung 5 I 95 – Berichtigung 5 I 87 ff. – Beschränkung der Weiterübermittlung 5 I 91 f. – besondere Datenkategorien 5 I 93 – Bestimmtheit 5 I 43 – betroffene Personen 5 I 45 – Datenexporteur/-importeur 5 I 44 – Datenqualität 5 I 79 ff. – Datenschutzgrundsätze 5 I 75 ff., 97 f. – Datenverhältnismäßigkeit 5 I 79 ff. – Direktmarketing 5 I 94 – Empfänger 5 I 50 – ergänzende Informationen 5 I 41 ff. – Erläuterungen 5 I 40 ff. – Kategorie übermittelter Daten 5 I 47 – Löschung 5 I 87 ff. – Recht auf Zugriff 5 I 87 ff. – sensible Daten 5 I 48, 49 – Sicherheit 5 I 85 f. – Sperrung 5 I 87 ff. – Transparenz 5 I 82 ff. – Übermittlungszweck 5 I 46 – Umfang der Daten 5 I 81 – Vertraulichkeit 5 I 85 f. – Vorgaben für Anhang A, Standardvertrag II 5 II 57 f. – Widerspruch 5 I 87 ff. – Zweckbindungsgrundsatz 5 I 43, 78 Anlagen – Betriebsvereinbarung zur Videoüberwachung 4 II 70 ff. Anmeldung – soziale Netzwerke 7 II 23 Anonyme Nutzung – soziale Netzwerke 7 II 33 ff.
Stichwortverzeichnis Anonymisierung – Auftragsdatenverarbeitung 2 II 19 – Daten, Unternehmensrichtlinien 4 I 73 f. – IpPv6-Standard 3 IV 72 – Privacy Policy 7 I 17 – Verwendungsverbot bei Datenverarbeitung 2 I 60 Anonymisierungsanbieter 3 IV 20 Anpassungen, Unternehmensrichtlinien 4 I 177 ff. Ansprechpartner – Datenschutz beim Kaufvertrag 6 II 28 f. – Einwilligungserklärung, soziale Netzwerke 7 II 81 ff. – Mitarbeiterortung 4 III 57, 60 – Nutzung sozialer Medien 4 VII 58 ff. – Privacy Policy 7 I 42 f. – Schufa-Klausel 7 IV 37 f. – Unternehmensregelungen (BCR) 5 V 61 ff. – Unternehmensrichtlinien 4 I 159 ff. – Whistleblowing 4 IV 33 ff. Antivirus-Programm – Datenschutz bei sozialen Netzwerken 7 II 71 ff. Anwalt siehe Rechtsanwalt Anwendungen – zulässige bei BYOD 4 VI 22 Anwendungsdaten – Speicherung, BYOD 4 VI 41 Apps – Blacklist 4 VI 75 – datenschutzrechtliche Verantwortung 4 VI 76 – Einwilligungserklärung bei sozialen Netzwerken 7 II 87 f. – Installation bei BYOD 4 VI 72 ff. – Urheberrechtsverletzungen 4 VI 76 – Verfügbarkeitskontrolle 4 VI 74 App-Store – Social Media Monitoring 3 III 8 Arbeitgeber – Diensteanbieter 4 III 13 ff. – Diensteanbieter, Privatnutzung betrieblicher Accounts 4 V 6, 14 ff. – Filesharing 4 V 97 – Haftung bei BYOD 4 VI 86 ff. – Informationspflicht bei Videoüberwachung 4 II 92 ff. – Kontrolle der Social Media-Nutzung 4 VII 20 ff. – Social Media Richtlinie 4 VII 3 ff. – Verfügungsbefugnis betrieblicher E-Mail-Accounts 4 V 76
– Videoüberwachung am Arbeitsplatz 4 II 26 – Weisungsrecht zu sozialen Medien 4 VII 32 ff. – Zugriff auf Internet-Account 4 V 106 ff. Arbeitnehmer – Angaben in Unternehmensregelungen, BCR 5 V 29, 40 – Datenübermittlung 5 I 47; 5 II 11 – Datenweitergabe in sozialen Medien 4 VII 38 – Einwilligung in Nutzungskontrolle 4 VII 30 – Einwilligung, Unternehmensrichtlinie 4 I 55 – Einwilligungserklärung, soziale Netzwerke 7 II 21 – Herausgabepflicht des Mobilgerätes 4 VI 98 ff. – Nutzungspflicht sozialer Medien 4 VII 13 – Ortung siehe Mitarbeiterortung – private Nutzung sozialer Medien 4 VII 17 – Rechte bei Videoüberwachung 4 II 92 ff. – Rechtsgrundlagen für Videoüberwachung 4 II 3 ff. – Social Media Richtlinie 4 VII 2 – Vorgaben für die Nutzung sozialer Medien 4 VII 16 ff. – Wahrung des Datengeheimnisses 4 I 116 ff. Arbeitnehmereigenschaden – allgemeines Lebensrisiko 4 VI 89 – betriebliche Veranlassung 4 VI 87 – grobe Fahrlässigkeit/Vorsatz 4 VI 89 – verschuldenunabhängige Arbeitgeberhaftung 4 VI 88 Arbeitnehmervertretungen – Änderung/Erweiterung der Ortungseinrichtung 4 III 55 f. – Änderungen bei Videoüberwachung 4 II 103 – Beschwerdestelle bei Whistleblowing 4 IV 60 f. – Betriebsvereinbarung, Internet- und E-Mail-Nutzung 4 V 49 – Betriebsvereinbarung zu Social Media Richtlinie 4 VII 5 – Betriebsvereinbarung zur Mitarbeiterortung 4 III 2 ff. – Betriebsvereinbarung zur Videoüberwachung 4 II 28 – Datenschutzanfragen 1 II 35
1043
Stichwortverzeichnis – Einsehbarkeit betrieblicher Accounts 4 V 104 – Informationsaustausch mit Datenschutzbeauftragtem 1 II 24 – keine Kontrolle über Datenschutzbeauftragten 1 II 35 – Regelungskompetenz bei Mitarbeiterortung 4 III 32 ff. – Videoüberwachung am Arbeitsplatz 4 II 26, 68 – Zuständigkeiten bei Mitarbeiterortung 4 III 4 ff. Arbeitsdokumente – Auftragsdatenverarbeitung 5 V 18 – inhaltliche Vorgaben für BCR 5 V 6 ff. – interne Verbindlichkeit 5 V 25 – Unterlagen für Unternehmensregelungen, BCR 5 V 17 Arbeitsergebnis – Rechte an ~sen, Datenschutzbeauftragter 1 I 44 f. Arbeitsort – Datenschutzbeauftragter, externer 1 II 20 Arbeitsplatz – Videoüberwachung 4 II 1 ff.; siehe auch Videoüberwachung, Arbeitsplatz Arbeitsvertrag – Datenschutzbeauftragter siehe Datenschutzbeauftragter, Arbeitsvertrag – Mitarbeiter des Datenimporteurs 5 I 86 – Social Media Richtlinie 4 VII 4 – Unternehmensregelungen (BCR) 5 V 25 – Wahrung des Datengeheimnisses 4 I 116 Arbeitszeit – Datenschutzbeauftragter 1 I 22 ff. – Datenschutzbeauftragter, externer 1 II 20 – Nutzung des privaten Endgerätes 4 VI 91 ff. Arbeitszeitanteil – Datenschutzbeauftragter 1 I 11 Archivierung – private Nutzung betrieblicher E-MailAdresse 4 V 32 ff. Audioüberwachung – Videoüberwachung am Arbeitsplatz 4 II 54 f. Audit – Auftragsdatenverarbeitung 1 III 125 – Datenschutz 1 III 123 ff. – Entzug des Zertifikats 1 III 90, 99 ff.
1044
– – – – – –
Geheimhaltungsregelung 1 III 113 Preis 1 III 106 ff. Schweigepflicht 1 III 115 Siegel/Zertifikat 1 III 89 Vertragsstrafe 1 III 114 Vertraulichkeit/Verschwiegenheit 1 III 111 ff. – Vertraulichkeit/Verschwiegenheit, öffentlich bekannt 1 III 119 – Wiederholungs~ 1 III 102 ff. – Zahlung 1 III 109 – zeitliche Beschränkung 1 III 88 ff. Auditbericht – fehlerhaft 1 III 85 – Vorlage bei Auftragsdatenverarbeitung 2 I 114 Auditgegenstand – Eingrenzung 1 III 24 f. Auditkatalog – Abweichungen, Entzug 1 III 93 Auditor – Aufgabe 1 III 35 – Ermessen 1 III 38 f. – EU-Standardvertragsklauseln, Auftragsdatenverarbeitung 5 III 72 – Kontrolle bei Auftragsdatenverarbeitung 2 I 116 – Kontrolle von Sicherheitsmaßnahmen 2 I 90 – Kontrolltätigkeit, Auftragsdatenverarbeitung 2 II 84 f. – Person 1 III 40 ff. Auditplan 1 III 33, 47 ff. – Begriff 1 III 48 – Bestandteile 1 III 51 – Beteiligte 1 III 51 – Einwände 1 III 58 – E-Mail 1 III 56, 84 – Erstellung 1 III 49 – Kriterien 1 III 53 – Termine, Tätigkeiten 1 III 50, 54 f. – Verantwortlichkeit 1 III 56 ff. – Ziele 1 III 52 Audits – betriebliche Belange 1 II 27 – Erstellungs-, Beratungspflichten des Datenschutzbeauftragten 1 II 24 Aufbewahrungspflichten – Auftragsdatenverarbeitung 2 I 62; 2 II 46 Aufbewahrungszeitraum – Anhang B, Standardvertrag II 5 II 81 – Anlage zum Standardvertrag I 5 I 51 – Unternehmensrichtlinien 4 I 72 Aufenthaltsraum – Videoüberwachung 4 II 48 f.
Stichwortverzeichnis Aufgabenbeschreibung – Datenschutzbeauftragter, Bestellungsurkunde 1 II 11 Aufhebungsvertrag – Beendigung, Datenschutzbeauftragter 1 I 58 Aufklärungspflicht – Zusatzvereinbarung zur Betriebsvereinbarung, Internet- und E-Mail-Nutzung 4 V 130 Aufsichtsbehörde siehe auch Düsseldorfer Kreis – als Kontrollstelle 5 III 85 – angemessenes Zeitbudget, Vergütung Datenschutzbeauftragter 1 II 55 – Auftragsdatenverarbeitung, Drittländer 5 III 19 ff. – Auskunftsersuchen an Datenexporteur 5 I 61 – Auskunftsrechte bei Auftragsdatenverarbeitung 2 I 68 f. – Auskunftverlangen bei Unternehmen 4 I 44 – Ausnahmegenehmigungen 5 II 4 – Datenschutzaudit 1 III 11 – Datenschutzbeauftragter, externer 1 II 4 – Datenschutzbeauftragter, Verschwiegenheit 1 II 46 – Datenschutzbeauftragter, Widerruf 1 I 19 – Datenübermittlung in Drittländer 5 I 7; 5 II 6 f. – Datenweitergabe im Konzern 5 I 28 ff.; 5 II 25 – Durchführungsbeschlüsse bzgl. Webanalyse 3 IV 21 – Eingriffsbefugnisse, Standardvertrag II 5 II 15 – Einwilligungserklärung, BYOD 4 VI 111 – europäische/deutsche 5 I 33 – EU-Standardvertragsklauseln 5 I 9 – Fachkunde/Zuverlässigkeit 1 I 97 ff. – Genehmigung Datentransfer 5 I 6 – Genehmigung der Datenübermittlung, Drittstaaten 5 III 7, 32 – genehmigungsfreier Datentransfer 5 I 20 f. – Hinweisgebersystem 4 IV 63 ff. – Information durch Dienstleister 6 I 26 f. – Kontrolle, Auftragsdatenverarbeitung 2 II 47, 51 – Kontrolle bei Auftragsdatenverarbeitung 2 I 117
– Kontrolle des Subunternehmers bei Vernichtung 2 IV 61 – Leistungserbringung vor Ort 1 II 20 – Publizierung der Bestellung 1 I 96 – Rahmenvertrag für EU-Standardvertragsklauseln 5 IV 9, 56 – Schutz bei Datenverarbeitung 5 I 67 – Speicherdauer bei Videoüberwachung 4 II 84 – Überlassung der Vertragsunterlagen 5 II 40 – Untersagung des Datentransfers 5 I 10 f. – Verarbeitung personenbezogener Daten 1 II 22 – Verbot des Datentransfers 5 III 28 – vertrauliche Angaben 5 II 41 – Vorgaben für Datenschutz bei Webanalyse 3 IV 63 ff. – Whistleblowing 4 IV 5 – Zusammenarbeit, EU-Standardvertragsklauseln 5 IV 56 ff. Aufsichtskontrollen – Outsourcingvertrag 2 III 47 f. Auftraggeber – Adressat für Betroffene 2 II 107 – alternative Kontrollmöglichkeiten 2 II 86 ff. – Änderung der Datenverarbeitung 2 I 61 – Informationspflichten 2 II 40 – Kontrollrechte bei Unterauftragsverhältnis 2 II 101 – Kontrollrechte, Datenverarbeitungsvertrag 2 I 107 ff. – Kontrollrechte 2 II 68 ff.; siehe auch dort – Mitwirkungspflichten bei Datenexport 2 II 104 – Obliegenheiten bei Auftragsdatenverarbeitung 2 II 39 f. – Pflichten bei Auftragsdatenverarbeitung 2 II 34 ff. – Rechte an den Daten 2 I 55 – Verantwortlichkeit 2 II 36 f. – Verantwortlichkeit bei Datenverarbeitung 2 I 54 – Webanalyse, verantwortliche Stelle 3 IV 65 – Weisungsbefugnisse 2 II 29 – Weisungsrecht bei Datenverarbeitung 2 I 45 Auftraggeberpflichten – Auftragsdatenverarbeitung 2 I 14, 134 – Cloud Computing 2 I 39 – Einzelweisungen 2 I 137
1045
Stichwortverzeichnis – lokale Beschränkung der Datenverarbeitung 2 I 39 – verantwortliche Stelle bei Datenverarbeitung 2 I 32 – Vor-Ort-Kontrolle 2 I 39 Auftragnehmer – Bezeichnung des Weisungsempfängers 2 I 48 – Bußgeld-/Strafvorschriften 2 II 51 – Datenschutzverletzungen, Mitteilungspflicht 2 III 33 – gesetzliche Pflichten bei Auftragsdatenverarbeitung 2 I 71 – Haftung bei Auftragsdatenverarbeitung 2 I 159 – Informationspflicht bei Datenpannen 2 I 97 – Kontrolle des Unterauftragnehmers 2 II 44 – mitzuteilende Verstöße 2 II 59 ff. – Pflichten bei Auftragsdatenverarbeitung 2 I 32; 2 II 41 ff. – Remonstration bei unzulässiger Weisung 2 I 50 – Teil des Auftraggebers bei Auftragsdatenverarbeitung 2 III 7 – Unterstützung bei behördlichen Kontrollen 2 II 47 – Unterstützung der Betroffenen 2 I 136; 2 II 109 – Unterstützungspflichten 2 I 67; 2 II 65 – Verbot zweckwidriger Datenverwendung 2 I 36 – Verfahrensverzeichnis 2 II 48 – Verpflichtung auf das Datengeheimnis 2 II 49 – Verweisungspflicht 2 I 135; 2 II 108 – Vorlage des Vertragsmusters 2 II 5 – Weisungsgebundenheit 2 II 5 Auftragsdatenverarbeitung – Abgrenzung Funktionsübertragung 6I3 – Abgrenzung zu reinen Hilfsleistungen 2 I 22 – Abgrenzung zur Entsorgung 2 IV 7 – Abgrenzung zur Funktionsübertragung 2 I 18 – anderweitige Datenverwendung 2 II 18 – Anforderungen an Verträge 2 II 9 – Art/Umfang und Zweck der Verarbeitung 2 II 17 – Audit 1 III 125 – Aufbewahrung von Löschnachweisen 2 I 150
1046
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
aufsichtsrechtliche Vorgaben 2 III 8 Auftraggeberpflichten 2 I 14 Auftragskonformität 2 I 58 Auftragskontrolle 6 I 21 Auskunft an Dritte 2 I 139 f. Auskunfteivertrag 3 I 18 Auskunfteivertrag, Dritte 3 I 36 Auslagerung bei Webanalyse 3 IV 92 außerhalb der Hauptniederlassung 2 I 40 außerhalb des EWR 2 I 9; 2 II 21 BDSG 1 II 32 Beendigungsunterstützung 2 III 49 ff. Begriff 2 IV 3 Begriff, Standardvertrag I 5 I 36 f. Begriff, Standardvertrag II 5 II 30 Begründung 2 II 16 behördliche Kontrollen 2 II 47 bei Vernichtung 2 IV 36 f. Beweislast 2 I 160 Bring Your Own Device (BYOD) 4 VI 12 Bußgeldbewehrung 2 I 13 Cloud Computing 2 I 6 Daten nach Vertragsbeendigung 2 I 143 Datenrückgabe/-löschung 6 I 29 Datenschutz bei Whistleblowing 4 IV 65 Datenschutzbeauftragter 2 II 50; 2 III 36 f. Datenschutzverletzungen, Mitteilungspflicht 2 III 33 Dauer des Auftrags 2 I 153 Dienstleister 4 I 34 Dokumentation 6 I 21 Drittländer, EU-Standardvertragsklauseln 5 III 9 ff. Duldungs-/Mitwirkungspflichten 6 I 21 Eigentumsrechte, Daten 2 I 55 Einrede des Zurückbehaltungsrechts 2 I 41 Empfänger außerhalb des EWR 2 I 10 Empfänger kein angemessenes Datenschutzniveau 2 I 11 Entsorgung 2 IV 3 f. Erstkontrolle 1 II 32 Fallgruppen 2 I 21 Gegenstand der Tätigkeit 2 I 19 gesetzliche Anforderungen 2 I 23 gesetzliche Privilegierung 6 I 2 Gleichlauf mit Hauptvertrag 2 I 156 höchstpersönliche Leistungserbringung 2 I 121; 2 II 92 im Sinne von § 11 BDSG 2 I 17
Stichwortverzeichnis – in Drittländer 5 III 1 ff. – Informationspflichten bei TK-Diensten 2 II 63 – innerhalb des EWR 2 I 37 f.; 2 II 20 – interne Verarbeitungsübersicht 2 II 48 – Kontrolle des Dienstleisters 4 I 104 – Kontrolle des Unterauftragnehmers 2 I 65 – Kontrollpflichten 2 III 35 – Konzern 2 I 7 – Kopien 2 II 46 – Kostentragung bei Änderungen/Erweiterungen 2 II 31 – Leadgenerierung 3 II 4 – lokale Beschränkung unter Kontrollaspekten 2 I 39 – Mindestvertragsinhalt 2 III 35 – Mustervertrag mit Dienstleister 4 I 101 – Obliegenheiten des Auftraggebers 2 II 39 f. – Offenlegung gegenüber Betroffenen 4 I 101 – Outsourcingvertrag 2 III 1 – Prüfungsturnus 6 I 22 – Rahmenvertrag für EU-Standardvertragsklauseln 5 IV 36 – Rechte an den Daten 2 II 38 – Rechte der Betroffenen 2 I 133 – Remonstration des Auftragnehmers 2 II 33 – Schriftform 2 III 9 – Schriftformerfordernis 2 I 12 – schriftliche Vereinbarung 1 II 32 – Sondersituationen 2 I 5 – sorgfältige Auswahl des Unternehmens 4 I 103 – soziale Netzwerke 7 II 67, 70 – Standardvertragsklauseln 5 I 12 ff. – technische/organisatorische Maßnahmen 2 III 38; 6 I 16 – Umfang 6 I 2 – unechte 5 III 19, 96 – Unregelmäßigkeiten 2 III 30 – Unterauftragsverhältnis 6 I 25; siehe auch dort – Unternehmensregelungen (BCR) 5 V 18 – Unternehmensrichtlinien 4 I 98 ff. – Unterstützungspflichten 2 II 65 – verantwortliche Stelle 3 IV 91 – verantwortliche Stelle, Outsourcingvertrag 2 III 5 – Verantwortlichkeitsverteilung 2 I 58 – Verfügungsbefugnis an Daten 2 I 55
– Vertragsinhalt, 10-Punkte Katalog 2 I 23; 2 II 3, 9 – Vertragslaufzeit, Outsourcingvertrag 2 III 20 – Verweis auf § 11 BDSG 2 I 26 – Verweisungspflicht des Auftragnehmers 2 I 135 – Verwendungsverbot anonymisierter Daten 2 I 60 – Vor-Ort-Kontrolle 2 I 14 – Webanalyse 3 IV 21, 87 ff. – Zugriffsschranken 2 III 38 – zusätzliche Verpflichtungen 2 I 14 – Zustimmungspflicht zu Änderungen 2 I 61 Auftragsdatenverarbeitungsvertrag, auftraggeberfreundlich siehe auch Unterauftragsverhältnis – Änderungen des Auftrages 2 I 59 – Änderungsbedürftigkeit 2 I 3 ff. – Anwendungsbereich des Musters 2 I 16 – Art, Umfang und Zweck 2 I 30 ff. – außerordentliche Kündigung 2 I 154 – Begründung 2 I 32 – Bußgeld- und Kontrollvorschriften 2 I 76 – Datengeheimnis 2 I 77 ff. – Datenschutzbeauftragter 2 I 73 – Datenweitergabe 2 I 62 – Definition des Auftragsgegenstands 2 I 29 – Drittauskünfte 2 I 68 – Eigenkontrolle 2 I 65 – Ergänzungsbedürftigkeit 2 I 3 ff. – Erläuterungen 2 I 16 ff. – Erstellung des Verfahrensverzeichnisses 2 I 70 – gesetzliche Pflichten des Auftragnehmers 2 I 71 – Haftung 2 I 157 ff. – Informationspflicht 2 I 66 – Kennzeichnungs- und Aussonderungspflicht 2 I 63 f. – Kontrollrechte des Auftraggebers 2 I 105 ff.; siehe auch Kontrollrechte – Kopien 2 I 62 – Kündigung 2 I 151 ff. – Löschung/Rückgabe überlassener Daten 2 I 141 ff. – Mustervertrag 2 I 15 – ordentliche Kündigung 2 I 154 – Pflichten bei Datensicherheitsvorfällen 2 I 94 ff. – Pflichten des Auftragnehmers 2 I 56 ff. – Ratio 2 I 28
1047
Stichwortverzeichnis – – – – – – –
Rechte an den Daten 2 I 55 Rechte der Betroffenen 2 I 132 ff. salvatorische Klausel 2 I 165 Schriftformerfordernis 2 I 162 ff. Sondersituationen 2 I 4 Spezifizierung der Angaben 2 I 33 f. technische und organisatorische Maßnahmen 2 I 81 ff.; siehe auch dort – Unterauftragsverhältnis 2 I 119 ff. – Unterstützungspflichten 2 I 67 – Verantwortlichkeit des Auftraggebers 2 I 54 – vertragsändernde Weisungen 2 I 51 – Vertragsdauer 2 I 151 ff. – Vertragsgegenstand 2 I 27 ff. – Vertragsstrafe 2 I 157, 161 – Verwendung des Vertragsmusters 2 I 1 ff. – Vorrangregelung 2 I 166 – Weisungsbefugnisse des Auftraggebers 2 I 43 ff. Auftragsdatenverarbeitungsvertrag, auftragnehmerfreundlich siehe auch Kontrollrechte – Änderungsbedürftigkeit 2 II 4 – anderweitige Datenverwendung 2 II 18 – Anwendungsbereich des Musters 2 II 8 – Auftragnehmerfreundlichkeit des Musters 2 II 2 – Datenumgang 2 II 14 ff. – Dauer des Auftrags 2 II 23 f. – Ergänzungsbedürftigkeit 2 II 4 – Erläuterungen 2 II 8 ff. – gesetzliche Anforderungen 2 II 9 – Haftung 2 II 122 – Kontrollrechte des Auftraggebers 2 II 66 ff. – Kündigung 2 II 23, 25 – mitzuteilende Verstöße des Auftragnehmers 2 II 59 ff. – Ordnungswidrigkeit, Gefahr 2 II 3 – Ort der Datenverarbeitung 2 II 20 ff. – Pflichten des Auftraggebers 2 II 34 ff. – Pflichten des Auftragnehmers 2 II 41 ff. – Rechte der Betroffenen 2 II 105 ff. – Rückgabe/Löschung überlassener Daten 2 II 111 ff. – salvatorische Klausel 2 II 122 – Schriftformerfordernis 2 II 122 – technische/organisatorische Maßnahmen 2 II 52 ff. – Unterauftragsverhältnis 2 II 90 ff.
1048
– Verhältnis zum Hauptvertrag 2 II 119 ff. – Vertragsgegenstand 2 II 11 ff. – Vertragsmuster 2 II 7 – Verwendung des Vertragsmusters 2 II 1 – Vorrangregelung 2 II 123 – Weisungsbefugnisse des Auftraggebers 2 II 26 ff. Auftragsgegenstand – Definition 2 II 13 – Hauptvertrag 2 I 29; 2 II 12 f. – Spezifizierung 2 I 29 Aufwandsentschädigung – Kontrolltätigkeit, Auftragsdatenverarbeitung 2 II 83 – Regelung im Outsourcingvertrag, Ergänzung durch Datenschutzklausel 2 III 13 Aufwendungsersatz – Betriebsvereinbarung, BYOD 4 VI 80 ff. – Datenschutzbeauftragter, Arbeitsvertrag 1 I 29 ff. Aufzeichnung, Videoüberwachung – BAG-Rechtsprechung 4 II 64 – Begrenzung 4 II 77 ff. – Löschungsregelungen 4 II 65 – Zulässigkeit am Arbeitsplatz 4 II 52 Ausgleichsklausel – Standardvertrag I 5 I 102 Auskunft – bei Vernichtung 2 IV 45, 53 – Frist/Kosten 4 I 135 f. – Identität des Betroffenen 4 I 133 – Käufer 6 II 24 f. – Reichweite 4 I 132 – Textform/Schriftform 4 I 131 – Zuständigkeit 4 I 134 Auskunftei – Datenschutzbeauftragter, Arbeitsvertrag 1 I 1 Auskunfteifehler 3 I 23 Auskunfteivertrag – Ähnlichkeitshinweis 3 I 30 – Ansprechpartner 3 I 68 f. – atypische Gefährdungslage 3 I 3 – automatisierte Abrufverfahren 3 I 10 – Begriff 3 I 1 – Datenbestand aus Drittquellen 3 I 14 – Datenschutz 3 I 15 ff. – Datenschutzkontrollen 3 I 22 – Datenschutzniveau 3 I 20 – Einwilligungsklausel 3 I 17 – Einzelheiten des Datenaustauschs 3 I 11
Stichwortverzeichnis – – – –
Erfüllungsgehilfe 3 I 35 f. Gegenseitigkeitsprinzip 3 I 14, 65 Gesetzesnovelle 3 I 19 Grundlagen der Zusammenarbeit 3 I 13 ff. – Haftung 3 I 57 ff. – Haftungsklausel 3 I 3 – Identität/Nutzungsverbot 3 I 28 ff. – Informationsweitergabe/Geheimhaltung 3 I 66 f. – Intervall der Leistungserbringung 3 I 49 f. – Kommunikationsverfahren 3 I 55 f. – Kündigung 3 I 53 f. – Leistungsübergabe 3 I 32 – Löschfristen 3 I 33 f. – präventive Leistungsbeschreibung 3 I 14 – Schufa 3 I 16 – Schufa-Klausel 7 IV 17 f. – Score-Wertberechnung 6 II 20 f. – Scoring 3 I 39 f. – Selbstauskünfte 3 I 23 – Sonstiges 3 I 70 ff. – Stapelverarbeitung 3 I 12 – Stichprobenverfahren 3 I 26 – verantwortliche Stelle, BDSG 3 I 18 ff. – Vergütung 3 I 51 f. – Vertragsgegenstand 3 I 8 ff. – Vertragslaufzeit 3 I 53 f. – Vertragsziel 3 I 5 – Vorliegen berechtigter Interessen 3 I 24 ff. – weitere Pflichten des Datenempfängers 3 I 37 ff. Auskunftspflichten – Auftragsdatenverarbeitung 2 I 68, 133 – Datenexporteur 5 I 59 ff. – Datenimporteur 5 II 37 f.; 5 III 73 – Frist bei Auftragsdatenverarbeitung 2 I 136 f. – Unternehmen 4 I 44 – Zeitraum bei Datenübermittlung 5 I 88 Auskunftsrechte – Anhang A, Standardvertrag II 5 II 57, 59 – Datenschutzbehörde 5 V 118 – Form 5 V 64 – Gefahrenabwehr 7 I 36 – Kontrollrechte, Datenverarbeitungsvertrag 2 II 77 – Kontrollrechte des Auftraggebers 2 I 113 – Kosten 5 V 65 – Mitarbeiterortung 4 III 57 ff.
– – – – –
Präzisierung des Ersuchens 4 I 130 soziale Netzwerke 7 II 76 ff. Standardvertrag II 5 II 11, 13 Strafverfolgung 7 I 36 Unternehmensregelungen (BCR) 5 V 61 ff. – Unternehmensrichtlinie 4 I 128 ff. – Website-Betreiber 7 I 42 f. Ausschlussfrist – Datenschutzbeauftragter, Haftungsbeschränkung 1 II 59 Aussetzung siehe Vertragsaussetzung Aussieben – von Daten bei Adresskauf 3 II 44 Aussonderung – Auftragsdatenverarbeitungsvertrag 2 I 63 f. Auswahl – Auftragnehmer aus Auftragsdatenverarbeitung 2 I 14 Auswahlprozess, elektronisch – Unternehmensrichtlinien 4 I 106 Auswertung – Videoüberwachung am Arbeitsplatz 4 II 87 ff. Automatisierte Einzelentscheidung – Bewertung von Persönlichkeitsmerkmalen 5 V 74 – Nachprüfungsmöglichkeit 4 I 109 – Scoringverfahren 5 V 72 – Standardvertrag I 5 I 95 – Unternehmensregelungen (BCR) 5 V 71 ff. – Unternehmensrichtlinien 4 I 105 ff. Automatisierte Entscheidung 5 II 57, 59 Automatisiertes Verfahren – Unterrichtungspflicht des Dienstanbieters 7 II 58 Automatisierung – Auskunfteivertrag, Scoring 3 I 43 ff. – Datenverarbeitung 1 I 1 B2C-Geschäfte – Gerichtsstandsvereinbarung 1 III 151 BAG – Anhäufung von Urlaubsansprüchen 1 I 38 – Datenschutzbeauftragter, Widerruf 1 I 19 – Freiwilligkeitsvorbehalt, Datenschutzbeauftragter 1 I 31 – Interessenkollision, Datenschutzbeauftragter im Nebenamt 1 I 12 – Kontrolle über Datenschutzbeauftragten 1 II 35
1049
Stichwortverzeichnis Bahnhof – Videoüberwachung am Arbeitsplatz 4 II 8 Banken – Datenübermittlung in Drittländer 5 V 12 Bankgeheimnis – Schufa-Klausel 7 IV 24 ff. Basis-Tracking – Webanalyse 3 IV 32 Batch-Verarbeitung – Auskunfteivertrag 3 I 12 Beendigung – Betriebsvereinbarung zur Mitarbeiterortung 4 III 63 ff. – Betriebsvereinbarung zur Videoüberwachung 4 II 104 ff. – Datenschutzbeauftragter, Arbeitsvertrag 1 I 58 – dienstliche Nutzung des privaten Endgerätes 4 VI 95 ff. Beendigung des Arbeitsverhältnisses siehe Vertragsbeendigung Beendigungsklausel 5 II 69 ff. Befristung – Datenschutzbeauftragter 1 II 61 – Datenschutzbeauftragter, Arbeitsvertrag 1 I 47 ff. – dienstliche Nutzung des privaten Endgerätes 4 VI 97 – Webanalyse 3 IV 126 Bekanntmachung – Whistleblowing-Richtlinie 4 IV 67 ff. Belehrung – datenschutzrechtliche Pflichten 6 I 19 Benachrichtigung – Änderung bei Privacy Policy 7 I 41 – Geräteverlust, BYOD 4 VI 65 f. – Transparenz bei Unternehmensregelungen 5 V 70 Benachteiligungsverbot – Versetzung des Datenschutzbeauftragten 1 I 21 Benutzerkonto, Herausgabe 4 VII 19 Beobachtung – Videoüberwachung am Arbeitsplatz 4 II 2 Berechtigungskonzept – Betriebsvereinbarung zur Videoüberwachung 4 II 70, 73 Bereicherung, ungerechtfertigte – Rückabwicklung bei Mehrlieferung von Adressdaten 3 II 19 Berichtigung – Anlage zum Standardvertrag I 5 I 87 ff.
1050
– Anspruch des Betroffenen, Unternehmensrichtlinie 4 I 81 – Betroffenendaten bei Auftragsverarbeitung 2 II 106 ff. – Daten bei sozialen Netzwerken 7 II 76 ff. – Korrekturrechte des Betroffenen 4 I 143 ff. – personenbezogene Daten 2 IV 43 ff. – Unternehmensregelungen (BCR) 5 V 61, 66 Berichtspflichten – Datenschutzbeauftragter, Arbeitsvertrag 1 I 15 f. Berichtsrecht – Datenschutzbeauftragter 1 II 24, 28 Berufsgeheimnis – Datenschutzbeauftragter, externer 1 II 48 f. – Datenvernichtung 2 IV 57 Berufshaftpflichtversicherung – Datenschutzbeauftragter 1 II 57 ff. Beschädigung – Mobilgeräte, Haftung BYOD 4 VI 87 Beschäftigtendatenschutz – Datenschutzbeauftragter, Schulungen 1 II 30 – Erläuterungen zum Regierungsentwurf 4 V 142 – Videoüberwachung am Arbeitsplatz 4 II 5 Beschäftigter siehe Arbeitnehmer Beschwerde – Bewertung von Persönlichkeitsmerkmalen 5 V 74 – Unternehmensregelungen (BCR) 5 V 98 ff. – Unternehmensrichtlinien 4 I 146 ff. Beschwerderechte – Whistleblowing-Richtlinie 4 IV 57 ff. Bestandsdaten – Begriff 7 I 14 – freiwillige Angaben, soziale Netzwerke 7 II 40 ff. – Kommentare, soziale Netzwerke 7 II 49 – soziale Netzwerke 7 II 10 – Weitergabe 7 I 35 ff. Bestätigungsmail – Double-opt-in-Verfahren 3 II 28 Bestellpflicht – Datenschutzbeauftragter 1 II 1, 7 Bestellung – Befristung 1 I 89 ff. – Datenschutzbeauftragter, Bestellungsurkunde 1 I 85 ff.
Stichwortverzeichnis – Datenschutzbeauftragter, Vertragsbeginn 1 I 9 – Datenschutzbeauftragter, Widerruf 1 I 17 ff. – Dauer des Arbeitsverhältnisses 1 I 87 ff. – Fachkunde/Zuverlässigkeit 1 I 87 ff., 91 – gesonderte Form 1 I 95 – Schriftform 1 I 93 – Widerrufsrecht 1 I 90 – Zustimmungserklärung des Arbeitnehmers 1 I 92 Bestellungsdauer – Datenschutzbeauftragter 1 II 1 Bestellungsende – Datenschutzbeauftragter, Schwellenwerte 1 II 65 Bestellungsmuster – Datenschutzbeauftragter, Arbeitsvertrag 1 I 5 Bestellungspflicht – Amtszeit des bisherigen Datenschutzbeauftragten 1 I 9 Bestellungsurkunde – Inhaltsbeschreibung 1 II 11 – Vertragsbestandteil 1 II 11 – Vertragsgegenstand 1 II 11 Bestellungsvoraussetzungen – Fachkunde des Datenschutzbeauftragten 1 II 41 – Zuverlässigkeit 1 II 41 Bestellungswiderruf – Datenschutzbeauftragter siehe Datenschutzbeauftragter, Widerruf Besucherverhalten – Messung siehe Webanalyse Betriebliche Übung – Nutzung betrieblicher Ressourcen 4 VII 43 f. – unkontrollierte Zulassung von BYOD 4 VI 25 Betriebsbegriff – Mitarbeiterortung 4 III 34 Betriebsgeheimnis – Datenschutzaudit, Vertrag 1 III 41 – Funktionsübertragung 6 I 19 – Kontrolle der Social Media-Nutzung 4 VII 22 – Kontrollrechte, Datenverarbeitungsvertrag 2 II 76 – Kontrollrechte des Auftraggebers 2 I 112 – Mobile Device Management Tools 4 VI 10 – Nutzung sozialer Medien 4 VII 46
– Offenbarung bei Whistleblowing 4 IV 38 – Vetraulichkeitsvereinbarung 1 IV 1 ff. Betriebsgelände – Betriebsvereinbarung zur Videoüberwachung 4 II 24 ff. Betriebsrat – Bring Your Own Device (BYOD) 4 VI 2 – Einwilligungserklärung, BYOD 4 VI 110 – Mitbestimmung bei Unternehmensrichtlinie 4 I 1 – Mitbestimmungsrechte bei BYOD 4 VI 6 ff. – Rechte des ~ bei Einstellung eines Datenschutzbeauftragten 1 I 7 – Videoüberwachung am Arbeitsplatz 4 II 26 ff. – Zuständigkeit, BYOD 4 VI 19 Betriebssystem – Einwilligungserklärung, BYOD 4 VI 109 – Veränderung bei Mobilgerätenutzung 4 VI 28 Betriebsvereinbarung – Berechtigung zur Datenweitergabe 1 IV 6 ff. – Bring Your Own Device (BYOD) 4 VI 5 – Nutzungskontrolle der sozialen Medien 4 VII 29 – Social Media Richtlinie 4 VII 5 – Videoüberwachung 4 II 1 ff. – Videoüberwachung am Arbeitsplatz 4 II 22 ff. Betriebsvereinbarung, BYOD siehe auch Einwilligungserklärung, BYOD – Anweisung zu weiteren Richtlinien 4 VI 70 – Arbeitszeit 4 VI 91 ff. – Beendigung der dienstlichen Nutzung 4 VI 95 ff. – Beschränkung der Nutzung 4 VI 23 – betriebliche Übung 4 VI 25 – Datenspeicherung 4 VI 39 ff. – Eigentumsrechte 4 VI 62 – Einwilligung 4 VI 24 – Erläuterungen des Musters 4 VI 6 ff. – Erläuterungen zur Einwilligungserklärung 4 VI 107 ff. – Geltungsbereich 4 VI 17 ff. – Geltungsdauer 4 VI 105 f. – generelle Voraussetzungen 4 VI 21 – Haftung 4 VI 84 ff. – Herausgabepflicht 4 VI 98 ff.
1051
Stichwortverzeichnis – – – – – – – – – –
Informationspflicht 4 VI 63 ff. Inkrafttreten 4 VI 105 f. Installation von Apps 4 VI 72 ff. IT-Sicherheit 4 VI 13 Kosten 4 VI 78 ff. leitende Angestellte 4 VI 17 ff. Mitbestimmungsrechte 4 VI 6 ff. Nutzung mobiler Geräte 4 VI 20 ff. Nutzung von Cloud-Services 4 VI 60 Nutzung von Kommunikationsdiensten 4 VI 69 ff. – Patches/Updates/Upgrades 4 VI 27 – Präambel 4 VI 14 ff. – Roots/Jailbreaks 4 VI 28 – salvatorische Klausel 4 VI 103 f. – Sicherheitsmaßnahmen 4 VI 30 ff. – Tablet PC 4 VI 1, 14 – technischer Support 4 VI 61 – Trennung dienstlicher/privater Daten 4 VI 44 – Unternehmensrichtlinien 4 VI 58 – Verträge mit Mobilfunkunternehmen 4 VI 26 – Zugang zu Daten 4 VI 39, 45 ff. – zugelassene Nutzungen 4 VI 22 f. – Zugriffskontrolle 4 VI 33 – Zweck 4 VI 13 Betriebsvereinbarung, Internet- und E-Mail-Nutzung – abgelöste Vereinbarung 4 V 114 – Abgrenzung private/betriebliche Korrespondenz 4 V 88 ff. – Abgrenzung zu anderen Regelungen 4 V 53 – allgemeine Bestimmungen 4 V 48 ff. – Ausscheiden des Mitarbeiters 4 V 68 ff. – Befreiung vom Fernmeldegeheimnis 4 V 64 – Beschränkung des Datenschutzrechts 4 V 99 ff. – datenschutzrechtliche Eingriffe 4 V 42 ff. – Eingriff in das Fernmeldegeheimnis 4 V 38 ff. – Einleitung 4 V 1 ff. – einschränkende Rechtfertigungswirkung 4 V 45 – E-Mail-Eingang nach Ausscheiden 4 V 72 ff. – Fernmeldegeheimnis 4 V 100 ff. – Grundregeln zur Nutzung 4 V 54 ff. – Kündigung 4 V 115 – Mindestlaufzeit 4 V 115 – Missbrauchskontrolle 4 V 91, 103 ff. – Mitteilung der Prüfungsabsicht 4 V 109 – Muster 4 V 4
1052
– persönlicher Anwendungsbereich 4 V 51 f. – Präambel 4 V 46 f. – Privatnutzung 4 V 60 ff. – Privatordner 4 V 85 – rechtswidrige Nutzungshandlungen 4 V 57 – Risiken nicht ausreichender Regelung 4 V 6 ff. – Schlussbestimmungen 4 V 112 ff. – Schlussformel 4 V 117 f. – Sperrung von Websites 4 V 96 ff. – spezielle Regeln für E-Mail-Accounts 4 V 75 ff. – spezielle Regeln für Internet-Accounts 4 V 95 ff. – Trennung der Korrespondenz 4 V 86 f. – Verschwiegenheitspflicht 4 V 112 f. – Verstoß des Arbeitgebers 4 V 111 – Vertragsparteien 4 V 9 – Vertretungs- und Zugriffsregeln 4 V 80 f. – Vorlagepflichten bei Gericht/Behörde 4 V 82 ff. – Widerruf 4 V 62 – Zugriff auf Privatordner 4 V 92 ff. – zulässiger Nutzungsumfang 4 V 66 f. – Zweckbestimmung des Accounts 4 V 55 Betriebsvereinbarung, Mitarbeiterortung – andere Rechtsvorschrift, § 4 BDSG 4 III 23 f. – Änderung 4 III 55 f. – Ansprechpartner 4 III 57, 60 – Anwendungsbereich 4 III 31 ff. – arbeitsrechtlicher Datenschutz 4 III 25 – Beginn, Laufzeit, Beendigung 4 III 63 ff. – betriebliche Praxis 4 III 1 – Datenschutz nach BDSG 4 III 17 ff. – Datenschutz nach TKG 4 III 12 ff. – Datenschutz nach TMG 4 III 16 – Einführung einer Ortungseinrichtung 4 III 38 ff. – Einwilligung 4 III 18 – Erläuterungen zum Vertragsmuster 4 III 27 ff. – Erweiterung 4 III 55 f. – Gegenstand der Vereinbarung 4 III 29 f. – Information der Arbeitnehmer 4 III 57 ff. – inhaltliche Grenzen 4 III 11 ff. – Löschung von Daten 4 III 51 ff. – Meinungsverschiedenheiten 4 III 61 f.
Stichwortverzeichnis – Mitbestimmungsrechte des Betriebsrats 4 III 2 ff. – Nutzung der Ortungseinrichtung 4 III 41 ff. – Speicherung 4 III 51 ff. – Sperrung von Daten 4 III 51 ff. – Vertragsmuster 4 III 26 – Zugriffsberechtigung 4 III 48 f. – Zuständigkeit 4 III 4 ff. – Zweck 4 III 29 f. Betriebsvereinbarung, Videoüberwachung – Änderungen am Überwachungssystem 4 II 101 ff. – Anlagen 4 II 70 ff. – Arbeitnehmerrechte 4 II 92 ff. – Audioüberwachung 4 II 54 f. – Aufzeichnung/Speicherung von Bildern 4 II 77 ff. – Auswertung 4 II 87 ff. – Betriebsgelände 4 II 24 – Bildübermittlung 4 II 75 f. – Dokumentation 4 II 34, 69 ff. – erfasster Bereich 4 II 48 f. – Geltungsbereich 4 II 35 ff. – Kenntlichmachung 4 II 58 – Mustervereinbarung 4 II 23 – offene/verdeckte Überwachung 4 II 56 f. – Präambel 4 II 25, 32 ff. – Rechtsgrundlage 4 II 22 – Schlussbestimmungen 4 II 104 ff. – Schnittstellen 4 II 75 f. – Speicherdauer 4 II 81 ff. – Vertragsparteien 4 II 28 ff. – Videotechnik 4 II 51 ff. – Zugriff auf Aufzeichnungen 4 II 87 ff. – Zulässigkeitsgrenze 4 II 22 – Zutrittsregeln, Videoüberwachungssystem 4 II 95 ff. – Zweck 4 II 40 ff. Betriebsvereinbarung, Whistleblowing – Whistleblowing-Richtlinie 4 IV 8 Betriebsverfassungsgesetz – Datenschutz bei Mitarbeiterortung 4 III 25 Betroffene – Eintragung im Anhang 1 zum Muster 2 I 34 – Rechte bei Auftragsdatenverarbeitung 2 I 133; 2 II 105 ff. Betroffene, Unternehmensrichtlinie – Berichtigungsanspruch 4 I 81 – Definition 4 I 32 – eigene Ansprüche 4 I 45 – Einhaltung der Vorschriften 4 I 156
– Identifizierung bei Auskunftsverlangen 4 I 133 – Informationsrechte 4 I 51, 75 ff. – lebenswichtige Interessen 4 I 46 – Offenlegung der Auftragsdatenverarbeitung 4 I 101 Betrugsprävention – Auskunfteivertrag 3 I 7 Bevollmächtigter – Kontrolltätigkeit, Auftragsdatenverarbeitung 2 I 116; 2 II 84 f. Beweislast siehe Darlegungs- und Beweislast Bewertungsportale – Social Media Monitoring 3 III 8 BGH – Aufrechnungsverbot bei Adressdatenkauf 3 II 56 – Double-opt-in-Verfahren 3 II 28 – Kardinalpflichten 3 IV 120 f. – Offline-Formulare 7 III 18 – Payback-Entscheidung 3 II 11 – Telefonwerbung 7 III 6, 13 – Vollständigkeit 1 I 67 – Werbe-Einwilligungserklärung 3 II 33 – Werbe-Einwilligungserklärung bei Online-Werbung 7 III 30 Bildaufzeichnung siehe Aufzeichnung Bildlöschung siehe Löschung von Daten Bildübermittlung – Betriebsvereinbarung zur Videoüberwachung 4 II 75 f. Binding Corporate Rules siehe Verbindliche Unternehmensregelungen – Abgrenzung zu Unternehmensrichtlinien 4 I 3 f. – Datenübermittlung, Drittländer 5 III 7, 98 – internationale Konzernstruktur 4 I 25 Bing Streetside – Datenschutz 3 III 15 Black Box-Verfahren 4 II 80 – Videoüberwachung am Arbeitsplatz 4 II 53 Blacklist – ausgeschlossene Apps 4 VI 75 Blankoklausel – Schufa-Klausel 7 IV 10 Blocking statute 2 I 140 Bonität, Beurteilung 5 V 72 Bonitätsanfrage – Kaufvertrag 6 II 15 ff. – Score-Verfahren 7 IV 29 – Weitergabe von Kundendaten 7 IV 9 – Zweckbindungsgrundsatz 7 IV 31 ff.
1053
Stichwortverzeichnis Branchenweite Verhaltensregeln – Abgrenzung zu Unternehmensrichtlinien 4 I 5 f. Briefverteilzentrum – Videoüberwachung 4 II 42 – Videoüberwachung am Arbeitsplatz 4 II 83 Bring Your Own Cloud (BYOC) 4 VI 60 Bring Your Own Device (BYOD) siehe auch Betriebsvereinbarung, BYOD – Absicherung 4 VI 8 ff. – Auftragsdatenverarbeitungsvertrag 4 VI 12 – Begriff/Bedenken 4 VI 1 – Betriebsrat 4 VI 2 – Betriebsvereinbarung 4 VI 1 ff. – Choose Your Own Device (CYOD) 4 VI 4 – Corporate Owned Personally Enabled (COPE) 4 VI 4 – Lizenzrecht 4 VI 2 – Löschung der dienstlichen Daten 4 VI 11 – Mobile Device Management Tools 4 VI 8 ff. – Musterbetriebsvereinbarung 4 VI 5 – Sicherheitsmaßnahmen 4 VI 4 Browser-Fingerprints 7 I 29 BSI-Grundschutz 2 I 90, 93 Budget – Beratungs-/Prüfpflichten 1 II 36 f. Bundesamt für die Sicherheit in der Informationstechnik – Datensicherheit 2 IV 31 Bundesdatenschutz – Datenverarbeitung 5 IV 29 – Vertragsklauseln 5 IV 3 Bundesdatenschutzauditgesetz 1 III 3 Bundesdatenschutzgesetz – Abberufungsschutz 1 I 57 – Abgrenzung zum TMG 6 II 5 – Adresslieferungsrahmenvertrag 3 II 10 ff. – Auftragsdatenverarbeitung, Drittländer 5 III 9 ff. – Auskunfteivertrag 3 I 1 – Auskunfteivertrag, grundsätzlich 3 I 16 – Auskunfteivertrag, Novelle 2010 3 I 14 – Befristung 1 I 89 ff. – Begriff verwenden 7 III 9 – bei Webanalyse 3 IV 55 f. – Berichtigung, Löschung, Sperrung 2 IV 43 ff.
1054
– Bestellungsurkunde, Aufgabenbeschreibung 1 II 11 – Betriebsvereinbarung, Videoüberwachung am Arbeitsplatz 4 II 22 ff. – Datenfluss nach außen 1 II 32 – Datenlöschung bei Whistleblowing 4 IV 56 – Datenschutzbeauftragter, Arbeitsvertrag 1 I 1 ff. – Datenschutzbeauftragter, Weisungsfreiheit 1 II 13 – Datenübermittlung in Drittländer 5 V 10 – EU-Standardvertragsklauseln, Auftragsdatenverarbeitung 5 III 30 ff. – freiwillige Nutzerangaben 7 II 45 – gesetzliche Pflichten 1 II 1, 7 – Konzernprivileg 6 I 1 – öffentlich zugängliche Bereiche 4 II 10 – Outsourcingvertrag 2 III 1 – Pflichten des Datenschutzbeauftragten 1 II 10 – Schufa-Klausel 7 IV 2 – Schwellenwerte, Bestellungsende 1 II 65 – Scoring 3 I 44 – Social Media Monitoring 3 III 5 – Unternehmensregelungen (BCR) 5 V 4, 6 f. – Verarbeitung personenbezogener Daten 2 IV 4 – Vernichtung 2 IV 29 ff. – Videoüberwachung am Arbeitsplatz 4 II 7 ff. – Weisungsbefugnisse bei Vernichtung 2 IV 42 – Werbe-Einwilligungserklärung 7 III 1 – Werbe-Einwilligungserklärung, Widerruf 7 III 14 Bundesurlaubsgesetz – Mindesturlaub, Datenschutzbeauftragter, Arbeitsvertrag 1 I 33 ff. Büro – Videoüberwachung 4 II 48 f. – Videoüberwachung am Arbeitsplatz 4 II 9 Büro- und Geschäftsräume – Auftragsdatenverarbeitung 2 II 72 Business Netzwerke – Klarnamenzwang 7 II 36 Business Process Outsourcing (BPO) – Auftragsdatenverarbeitung 2 III 6 Bußgeld – Auftragsdatenverarbeitung 2 I 13; 2 II 51
Stichwortverzeichnis – Bestellung, Datenschutzbeauftragter 1 II 8 ff. – Datenübermittlung 5 II 18 – Datenverstoß der Geschäftsleitung 4 I 154 – Fehler bei Datenfluss nach außen 1 II 32 – Hinweis im Datenverarbeitungsvertrag 2 I 76 – unsachgemäße Entsorgung 2 IV 8 Call-Center-Leistungen – Auftragsdatenverarbeitung 2 I 21 – Spezifizierung des Auftragsgegenstands 2 I 29 Change-Management-Regelung – Outsourcingvertrag 2 III 15, 24 Checkbox – Anmeldeprozess, soziale Netzwerke 7 II 23 Checkliste – Auftragsdatenverarbeitung 2 I 14 – Auftragsdatenverarbeitungsvertrag 2 I 23 Choose Your Own Device (CYOD) – Abgrenzung zu BYOD 4 VI 4 Cloud Computing – Auftraggeberpflichten bei Datenverarbeitung 2 I 39 – Auftragsdatenverarbeitung 2 I 6 – Betriebsvereinbarung, BYOD 4 VI 60 – Ort der Datenverarbeitung 2 II 22 – personenbezogene Daten 5 III 59 – technische/organisatorische Maßnahmen, Auftragsdatenverarbeitung 2 I 86 – Unternehmensregelungen (BCR) 5 V 18 – Vertragsstrafe bei Auftragsdatenverarbeitung 2 I 161 – Vor-Ort-Kontrolle 2 II 70 COBIT 2 I 93 Code of Conduct – Rahmenvertrag für EU-Standardvertragsklauseln 5 IV 36 Codierungssystem – Privacy Policy 7 I 34 Compliance – Mitbestimmung 4 IV 8 – Unternehmensrichtlinien 4 I 14 Container – Datenspeicherung außerhalb des Containers 4 VI 59 – Trennung dienstlicher/privater Daten 4 VI 44
Controller-Controller-Verhältnis 5 I 13; 5 II 9 Controller-Processor-Verhältnis 5 I 15; 5 II 9 Controller-to-Controller-Klausel – Spezifizierung der Klausel 5 IV 49 Controller-to-Processor-Klausel – Rahmenvertrag für EU-Standardvertragsklauseln 5 IV 13, 36 – Spezifizierung der Klausel 5 IV 50 Cookies – Browser-Fingerprints 7 I 29 – Cookie-Typen 7 I 26 – Einsatz/Funktionsweise 7 I 25 – Einwilligung 7 I 26 f. – Einwilligungserklärung bei sozialen Netzwerken 7 II 57 ff. – Flash-Cookies 7l 30 – Internetseiten, werbefinanziert 3 IV 23 – personenbezogene Daten 7 II 57 – Privacy Policy 7 I 21, 22 ff. – Richtlinie, Einwilligung in Webanalyse 3 IV 22 – Speicherdauer 3 IV 75 – Verwendung für Nutzertracking 7 I 28 ff. – Webanalyse 3 IV 10 ff. – Web-Bugs 7 I 31 – Wiederherstellung von gelöschten ~ 3 IV 77 – Zulässigkeit 7 I 26 Corporate Owned Personally Enabled (COPE) – Abgrenzung zu BYOD 4 VI 4 Crowdsourcing – Marktforschung 3 III 2 DaimlerChrysler AG – Unternehmensrichtlinien in Deutschland 5 V 8 Darlegungs- und Beweislast – Auftragsdatenverarbeitung 2 I 160 – Bestellung, Datenschutzbeauftragter 1 II 8 – Double-opt-in-Verfahren 3 II 28 – Generierung des Opt-in 3 II 38 – Haftung bei Unternehmensregelungen, BCR 5 V 113 – IP-Timestamps 3 II 37 – Telefonwerbung 3 II 45 – Zweck der Videoüberwachung 4 II 45 Data Transfer Agreement – Rahmenvertrag für EU-Standardvertragsklauseln 5 IV 36
1055
Stichwortverzeichnis Daten – allgemein zugängliche Daten 4 VII 24 ff. Daten, personenbezogene siehe auch Standardvertrag I,; siehe auch Standardvertrag II – Audit, Grundsatz der Erforderlichkeit 1 III 125 – Auditerstellung 1 II 24 – Auftragsdatenverarbeitung 2 III 36 f. – Auskunfteivertrag 3 I 9 – Auskunftsansprüche beim Kaufvertrag 6 II 24 f. – Beendigung des Datenverarbeitungsverhältnisses 5 III 107 – Begriff, Standardvertrag II 5 II 30 – Berichtigung, Löschung, Sperrung 2 IV 43 ff. – besondere Arten 1 IV 8 – besondere Arten, Auftragsdatenverarbeitung 5 III 11, 21 – besondere Arten, BCR 5 V 55 – Bestandsdaten 7 I 14 – Browser-Fingerprints 7 I 29 – Cookies 7 I 25; 7 II 57 – Datengeheimnis 1 III 41 – Datenschutz bei Mitarbeiterortung 4 III 12 ff. – Datenschutzklausel bei Kaufvertrag 6 II 4 – Datensicherheit 1 II 22 – Datenübermittlung in Drittländer 5 I 5 ff. – Definition in Unternehmensrichtlinien 4 I 30 f. – Drittland 2 IV 36 f. – Due Diligence Prüfung 1 IV 5 – Einwilligung 6 II 6 ff. – Einwilligung bei Nutzung 7 III 4 – Entsorgung 2 IV 2 ff. – Flash-Cookies 7 I 30 – Form der Einwilligung 3 II 37 – grenzüberschreitender, datenschutzkonformer Austausch 5 IV 1 – Grundkonstellation, Adresslieferungsvertrag 3 II 9 – individuelle Stellungnahmen 3 III 30 – Informationspflicht, Webanalyse 3 IV 57 ff. – Inhaltsdaten 7 I 14 – IP-Adresse 7 I 16; 7 II 54 – Klarnamen 3 III 16 – Kontrolle der Social Media-Nutzung 4 VII 20 ff. – Löschung, Unternehmensrichtlinien 4 I 140
1056
– – – – – – –
Marktanalyse, geschäftsmäßig 3 III 20 Mitarbeiterortung 4 III 39 f. Nutzungsdaten 7 I 14, 23 Outsourcingvertrag 2 III 4 ff. Papierform, Vernichtung 2 IV 26 Privacy Policy 7 I 12 ff. Rechtsgrundlagen für die Verarbeitung 5 V 52 ff. – Reporting, Social Media Monitoring 3 III 29 – Rückgabe von Datenträgern 2 IV 43 ff. – Schutz als gesellschaftliche Aufgabe 4 I 12 – Schutzzeitraum bei Datenübermittlung 5 I 57 f. – sensible Daten 5 I 49 – Social Media Monitoring 3 III 5 – soziale Netzwerke 7 II 9 – Standardvertrag I 5 I 36 f. – Transparenzgebot 3 II 36 – Übermittlung in Drittländer 5 III 1 ff. – Unternehmensrichtlinien 4 I 9 – verantwortliche Stelle bei Vernichtung 2 IV 63 – Verarbeitung, Datenschutzbeauftragter 1 I 1 – Vergütung 3 II 1 – Verhältnismäßigkeitsprüfung 4 I 65 ff. – Vernichtung besonders sensibler ~ 2 IV 57 – Verschwiegenheitspflicht in sozialen Medien 4 VII 47 – Vertragsklauseln für Übermittlung in Drittländer 5 I 1 ff.; 5 II 1 ff. – Verwendung, Unternehmensrichtlinie 4 I 22 – Videoüberwachung nicht öffentlich zugänglicher Arbeitsplätze 4 II 16 ff. – Vorteile von EU-Standardvertragsklauseln 5 II 5 ff. – Web-Bugs 7 I 30 – Weitergabe in sozialen Medien 4 VII 38 – Werbezweck 3 II 4 – Werbung/Marketing in Unternehmen 4 I 88 – Whistleblowing 4 IV 22 ff. – Widerspruch bei Werbezwecken 6 II 26 f. Datenarten – Eintragung im Anhang 1 zum Muster 2 I 34 – spätere Festlegung 2 I 35 Datenaustausch – Seriosität, Auskunfteivertrag 3 I 54 – Volumen, Auskunfteivertrag 3 I 55 f.
Stichwortverzeichnis Datenbeschaffung – frei bei Adresslieferungsvertrag 3 II 15 Datendiebstahl – Privacy Policy 7 I 34 Dateneinkauf – Werbezweck 3 II 8 Datenerhebung – Begriff 4 I 20 – Eintragung im Anhang 1 zum Muster 2 I 34 – Meldeverfahren bei Whistleblowing 4 IV 46 f. – Unterrichtung bei sozialen Netzwerken 7 II 17 ff. Datenerhebung, geschäftsmäßige – im Rahmen des Social Media Monitoring 3 III 5, 18 Datenexport – Cloud Computing 5 III 59 – EU-Standardvertragsklauseln 5 IV 3, 19 – EU-Standardvertragsklauseln, Auftragsdatenverarbeitung 5 III 25 ff., 36, 38 – Geltendmachung von Rechten 5 III 47 ff. – gesetzeskonforme Verarbeitung 5 III 55 ff. – Haftung 5 III 142 – Inkenntnissetzung 5 III 58 – Kontrollpflichten 5 III 54, 57 – Pflichten des Exporteurs 5 III 52 ff. – schadensersatzpflichtig 5 III 79 – Sicherheitsmaßnahmen 5 III 69, 130 ff. – Unterauftragsvergabe 5 III 62, 95 ff. – Weisungen gegenüber Datenimporteur 5 III 67 Datenexporteur – Anlage 1 zu den Standardvertragsklauseln 5 I 44 – Auskunftspflichten 5 I 59 ff.; 5 II 39 – Auskunftsstelle 5 II 81 – Begriff 5 I 28 f. – Begriff, Standardvertrag I 5 I 36 f. – Begriff, Standardvertrag II 5 II 30 – Beispiele 5 I 30 f. – Bezeichnung 5 I 25 ff. – Datenweitergabe im Konzern 5 II 25 – Eigenverantwortung 5 II 36 – Gesamtschuld 5 I 101 – Haftung nach Standardvertrag II 5 II 60 ff. – Haftungsausschluss 5 II 11 ff. – mehrere 5 II 66 – Pflichten bei Datenübermittlung 5 I 56 ff.
– Pflichten nach Standardvertrag II 5 II 33 ff. – Prüfungs-/Zertifizierungsrecht 5 II 51 – Rücktritt vom Vertrag 5 I 64 f. – Überlassung der Vertragsunterlagen 5 II 40 – Übermittlung besonderer Datenkategorien 5 I 59 – wechselseitige Entschädigung 5 II 82 ff. Datenexportgenehmigung 2 II 104 Datengeheimnis – Anforderungen an Mitarbeiter 4 I 115 ff. – BDSG 2 IV 39 – Datenschutzaudit 1 III 126 – Dokumentations- und Nachweispflicht 2 I 80 – Verpflichtung auf das ~ 2 I 77 ff. – Verpflichtung des Auftragnehmers 2 II 49 Datenhandel – Adresslieferungsrahmenvertrag 3 II 1 ff. Datenherausgabe – Auftragsdatenverarbeitung 2 I 41 Datenimport – EU-Standardvertragsklauseln 5 IV 3, 19 Datenimporteur – Anfragen 5 I 72 – Anlage 1 zu den Standardvertragsklauseln 5 I 44 – Art der Standardvertragsklausel 5 I 16 – Auskunftspflichten 5 II 37 f. – Auskunftsstelle 5 II 81 – Begriff, Standardvertrag II 5 II 30 – Bezeichnung 5 I 25 ff. – Datenschutzniveau 5 I 4 ff., 10 – Datenverarbeitung 5 I 66 ff. – Eigenverantwortung 5 II 36 – Einrichtungsprüfungen 5 I 73 – Finanzmittel 5 II 50 – Form/Verfahren der Information 5 I 84 – Garantieerklärung 5 I 32 – Geheimhaltung 5 II 45 – Gesamtschuld 5 I 101 – gleiche Pflichten wie Unterauftraggeber 5 III 100 – Haftung 5 III 142 – Haftung nach Standardvertrag II 5 II 60 ff. – Identität 5 I 82 – Informationspflicht 5 I 64 f., 83 f. – Kanada 5 I 70 – Kooperationspflicht 5 I 72; 5 II 48 f.
1057
Stichwortverzeichnis – Mitarbeiterverträge 5 I 86 – Pflichten 5 II 42 ff.; 5 III 64 ff., 95 ff. – Pflichten bei Datenübermittlung 5 I 62 ff. – Rechtsvorschriften 5 II 36, 46 – Rücktrittsmöglichkeiten 5 III 53 ff. – schadensersatzpflichtig 5 III 80 – Sicherheit 5 II 45 – technische/organisatorische Maßnahmen 5 II 44 – Überlassung der Vertragsunterlagen 5 II 49 – Überwachungspflicht 5 II 46 – Versicherungsschutz 5 II 50 – Vertragskopie 5 I 74 – Wahlmöglichkeit bei Datenverarbeitung 5 II 53 ff. – wechselseitige Entschädigung 5 II 82 ff. – Zeitraum der Überwachungspflicht 5 I 65 – Zweckbindungsgrundsatz 5 II 47 Datenlieferung siehe Adresslieferungsrahmenvertrag Datenlöschung siehe Löschung von Daten Datenpannenverzeichnis 2 I 104 Datenqualität – Adresslieferungsrahmenvertrag 3 II 14 – Anhang A, Standardvertrag II 5 II 57 ff. – Anlage 2 zum Standardvertrag I 5 I 79 ff. – bei Adresslieferung in rechtlicher Hinsicht 3 II 24 f., 32 ff. – bei Adresslieferung in tatsächlicher Hinsicht 3 II 26 ff. – Double-opt-in-Verfahren 3 II 29 – Drittbegünstigtenklausel 5 V 104 – Unternehmensregelungen (BCR) 5 V 47 ff. – Unternehmensrichtlinien 4 I 79 ff. – Validität 3 II 30 – Vorselektion 3 II 44 Datenroaming 4 VI 7 Datenrückgabe – Auftragsdatenverarbeitung 2 I 141 ff. – Funktionsübertragung 6 I 28 f. Datenrückimport 5 III 99 Datenschutz siehe auch Privacy Policy – Adresslieferungsrahmenvertrag 3 II 9 ff. – Adresslieferungsvertrag 3 II 4 – Analyseverfahren bei Internet-Angeboten 3 IV 21 – Ansprechpartner bei Whistleblowing 4 IV 34 ff.
1058
– Auskunfteivertrag 3 I 13 ff. – Beschränkung, betrieblicher InternetAccount 4 V 99 ff. – Betriebsvereinbarung zur Mitarbeiterortung 4 III 12 ff. – Datenschutzerklärungen 7 I 1 ff. – Datentransfer in Drittländer 5 I 3 ff. – Entsorgung 2 IV 1 ff. – förmliches Verfahren, Audit 1 III 7 – im Rahmen des Social Media Monitoring 3 III 14 ff. – Kontrolle der Social Media-Nutzung 4 VII 20 ff. – Marktforschung/Sozial~ 3 III 1 – Prüfung des Auditgegenstandes 1 III 35 – Smart Metering 3 III 15 – Social Media Monitoring-Vertrag 3 III 47 ff. – soziale Netzwerke 7 II 71 ff. – Verarbeitung personenbezogener Daten 1 II 24 – Verstoß bei Vernichtung 2 IV 54 ff. – Webanalyse 3 IV 61 ff. – Whistleblowing 4 IV 4 – Whistleblowing-Richtlinie 4 IV 62 ff. – Widerrufsmöglichkeit für pseudonyme Nutzerprofilerstellung 3 IV 17 Datenschutz, TKG – private Nutzung betrieblicher Accounts 4 V 7, 19 ff. Datenschutzaudit – angestellte/externe Auditoren 5 V 89 – ~beauftragter 1 III 11 – Begriff 1 III 1 – Bundes~ 1 III 3 – Dokumentation 1 III 35 – Ergebnisübermittlung 5 V 90 – Gegenstand 1 III 12 – Gutachter 1 III 2 – Landesverordnung 1 III 7 – Produktaudit 1 III 5 – Prüfkriterien 1 III 26 – Rechtsanwalt 1 III 10 – Schleswig-Holstein 1 III 7 – Siegel/Zertifikat 1 III 8 – Stiftung Datenschutz 1 III 4 – Target of Evaluation 1 III 20 – Unternehmensregelungen (BCR) 5 V 87 ff. – Verfahrensablauf 1 III 8 ff., 17 – Verfahrensaudit 1 III 5 – zu beachtende Rechtsgrundlagen 1 III 26 – Zusammenarbeit mit Behörde 5 V 91 – Zweck 5 V 88
Stichwortverzeichnis Datenschutzaudit, Vertrag siehe auch Audit,; siehe auch Auditplan – Abnahme 1 III 79 ff., 83 ff. – Abschlussbesprechung 1 III 71 ff. – AGB-Kontrolle 1 III 139 – Änderungen des Auditgegenstandes 1 III 69 – Ansprechpartner 1 III 67 – Auditplan 1 III 47 ff. – Aufgaben des Auditors 1 III 35 – Aufsichtsbehörde 1 III 11 – Auftraggeberinformationspflicht 1 III 68 f. – Auftragnehmerleistungen 1 III 32 ff. – Ausmaß des Audits 1 III 23 – Beginn, Ende 1 III 28 ff. – Bereitstellung von Unterlagen 1 III 62 ff. – Beschreibung des Auditgegenstandes 1 III 24 f. – Beteiligte der Abschlussbesprechung 1 III 73 – Ergebnisübermittlung 1 III 36 f. – Fristsetzung 1 III 86 – Gerichtsstandsvereinbarung 1 III 149 ff. – geschuldeter Erfolg 1 III 18, 130 – Gewährleistung, Verzug 1 III 128 ff. – Gutachten, Prüfbericht 1 III 36 f. – Haftung 1 III 137 ff. – Haftungseinschränkung 1 III 140 – Haftungserstreckung 1 III 143 – Kompetenz der Prüfer 1 III 42 – Kriterien 1 III 74 – Kriterien, Zertifikat 1 III 91 f. – Kündigung aus wichtigem Grund 1 III 147 – Leistungsumfang 1 III 21 ff. – Lenkungsausschuss 1 III 39 – Mängel 1 III 83 – Mängelanzeige 1 III 131 – Minderung 1 III 133 ff. – Mitwirkung des Auftraggebers 1 III 59 ff. – Nichtkonformitäts-Feststellungen 1 III 18 – Prüfbericht 1 III 18, 72 – Prüfbericht, Inhalt 1 III 76 ff. – rechtliche Einordnung 1 III 129 – scharfe Haftungsbeschränkung 1 III 138 – Schleswig-Holstein 1 III 45 – Schlussbestimmungen 1 III 148 ff. – Siegel/Zertifikat 1 III 88 ff. – Unabhängigkeit des Auftragnehmers 1 III 43 ff.
– Verjährung der Gewährleistung 1 III 132 – Verletzung von Vertragspflichten 1 III 141 f. – Vertragsdauer, Kündigung 1 III 144 ff. – Vertragsgegenstand 1 III 19 – Vertragsgegenstand, Scope 1 III 20 – Verzug 1 III 64 – Vorbesprechung 1 III 17 – Vor-Ort-Prüfung 1 III 65 f. – Vorsatz, Fahrlässigkeit, Haftung 1 III 139 – Weisungsfreiheit 1 III 46 – Zertifikat, Nutzungsrechte 1 III 87 ff. – Zertifizierung 1 III 8, 16 – Zielsetzung 1 III 14 ff. – Zutrittsrechte 1 III 65 f. Datenschutzauditplan – Unternehmensregelungen (BCR) 5 V 17 Datenschutzaufsichtsbehörde siehe Aufsichtsbehörde Datenschutzbeauftragter – Anforderungen 4 I 160 – Anrufung bei Auftragsdatenverarbeitung 2 I 115 – Aufgaben 4 I 159 ff. – Auftragsdatenverarbeitung 2 II 50; 2 III 36 f. – Auftragsdatenverarbeitungsvertrag 2 I 73 f. – Berichtspflicht der Mitarbeiter 4 I 168 – Entscheidungskompetenz 4 I 163 – Handlungsempfehlungen 4 I 165 – neue Datenverarbeitungssysteme 4 I 124 ff. – Pflege des Verfahrensverzeichnisses 4 I 122 – Rechte 4 I 162 – Unternehmensrichtlinien 4 I 101, 159 ff. Datenschutzbeauftragter, Arbeitsvertrag – Abberufungsschutz 1 I 21, 48 – Arbeitnehmererfindung 1 I 44 f. – Arbeitsergebnisse 1 I 44 f. – Arbeitsverhältnis/Amt 1 I 57 – Arbeitsverhinderung 1 I 39 f. – arbeitsvertragliche Ergänzungen 1 I 5 – Arbeitszeit 1 I 22 ff. – Aufwendungsersatz 1 I 30 – Beendigung, einvernehmliche 1 I 103 f. – Benachteiligungsverbot 1 I 21 – Bestellungsfrist 1 I 1 – Bestellungsschreiben 1 I 85 ff. – Bestellungsverhältnis 1 I 6
1059
Stichwortverzeichnis – Betriebsrat 1 I 7 – Dauer des Arbeitsverhältnisses 1 I 46 ff. – Dokumentation der Amtsniederlegung 1 I 104 – Dokumentation des Widerrufs 1 I 104 – Eingliederung ins Unternehmen 1 I 13 f. – Ergänzung zum Arbeitsvertrag 1 I 73 ff. – Erläuterungen zum Vertragsmuster 1 I 8 ff. – Fachkunde/Zuverlässigkeit 1 I 87 ff. – Fortgeltung des Arbeitsvertrags 1 I 79 f. – Freiwilligkeitsvorbehalt, Vergütung 1 I 31 – Geschäftsbesorgungsvertrag 1 I 3 – Höchstarbeitszeiten 1 I 42 – Interessenkollision, Wettbewerbertätigkeit 1 I 42 – Krankheit 1 I 39 f. – Kündigungsgründe 1 I 51 ff. – Langzeiterkrankung 1 I 36 – leitender Angestellter 1 I 7 – mehrstufige Verfallklauseln 1 I 64 f. – nebenamtlich 1 I 10 – privater Arbeitgeber 1 I 1 ff. – Probezeit 1 I 9 – salvatorische Klausel 1 I 71 f. – Schriftform 1 I 68 ff. – Schriftform, salvatorische Klausel 1 I 81 ff. – Sonderkündigungsschutz/Befristungsschutz 1 I 47 ff. – Teilzeit/Befristung 1 I 47 ff. – Überstundenabgeltung 1 I 26 ff. – Vergütung 1 I 29 ff. – Versetzungsvorbehalt 1 I 17 ff. – Vertrag unter aufschiebender Bedingung 1 I 76 ff. – Vertragsbeginn 1 I 9 – Vertragsende 1 I 20 – Vollständigkeit 1 I 66 f. – Weisungsfreiheit 1 I 14 – Wettbewerbstätigkeit nach Beendigung 1 I 43 – Widerrufsrecht 1 I 17 ff. – Zeitanteil bei nebenamtlicher Tätigkeit 1 I 11 – Zuverlässigkeit, Interessenkollision 1 I 12 Datenschutzbeauftragter, externer – Abberufung 1 II 38 – Abwägung zu internem 1 II 8 – Anfragen von außen 1 II 34
1060
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
Ansprachemöglichkeiten 1 II 16 Anzeigepflicht Expertenrat 1 II 36 Aufgabendefinition, gesetzliche 1 II 10 Aufsichtsbehörde 1 II 8 Auftragnehmer 1 II 6 Austausch mit Arbeitnehmervertretungen 1 II 24 BDSG 1 II 10 Beauftragung 1 II 1 ff. bei Vernichtung 2 IV 33 ff. Berufsgeheimnis 1 II 48 f. Bestellungsurkunde 1 II 9, 11 betriebliche Ansprechpartner 1 II 14 Betriebsrat 1 II 34 Betriebsrat nicht zu kontrollieren 1 II 35 Betriebsvereinbarungen 1 II 31 Ende der Bestellung 1 II 65 Erfüllungsgehilfe 1 II 21 externe Anfragen zum Datenschutz 1 II 24 Fachkunde 1 II 6, 33, 38 Fortbildungskosten 1 II 39 Geschäftsbesorgungsvertrag 1 II 11 gesetzliche Aufgabenbeschreibung 1 II 22 gesetzliche Informationspflichten 1 II 18 gesetzliche Schweigepflichten 1 II 48 Haftung 1 II 57 ff. interner 1 I 58 Kommunikation neuer Rechtsprechung 1 II 24 Konkretisierung der gesetzlichen Aufgaben 1 II 24 Leistungserbringung 1 II 19 ff. Muster 1 II 2 Schulungen 1 II 30 Serviceleistung 1 II 6 Subunternehmer 1 II 19 Subunternehmer, Verantwortung 1 II 21 Tätigkeitsbericht 1 II 24 Tätigkeitsfeld 1 II 27 Unterstützungspflicht 1 II 15 up to date 1 II 33 verantwortliche Stelle 1 I 2 Vergütung,; siehe dort Verschwiegenheitspflicht 1 II 15 siehe auch dort Vertrag 1 II 1 ff. Vertrag und Abberufung 1 II 62 Vertragsgegenstand 1 II 9 ff. Vertragslaufzeit 1 II 61 Vertragslaufzeit, Eignungsüberprüfung 1 II 61
Stichwortverzeichnis – Wegfall der Fachkunde, Zuverlässigkeit 1 II 38 – weitere Pflichten 1 II 10 – Zuverlässigkeit 1 II 6, 38 Datenschutzbeauftragter, interner – Abwägung zu externem 1 II 1 – abweichende einzelstaatliche Vorschriften 5 V 96 f. – Alibi~ 1 II 1 – Arbeitsvertrag 1 I 3 – Drittbegünstigtenklausel 5 V 104 – Fortbildungskosten 1 II 1 – Kontakt mit Datenschutzbehörde 5 V 96 f. – Kündigung 1 II 1 – Schulungsprogramm 5 V 86 – soziale Netzwerke 7 II 81 ff. Datenschutzbeauftragter, Widerruf – Amtsniederlegung 1 I 101 – Änderung des Vertrags 1 I 100 – außerordentliche Kündigung 1 I 52 – BAG 1 I 19 – Bestellung 1 I 17 ff., 51 ff., 90 – Ende der Bestellung 1 I 97 ff. – Fachkunde/Zuverlässigkeit 1 I 99 – Fristen für Kündigung 1 I 54 – keine Schriftform 1 I 104 – Pflichtverletzung 1 I 102 – Renteneintritt 1 I 56 – wichtiger Grund 1 I 98 Datenschutzbehörde – Anerkennung der BCR 5 V 134 – Ergebnis des Datenschutzaudits 5 V 90 – Zusammenarbeit mit Konzern 5 V 115 ff. Datenschutzbestimmung – soziale Netzwerke 7 II 16 Datenschutz-Dokumente – Datenschutzbeauftragter 1 II 31 Datenschutzerklärungen – Einwilligung 7 I 1 ff. – Musterklausel, Privacy Policy 7 I 9 ff. – soziale Netzwerke 7 II 1 ff. Datenschutzexperte – selbständiger 1 II 6 Datenschutzgrundsätze – Anlage zum Standardvertrag I 5 I 97 f. – Einhaltung, Standardvertrag I 5 I 76 f. Datenschutz-Grundverordnung – Befristung des Datenschutzbeauftragten 1 I 50 – Genehmigung von BCR 5 V 14 – Unternehmensregelungen (BCR) 5 V 5, 7
– Verweis in Unternehmensregelungen, BCR 5 V 28 – Voreinstellung der Privatsphäreneinstellung 7 II 47 Datenschutzhinweise – soziale Netzwerke 7 II 16 ff. Datenschutzklausel – Funktionsübertragung 6 I 1 ff. – Kaufvertrag 6 II 1 ff. – Muster bei Kaufvertrag 6 II 2 – Muster zur Funktionsübertragung 6I4 – Outsourcingvertrag 2 III 1 ff., 10 ff. Datenschutzkonformes Vernichten – DIN 66399 2 IV 24 Datenschutzmelderegister 5 II 81 Datenschutzniveau – bei Auskunfteivertrag, Durchgriff auf Subunternehmer 3 I 20 – Drittland, Auskunfteivertrag 3 I 71 – Unterauftragsdatenverarbeitungsverhältnis 2 II 100 – Unternehmensregelungen (BCR) 5 V 14 Datenschutzrichtlinie – Angemessenheit des Schutzniveaus in Drittstaaten 5 III 5 ff. – Datenexporteur, EU-Standardvertragsklauseln 5 III 38 ff. – Datenübermittlung in Drittländer 5 V 10 Datenschutzschulungen – Abstimmung mit Auftraggeber 1 II 24 – Art und Umfang 1 II 30 – Themen 4 I 118 Datenschutzverstoß – Diensteanbieter 7 I 7 – Kommunikation mit Aufsichtsbehörde 4 I 167 ff. – Ordnungswidrigkeit, soziale Netzwerke 7 II 4 – Rechtsbehelf, BCR 5 V 106 ff. Datensicherheit – Anhang A, Standardvertrag II 5 II 57 f. – Auftragsdatenverarbeitung, technische und organisatorische Maßnahmen 2 III 38 – bei Vernichtung 2 IV 29 ff. – Betriebsvereinbarung, BYOD 4 VI 30 ff., 58 ff. – Checkliste des bayrischen Landesamtes 5 III 130 ff. – Datenimporteur 5 II 45 – Datenschutzbeauftragter, Schulungen 1 II 30 – Datenübermittlung 5 I 85 f.
1061
Stichwortverzeichnis – Dokumentation 4 I 86 – gesetzliche Aufgabenbeschreibung 1 II 22 – Konzeptüberprüfung durch Arbeitgeber 2 I 92 – Mobilgeräte, BYOD 4 VI 27 f. – Privacy Policy 7 I 32 ff. – Unternehmensregelungen (BCR) 5 V 75 ff. – Unternehmensrichtlinie 4 I 83 ff., 117 – Webanalyse 3 IV 99 ff. Datensicherheitsvorfall – Abhilfemaßnahmen 2 I 101 – Definition 2 I 98 – Führung eines Datenpannenverzeichnisses 2 I 104 – Informationspflichten 2 I 96 ff.; 2 II 61 – Reaktionszeit 2 I 100; 2 II 64 – Unterauftragsverhältnis 2 I 131 – Unterstützungspflichten 2 I 101 – Untersuchung/Nachbesserung 2 I 102 f. Datensparsamkeit – personenbezogene Daten 7 I 1 – Social Media Monitoring-Vertrag 3 III 30 – Unternehmensrichtlinien 4 I 72 – Weiterübermittlung, Unternehmensgruppe 5 V 82 Datenspeicherung siehe Speicherung Datenträger – Abholen zur Vernichtung 2 IV 16 ff. – Beendigung der Auftragsdatenverarbeitung 2 II 111 ff. – Begriff 2 IV 2 – Entsorgung, Auftragsdatenverarbeitung 2 I 21 – Herausgabe/Vernichtung 2 IV 35; 5 II 87 – Rückgabe 2 IV 43 ff. – Spezifizierung des Auftragsgegenstands 2 I 29 – Vernichtung 2 I 147; 2 IV 1 ff.; siehe auch Entsorgung – Vertragsbeendigung, Auftragsdatenverarbeitung 2 I 144, 147 Datenübermittlung – anwendbare Datenschutzvorschriften 5 II 3 – Arbeitnehmerdaten 5 I 47 – Auftragsdatenverarbeitungsvertrag 2 I 62 – Auskunfteivertrag 3 I 4 – außerhalb der Unternehmensgruppe 5 V 82
1062
– Beschreibung der Übermittlung 5 II 77 ff. – Beschreibung der Vorgänge 5 V 44 – Betriebsvereinbarung zur Videoüberwachung 4 II 75 f. – Datenherausgabe 5 II 87 – Drittländer 4 I 113; 5 I 2; 5 II 2 – Durchführung des Kaufvertrags 6 II 22 f. – Einwilligungserklärung, soziale Netzwerke 7 II 64 ff. – EU/EWR-Mitgliedstaaten 5 V 11 – EU-Standardvertragsklauseln 5 IV 3 – EU-Standardvertragsklauseln, Auftragsdatenverarbeitung 5 III 42 f., 107 ff. – EWR-Raum 4 I 113; 7 I 33 – innerhalb eines Unternehmens 4 I 17 – international 5 I 1 ff.; 5 II 1 ff. – Konzern 5 I 28 ff.; 5 II 25 f. – Kunde/Dienstleister 6 I 1; siehe auch Kunde; Dienstleister – Mehrparteienverhältnis 5 I 34 ff. – Meinungsumfragen 5 I 47 – Musterklausel zu Auskunftspflichten 5 II 37 – Rücktritt vom Vertrag 5 I 64 f. – Schutzzeitraum 5 I 57 – sensible Daten 5 I 47 – Unternehmensrichtlinien 4 I 110 ff. – Unternehmenssitz in USA 5 I 71 – USA 5 V 12 – Vertragsaussetzung 5 I 64 f. – Videoüberwachung am Arbeitsplatz 4 II 13 – Vorgänge in Unternehmensregelungen, BCR 5 V 38 – Weisungsrecht 6 I 7 – Weiterübermittlung 5 I 91 f. – Zweck, Anlage 1 des Standardvertrags 5 I 46 Datenübermittlung, Drittländer – Ausnahmetatbestand, § 4c BDSG 5 I 6 – Datenschutzniveau 5 V 11 – Funktionsübertragung 6 I 30 f. – Genehmigungsfreiheit 5 I 17 ff. – Genehmigungsvorbehalt 5 I 7 – gesetzliche Regelungen 5 V 10 f. – individuelle Vertragslösungen 5 I 6 ff. – kein angemessenes Schutzniveau 5 III 7 – nationaler Datenschutz 5 I 3 ff. – Safe Harbour 5 I 5 – unselbständige Niederlassung 5 I 20 – Unterauftragsverhältnis 2 II 102 ff. – Unternehmensregelungen (BCR) 5 V 1 ff.
Stichwortverzeichnis – Unternehmensrichtlinien 4 I 113 – Untersagung durch Aufsichtsbehörde 5 I 10 f. – Verbot 5 II 7 – Vertragsmuster 5 I 22; 5 II 19 – Vorlagepflicht 5 I 33 – Zulässigkeit 5 I 3; 5 III 3 ff.; 5 V 10 f.; 7 I 33 Datenumfang – Anlage 2 zum Standardvertrag I 5 I 81 – spätere Festlegung 2 I 35 Datenverarbeitung – automatisiert 5 I 95 – Begriff 4 I 21; 5 V 44 – Begriff, Standardvertrag I 5 I 36 f. – Begriff, Standardvertrag II 5 II 30 – berechtigte Interessen, Unternehmensrichtlinie 4 I 47 – bundeslandspezifische Erlaubniskriterien 3 IV 64 ff. – Datenimporteur 5 I 66 ff. – datenschutzkonform 1 II 24 – Einwilligung in Unternehmensregelung, BCR 5 V 54 – gesetzeskonforme ~ bei Webanalyse 3 IV 55 f. – Grundsätze 5 II 57 ff. – Interessenabwägung 7 I 2 – legitimer Zweck 4 I 65 f. – Meldeverfahren bei Whistleblowing 4 IV 46 f. – Ort 2 I 37 ff. – Rechtsgrundlagen für die Verarbeitung 5 V 52 ff. – spätere Festlegung 2 I 35 – Überprüfung der Einrichtungen 5 I 73 – Unternehmensrichtlinien 4 I 37 ff. – Vereinbarung bei externer ~ 5 V 83 f. – Verflechtung 2 I 36 – Vertragsanbahnung 4 I 89 – Vorgänge in Unternehmensregelungen, BCR 5 V 38 – Werbezweck 7 III 14 – Widerspruch 5 I 90 – Zeitraum 5 V 51 – Zweckangaben in Unternehmensregelungen, BCR 5 V 45 Datenverarbeitungsanlagen 2 I 22 Datenverarbeitungssystem – Einführung neuer Systeme 4 I 124 ff. Datenverarbeitungsverbot – TMG 7 III 6 Datenvernichtung siehe Vernichtung Datenverwendung – beabsichtigte ~, Outsourcingvertrag 2 III 18
– berechtigtes Interesse 6 II 17 – Kaufvertrag 6 II 7 – Regelung durch BYOD 4 VI 22 De-Anonymisierung 3 IV 74 Deliktsrecht – Verstoß gegen Unternehmensregelungen, BCR 5 V 109 Denunziantentum, Whistleblowing 4 IV 50 Device Fingerprinting – Webanalyse 3 IV 12 – Wiederherstellung von gelöschten Cookies 3 IV 77 Diensteanbieter – Arbeitgeber 4 III 13 ff. – Datenschutzbestimmungen und Einwilligungserklärung für soziale Netzwerke 7 II 7 ff. – Informationspflichten 7 I 10; 7 II 18 – technische/organisatorische Maßnahmen 7 I 34 – Unterrichtungspflicht bei automatisierten Verfahren 7 II 58 – Verstoß gegen Datenschutz 7 I 7 Dienstleister – datenschutzrechtliche Verantwortung 6 I 6, 11 – Einschaltung eines Unterauftragnehmers 6 I 25 – Entsorgung von Daten 2 IV 1 ff. – Informationspflichten 6 I 26 f. – Mustervertrag bei Auftragsdatenverarbeitung 4 I 101 – technische/organisatorische Maßnahmen 6 I 15 ff. – Weisungsrecht 6 I 7 Dienstleistungen, online – TMG 7 I 2 Diplomand – Anwendbarkeit der Betriebsvereinbarung, Internet- und E-Mail-Nutzung 4 V 51 f. Direkterhebung von Daten 4 I 75 ff. Direktmarketing – Anlage zum Standardvertrag I 5 I 94 – Anforderungen 3 II 9 – BDSG 3 II 10 ff. – Rechte der Kunden 5 V 65, 69 – Werbe-Einwilligungserklärung 3 II 10 Dokumentation – Auswahl bei Auftragsdatenverarbeitung 2 I 14 – Betriebsvereinbarung zur Videoüberwachung 4 II 34, 69 ff. – Datenlöschung, Auftragsdatenverarbeitung 2 I 149; 2 II 117
1063
Stichwortverzeichnis – Fachkunde des Datenschutzbeauftragten 1 II 8 – Unterauftragsverhältnis 2 I 129 – Verfahrensverzeichnis der automatisierten Datenverarbeitung 4 I 119 ff. – Verpflichtung auf das Datengeheimnis 2 I 80 Dokumente – Speicherung, BYOD 4 VI 41 DOM-Storage – Speicherung des Nutzerverhaltens im Internet 3 IV 12 Do-Not-Track-Standard 3 IV 7 – Browsereinstellung 3 IV 85 f. Double-opt-in-Verfahren – Adresslieferungsrahmenvertrag 3 II 27 – Einwilligung 7 I 4 – Täuschung, arglistige 3 II 29 – Werbung 7 III 20 Drittanbieter – Einwilligungserklärung bei sozialen Netzwerken 7 II 87 f. Drittauskünfte – Auftragsdatenverarbeitungsvertrag 2 I 68 Drittbegünstigter – Datenim/-export 5 III 45 ff. Drittbegünstigtenklausel – amerikanische Unternehmen 5 I 54 – Inhalt 5 V 104 – Innen-/Außenwirkung 5 V 103 – keine Vertragspartei 5 I 53 – Rahmenvertrag für EU-Standardvertragsklauseln 5 IV 55 – Sonderrechte 5 I 53 ff. – Standardvertrag II 5 II 63 f. – Unternehmensregelungen (BCR) 5 V 25, 102 ff. – Vertretungsbefugnis 5 I 55 Dritter/Dritte – Arbeitnehmer, § 3 Nr. 10 TKG 4 V 15 – Auskunft bei Auftragsdatenverarbeitung 2 I 139 f. – Datenübermittlung beim Kaufvertrag 6 II 22 f. – Definition in Unternehmensrichtlinien 4 I 33 – Fernmeldegeheimnis bei betrieblichen Accounts 4 V 139 ff. – Kontrolltätigkeit, Auftragsdatenverarbeitung 2 II 84 f. – Konzernverbund 4 I 35 f. – Rahmenvertrag für EU-Standardvertragsklauseln 5 IV 53 ff. – Überprüfung der Datenverarbeitungseinrichtungen 5 I 73
1064
– Zugriff auf betrieblichen E-Mail-Account 4 V 78 ff. Drittstaaten – Auftragsdatenverarbeitung 2 I 9, 37; 2 II 21 – Begriff 5 I 1 – Datenschutzniveau 5 I 4; 5 II 3 f. – Datenverarbeitung, soziale Netzwerke 7 II 18 – Unterauftragnehmer außerhalb des EWR 2 I 128; 2 II 102 ff. – Unterauftragsverhältnis 2 I 123 – Zulässigkeit der Datenweitergabe, 1. Stufe 2 I 10 – Zulässigkeit der Datenweitergabe, 2. Stufe 2 I 11 Dublette – Minderlieferung bei Adressdatenlieferungsverträgen 3 II 19 Due Diligence Prüfung – einzelfallbezogen 1 IV 8 – Informationserteilung 1 IV 3 ff. – personenbezogene Daten 1 IV 5 Durchgriffsprüfungsrecht – Unterauftragsverhältnis 6 I 25; siehe auch dort Durchsetzbarkeit – Unternehmensregelungen (BCR) 5 V 25 Düsseldorfer Kreis siehe auch Aufsichtsbehörde – Datenschutzbeauftragter, Leistungserbringung 1 II 20 – Datenschutzbeauftragter, Mindestvertragslaufzeit 1 II 61 – Datenschutzbeauftragter, Zutritts- und Einsichtsrechte 1 II 17 – Double-opt-in-Verfahren 7 III 20 eBay – Unternehmensregelungen (BCR) 5 V 9 Eigenkontrolle – Auftragsdatenverarbeitung 2 I 65; 2 II 43 ff. Eigenschaden des Arbeitnehmers – Haftung bei BYOD 4 VI 87 Eigentumsrechte – Social Media Monitoring 3 III 35 ff. Eigentumsvorbehalt – Vernichtung 2 IV 62 ff. Eigenwerbung – Einwilligungsklausel 7 III 12 Eignungsüberprüfung – Düsseldorfer Kreis 1 II 61
Stichwortverzeichnis Eingabekontrolle – Auftragsdatenverarbeitungsvertrag 2 I 83 – technische/organisatorische Maßnahmen 2 II 54 Einhaltung, BCR 5 V 92 ff. Einigungsstelle – Änderung/Erweiterung der Ortungseinrichtung 4 III 55 f. – Betriebsvereinbarung zur Mitarbeiterortung 4 III 3 – Meinungsverschiedenheiten bei Mitarbeiterortung 4 III 61 f. Einrede/Einwendung – Freistellungsanspruch 2 II 37 Einrichtungen – Überprüfung bei Datenübermittlung 5 I 73 – Vertretungsbefugnis, BCR 5 V 105 – Vertretungsbefugnis, Standardvertrag I 5 I 55 Einsichtsfähigkeit – Einwilligungserklärung 7 II 27 Einsichtsrecht – Kontrollrechte des Auftraggebers 2 I 113; 2 II 77 Einwilligung – Anforderungen nach § 4a BDSG 6 II 8 – Betriebsvereinbarung, BYOD 4 VI 62 – Cookies 7 I 26 f. – Datenerhebung, Unternehmensrichtlinie 4 I 48 ff. – Datenschutzerklärungen 7 I 1 ff. – Datenspeicherung, E-Privacy-Richtlinie 7 II 60 ff. – Datenverarbeitung, BCR 5 V 54 – Datenverarbeitung beim Kaufvertrag 6 II 6 ff. – Dokumentation 4 V 138 – Einwilligungsfähigkeit 7 II 27 – elektronisch 6 II 9 – elektronische Archivierung 4 I 57 – Freiwilligkeit 4 I 54 – jederzeitige Abrufbarkeit 7 I 3 f. – Mitarbeiterortung 4 III 18 – Mobilgeräte, BYOD 4 VI 24 – Mustererklärung für soziale Netzwerke 7 II 6 ff.; siehe auch Soziale Netzwerke, Einwilligungserklärung – Nutzerprofile 4 I 95 f. – Nutzungskontrolle der sozialen Medien 4 VII 30 – Opt-in/Double-Opt-in 7 I 4 – Schriftform 4 I 56 – Schufa-Klausel 7 IV 1 ff. – Vertragsanbahnung 4 I 89
– Videoüberwachung am Arbeitsplatz 4 II 6 – Voraussetzungen 7 I 3 – Werbung 6 II 11 – Widerruf 5 V 69; 7 I 3 f. – Widerrufsrecht, Unternehmensrichtlinie 4 I 146 ff. – zukünftige Werbemaßnahmen 4 I 92 – Zusatzvereinbarung zur Betriebsvereinbarung, Internet- und E-Mail-Nutzung 4 V 125 ff. – Zweckänderung, Privacy Policy 7 I 20 Einwilligungserklärung, BYOD – Betriebsvereinbarung 4 VI 107 ff. – Datenschutzaufsichtsbehörde 4 VI 111 – Fernmeldegeheimnis 4 VI 113 – Freiwilligkeit 4 VI 111 – Konkretisierung des Mobilgerätes 4 VI 109 Einwilligungsklausel – Auskunfteivertrag 3 I 17 – Produktgattung 7 III 13 – Text 7 III 21 – Widerrufsrecht 7 III 14 Einzelnachweis – Kostenerstattung bei BYOD 4 VI 81 Einzelweisungen 2 I 46 f., 137; 2 II 29 f., 55 E-Mail-Account – Nutzungsbeschränkung bei BYOD 4 VI 23 – Zugriff auf Daten bei BYOD 4 VI 48 E-Mail-Account, betrieblicher – Abgrenzung private/betriebliche Korrespondenz 4 V 88 ff. – Arbeitgeber als Diensteanbieter 4 V 14 ff. – Datenschutzvorschriften des TKG 4 V 18 f. – Definition des Accounts 4 V 50 – direkter Zugriff Dritter 4 V 78 – elektronische Archivierung 4 V 32 ff. – E-Mail-Eingang nach Ausscheiden 4 V 72 ff. – Fernmeldegeheimnis 4 V 23 ff. – Fernmeldegeheimnis/Datenschutz Dritter 4 V 139 ff. – Grundregeln zur Nutzung 4 V 54 ff. – Missbrauchskontrolle 4 V 91 – private Nutzung betrieblicher Accounts 4 V 1 ff.; siehe auch Betriebsvereinbarung, Internet und E-Mail-Nutzung; Privatnutzung betrieblicher Accounts – Privatordner 4 V 85
1065
Stichwortverzeichnis – rechtswidrige Nutzungshandlungen 4 V 57 – Regierungsentwurf zum Beschäftigtendatenschutz 4 V 142 – spezielle Regelungen 4 V 76 ff. – Umfang zulässiger Privatnutzung 4 V 66 f. – Verfügungsbefugnis des Arbeitgebers 4 V 76 – Vorlagepflichten bei Gericht/Behörde 4 V 82 ff. – webbasierte Dienste 4 V 58 f. – Zugriff auf Privatordner 4 V 92 ff. – Zweckbestimmung 4 V 55 E-Mail-Verwaltung – Auftragsdatenverarbeitung 2 I 21 E-Mail-Werbung – Opt-out 3 II 11 Empfehlungen – Datenschutzbeauftragter 4 I 165 Entlassung siehe Kündigung Entsorgung – Abgrenzung zur Auftragsdatenverarbeitung 2 IV 7 – Abholen zur Vernichtung 2 IV 16 ff. – besondere Sicherung 2 IV 19 f. – Datenträger 2 IV 1 ff. – Dauerschuldverhältnis 2 IV 7 – Empfangsbestätigung, schriftlich 2 IV 17 – Festlegung des Betroffenenkreises 2 IV 15 – mobile Aktenvernichtung 2 IV 20 – Vernichtung 2 IV 22 ff. – völliges Entfernen 2 IV 23 – Weisungsgebundenheit im Vertrag 2 IV 14 Entsorgungsvertrag – Art und Weise der Vernichtung 2 IV 26 – Auftragnehmerpflichten 2 IV 33 ff. – Leistungsumfang 2 IV 13 – Schriftform 2 IV 13 – Vertragszweck 2 IV 10 Entsprechensklausel – Funktionsübertragung 6 I 32 f. E-Privacy-Richtlinie – Cookies 7 I 26; 7 II 60 ff. – Einwilligung des Nutzers 3 IV 80 f. – Einwilligungserfordernis bei Speicherung von Informationen 3 IV 22 – Speicherung/Zugriff auf Informationen 7 II 60 Erfindungen – Arbeitnehmererfindung, Datenschutzbeauftragter 1 I 44 f.
1066
Erfolg – Social Media Monitoring-Vertrag 3 III 10 Erforderlichkeit – Datenschutzaudit 1 III 125 – Datenverarbeitung, Unternehmensrichtlinie 4 I 67 – technische und organisatorische Maßnahmen 2 I 85 – Videoüberwachung am Arbeitsplatz 4 II 59 ff. Erlaubnistatbestand, BDSG – Datenverwendung, Auftragsverarbeitung 2 II 19 – Mitarbeiterortung 4 III 19 ff. – Unternehmensrichtlinien 4 I 42 – Whistleblowing 4 IV 22 Erlaubnisvorbehalt – Datenverarbeitung, Unternehmensrichtlinie 4 I 39 Ermessen – Informationsaustausch durch Datenschutzbeauftragten 1 II 24 Ermittlungsbehörde – Auskunft bei Auftragsdatenverarbeitung 2 I 140 – Speicherdauer bei Videoüberwachung 4 II 85 Erprobungsphase – dienstliche Nutzung des privaten Endgerätes 4 VI 97 Erreichbarkeit – als Qualitätskriterium bei Adresskauf 3 II 31 Erstkontrolle – Auftragsdatenverarbeiter 1 II 32 EU-Datenschutz-Grundverordnung – personenbezogene Daten 7 III 9 – Pflicht zur Vertragsanpassung bei Datenschutzbeauftragtem 1 II 67 EU/EWR-Mitgliedstaaten – Auftragsdatenverarbeitung 2 I 9, 37 f.; 2 II 20 – Datenübertragung 5 V 11 EU-Kommission – europaweit anerkannte BCR 5 V 9 – EU-Standardvertragsklauseln, Auftragsdatenverarbeitung 5 III 23, 30 ff. – inhaltliche Ausgestaltung der BCR 5V7 EU-Recht – E-Privacy-Richtlinie 7 I 26 – Internet Privacy Policy 7 I 5 f.
Stichwortverzeichnis EU-Standardvertragsklauseln siehe auch Standardvertrag I; Standardvertrag II – alternative Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer vom 27.12.2004 (sog. Standardvertrag II) 5 I 12 ff.; 5 II 8 – Änderungen 5 I 17 ff.; 5 II 16 ff. – Anwendbarkeit 5 I 16 – Arten 5 II 8 ff. – Aufbau 5 I 23 f. – Auftragsverarbeitung im Konzern 2 I 8 – Bedeutung 5 I 1 ff.; 5 II 1 ff. – Datenschutzaufsichtsbehörde 5 I 9 – Datenschutzniveau 5 V 13 – externe Datenverarbeiter 5 V 84 – Genehmigungsfreiheit 5 I 17 ff.; 5 II 16 ff. – inhaltliche Ausgestaltung der BCR 5V7 – Insichgeschäft 5 I 32 – Mehrparteienverhältnis 5 II 17; 5 IV 8 – multilateraler Vertrag 5 IV 4 – Nachteile 5 V 13 – redaktionelle Änderungen 5 II 17 – Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländer vom 5.2.2010 5 I 12 ff.; 5 II 8 – Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer vom 15.06.2001 (sog. Standardvertrag I) 5 I 12 ff. – Übermittlung personenbezogener Daten an Auftragsverarbeiter 2 III 19 – unselbständige Niederlassung 5 II 17 – Unternehmensrichtlinien 4 I 113 – Veränderungen 5 V 13 – Vertragsmuster 5 I 22; 5 II 19 – Vorteile 5 I 8; 5 II 5 ff.; 5 IV 4 – Zweck 5 I 1 ff.; 5 II 1 ff. – Zweiparteienverhältnis 5 IV 9 EU-Standardvertragsklauseln, Auftragsdatenverarbeitung – abgestufte Garantiehaftung 5 III 76 ff. – Altfassung 5 III 15 – Anhang 5 III 107 ff. – anwendbares Datenschutzrecht 5 III 36 – Anwendungsbereich 5 III 25 ff. – Auftragsgegenstand, Anhang 5 III 115 ff. – Auftragszweck, Anhang 5 III 120 ff. – Begriffe 5 III 36 – betroffener Personenkreis 5 III 111 – Controller-to-Controller 5 III 20 – Controller-to-Processor 5 III 14, 20
– Datenexport 5 III 25 ff. – Datenkategorien 5 III 112 f. – Datenübermittlung in Drittländer 5 III 1 ff. – Drittbegünstigtenklausel 5 III 44 ff. – Drittländer 5 III 8 ff. – echter Unterauftrag 5 III 97 – Ergänzung 5 III 17 ff. – fakultative Entschädigungsklausel 5 III 141 f. – geltendes Recht 5 III 90 f. – Gerichtsstandsvereinbarung 5 III 82 ff. – Kontrollpflichten 5 III 132 ff. – Muster 5 III 29 – Pflichten des Importeurs 5 III 64 ff. – Pflichten nach Vertragsende 5 III 103 ff. – Rückgabe von Daten 5 III 125 – Schlichtung 5 III 82 ff. – Schriftform 5 III 34 – Sicherheitsmaßnahmen 5 III 36 – technische/organisatorische Maßnahmen, Anhang 5 III 126 ff. – Übermittlungseinzelheiten 5 III 42 f., 107 ff. – übermittlungsrelevante Tätigkeit 5 III 110 – unabhängiger Auditor 5 III 72 – Unterauftrag, Anhang 5 III 122 – Unterauftragsvergabe 5 III 34 – Unterverarbeiter aus Drittland 5 III 27 – Vereinbarungsart 5 III 35 – Vertragsänderung 5 III 92 ff. – Weisungsbefugnisse, Anhang 5 III 123 f. Exkulpation – Verstoß gegen Unternehmensregelungen, BCR 5 V 112 Experte, weitere – Hinzuziehung durch Datenschutzbeauftragten 1 II 36 f. Facebook siehe Soziale Medien; Social Media Richtlinie Fachkunde – Anpassung 1 II 39 – Datenschutzbeauftragter, externer 1 II 6 ff. – Wegfall 1 II 38, 41 – Zusicherung 1 II 39 Fahrlässigkeit – Arbeitnehmereigenschaden 4 VI 89 Fahrtenbuch, elektronisch – Mitarbeiterortung 4 III 38 ff., 46 ff.
1067
Stichwortverzeichnis Fakes – Kontrolle für Weiterverkauf von Datensätzen 3 II 47 Falsche Verdächtigung – Whistleblowing-Richtlinie 4 IV 51 Fernmeldegeheimnis – abwesende Mitarbeiter 4 V 36 – Ausdehnung durch elektronische Archivierung 4 V 32 ff. – Ausdehnung über den Übermittlungsvorgang hinaus 4 V 29 – Befreiung bei Privatnutzung betrieblicher Accounts 4 V 64 – Chat-Funktionalität 4 V 58 – Datenschutzbeauftragter, Schulungen 1 II 30 – Dauer 4 V 24 ff. – Eingriff durch Betriebsvereinbarung 4 V 40 f. – Einwilligungserklärung, BYOD 4 VI 113 – E-Mail-Eingang nach Ausscheiden des Arbeitnehmers 4 V 72 ff. – E-Mail-/Internetnutzung 4 V 23 – Freiwilligkeit der Einwilligung 4 V 127 ff. – geschützter Inhalt 4 V 22 – Privatnutzung betrieblicher Accounts 4 V 7, 20 ff., 100 ff. – Rechtfertigung von Eingriffen 4 V 38 ff. – Reichweite 4 V 24 ff. – Zugriff auf Daten bei BYOD 4 VI 49 Fettdruck – Einwilligungserklärung, soziale Netzwerke 7 II 22 Filesharing – Privatnutzung betrieblicher Accounts 4 V 97 Finanzmittel – Datenimporteur 5 II 50 – Unternehmensregelungen (BCR) 5 V 17 Firewall – Datenschutz bei sozialen Netzwerken 7 II 71 ff. Flash-Technologie – Wiederherstellung von gelöschten Cookies 3 IV 77 Flatrate – Auskunfteivertrag 3 I 52 – Kosten bei BYOD 4 VI 80 ff. Fortbildungskosten – Datenschutzbeauftragter 1 II 39 Freistellungsverpflichtung – Adressdatenkauf 3 II 52, 56
1068
– Auftragsdatenverarbeitung 2 I 159; 2 II 37 Freiwilligkeit – Einwilligungserklärung, soziale Netzwerke 7 II 21 – Präambel zur Betriebsvereinbarung, BYOD 4 VI 16 – Vergütung des Datenschutzbeauftragten 1 I 31 Funktionsübertragung – Abgrenzung zur Auftragsdatenverarbeitung 2 I 18; 6 I 3 – Art und Umfang 6 I 12 – Datenrückgabe/-löschung 6 I 28 f. – Datenschutzklausel 6 I 1 ff. – Drittstaatentransfer 6 I 30 f. – Entsprechensklausel 6 I 32 f. – Fallgruppen 2 I 21 – Geheimnisschutz 6 I 18 f. – Informationspflichten 6 I 26 f. – Leistungsbeschreibung 6 I 12 – Musterklausel 6 I 4 – Pflichten des Dienstleisters 6 I 9 – Prüfungs-/Kontrollhandlungen 6 I 20 ff. – Unterauftragsverhältnis 6 I 24 f.; siehe auch dort – Verarbeitungszweck 6 I 5 ff. – Weisungsrecht 6 I 7 – Zweckbindungsgrundsatz 6 I 13 f. Garantieerklärung – Datenexporteur 5 II 12 – Datenübermittlung in Drittländer 5 I 32 Garantiehaftung – Datenexport 5 III 53 Gefahrenabwehr – Datenweitergabe 7 I 36 Gegendarstellung – Bewertung von Persönlichkeitsmerkmalen 5 V 74 Gegenseitigkeitsprinzip – Auskunfteivertrag 3 I 14, 65 Geheimhaltung – Anhang A, Standardvertrag II 5 II 57 f. – Datenimporteur 5 II 45 – Funktionsübertragung 6 I 18 f. – höchstpersönliche Gerätenutzung, BYOD 4 VI 36 – Kontrollrechte des Auftraggebers 2 I 112; 2 II 76 – Kontrolltätigkeit durch Dritte 2 II 84 – Kreis der empfangsberechtigten Personen 1 IV 19
Stichwortverzeichnis – Offenlegung der Datenempfänger 5 V 60 – Standardvertrag II 5 II 41 – Transparenz bei Unternehmensregelungen 5 V 58 – Vereinbarung bei Unterauftragsverhältnis 2 II 97 Geheimhaltungsverpflichtung – Auskunfteivertrag 3 I 17 – Laufzeit 1 IV 21 – Verschwiegenheitspflicht, Datenschutzbeauftragter siehe Verschwiegenheitspflicht – Verstoß gegen ~ 1 IV 22 Geldautomat – Speicherdauer bei Videoüberwachung 4 II 84 Geltungsbereich – Betriebsvereinbarung, BYOD 4 VI 17 ff. – Betriebsvereinbarung zur Videoüberwachung 4 II 35 ff. – Unternehmensregelungen (BCR) 5 V 36 ff. Geltungsdauer – Betriebsvereinbarung, BYOD 4 VI 105 f. Genehmigung – Änderungen, EU-Standardvertragsklauseln 5 II 16 ff. – Datenübermittlung in Drittländer 5 I 7, 17 ff.; 5 II 6 f. – Datenübermittlung, Mehrparteienverhältnis 5 I 34 ff. Geolokalisierung – Anonymisierung der IP-Adresse 3 IV 70 ff. Gerätescan – Netzzugangskontrollen, BYOD 4 VI 34 Gerichtsstand – Datenschutzaudit, Vertrag 1 III 149 ff. – Datenschutzverstoß, BCR 5 V 106 ff. – Datenübermittlung in Drittländer 5 II 63 – Social Media Monitoring-Vertrag 3 III 54 – Unternehmensregelungen, BCR 5 V 126 ff. – Vereinbarung, Standardvertrag II 5 II 85 – Vertraulichkeitsvereinbarung 1 IV 24 Gesamtbetriebsrat – Regelungskompetenz bei Mitarbeiterortung 4 III 35, 37 – Zentralisierung bei Mitarbeiterortung 4 III 7, 9 f.
Gesamtschuld – Datenexporteur/-importeur 5 II 60 ff. – Datenimporteur/-exporteur 5 I 101 – Unternehmensregelungen (BCR) 5 V 106, 108 ff. Geschäftsbesorgungsvertrag – Bestellung eines Datenschutzbeauftragten 1 II 11 – Datenschutzbeauftragter, Arbeitsvertrag 1 I 3 – Datenschutzbeauftragter, externer 1 II 3 – Social Media Monitoring-Vertrag 3 III 10 Geschäftsgeheimnis – Kontrollrechte, Datenverarbeitungsvertrag 2 II 76 – Kontrollrechte des Auftraggebers 2 I 112 – Mobile Device Management Tools 4 VI 10 – Vetraulichkeitsvereinbarung 1 IV 1 ff. Geschäftsgrundlage – Grundsätze über die ~ 1 IV 12 Geschäftsleitung – Unternehmensrichtlinien 4 I 1 – Verantwortung für Datenschutz 4 I 154 ff. Geschäftsprozesse – auslagern, Vorgaben 2 III 8 Geschäftsschädigung – Nutzung sozialer Medien 4 VII 49 ff. Gesundheit – Übermittlung sensibler Daten 5 I 49 Gewährleistung – Adresslieferungsrahmenvertrag 3 II 48 ff. – Datenschutzaudit 1 III 128 ff. Gewerblicher Rechtsschutz – Social Media Monitoring 3 III 5 Gewerkschaftszugehörigkeit – Übermittlung sensibler Daten 5 I 49 Gewinnspiel – Werbe-Einwilligungserklärung 7 III 1 – Werbe-Einwilligungserklärung bei Offline-Werbung 7 III 25 ff. – Werbe-Einwilligungserklärung bei Online-Werbung 7 III 29 f. Girovertrag – Kundenstamm-/Kombiklausel, Schufa 7 IV 15 f. Glossar – Begriffsbestimmungen zur BCR 5 V 32 GmbH-Geschäftsführer – Verschwiegenheitsverpflichtung 1 IV 3
1069
Stichwortverzeichnis Google Street View – Datenschutz 3 III 15 GPS-Ortung – Mitarbeiterortung 4 III 1 Gratifikation – Datenschutzbeauftragter, Arbeitsvertrag 1 I 31 Grenzüberschreitung – Datenübermittlung 7 I 33 Gültigkeitszeitraum – Siegel/Zertifikat 1 III 96 Haftung – Adressdatenkauf, ~ des Lieferanten 3 II 51, 54 – Auftragsdatenverarbeitung 2 I 157 ff.; 2 II 122 – Ausschluss bei Datenübermittlung 5 II 11 ff. – Beschränkung bei Webanalyse 3 IV 116 ff. – Betriebsvereinbarung, BYOD 4 VI 84 ff. – Datenschutzbeauftragter 1 II 57 ff. – Datenübermittlung 5 I 99 ff. – EU-Standardvertragsklauseln, Auftragsdatenverarbeitung 5 III 75 ff., 142 – grundsätzliche bei Adresslieferung 3 II 26 – Standardvertrag II 5 II 60 ff. – Unternehmensregelungen (BCR) 5 V 106 ff. Haftungsbefreiung 5 I 100 Haftungsbeschränkung – Auftragsdatenverarbeitung 2 I 159 – Datenschutzaudit, Vertrag 1 III 137 ff. – Datenschutzbeauftragter 1 II 58 f. – Social Media Monitoring-Vertrag 3 III 45 f. Haftungsprivilegierung – Auskunfteivertrag 3 I 59 ff. Haftungsrisiko – Adresslieferungsrahmenvertrag 3 II 27 – für Adressdatenkäufer 3 II 34 Handy-Ortung – Diensthandy 4 III 14 – Mitarbeiterortung 4 III 1 Hauptniederlassung – Datenverarbeitung außerhalb der ~ 2 I 40 Hauptvertrag – parallel zum Auftragsdatenverarbeitungsvertrag 2 I 29
1070
Hausrecht – Videoüberwachung am Arbeitsplatz 4 II 11 Head-hunting-Agentur – Nutzungspflicht sozialer Medien 4 VII 14 Herausgabeanspruch – Auftraggeber, Webanalyse 3 IV 67 f. – Beendigung des Datenverarbeitungsverhältnisses 5 III 105 – Daten bei Webanalyse 3 IV 130 Herausgabepflicht – Beendigung des Outsourcingvertrags 2 III 49 ff. – Betriebsvereinbarung, BYOD 4 VI 98 ff. – Datenschutzbeauftragter, Arbeitsvertrag 1 I 61 f. Hilfsleistungen – Auftragsdatenverarbeitung 2 I 22 Hinweisgebersystem siehe Whistleblowing Hinweispflicht – Einwilligungserklärung, soziale Netzwerke 7 II 43 – Rechte der Betroffenen, Auftragsdatenverarbeitung 2 II 108 – Videoüberwachung am Arbeitsplatz 4 II 14 Höhere Gewalt – Social Media Monitoring-Vertrag 3 III 51 f. Honorar siehe Vergütung Hyperlink – Rechtmäßigkeit der Datenverarbeitung 7 I 2 Identifikationsmerkmale – Auskunfteivertrag 3 I 29 f. Identifikationsnummer – Webanalyse 3 IV 10 Identifikationsprüfung – Auskunfteivertrag 3 I 42 Identität – Datenimporteur 5 I 82 Individualabrede – doppelte Schriftformklausel 1 III 149 Information Technology Outsourcing (ITO) – Auftragsdatenverarbeitung 2 III 6 Informationelle Selbstbestimmung – Meldepflicht, Whistleblowing-Richtlinie 4 IV 26 – personenbezogene Daten 7 I 1
Stichwortverzeichnis Informationspflichten – Auftragsdatenverarbeitung 2 II 40 – Auftragsdatenverarbeitungsvertrag 2 I 66 – Betriebsvereinbarung, BYOD 4 VI 63 ff. – Datenschutz bei sozialen Netzwerken 7 II 71 ff. – Datenschutzbeauftragter 1 II 18 – Datensicherheitsvorfälle 2 I 94 ff., 131; 2 II 61 – Diensteanbieter 7 I 10 – Due Diligence-Prüfung 1 IV 3 ff. – Funktionsübertragung 6 I 26 f. – Internet-Angebote 7 I 1 ff. – Mitarbeiterortung 4 III 57 ff. – Schufa-Klausel 7 IV 27 ff. – Unternehmensrichtlinien 4 I 50 ff. – Whistleblowing 4 IV 54, 71 ff. Informationsrecht – Unternehmensregelungen (BCR) 5 V 56 ff. Informationsüberlassung – Vetraulichkeitsvereinbarung 1 IV 14 Inhaltsdaten – Begriff 7 I 14 – Freiwilligkeit 7 II 40 ff. – soziale Netzwerke 7 II 10 Inkrafttreten – Betriebsvereinbarung, BYOD 4 VI 105 f. – Betriebsvereinbarung zur Mitarbeiterortung 4 III 63 ff. – Betriebsvereinbarung zur Videoüberwachung 4 II 105 – Unternehmensregelungen, BCR 5 V 130 ff. Innovationsmanagement 2 II 57 Insichgeschäft – EU-Standardvertragsklauseln 5 I 32 Institutsklausel – Schufa-Klausel 7 IV 12 ff. Interessenabwägung – Schufa-Klausel 7 IV 22 f., 34 ff. Interessengebundenheit – Auskunfteivertrag 3 I 39 f. Interessenkollision – Datenschutzbeauftragter im Nebenamt 1 I 9 ff. – juristische Person 1 II 40 – mehrere Auftraggeber 1 II 40 Internet Privacy Policy siehe Privacy Policy Internet-Account – Löschung 7 II 80
Internet-Account, betrieblicher – Arbeitgeber als Diensteanbieter 4 V 14 ff. – Aufschluss bestimmter Inhalte 4 V 96 – Beschränkung des Datenschutzrechts 4 V 99 ff. – Datenschutzvorschriften des TKG 4 V 18 f. – Definition des Accounts 4 V 50 – Fernmeldegeheimnis 4 V 23 ff., 100 ff. – Fernmeldegeheimnis/Datenschutz Dritter 4 V 139 ff. – Grundregeln zur Nutzung 4 V 54 ff. – Missbrauchskontrolle 4 V 103 ff. – private Nutzung betrieblicher Accounts 4 V 1 ff.; siehe auch Betriebsvereinbarung, Internet und E-Mail-Nutzung; Privatnutzung betrieblicher Accounts – rechtswidrige Nutzungshandlungen 4 V 57 – Regierungsentwurf zum Beschäftigtendatenschutz 4 V 142 – spezielle Regeln für Privatnutzung 4 V 95 ff. – Trennung betriebliche/private Nutzung 4 V 106 ff. – Überwachungsumfang 4 V 103 ff. – Umfang zulässiger Privatnutzung 4 V 66 f. – Zweckbestimmung 4 V 55 Internet-Angebote – Grundlage der Informationspflicht 7 I 1 ff. – Verstoß des Betreibers 7 I 7 Internetseite – Webanalyse 3 IV 1 ff. – Webanalyse für spezielle Seite 3 IV 41 f. Intranet – Beratung durch Datenschutzbeauftragten 4 I 161 – Veröffentlichung der Unternehmensrichtlinie 4 I 172 ff. IP-Adresse – Anonymisierung 3 IV 20 – Einwilligungserklärung bei sozialen Netzwerken 7 II 53 ff. – personenbezogene Daten 7 II 54 – Personenbezug 3 IV 73 ff.; 7 I 16, 24 – Speicherung 7 II 56 – Speicherung in anonymisierter Form 3 IV 73 – Verkürzung bei Webanalyse 3 IV 13
1071
Stichwortverzeichnis IPv6-Standard – Anonymisierung der IP-Adresse 3 IV 72 IP-Timestamps – Nachweis 3 II 37 IT-Sicherheitsvorgaben – Auftragsdatenverarbeitungsvertrag 2 I 93 Jailbreaks/Roots – Nutzungsbeschränkung bei BYOD 4 VI 28 Juristische Person – Schufa-Klausel 7 IV 32 Kalender – Nutzungsbeschränkung bei BYOD 4 VI 23 Kamera-Monitoring-Prinzip 4 II 2, 11, 51 ff. Kanada – ansässige Datenimporteure 5 I 70 Kardinalpflichten – Haftung bei Webanalyse 3 IV 120 f. Kassenbereich – Videoüberwachung am Arbeitsplatz 4 II 9 Kaufobjekt – Daten 3 II 1 Kaufvertrag – Ansprechpartner für Datenschutz 6 II 28 f. – Auskunfts-/Korrektur-/Lösch- und Sperransprüche 6 II 24 f. – Datenschutzklausel 6 II 1 ff. – Datenverwendung 6 II 7 – erforderliche Daten 6 II 13 f. – Muster einer Datenschutzklausel 6 II 2 – Online-Vertrag, TMG-Vorschriften 6 II 5 – Score-Wertberechnung nach Anschriftendaten 6 II 19 f. – Überprüfung der Käuferbonität 6 II 15 ff. Kennzeichnung – Auftragsdatenverarbeitungsvertrag 2 I 63 f. – private/betriebliche Korrespondenz 4 V 89 – Videoüberwachung am Arbeitsplatz 4 II 58 Klarnamenzwang – soziale Netzwerke 7 II 33 ff.
1072
Kleingewerbetreibender – Schufa-Klausel 7 IV 32 KMU – Datenschutzbeauftragter, externer 1 II 1 Kombiklausel – Schufa-Klausel 7 IV 12, 16 Kommission siehe EU-Kommission Kommunikation – Social Media Richtlinie 4 VII 37 Kommunikationsdienste – Nutzung bei BYOD 4 VI 69 ff. Kontakt siehe Ansprechpartner Kontrolle – bei Vernichtung 2 IV 51 – EU-Standardvertragsklauseln, Auftragsdatenverarbeitung 5 III 132 ff. – Herausgabepflicht des Mobilgerätes 4 VI 100 – Vorortkontrolle bei Vernichtung 2 IV 52 Kontrollpflichten – Auftragnehmer 2 I 65; 2 II 43 – Auftragsdatenverarbeitung 6 I 16 – Datenschutzbeauftragter, externer 1 II 32 – Funktionsübertragung 6 I 17 Kontrollrechte – alternative Kontrollmöglichkeiten 2 II 86 ff. – Ankündigung der Kontrollen 2 II 80 – Anrufung des betrieblichen Datenschutzbeauftragten 2 I 115 – Art der Kontrolle 2 II 70 – Auftraggeber, Datenverarbeitungsvertrag 2 I 107 ff. – Auftragsdatenverarbeitung 2 II 68 ff. – Auskunfts- und Einsichtsrecht 2 I 113 – Ausnahmen von der Offenlegungspflicht 2 II 78 – behördliche Kontrollen 2 I 117 – Beschränkung der Tätigkeit 2 II 71 – durchführende Dritte 2 II 84 f. – Gegenstand der Kontrolle 2 II 69 – Geschäftsräume des Auftragnehmers 2 II 72 – Häufigkeit der Kontrollen 2 II 80 – Kontrolle durch Bevollmächtigten 2 I 116 – Kostentragung 2 II 74, 83 – Kunde 6 I 20 ff. – Sozialdaten 2 I 111 – Störung des Betriebsablaufs 2 II 75 – Unterauftragsdatenverarbeitungsverhältnis 2 I 127; 2 II 101
Stichwortverzeichnis – Vorlage von Zertifikaten/Auditberichten 2 I 114 – Zugangs-/Auskunfts-/Einsichtsrechte 2 II 77 – Zugangsrechte 2 I 113 Kontrollstelle – Auskunftsersuchen an Datenexporteur 5 I 61 – Begriff, Standardvertrag I 5 I 36 f. – Begriff, Standardvertrag II 5 II 30 – Datenschutzaudit 5 V 91 – EU-Standardvertragsklauseln, Auftragsdatenverarbeitung 5 III 85 – Hinterlegung von Verträgen 5 III 89 – Pflichten des Datenimporteurs 5 I 72 – Zusammenarbeit 5 I 106 f. – Zusammenarbeit im Rahmen von EUStandardvertragsklauseln 5 III 88 ff. Kontrollvorschriften – Hinweis im Datenverarbeitungsvertrag 2 I 76 Konzern – Anpassung der Musterklauseln 5 V 15 ff. – Auftragsdatenverarbeitung 2 I 7 – datenschutzrechtliche Anforderungen 5 V 1 f. – Datenweitergabe 5 II 25 f. – Dritter/Dritte 4 I 35 f. – EU-Standardvertragsklauseln 2 I 8 – gegenseitige Unterstützung 5 V 115 ff. – Privileg nach BDSG 6 I 1 – Unternehmensregelungen bei Veränderung 5 V 119 ff. – Unternehmensrichtlinien 4 I 25, 35 f. – Unternehmensteile in BCR 5 V 38 – Vertragsparteien bei Datenweitergabe 5 I 28 ff. – Weiterübermittlung der Daten 5 V 80 ff. Konzernbetriebsrat – Mitarbeiterortung 4 III 8 ff., 36 f. Kooperationspflicht des Datenimporteurs 5 II 48 f. Kooperationsvertrag – Vertraulichkeitsvereinbarung 1 IV 1 ff. Kopien – Auftragsdatenverarbeitung 2 I 62; 2 II 46 – Vernichtung 2 IV 48 Kopierverbot – Vernichtung 2 IV 48 Kopplungsverbot – Werbung 7 III 5 Korrespondenz – betriebliche 4 V 76
Kosten – Auskunft, Unternehmensrichtlinie 4 I 136 – Datensicherheitsvorfälle 2 I 103 – Einwilligungserklärung bei sozialen Netzwerken 7 II 69, 85 ff. – Kontrolltätigkeit, Auftragsdatenverarbeitung 2 II 74, 83 – Nutzung des privaten Endgerätes 4 VI 78 ff. – Standardvertrag II 5 II 86 – Vertragsänderungen bei Auftragsdatenverarbeitung 2 II 31 Kreditauskunft – Datenqualität 5 I 80 Kreditinstitute – Scoring 3 I 44 Kreditvermittlungsplattform – Schufa-Klausel 7 IV 10 Kreditvertrag – Kombiklausel, Schufa 7 IV 16 Kreditwürdigkeit – Schufa-Klausel 7 IV 31 ff. Kreditwürdigkeitsinformationen – Auskunfteivertrag 3 I 7 Kunde – Angaben in Unternehmensregelungen, BCR 5 V 29, 40 – Prüfungs-/Kontrollhandlungen 6 I 23 – Weisungsrecht 6 I 6 Kundendaten – Datenschutzbeauftragter, Schulungen 1 II 30 – Weitergabe in sozialen Medien 4 VII 38 Kundenstamm – Schufa-Klausel 7 IV 12, 15 Kündigung – Adresslieferungsrahmenvertrag 3 II 17 – Arbeitgeberkritik in sozialen Medien 4 VII 54 – Auftragsdatenverarbeitungsvertrag 2 I 151 ff.; 2 II 23, 25 – außerordentliche, Datenschutzaudit 1 III 147 – außerordentliche, Unterschreiten der Schwellenwerte 1 II 65 – bei Vernichtung 2 IV 66 f. – Betriebsvereinbarung, Internet- und E-Mail-Nutzung 4 V 115 – Betriebsvereinbarung zur Videoüberwachung 4 II 104 ff. – Datenschutzbeauftragter 1 II 1 – Datenschutzbeauftragter, Arbeitsvertrag siehe auch Datenschutzbeauftragter, Widerruf
1073
Stichwortverzeichnis – Datenschutzbeauftragter, außerordentlicher 1 II 63 – Datenschutzbeauftragter, externer 1 II 61 ff. – dienstliche Nutzung des privaten Endgerätes 4 VI 97 – durch Datenschutzbeauftragten 1 II 64 – Frist bei Betriebsvereinbarung, BYOD 4 VI 105 f. – Grund für die Abberufung des Datenschutzbeauftragten 1 II 64 – Klauseln des Standardvertrags I 5 I 108 f. – Obliegenheitsverletzungen 2 II 39 – Schutz bei Whistleblowing 4 IV 48 – Sonderkündigungsschutz, Datenschutzbeauftragter 1 I 48 – Standardvertrag II 5 II 69 ff. – Teil-/Änderungskündigung, Datenschutzbeauftragter Widerruf 1 I 19 Lageplan – Betriebsvereinbarung zur Videoüberwachung 4 II 70, 72 Lagerhalle – Videoüberwachung 4 II 48 f. Langzeiterkrankung – Urlaub Datenschutzbeauftragter 1 I 36 Laufzeit – Auftragsdatenverarbeitung 2 I 153 – Betriebsvereinbarung, Internet- und E-Mail-Nutzung 4 V 115 – Betriebsvereinbarung zur Mitarbeiterortung 4 III 63 ff. Lead Authority – Bündelung von BCR-Genehmigungsentscheiden 5 IV 2 Leadgenerierung – Adresslieferungsvertrag 3 II 4 – Verbraucherdaten 3 II 12 Lehrerbewertungsplattform – Anmeldung, soziale Netzwerke 7 II 29 Leiharbeiter – Anwendbarkeit der Betriebsvereinbarung, Internet- und E-Mail-Nutzung 4 V 51 f. – Zusatzvereinbarung zur Betriebsvereinbarung, Internet- und E-Mail-Nutzung 4 V 121 Leistungsbeschreibung – Auskunfteivertrag 3 I 3 – Funktionsübertragung 6 I 12 Leistungserbringung – Datenschutzbeauftragter 1 II 19 ff.
1074
Leistungskontrolle – Videoüberwachung 4 II 18, 45 Leistungspflichten – Outsourcingvertrag, Datenschutzklausel 2 III 28 ff. Leistungsübergabe – Auskunfteivertrag, Definition 3 I 31 f. Leitende Angestellte – Anwendbarkeit der Betriebsvereinbarung, Internet- und E-Mail-Nutzung 4 V 51 f. – Betriebsvereinbarung, BYOD 4 VI 17 ff. – Datenschutzbeauftragter, Arbeitsvertrag 1 I 7 – personenbezogene Daten, Weitergabe 1 IV 8 – Zusatzvereinbarung zur Betriebsvereinbarung, Internet- und E-Mail-Nutzung 4 V 121 Lieferanten – Angaben in Unternehmensregelungen, BCR 5 V 40 Life-Ortung 4 III 38 ff., 42 ff. Link – BGH-Rechtsprechung 7 III 30 – Platzierung 7 I 2 – Verantwortungsbereich 7 I 39 LinkedIn – Klarnamenzwang 7 II 36 – Nutzungspflicht sozialer Medien 4 VII 14 Linklaters LLP – Aufzählung der Datenempfänger 5 V 60 – Unternehmensregelungen (BCR) 5 V 9 Listbrokingvertrag – Adresslieferungsvertrag 3 II 5 – Datenbeschaffung 3 II 15 Listenprivileg 6 II 11 – E-Mail-Werbung 3 II 10 Logfiles 7 I 24 – Einwilligungserklärung bei sozialen Netzwerken 7 II 53 ff. – Werbung 7 III 19 Lohnabrechnung – Auftragsdatenverarbeitung 2 I 21 – Spezifizierung des Auftragsgegenstands 2 I 29 Löschregeln – Auskunfteivertrag 3 I 18 Löschung von Daten – Anhang A, Standardvertrag II 5 II 57, 59 – Ankündigung der Löschung 2 I 146 – Anlage zum Standardvertrag I 5 I 87 ff.
Stichwortverzeichnis – Archivierungssystemen 2 I 148 – Aufbewahrung von Nachweisen 2 I 150; 2 II 118 – Auftragsdatenverarbeitung 2 I 141 ff.; 2 II 106 ff. – Beendigung der Auftragsdatenverarbeitung 2 II 111 ff. – Bring Your Own Device (BYOD) 4 VI 11, 32, 51 ff. – Daten zur Mitarbeiterortung 4 III 51 ff. – Drittbegünstigtenklausel 5 V 104 – Funktionsübertragung 6 I 28 f. – Herausgabepflicht des Mobilgerätes 4 VI 100 – Kaufvertrag 6 II 24 f. – Privacy Policy 7 I 43 – Protokollierung 2 I 149; 2 II 117 – Remote-Zugriff 4 VI 53 f. – Schutz der privaten Daten 4 VI 57 – soziale Netzwerke 7 II 76 ff. – Testsysteme 2 I 148 – Unternehmensregelungen (BCR) 5 V 61 ff., 67 – Unternehmensrichtlinien 4 I 72, 138 ff. – Verfügungsbefugnis 4 VI 54 – Vermeidung der Meldepflicht 4 VI 52 – Videoaufzeichnung am Arbeitsplatz 4 II 65 f., 81 ff. – Whistleblowing 4 IV 56 – Zeitraum 5 V 51 Loyalitätspflicht – Whistleblowing 4 IV 26 Marketing – Marktforschung 3 III 1 ff. Marktanalyse-Vertrag – Social Media Monitoring 3 III 7 Marktforschung – Webanalyse; siehe dort Marktforschung 2.0 3 III 3 Marktforschungsvertrag – Muster 3 III 1 ff. – Sozialforschung 3 III 1 Markt-/Meinungsforschungsunternehmen – Datenschutzbeauftragter, Arbeitsvertrag 1 I 1 MD5-Algorithmus – Anonymisierung der IP-Adresse 3 IV 74 Mediaanalyse – Social Media 3 III 13 Mehrlieferung – bei Adressdatenlieferungsverträgen 3 II 19 f.
Mehrparteienverhältnis – Datenübermittlung in Drittländer 5 I 34 ff. – EU-Standardvertragsklauseln 5 II 17, 27 f. – Genehmigung 5 I 34 ff. Meinungsäußerung – Nutzung sozialer Medien 4 VII 53 – Social Media Monitoring 3 III 9 Meinungsumfrage – Datenübermittlung 5 I 47 Meldeberechtigter – Whistleblowing-Richtlinie 4 IV 19 f. Meldeverfahren, Whistleblowing – Ansprechpartner 4 IV 33 ff. – begründeter Verdacht 4 IV 30 – Datenerhebung und -verarbeitung 4 IV 46 f. – Datenweitergabe 4 IV 41 ff. – externes Whistleblowing 4 IV 37 f. – internes Whistleblowing 4 IV 31 f. – offene/direkte Meldung 4 IV 29 – Ombudsmann 4 IV 40 – Ratio 4 IV 28 – Repressalien 4 IV 48 – Schutz des Hinweisgebers 4 IV 44 ff. – Schutz von Mitwirkenden 4 IV 47 – Transparenz 4 IV 40 ff. – Verfahrensablauf nach Meldung 4 IV 39 ff. – Verfahrensregeln 4 IV 31 f. – Verhältnismäßigkeit der Offenlegung 4 IV 46 – Vertraulichkeit/Verschwiegenheit 4 IV 46 f. – Voraussetzungen der Meldung 4 IV 29 ff. Messung – Nutzerverhalten im Internet siehe Webanalyse Minderjährige – Anmeldung, soziale Netzwerke 7 II 25 ff. – gesetzliche Erlaubnis 7 II 28 Minderlieferung – bei Adressdatenlieferungsverträgen 3 II 19 f. Mindestabrechnungsquote – Adressdatenkauf 3 II 45 Mindestvertragslaufzeit – Datenschutzbeauftragter 1 II 61 Missbrauch – Weiterverkauf von Datensätzen, Fakes 3 II 47 Missstand – Aufdeckung 4 IV 21 ff.
1075
Stichwortverzeichnis Mitarbeiterdaten – Due Diligence-Prüfung 1 IV 5 – Rechtfertigung bei Weitergabe 1 IV 6 Mitarbeiterortung siehe auch Betriebsvereinbarung, Mitarbeiterortung – betriebliche Praxis 4 III 1 – personeller Hinsicht 4 III 33 – räumliche Hinsicht 4 III 34 ff. – technische Möglichkeiten 4 III 1 Mitbestimmung – Änderung/Erweiterung der Ortungseinrichtung 4 III 55 f. – Beendigung der Videoüberwachung 4 II 106 ff. – Betriebsvereinbarung, BYOD 4 VI 6 ff. – Betriebsvereinbarung zur Mitarbeiterortung 4 III 2 ff. – Datenroaming im Ausland 4 VI 7 – Social Media Richtlinie 4 VII 5 ff. – Unternehmensrichtlinien 4 I 1 – Videoüberwachung am Arbeitsplatz 4 II 26 ff. – Zusatzvereinbarung zur Betriebsvereinbarung, Internet- und E-Mail-Nutzung 4 V 121 Mitwirkungshandlungen – Auftragsdatenverarbeitung 2 I 42; 2 II 39 f. Mobile Device Management Tools 4 VI 8 ff., 22 Mobilgeräte – Betriebsvereinbarung siehe Betriebsvereinbarung, BYOD Monitoring – Ersatzpflicht, Auskunfteivertrag 3 I 64 Multilateraler Vertrag – Binding Corporate Rules (BCR) 5 IV 4 Muster – Auftragsdatenverarbeitungsvertrag, auftraggeberfreundlich 2 I 15 – Auftragsdatenverarbeitungsvertrag, auftragnehmerfreundlich 2 II 7 – Auskunftspflichten des Datenimporteurs 5 II 37 – Betriebsvereinbarung, BYOD 4 VI 5 – Betriebsvereinbarung zur Internet- und E-Mail-Nutzung 4 V 4 – Betriebsvereinbarung zur Mitarbeiterortung 4 III 26 – Betriebsvereinbarung zur Videoüberwachung 4 II 23 – Datenschutzbeauftragter, Arbeitsvertrag 1 I 1 ff. – Datenschutzklausel bei Kaufvertrag 6 II 2
1076
– Datenschutzklausel zur Funktionsübertragung 6 I 4 – EU-Standardvertragsklauseln, Auftragsdatenverarbeitung 5 III 29 – EU-Standardvertragsklauseln (Standardvertrag I) 5 I 22 – EU-Standardvertragsklauseln (Standardvertrag II) 5 II 19 – Marktforschungsvertrag 3 III 1 ff. – Privacy Policy 7 I 8 – Schufa-Klausel 7 IV 3 – Social Media Monitoring-Vertrag 3 III 1 ff. – Social Media Richtlinie 4 VII 31 – soziale Netzwerke, Datenschutzbestimmung und Einwilligungserklärung 7 II 6 – Unternehmensregelungen (BCR) 5 V 19 – Unternehmensrichtlinie 4 I 7 – Vertrag zur Durchführung von Webanalysen 3 IV 24 – Vertraulichkeitserklärung 1 IV 15 – Vertraulichkeitsvereinbarung 1 IV 1 ff. – Whistleblowing-Richtlinie 4 IV 6 Nachbesserung – Datensicherheitsvorfälle 2 I 103 Nachprüfungsmöglichkeit – automatisierte Einzelentscheidung 4 I 109 Nachweisbarkeit – Double-opt-in-Verfahren 3 II 27 f. Nachweispflicht – Aufbewahrung von Löschnachweisen 2 I 150; 2 II 118 – Umsetzung von technischen/organisatorischen Maßnahmen 2 I 90 – Verpflichtung auf das Datengeheimnis 2 I 80 Nachwirkung – Betriebsvereinbarung, Internet- und E-Mail-Nutzung 4 V 116 Nebenleistungen – Unterauftragsdatenverarbeitungsverhältnis 2 I 122; 2 II 95 Nebentätigkeit – Datenschutzbeauftragter, Arbeitsvertrag 1 I 41 ff. Negativdaten 7 IV 6 ff., 21 Neueinstellung – Befristung, Datenschutzbeauftragter 1 I 47
Stichwortverzeichnis Nichtöffentlich zugänglicher Bereich – Videoüberwachung am Arbeitsplatz 4 II 9, 16 ff. Niederlassung, unselbständig – Datenexporteur 5l 31 – Datenübermittlung in Drittländer 5 I 18 ff. – Datenweitergabe im Konzern 5 II 26 – EU-Standardvertragsklauseln 5 II 17 Non-Disclosure-Agreement – Audit, Vertraulichkeit 1 III 113 Nutzerverhalten – Internet siehe Webanalyse Nutzungsbeschränkungen – Mobilgeräte, BYOD 4 VI 23 ff. Nutzungsdaten – Begriff 7 I 14, 23 – freiwillige Angaben, soziale Netzwerke 7 II 40 ff. – soziale Netzwerke 7 II 10, 49 – Weitergabe 7 I 35 ff.; 7 II 64 ff. Nutzungsprofil – Langzeit-/Momentprofil 7 I 28 – Unternehmensrichtlinie 4 I 93 ff. – Verwendung von Cookies 7 I 28 ff. – Zusammenführung mit Pseudonym 3 IV 19 Nutzungsrechte – Arbeitsergebnis des Datenschutzbeauftragten 1 I 45 – Datenschutzaudit 1 III 87 ff. – übertragbare, bei Webanalyse 3 IV 96 Objektschutz – Videoüberwachung am Arbeitsplatz 4 II 1 ff. Öffentlich zugänglicher Bereich – Videoüberwachung am Arbeitsplatz 4 II 4, 7 ff. Öffentlicher Dienst – Nutzung sozialer Medien 4 VII 17 Offshoring 2 II 94 Oktett – Webanalyse 3 IV 13 Ombudsmann – Meldeverfahren bei Whistleblowing 4 IV 40 Online-Shop – Nutzerprofile 4 I 94 Opt-in – Abgrenzung zu Opt-out 7 III 11 – Anmeldeprozess, soziale Netzwerke 7 II 23 – Einwilligung 7 I 4 – Einwilligung Cookies 7 I 27
Opt-out – Anmeldeprozess, soziale Netzwerke 7 II 23 – Begriffe, Opt-in 7 III 10 – Einwilligung Cookies 7 I 27 – Payback-Entscheidung 3 II 11 – Webanalyse 3 IV 14 – Webanalyse-Verfahren 3 IV 81 Ordnungswidrigkeit – Auftragsdatenverarbeitung 2 I 13 – Datenschutzverstoß, soziale Netzwerke 7 II 4 – Datenübermittlung 5 II 18 – Gefahr bei Auftragnehmerfreundlichkeit 2 II 3 – Zusammenführung pseudonymes Nutzerprofil und Pseudonym 3 IV 18 Organmitglieder – personenbezogene Daten, Weitergabe 1 IV 8 Original – Aufbewahrung der Einwilligung 4 I 57 Ortungseinrichtung – Einführung 4 III 38 ff. – Life-Ortung 4 III 42 ff. – Nutzung 4 III 41 ff. Outsourcingvertrag – allgemeine Audit-Klausel 2 III 48 – Auftragsdatenverarbeitung 2 III 6 – Datenberichtigung, -sperrung, -löschung 2 III 42 – Datenschutz vor anderen Bestimmungen 2 III 12 – Datenschutzklausel 2 III 1 ff., 16 ff. – Mitwirkungspflicht an Aufsichtskontrollen 2 III 47 f. – Pflichten bei Beendigung des Auftrages 2 III 49 ff. – Schriftform 2 III 52 f. – Subunternehmer 2 III 46 – Vergütung 2 III 37 – Zugriffsschranken 2 III 38 Paketdienstleister – Datenübermittlung beim Kaufvertrag 6 II 22 f. Parkplatz – Videoüberwachung 4 II 48 f. Passwort – Betriebsvereinbarung, BYOD 4 VI 35 – Datenschutz bei Whistleblowing 4 IV 65 – Privacy Policy 7 I 23 Patches – Mobilgeräte, BYOD 4 VI 27
1077
Stichwortverzeichnis Pauschalierung – Kostenerstattung bei BYOD 4 VI 81 f. Payback-Entscheidung – BGH-Rechtsprechung 3 II 11 Permission Marketing – Adressankauf bei Einwilligung in Datenverarbeitung 3 II 3 Personalakte – Kenntnisnahme der WhistleblowingRichtlinie 4 IV 75 Personalraum – Videoüberwachung am Arbeitsplatz 4 II 9 Personenbezug – IP-Adresse 3 IV 73 ff. Personenkreis – Unternehmensregelungen (BCR) 5 V 23, 40 – Whistleblowing-Richtlinie 4 IV 11 ff. Personenschutz – Drittstaaten-Datenverarbeitung 5 III 45 – Videoüberwachung am Arbeitsplatz 4 II 1 ff. Personenverwechslungen – Auskunfteivertrag 3 I 41 Persönlichkeitsmerkmale – Bewertung, BCR 5 V 74 Persönlichkeitsprofile – gesetzliche Vorgaben 1 II 22 Persönlichkeitsrecht – Meldepflicht, Whistleblowing-Richtlinie 4 IV 26 – Schutz bei Mitarbeiterortung 4 III 25 Pflichtenkreis – Festlegung bei Vernichtung 2 IV 44 Pflichtverletzungen – außerordentliche Kündigung 2 I 155 – betrieblicher Internet-Account 4 V 110 – Mitarbeiterortung 4 III 47 – Wideruf, Privatnutzung betrieblicher Accounts 4 V 62 Positivdaten 7 IV 6 ff. Präambel – Betriebsvereinbarung, BYOD 4 VI 14 ff. – Betriebsvereinbarung, Internet- und E-Mail-Nutzung 4 V 46 f. – Betriebsvereinbarung zur Videoüberwachung 4 II 25, 32 ff. Praktikant – Anwendbarkeit der Betriebsvereinbarung, Internet- und E-Mail-Nutzung 4 V 51 f.
1078
Pre-Audit – Datenschutzaudit 1 III 17 Privacy by Design 4 I 70 Privacy Policy – Änderungen 7 I 40 f. – Anonymisierung 7 I 16 ff. – Cookies 7 I 21, 22 ff. – Datenschutz 7 I 38 f. – Datensicherheit 7 I 32 ff. – Einleitung 7 I 9 – Einwilligung 7 I 2 ff. – Entwicklung von Online-Angeboten 7 I 21 – Erheben personenbezogener Daten 7 I 12 ff. – Erhebung/Verwendung von Nutzungsdaten 7 I 23 – europarechtliche/internationale Aspekte 7 I 5 f. – Informationen über den Computer 7 I 22 ff. – Informationspflichten 7 I 2 – Kontakt 7 I 42 f. – Logfiles 7 I 24 – Musterklausel 7 I 8 – Personenbezug 7 I 16 ff. – Pseudonymisierung 7 I 16 ff. – Rechte 7 I 42 f. – Sanktionen 7 I 7 – Targeting 7 I 22 ff. – technische/organisatorische Maßnahmen 7 I 34 – Verstoß des Diensteanbieters 7 I 7 – Verwendungszweck 7 I 19 ff. – Websites Dritter 7 I 38 f. – Weitergabe der personenbezogenen Daten 7 I 35 ff. – Werbung 7 I 21 – Zahlungsdaten 7 I 21 – Zweckbindungsgrundsatz 7 I 20 Private Daten – Schutz bei Löschung der Dienstdaten 4 VI 57 – Trennung von dienstlichen Daten 4 VI 44 Privatnutzung betrieblicher Accounts – Abgrenzung private/betriebliche Korrespondenz 4 V 88 ff. – abwesende Mitarbeiter 4 V 36 – Arbeitgeber als Diensteanbieter 4 V 6, 14 ff. – Ausscheiden des Mitarbeiters 4 V 68 ff. – Betriebsvereinbarung 4 V 9 ff. – Chat-Funktionalität 4 V 58
Stichwortverzeichnis – Datenschutzvorschriften des TKG 4 V 18 f. – Definition des E-Mail-/Internet-Accounts 4 V 50 – Einschränkung 4 V 12 f. – E-Mail-/Internetnutzung 4 V 23 – Fernmeldegeheimnis 4 V 7, 20 ff. – Fernmeldegeheimnis/Datenschutz Dritter 4 V 139 ff. – Folgen der Anwendbarkeit des TKG 4 V 17 ff. – Haftung 4 V 65 – Löschungsmöglichkeit 4 V 37 – Missbrauchskontrolle 4 V 91, 103 ff. – Rechtfertigung von Eingriffen 4 V 38 ff. – Regierungsentwurf zum Beschäftigtendatenschutz 4 V 142 – Risiken nicht ausreichender Regelung 4 V 6 ff. – sicherheitsrelevante Bereiche 4 V 61 – typische Varianten der Gestattung 4 V 12 f. – unternehmerische Interessen 4 V 123 – webbasierte Dienste 4 V 58 f. – Widerruf 4 V 62 – zulässiger Umfang 4 V 66 f. – Zusatzvereinbarung 4 V 9 ff. Privatordner – betrieblicher E-Mail-Account 4 V 85 – Hinweispflicht des Arbeitgebers 4 V 122 – Zugriff des Arbeitgebers 4 V 92 ff. Privatsphäreneinstellung bei sozialen Netzwerken 7 II 47, 50 ff. Probezeit – Datenschutzbeauftragter 1 I 9 Processor Binding Corporate Rules 5 V 18 Produktaudit 1 III 5 Produktentwicklung 3 III 2 Produkttest – Entwicklungsphase 3 III 2 Profilseite – Einwilligung zur Einsehbarkeit 7 II 44 ff. Programminstallation – Herausgabepflicht des Mobilgerätes 4 VI 100 Protokollierung – Datenschutz bei Whistleblowing 4 IV 65 – Einwilligung, online 6 II 9 – Telefonwerbung 3 II 47 – Webanalyse 3 IV 45 ff. – Zugriff/Auswertung bei Videoüberwachung 4 II 87 ff.
Protokollpflicht – Werbe-Einwilligungserklärung, OnlineVerwendung 7 III 17, 19 Prüfbericht – Abnahme, Vertragsende Datenschutzaudit 1 III 146 Prüfkonzept – Abstimmung mit Datenschutzbeauftragtem 1 II 32 Prüfungsrecht – betrieblicher Internet-Account 4 V 109 – Datenexporteur 5 II 51 – Durchgriffsprüfung 6 I 25 Pseudonymisierung – Daten, Unternehmensrichtlinien 4 I 73 f. – Nutzerprofile 4 I 97 – Privacy Policy 7 I 18 – soziale Netzwerke 7 II 33 ff. – Webanalyse 3 IV 16 ff. Publikumsverkehr – Videoüberwachung am Arbeitsplatz 4 II 8 Rahmenvertrag – EU-Standardvertragsklauseln 5 IV 1 ff. Rahmenvertrag für EU-Standardvertragsklauseln – anwendbares Datenschutzrecht 5 IV 17 – anwendbares Recht, Gerichtsstand 5 IV 69 ff. – Anwendungsbereich 5 IV 6 – Außerkrafttreten von Altverträgen 5 IV 63 – Begriffe/Definitionen 5 IV 6, 16 – Beitritt 5 IV 64 – Datenübermittlung gemäß Matrix 5 IV 34 – Datenverarbeitung 5 IV 29 – Datenverarbeitungspraxis 5 IV 47 – Drittstaat 5 IV 24 – Einbeziehung mehrerer EU-Standardvertragsklauselwerke 5 IV 44 – EU-Datenschutzinstrumente 5 IV 25 – genauere Angaben 5 IV 46 – Genehmigungsfreiheit 5 IV 9, 40 – mehrere Ausfertigungen 5 IV 61 – multilateraler Vertrag mit EU-Standardvertragsklauseln 5 IV 4 – Parteien 5 IV 12 – personenbezogene Daten 5 IV 27 – persönlicher Anwendungsbereich 5 IV 18 ff.
1079
Stichwortverzeichnis – Rangfolge der Parteivereinbarung 5 IV 37 ff. – Ratio 5 IV 11 – Rechte Dritter 5 IV 53 ff. – Regelungssystematik des Rahmenvertrags 5 IV 43 – relevante Datenübermittlung 5 IV 28 – Spezifizierung der Klauseln 5 IV 45 – technische und organisatorische Sicherheitsmaßnahmen 5 IV 51 – unternehmensspezifische Datenschutzregelungen 5 IV 36 – Vertragsbeitritt 5 IV 65 ff. – Vertragsschluss, Inkrafttreten 5 IV 59 ff. – Verwenderkreis 5 IV 5 – Vorrangregelungen 5 IV 31 – Weiterübermittlung 5 IV 52 – Whitelist-Staat 5 IV 30 – Widerspruchsregelung 5 IV 39 – Zielsetzung 5 IV 13 – Zusammenarbeit mit Aufsichtsbehörden 5 IV 6, 56 ff. Reaktionszeit – Datensicherheitsvorfälle 2 I 100 Rechenzentrum – Kontrolle, Auftragsdatenverarbeitung 2 II 72 Rechtsanwalt – Berufsgeheimnis, Datenschutzbeauftragter 1 II 49 – Datenschutzaudit 1 III 10 Rechtsbehelf – Datenschutzverstoß, BCR 5 V 106 ff. – Standardvertrag I 5 I 105 Rechtsprechung – Datenschutzbeauftragter, externer 1 II 24 – Vertragsstrafe bei Adresslieferung 3 II 39 Rechtsverbindlichkeit – Zusatzvereinbarung zur Betriebsvereinbarung, Internet- und E-Mail-Nutzung 4 V 122 Rechtsverstoß – Nutzung sozialer Medien 4 VII 55 ff. Rechtswahl – Schlussbestimmungen zu BCR 5 V 132 Redaktionelle Änderungen – EU-Standardvertragsklauseln 5 I 19 ff.; 5 II 17 f. Regellöschfrist – Auskunfteivertrag 3 I 34 Regierungsentwurf – Beschäftigtendatenschutz 4 V 142
1080
Reinigungsdienstleistungen – Hilfsleistungen 2 I 22 Remonstration – datenschutzwidrige Weisungen 2 II 33 – unzulässige Weisungen 2 I 50 Remote-Zugriff, BYOD 4 VI 11, 32, 52, 66 Rente – Datenschutzbeauftragter, Widerruf 1 I 56 Reporting – Social Media Monitoring-Vertrag 3 III 7, 28 ff. Repressalien – Schutz bei Whistleblowing 4 IV 48 Re-Spawning – Wiederherstellung von gelöschten Cookies 3 IV 77 Revision – Datenschutzbeauftragter im Nebenamt 1 I 12 – Kontrolle bei Auftragsdatenverarbeitung 2 I 116 Rezertifizierung – Audit 1 III 102 ff. Risikoprofile 5 V 72 Robinsonliste – Verbraucherkontaktdaten 3 II 40 Root-Cause-Analyse 2 I 102 Rückgabeverpflichtung – Verschwiegenheitsverpflichtung 1 IV 20 Rücksichtnahmepflicht – Datenschutzbeauftragter 1 II 34 Rücktritt – Adresslieferungsrahmenvertrag 3 II 17 – Datenexporteur 5 I 64 f. Rufschädigung – Datenpannen 1 II 32 – Nutzung sozialer Medien 4 VII 49 ff. Sachbeschädigung – Betriebsvereinbarung zur Videoüberwachung 4 II 24 ff. – Videoüberwachung am Arbeitsplatz 4 II 33 Sachgrund – Befristung 1 I Sachverständiger – Kontrolltätigkeit, Auftragsdatenverarbeitung 2 I 116; 2 II 84 f. Safe Harbor – Datenübermittlung in Drittländer 5I5 – Datenübertragung in die USA 5 V 12
Stichwortverzeichnis Salvatorische Klausel – Auftragsdatenverarbeitungsvertrag 2 I 165; 2 II 122 – Betriebsvereinbarung, BYOD 4 VI 103 f. – Datenschutzaudit, Vertrag 1 III 152 – Datenschutzbeauftragter, Arbeitsvertrag 1 I 71 f. – Vollständigkeit 1 II 67 Sanitärraum – Videoüberwachung 4 II 48 f. Sanktionen – Whistleblowing 4 IV 48 Schadensersatz – Adressdatenkauf 3 II 56 – Bestellung, Datenschutzbeauftragter 1 II 8 – Beweislast bei Auftragsdatenverarbeitung 2 I 160 – Datenimporteur 5 III 66 – Datenübermittlung in Drittländer 5 II 62 – Drittschutz, Standardvertrag I 5 I 100 – EU-Standardvertragsklauseln, Auftragsdatenverarbeitung 5 III 76 ff. – Obliegenheitsverletzungen 2 II 39 – Unternehmensregelungen (BCR) 5 V 106, 109 – Verstoß bei Internet-Angebot 7 I 7 Schadsoftware – Social Media Monitoring-Vertrag 3 III 51 Schichtenmodell – Abgrenzung BDSG/TMG 6 II 5 Schiedsverfahren – Standardvertrag I 5 I 103 ff. – Unternehmensregelungen, BCR 5 V 127 Schleswig-Holstein – Datenschutzaudit 1 III 7 – Zertifizierung/Beratung 1 III 45 Schlichtungsverfahren – EU-Standardvertragsklauseln, Auftragsdatenverarbeitung 5 III 82 ff. – Standardvertrag I 5 I 103 ff. – Standardvertrag II 5 II 68 – Unternehmensregelungen, BCR 5 V 127 Schlussbestimmungen – Betriebsvereinbarung, Internet- und E-Mail-Nutzung 4 V 112 ff. – Betriebsvereinbarung zur Videoüberwachung 4 II 104 ff. – Datenschutzaudit, Vertrag 1 III 148 ff. – Social Media Monitoring-Vertrag 3 III 53 f.
– Unternehmensregelungen, BCR 5 V 130 ff. Schlussformel – Betriebsvereinbarung, Internet- und E-Mail-Nutzung 4 V 117 f. Schnittstellen – Betriebsvereinbarung zur Videoüberwachung 4 II 75 f. – Social Media Monitoring-Vertrag 3 III 27 Schriftform – Auftragsdatenverarbeitung 2 I 12, 162 ff.; 2 II 122; 2 III 9 – Auskunftserteilung, Unternehmensrichtlinie 4 I 131 – Bestellung, Datenschutzbeauftragter 1 II 9 – Bestellungsurkunde 1 I 93 – Betriebsvereinbarung, Internet- und E-Mail-Nutzung 4 V 117 f. – Datenschutzaudit 1 III 149 – Datenschutzbeauftragter, Arbeitsvertrag 1 I 68 ff. – Datenschutzbeauftragter, Vertrag, Vollständigkeit 1 II 67 – Einwilligung 6 II 8 f. – Einwilligung, Unternehmensrichtlinie 4 I 56 – Kündigung bei Webanalyse 3 IV 129 – Schufa-Klausel 7 IV 5 – Vertraulichkeitsvereinbarung 1 IV 24 Schufa – Auskunfteivertrag 3 I 16 Schufa-Klausel – Anschrift der Schufa 7 IV 11 – Ansprechpartner 7 IV 37 f. – Aufbau 7 IV 4 ff. – Bankgeheimnis 7 IV 24 ff. – berechtigtes Interesse 7 IV 34 ff. – Blankoklausel 7 IV 10 – Datenübermittlung ohne Einwilligung 7 IV 19 ff. – Datenverarbeitung 7 IV 28 ff. – Einwilligung 7 IV 1 ff., 7 f. – Entwicklung 7 IV 2 – Geschäftsbezug 7 IV 12 – Informationspflicht 7 IV 27 ff. – Inhalt 7 IV 4 ff. – Institutsklausel 7 IV 12 ff. – integrierte Klausel 7 IV 12, 17 – Interessenabwägung 7 IV 22 f. – Kombiklausel 7 IV 12, 16 – Kundenstammklausel 7 IV 12, 15 – Musterklausel 7 IV 3 – natürliche/juristische Personen 7 IV 32
1081
Stichwortverzeichnis – Positiv-/Negativdaten 7 IV 6 ff. – Schriftform 7 IV 5 – Selbstauskunft 7 IV 37 f. – Unternehmensbezeichnung 7 IV 10 ff. – Weitergabe von Kundendaten 7 IV 9 f. – Zweckbindungsgrundsatz 7 IV 30 ff. Schulungskonzept siehe auch Datenschutzschulungen – Drittbegünstigtenklausel 5 V 104 – Nachweis des Unternehmens 5 V 86 – Unternehmensregelungen (BCR) 5 V 17, 85 f. – Whistleblowing-Richtlinie 4 IV 74 Schutzniveau – Datenübermittlung, Drittländer 5 III 5 ff. – Unterauftragsvergabe 5 III 62 Schweigepflicht – Datenschutzaudit 1 III 115 Scope – Audit 1 III 20 Score-Verfahren 3 I 43 ff.; 5 V 72 – anhand von Anschriftendaten 6 II 19 – Schufa-Klausel 7 IV 29 Selbständiger – Schufa-Klausel 7 IV 32 Selbstauskunft 7 IV 37 f. Selbstverpflichtung – Sicherheitskonzept 5 V 77 ff. Sensible Daten – Anlage zum Standardvertrag I 5 I 49 – Outsourcing, Datensicherheit 2 III 40 Servicearbeiten – Videoüberwachungssystem 4 II 96 ff. Service-Level-Agreement – Social Media Monitoring-Vertrag 3 III 44 Sexualleben – Übermittlung sensibler Daten 5 I 49 Sicherheit siehe Datensicherheit Sicherheitsstufe – Entsorgung 2 IV 26 Sicherheitsvorkehrungen – Betriebsvereinbarung, BYOD 4 VI 30 ff. – Bring Your Own Device (BYOD) 4 VI 4, 8 ff. – Datenschutz bei sozialen Netzwerken 7 II 71 ff. – Geheimhaltung bei Datenverarbeitung 2 II 76 Sicherungskopie – Betriebsvereinbarung zur Videoüberwachung 4 II 86
1082
Sicherungsübereignung – Datenträger bei Auftragsdatenverarbeitung 2 I 64 Siegel/Zertifikat – Gültigkeitszeitraum 1 III 96 SIM-Karte – Fernmeldegeheimnis, BYOD 4 VI 49 Smart Metering – Datenschutz 3 III 15 Smartphone siehe Betriebsvereinbarung, BYOD Social Media – Datenschutz 3 III 5 Social Media Crawler – Social Media Monitoring 3 III 9 Social Media Monitoring – Begriff 3 III 8 Social Media Monitoring-Vertrag – Anonymisierung 3 III 30 – Ansprechpartner 3 III 27 – Aufsichtsbehörden 3 III 15 – Auswertung sozialer Netzwerke 3 III 1 ff. – Datenschutz 3 III 14 ff., 47 ff. – Eigentumsrechte 3 III 7, 35 ff. – Freistellungsverpflichtung des Kunden 3 III 37 – Gegenstand 3 III 8 – Gewährleistung, Verwertbarkeit der Ergebnisse 3 III 43 f. – Haftung 3 III 45 f. – höhere Gewalt 3 III 51 f. – Laufzeit 3 III 31 f. – Mitwirkungshandlung 3 III 27 – Muster 3 III 7 – öffentlich zugängliche Quellen 3 III 22 – Rechte an den Ergebnissen 3 III 38 ff. – Rechtsnatur 3 III 10 – Reporting 3 III 28 ff. – Schlussbestimmungen 3 III 53 f. – SLA-Ergänzung 3 III 44 – Vergütung 3 III 33 f. – Vertraulichkeit/Verschwiegenheit 3 III 41 f. Social Media Richtlinie – Ansprechpartner 4 VII 58 ff. – Einführung 4 VII 3 ff. – Erklärungen im eigenen Namen 4 VII 35 ff. – Erläuterungen 4 VII 32 ff. – Grenzen der Regelungsbefugnis 4 VII 10 ff. – Hilfestellung für Arbeitnehmer 4 VII 2
Stichwortverzeichnis – Konsequenz von Rechtsverstößen 4 VII 55 ff. – Muster 4 VII 31 – offizielle Kommunikation 4 VII 37 – Pflicht zu rechtstreuem Verhalten 4 VII 55 ff. – Praxis 4 VII 1 ff. – rechtlicher Rahmen 4 VII 3 ff. – Trennung Privates/Dienstliches 4 VII 41 ff. – unternehmensschädigende Äußerungen 4 VII 49 ff. – verantwortungsvolles Handeln 4 VII 33 f. – vertrauliche Informationen 4 VII 45 ff. – zulässige/unzulässige Kritik 4 VII 50 ff. Soziales Web – Marktforschung 2.0 3 III 3 – Social Media Monitoring 3 III 4 Sonderkündigungsschutz – Datenschutzbeauftragter, Arbeitsvertrag 1 I 51 ff., 57 ff. – Datenschutzbeauftragter, Widerruf 1 I 100 Sorgfaltspflicht – Auswahl Datenschutzbeauftragter 1 II 8 – Haftung nach BCR 5 V 112 Sozialdaten – Auftragsdatenverarbeitung 2 I 5 – Vor-Ort-Kontrolle 2 I 111 Soziale Medien – allgemein zugängliche Daten 4 VII 24 ff. – Angestellte im öffentlichen Dienst 4 VII 17 – dienstliche Nutzung 4 VII 52 – Herausgabe des Benutzerkontos 4 VII 19 – Klarnamenzwang bei Facebook 7 II 35 – Meinungsäußerungsfreiheit 4 VII 53 – Nutzung betrieblicher Ressourcen 4 VII 8, 43 – Nutzung während der Arbeitszeit 4 VII 42 – Nutzungskontrolle 4 VII 20 ff. – Pflicht zur Nutzung 4 VII 12 – private Nutzung des Arbeitnehmers 4 VII 17 – Verbot der Nutzung 4 VII 11 – Vorgaben für die Nutzung 4 VII 16 ff. – Weitergabe personenbezogener Daten 4 VII 38
Soziale Netzwerke – Bedeutung der Datenschutzerklärung 7 II 4 – Beispiele 7 II 1 f. – Business Netzwerke 7 II 36 – Datenschutzbestimmungen 7 II 1 ff. – eigenständiger Telemediendienst 7 II 39 – Einleitung bei studiVZ 7 II 15 – Einwilligungserklärungen 7 II 1 ff. – Erhebung personenbezogener Daten 7 II 9 – Nutzungsvertrag 7 II 13 – pseudonymes Nutzungsprofil 3 IV 19 – Social Media Monitoring 3 III 8 – Telemedien-/Telekommunikationsdienst 7 II 8 – Zugänglichkeit der Daten 3 III 22 f. Soziale Netzwerke, Einwilligungserklärung – Aktualisierungen 7 II 51 – Allgemeine Geschäftsbedingungen 7 II 11 – alternative Lösungsansätze 7 II 29 – Änderung der Bestimmungen 7 II 74 f. – Anforderungen an Datenschutzhinweise 7 II 17 ff. – Anmeldeprozess 7 II 23 – Antivirus-Programm 7 II 71 ff. – Auskunftsrechte 7 II 76 ff. – Auftragsdatenverarbeitung 7 II 67, 70 – Berichtigungs-/Löschungs-/Sperrungsrechte 7 II 76 ff. – Bestimmtheit der Überschrift 7 II 16 – bewusste Einwilligung 7 II 24 – Cookies 7 II 57 ff. – Datenschutzbeauftragter 7 II 81 ff. – Datenschutzbestimmungen 7 II 14 ff. – Dritt-Dienste/-Applikationen 7 II 87 ff. – Einleitung 7 II 14 ff. – Einsehbarkeit der Profilseite 7 II 44 ff. – Einwilligungs-/Einsichtsfähigkeit 7 II 27 – Erlaubnistatbestände, BDSG 7 II 45 f. – Firewall 7 II 71 ff. – freiwillige Nutzerangaben 7 II 40 ff. – Freiwilligkeit 7 II 21 – gesetzliche Erlaubnis bei Minderjährigen 7 II 28 – Hervorhebung, Fettdruck 7 II 22 – Hinweispflichten 7 II 43 – Information über Freiwilligkeit von Angaben 7 II 43 – Informationspflichten 7 II 17 ff.
1083
Stichwortverzeichnis – Inhalte/Kommentare des Nutzers 7 II 48 ff. – Kontakt 7 II 81 ff. – kostenpflichtige Dienste 7 II 69, 85 ff. – Logfiles 7 II 53 ff. – Mindestalter 7 II 25 ff. – Muster 7 II 6 – Namensangaben 7 II 33 ff. – Opt-in vs. Opt-out 7 II 23 – Ort der Datenverarbeitung 7 II 18 – personalisierte Werbung 7 II 89 – Pflichtangaben des Nutzers 7 II 32 – Privatsphäreneinstellung 7 II 47, 50 ff. – Schutz der Daten 7 II 71 ff. – Speicherung der IP-Adresse 7 II 53 ff. – Textbezeichnung 7 II 16 – Transparenzgebot 7 II 20 – Übermittlung der Daten 7 II 64 ff. – Überschaubarkeit 7 II 50 – Unterrichtung über Datenerhebung/ -verwendung 7 II 17 ff. – verantwortliche Stelle 7 II 81 ff. – vorformulierte Einwilligungserklärung 7 II 17 ff. – Weisungsrecht des Arbeitgebers 7 II 21 – Weitergabe der Daten 7 II 64 ff. – Widerruf 7 II 76 ff. – zusätzliche Klauseltexte 7 II 85 ff. Speicherung – Begrenzung bei Videoüberwachung 4 II 77 ff. – Begriff 4 I 21 – Betriebsvereinbarung, BYOD 4 VI 39 ff. – Cookies 7 I 26 – Dauer bei Videoüberwachung 4 II 81 ff. – Dauer bei Whistleblowing 4 IV 66 – Einwilligung, E-Privacy-Richtlinie 7 II 60 ff. – Fernmeldegeheimnis bei E-Mail-Account 4 V 32 ff. – Herausgabepflicht des Mobilgerätes 4 VI 100 – IP-Adresse 7 I 24 – Mitarbeiterortung 4 III 51 ff. – Nutzungsdaten 7 I 23 – Unternehmensregelungen (BCR) 5 V 59 – Unternehmensrichtlinien 4 I 21 – Videoüberwachung am Arbeitsplatz 4 II 52 Sperrung von Daten – Anlage zum Standardvertrag I 5 I 89
1084
– Betroffenenrechte bei Auftragsdatenverarbeitung 2 II 106 ff. – Kaufvertrag 6 II 24 f. – soziale Netzwerke 7 II 76 ff. – Unternehmensregelungen (BCR) 5 V 61 ff., 68 – Unternehmensrichtlinien 4 I 138 ff. Spezifizierung – Datenarten bei Auftragsdatenverarbeitung 2 I 34 Standalone-PC – Privatnutzung 4 V 61 Standardvertrag I – Anlage 1 5 I 40 ff. – Anlage 2 5 I 75 ff. – Anlage 3 5 I 96 ff. – anwendbares Recht 5 I 110 f. – Aufbau 5 I 23 f. – Auftragsverarbeiter 5 I 36 f. – Ausgleichsklausel 5 I 102 – Bezeichnung der Vertragsparteien 5 I 25 ff. – Datenexporteur 5 I 56 ff. – Datenimporteur 5 I 62 ff. – Datenübermittlung in Drittländer 5 II 8 – Drittbegünstigtenklausel 5 I 52 ff. – ergänzende Informationen 5 I 41 ff. – Haftung 5 I 99 ff. – Haupt-/Rahmenvertrag 5 I 34 – Inhalt 5 I 23 f. – Kontrollstelle 5 I 36 f., 106 f. – Kündigung der Klauseln 5 I 108 f. – Mehrparteienverhältnis 5 I 28, 34 ff. – personenbezogene Daten 5 I 36 f. – Rechtsbehelf 5 I 105 – Schlichtungs-/Schiedsverfahren 5 I 103 ff. – Übermittlung 5 I 38 f. – Unterschrift 5 I 112, 114 – Verarbeitung 5 I 36 f. – Verhältnis zu Standardvertrag II 5 II 10, 14, 16 – Vertragsänderungen 5 I 112 ff. – Vertragsgestaltung bei Datenverarbeitung 5 I 66 ff. – Vertragsmuster 5 I 22 Standardvertrag II – Änderung der Klauseln 5 II 72 f. – Anfragen der Aufsichtsbehörde 5 II 37 f. – Anhang A 5 II 42 ff., 57 ff. – Anhang B 5 II 74, 77 ff. – Anpassung 5 II 11 ff. – anwendbares Recht 5 II 52 ff., 65 f. – Arbeitnehmerdaten 5 II 11
Stichwortverzeichnis – – – –
Aufbau 5 II 20 f. Begriffsbestimmungen 5 II 29 ff. Beilegung von Streitigkeiten 5 II 67 f. Beschreibung der Übermittlung 5 II 74 ff. – Bezeichnung der Vertragsparteien 5 II 22 ff. – Drittbegünstigtenklausel 5 II 63 f. – Einschränkung des Auskunftsrechts 5 II 11, 13 – Erweiterung der Eingriffsbefugnisse 5 II 15 – Garantieerklärung 5 II 12 – Gerichtsstand 5 II 63 – Gerichtsstandsvereinbarung 5 II 85 – Haftung 5 II 11 ff., 60 ff. – Inhalt 5 II 20 f. – Kostenteilung 5 II 86 – Kündigung 5 II 69 ff. – mehrere Datenexporteure 5 II 66 – Mehrparteienverhältnis 5 II 27 f. – Pflichten des Datenexporteurs 5 II 33 ff. – Pflichten des Datenimporteurs 5 II 42 ff. – Präambel 5 II 22 – Rechtsberatung 5 II 36 – Streitbeilegung 5 II 85 – veranschaulichende Geschäftsklauseln 5 II 82 ff. – Verhältnis zu Standardvertrag I 5 II 10, 14, 16 – Vertragsaussetzung 5 II 70 – Vertragsbeendigung 5 II 69 ff. – Vertragsmuster 5 II 19 – Vertragsstrafe 5 II 61 – vertrauliche Angaben 5 II 41, 75 – Vorlagepflicht 5 II 75 – wechselseitige Entschädigung 5 II 82 ff. – Weiterübermittlung der Daten 5 II 56 – zusätzliche Beendigungsklausel 5 II 87 Standort – Geltungsbereich der BCR 5 V 39 Stellungnahme – Verdächtiger bei Whistleblowing 4 IV 55 Stichprobenverfahren – Auskunfteivertrag, automatisiertes Verfahren 3 I 26 Stimmungen – Social Media Monitoring 3 III 4 Störerhaftung – Privatnutzung betrieblicher Accounts 4 V 97
Stornierung – Adresslieferungsrahmenvertrag 3 II 16 f. Strafvorschriften – Auftragsdatenverarbeitung 2 II 51 – Datenweitergabe 7 I 36 – heimliche Videoüberwachung 4 II 57 – Hinweis im Datenverarbeitungsvertrag 2 I 76 – Kontrolle der Social Media-Nutzung 4 VII 22 – Mitarbeiterortung 4 III 47 – verdeckte Videoüberwachung 4 II 15 ff. – Verletzung von Datengeheimnissen 4 VII 47 – Verschwiegenheitsverpflichtung 1 IV 3 – Whistleblowing 4 IV 23 Streckenverfolgung – Mitarbeiterortung 4 III 38 ff. StudiVZ – Informationstext 7 II 15 Subunternehmer – Adresslieferungsrahmenvertrag 3 II 21 ff. – Verschwiegenheitspflicht 1 II 47 Support – Betriebsvereinbarung, BYOD 4 VI 61 Systembeschreibung – Betriebsvereinbarung zur Videoüberwachung 4 II 70 ff. Tablet PC siehe Betriebsvereinbarung, BYOD Target of Evaluation – Zertifizierung, Audit 1 III 20 Tätigkeitsbericht – Datenschutzbeauftragter 1 II 24, 29 Tätigkeitsfeld – Angaben in Unternehmensregelungen, BCR 5 V 40 Täuschung, arglistige – Double-opt-in-Verfahren 3 II 29 Tausenderkontaktpreis – Adresslieferungsrahmenvertrag 3 II 12 ff. Technische/organisatorische Maßnahmen – Änderung und Fortschreibung der Maßnahmen 2 I 86 ff.; 2 II 57 f. – Auflistung der Einzelmaßnahmen 2 II 55 – Auftragsdatenverarbeitung 2 I 81 ff.; 2 II 52 ff. – Begriff 2 I 91
1085
Stichwortverzeichnis – Cloud Computing 2 I 86 – Datenimporteur 5 II 44 – Datenschutz-/Datensicherheitskonzept 2 I 92 – Datensicherheit bei Auftragsdatenverarbeitung 2 III 38 – Einzelweisungen 2 II 55 – Erforderlichkeitsprinzip 2 I 85 – Kontrollpflicht des Auftraggebers 2 II 69 – Kontrollrechte des Auftraggebers 2 I 107 – Nachweispflicht 2 I 90 – Ordnungsmäßigkeit und Dokumentation 2 I 91 – Privacy Policy 7 I 34 – sicherheitsrelevante Entscheidungen 2 I 89 – Spezifizierung 2 II 54 – Weiterentwicklung von Sicherheitsmaßnahmen 2 II 57 f. Teilkündigung – Datenschutzbeauftragter, Widerruf 1 I 19 Teilzeit – Datenschutzbeauftragter, Arbeitsvertrag 1 I 47 ff. Telekom Gruppe – Unternehmensregelungen (BCR) 5 V 8 Telekommunikationsdienste – Datenübermittlung in Drittländer 5 V 12 – geschäftsmäßig 4 V 15 – Informationspflichten, Auftragsdatenverarbeitung 2 II 63 Telekommunikationsgesetz, TKG – Datenschutz bei Mitarbeiterortung 4 III 12 ff. Telemedien – bedarfsgerechte Gestaltung siehe Webanalyse Telemediengesetz, TMG – Abgrenzung zum BDSG 6 II 5 – anonyme/pseudonyme Nutzung 7 II 34 – Datenschutz bei Mitarbeiterortung 4 III 16 – Re-Spawning 3 IV 78 Test- und Freigabeverfahren – technische/organisatorische Maßnahmen 2 I 91 Tick-Boxen – Werbung 7 III 11, 18 Tivi, ZDF-Anmeldung 7 II 29
1086
Tracking 7 I 28 ff. – Quelltext der Auftraggeberseite 3 IV 30 ff. – Unterbindung 3 IV 6 – Werbung 7 III 19 Tracking-Pixel – Webanalyseanbieter 3 IV 32 Transparenz – Adresskauf 3 II 33 – Anhang A, Standardvertrag II 5 II 57 ff. – Auskunfteivertrag 3 I 17 – Begriffsbestimmungen in BCR 5 V 31 – Benachrichtigungsrechte 5 V 70 – Cookies 7 I 25 ff. – Datenübermittlung 5 I 82 ff. – Drittbegünstigtenklausel 5 V 104 – Einwilligungserklärung, soziale Netzwerke 7 II 11 ff., 20 – Institutsklausel, Schufa 7 IV 13 f. – Kostenerstattung bei BYOD 4 VI 82 – Scoreverfahren 3 I 47 – Überstundenabgeltung, Datenschutzbeauftragter 1 I 27 – Unternehmensregelungen (BCR) 5 V 29 – Verfallklauseln, Datenschutzbeauftragter 1 I 64 f. – Web-Bugs 7 I 31 – Werbe-Einwilligungserklärung 7 III 12, 27, 30 Transportleistungen – Hilfsleistungen 2 I 22 Treffer – Vergütung, Auskunfteivertrag 3 I 51 f. Trenderkennung – Social Media Monitoring 3 III 4 Treuepflicht – Whistleblowing 4 IV 26 Twitter siehe Soziale Medien; Social Media Richtlinie Übergabeprotokoll – Datenablieferung bei Entsorgung 2 IV 17 Überprüfung – Datenschutz-Dokumente 1 II 31 Überprüfungspflicht – Datenempfänger, Auskunfteivertrag 3 I 28 ff. Überschrift – Unternehmensregelungen (BCR) 5 V 20 Überstunden – Datenschutzbeauftragter, Arbeitsvertrag 1 I 26 ff.
Stichwortverzeichnis Übertragungsleistungen – Hilfsleistungen 2 I 22 Überwachung – Privatnutzung betrieblicher Accounts 4 V 103 ff. – Unternehmensregelungen (BCR) 5 V 92 ff. Überwachungspflicht – Datenimporteur 5 II 46 Überwachungssystem – Änderungen 4 II 101 ff. – Zutrittsregeln 4 II 96 ff. Üble Nachrede – Whistleblowing-Richtlinie 4 IV 51 Umrahmung – Einwilligungserklärung, soziale Netzwerke 7 II 22 Umsetzung – Frist bei Weisungen 2 I 49 – Whistleblowing-Richtlinie 4 IV 67 ff. Unabänderbarkeitsklausel 5 I 113 Unified Communications-Lösungen 4 VI 23 Unterauftrag – Anhang zu EU-Standardvertrag 5 III 122 – Auftragsdatenverarbeitungsvertrag 2 I 62 – bei Vernichtung 2 IV 59 – Drittbegünstigtenklausel 5 III 44 ff., 101 – Schriftform 5 III 100 Unterauftragnehmer – außerhalb des EWR 2 I 128; 2 II 102 ff. – Freigabe der Datenverarbeitung 2 I 130 – Kontrolle durch Auftragnehmer 2 II 45 – Kontrollpflichten 2 I 65 – Unternehmensregelungen (BCR) 5 V 27 – Verpflichtungen 2 I 125 ff. Unterauftragsdatenverarbeiter – Begriff 5 III 36 – EU-Standardvertragsklauseln, Auftragsdatenverarbeitung 5 III 26, 94, 95 ff. – Schadensersatzpflicht 5 III 81 – Verhältnis zum Datenimporteur 5 III 49 f. Unterauftragsvergabe – echter Unterauftrag 5 III 97 – Kettenauslagerung 5 III 96 Unterauftragsverhältnis – Auftragsdatenverarbeitungsvertrag, auftraggeberfreundlich 2 I 121 ff. – Auftragsdatenverarbeitungsvertrag, auftragnehmerfreundlich 2 II 90 ff. – außerhalb des EWR 2 I 123
– – – – – – – –
Begründung 2 I 121 ff. Berichtspflichten 2 I 129 Datenexportgenehmigung 2 II 104 Datenschutzniveau 2 II 100 Datensicherheitsvorfälle 2 I 131 Dokumentationspflichten 2 I 129 Durchgriffsprüfungsrecht 6 I 25 eigene Kontrollrechte des Auftraggebers 2 I 127 – Erfüllungsgehilfe/Nebenleistungen 2 I 122; 2 II 95 – Erteilung der Zustimmung 2 II 98 – Freigabe, Unterauftragnehmer 2 I 130 – Funktionsübertragung 6 I 24 f. – Geheimhaltungsvereinbarung 2 II 97 – höchstpersönliche Leistungserbringung 2 I 121; 2 II 92 – Kontrollpflichten 2 I 129; 2 II 45 – verbundene Unternehmen 2 II 94 – Verpflichtung des Unterauftragnehmers 2 I 125 ff. – Verweigerung der Zustimmung 2 II 93 – Zulässigkeit 2 II 92 – Zustimmung 2 I 121, 124 Unternehmen – Gruppe, Whistleblowing-Richtlinie 4 IV 68 – personenbezogene Daten 6 II 4 Unternehmensinteresse – Privatnutzung betrieblicher Accounts 4 V 123 – Whistleblowing 4 IV 23 Unternehmensregelungen – verbindliche siehe Verbindliche Unternehmensregelungen Unternehmensrichtlinien – Abgrenzung zu anderen Regelwerken 4 I 3 ff. – Änderungen 4 I 177 ff. – Anforderungen an Mitarbeiter 4 I 114 ff. – Anonymisierung/Pseudonymisierung von Daten 4 I 73 f. – Anwendungsbereich 4 I 18 ff. – Auftragsdatenverarbeitung 4 I 98 ff. – Auskunftsrechte 4 I 128 ff. – automatisierte Einzelentscheidung 4 I 105 ff. – Beschwerde 4 I 146 ff. – Binding Corporate Rules (BCR) 4 I 3 f. – branchenweite Verhaltensregeln 4 I 5 f. – Datenaustausch innerhalb des Unternehmens 4 I 17 – Datenlöschung/-sperrung 4 I 138 ff. – Datenqualität 4 I 79 ff.
1087
Stichwortverzeichnis – Datenschutzbeauftragter 4 I 101, 159 ff. – Datensicherheit 4 I 83 ff. – Datensicherheit bei BYOD 4 VI 58 – Datenvermeidung/-sparsamkeit 4 I 69 ff. – Datenverwendung 4 I 22 – Definitionen 4 I 28 ff. – Deutschland 5 V 8 – Direkterhebung der Daten 4 I 75 ff. – Dokumentationspflichten 4 I 119 ff. – Einwilligung 4 I 48 ff. – Erstellung von Nutzerprofilen 4 I 93 ff. – gesetzliche Ermächtigungsgrundlage 4 I 41 ff. – Grundsätze der Datenverarbeitung 4 I 37 ff. – Handlungsempfehlungen 4 I 165 – Information des Betroffenen 4 I 75 ff. – Informationspflicht 4 I 50 f. – internationale Konzernstruktur 4 I 25 – Meldung von Verstößen 4 I 166 ff. – Muster 4 I 7 – neue Datenverarbeitungssysteme 4 I 124 ff. – Publizität 4 I 172 ff. – Recht auf Berichtigung 4 I 142 ff. – Schulungen zu Datenschutzthemen 4 I 118 – Sinn und Zweck 4 I 1 ff. – Übermittlung von Daten 4 I 110 ff. – Verantwortung 4 I 153 ff. – verbundene Gesellschaften 4 I 25 – Verhältnismäßigkeit 4 I 63 ff. – Vertragsanbahnung 4 I 43 – Werbemaßnahmen 4 I 87 ff. – Widerrufs-/Widerspruchsrecht 4 I 146 ff. – Ziele 4 I 13 ff. – Zusammenarbeit mit Aufsichtsbehörden 4 I 166 ff. – Zweck 4 I 11 – Zweckbindung 4 I 58 ff. Unternehmenstransaktion – Vertraulichkeitsvereinbarung 1 IV 1 ff., 12 Untersagung – Privatnutzung betrieblicher Accounts 4 V 61 Unterschrift – Anhang B, Standardvertrag II 5 II 78 – Standardvertrag I 5 I 112, 114 Unterstützungspflichten – Auftragnehmer 2 II 65 – Datenschutzbeauftragter, externer 1 II 15
1088
– Datensicherheitsvorfälle 2 I 101 Untersuchung – Datensicherheitsvorfälle 2 I 103 Updates/Upgrades – Herausgabepflicht des Mobilgerätes 4 VI 100 – Mobilgeräte, BYOD 4 VI 27 Urheberrechtsverletzungen – Installation von Apps bei BYOD 4 VI 76 Urlaub – Datenschutzbeauftragter, Arbeitsvertrag 1 I 32 ff. – Langzeiterkrankung 1 I 36 – Mindesturlaub, Datenschutzbeauftragter, Arbeitsvertrag 1 I 33 ff. Urlaubsgeld – Datenschutzbeauftragter, Arbeitsvertrag 1 I 31 USA – Datenschutzniveau 5 I 5 – Datenübermittlung 5 I 71; 5 V 12 User Help Desk 2 II 94 Veranschaulichende Geschäftsklauseln 5 II 82 ff. Verantwortliche Stelle – Auftragsdatenverarbeitung, Drittländer 5 III 9 – Datenschutzbeauftragter, Arbeitsvertrag 1 I 2 Verarbeitungsübersicht – Auftragsdatenverarbeitung 2 II 48 Verbindliche Unternehmensregelungen – Abgrenzung zu Verhaltensregeln 5 V 20 – abweichende einzelstaatliche Vorschriften 5 V 96 f. – Aktualisierung der Vorschriften 5 V 119 ff. – Angaben zu Standort, Geschäftsfeld 5 V 29 – Angaben zu Übermittlungs-/Verarbeitungsvorgängen 5 V 38 – Anwendungs-/Geltungsbereich 5 V 36 ff. – Arbeitsvertrag 5 V 25 – Art der Datenverarbeitung 5 V 44 – Auftragsverarbeiter 5 V 18 – automatisierte Einzelentscheidung 5 V 71 ff. – Begriffsbestimmungen 5 V 30 ff. – beizufügende Unterlagen 5 V 17 – Berichtigungs-/Löschungs-/Sperrungsrechte 5 V 61 ff.
Stichwortverzeichnis – Beschränkung der Weiterübermittlung 5 V 80 ff. – Beschwerden 5 V 98 ff. – besondere Arten personenbezogener Daten 5 V 55 – Beweislast 5 V 112 – Binding Corporate Rules (BCR) 5 IV 2 – Datenempfänger 5 V 60 – Datenqualität 5 V 47 ff. – Datenschutzaudit 5 V 87 ff. – Datenschutz-Grundverordnung 5 V 5 – Datenschutzniveau 5 V 14 – Datenverhältnismäßigkeit 5 V 47 ff. – deutsches Recht 5 V 4, 6 f. – Drittbegünstigtenklausel 5 V 102 ff. – Einhaltung 5 V 92 ff. – einzelstaatliches Recht und BCR 5 V 124 f. – EU-Richtlinie 5 V 3, 6 f. – gegenseitige Unterstützung 5 V 115 ff. – Geheimhaltung 5 V 58 – Gerichtsstand 5 V 126 ff. – Glossar zu Begriffsbestimmungen 5 V 33 – Grundmotive für die BCR 5 V 23 – Haftung 5 V 106 ff. – Hinweise für die Verwendung des Musters 5 V 15 ff. – Identitätsprüfung bei Auskunftsrechten 5 V 64 – Informationsrecht 5 V 56 ff. – inhaltliche Vorgaben 5 V 6 ff. – Inkrafttreten 5 V 133 – interne Verbindlichkeit 5 V 25 ff. – Kenntnisnahme 5 V 59 – materieller Anwendungsbereich 5 V 40 – Mindestmaß an Definitionen 5 V 34 – Mitarbeiter-/Kundenzahl 5 V 29 – personenbezogene Daten 5 V 40 – Pflicht zur Einhaltung 5 V 22 – räumlicher Geltungsbereich 5 V 39 – Rechte der betroffenen Personen 5 V 61 ff. – rechtliche Durchsetzbarkeit 5 V 25 – Rechtsgrundlagen 5 V 3 ff., 52 ff. – rechtssicherer Rahmen 5 V 1 ff. – Schlussbestimmungen 5 V 130 ff. – Schulungsprogramm 5 V 85 f. – Sicherheit 5 V 75 ff. – Sinn und Zweck 5 V 1 ff. – Transparenz 5 V 56 ff. – Überschrift 5 V 20 – Überwachung 5 V 92 ff. – Unternehmensrichtlinie, Datenschutz 4 I 1 ff.
– Unternehmensrichtlinien in Deutschland 5 V 8 – Veränderungen im Unternehmen 5 V 119 ff. – Vertragsmuster 5 V 19 – Vertraulichkeit 5 V 75 ff. – Verweis auf aktuelle Bestimmungen 5 V 28 – Vorgehen nach Erstellung 5 V 134 – Vor-/Nachteile 5 V 14 – Zielsetzung 5 V 21, 24 – Zusammenarbeit mit Behörde 5 V 115 ff. – Zweck der Verarbeitung 5 V 45 – Zweckänderung 5 V 46 – Zweckbindungs-/Zweckbestimmungsgrundsatz 5 V 41 ff. Verbot – Datenübermittlung in Drittländer 5 II 7 Verbraucherschutzverband – Drittbegünstigtenrechte bei Drittlandsdatenverarbeitung 5 III 51 – Vertretungsbefugnis, BCR 5 V 105 – Vertretungsbefugnis, Standardvertrag I 5 I 55 Verbundene Unternehmen – Unterauftragsdatenverarbeitungsverhältnis 2 II 94 Verdächtige – Rechte bei Whistleblowing 4 IV 52 ff., 57 ff. Verfahren der gegenseitigen Anerkennung – BCR-Genehmigungsentscheid 5 IV 2 Verfahrensaudit 1 III 5 Verfahrensverzeichnis – Auftragsdatenverarbeitung 2 II 48 – automatisierte Datenverarbeitung 4 I 120 f. – Bringschuld gegenüber Datenschutzbeauftragtem 1 II 26 – Erstellungs-, Beratungspflichten des Datenschutzbeauftragten 1 II 24 Verfallfristen – Datenschutzbeauftragter, Arbeitsvertrag 1 I 63 ff. Verflechtung – Datenverarbeitung 2 I 36 Verfügbarkeit – Webanalyse 3 IV 109 ff. Verfügung, einstweilige – rechtsfehlerhafte Adressgewinnung 3 II 38 Vergütung – Adresslieferungsrahmenvertrag 3 II 43 ff.
1089
Stichwortverzeichnis – Auskunfteivertrag 3 I 51 f. – Datenschutzbeauftragter, anfängliche Schätzung 1 II 51 – Datenschutzbeauftragter, Arbeitsvertrag 1 I 29 ff. – Datenschutzbeauftragter, Pauschalhonorar 1 II 51 ff. – Datenschutzbeauftragter, quartalsweise Zahlung 1 II 52 – Datenschutzbeauftragter, zeitabhängige 1 II 54 f. – dienstliche Smartphonenutzung außerhalb der Arbeitszeit 4 VI 94 – Dokumentation der Tätigkeit 1 II 53 – Fortbildungskosten 1 II 39 – Regelung im Outsourcingvertrag, Ergänzung durch Datenschutzklausel 2 III 13 – Unabhängigkeit, Weisungsfreiheit 1 II 55 – Webanalyse 3 IV 104 ff. Verhaltenskontrollen – Videoüberwachung am Arbeitsplatz 4 II 18 Verhaltensregeln – Abgrenzung zu Unternehmensregelungen, BCR 5 V 20 Verhältnismäßigkeit – Daten, Unternehmensregelungen 5 V 47 ff. – Datenübermittlung 5 I 79 ff. – Prüfungsaufbau 4 I 65 – Unternehmensrichtlinien 4 I 63 ff. Verjährung – Adresslieferungsrahmenvertrag 3 II 38 Verkäufer – Überprüfung der Käuferbonität 6 II 15 ff. Verkaufsraum – Videoüberwachung am Arbeitsplatz 4 II 8 Verkürzung – IP-Adresse bei Webanalyse 3 IV 13 Verleumdung – Whistleblowing-Richtlinie 4 IV 51 Verlust – privates Endgerät 4 VI 65 f., 86 f. Vermeidung von Daten – Unternehmensrichtlinien 4 I 70 f. Vernichtung – Datengeheimnis 2 IV 39 – Datenträger bei Auftragsdatenverarbeitung 2 I 147 – Duldungs- und Mitwirkungspflichten des Auftragnehmers 2 IV 49 ff. – Eigentumsvorbehalt 2 IV 62 ff.
1090
– Einsichtnahme durch Mitarbeiter 2 IV 40 – externe, Sicherheit 2 IV 30 f. – Festlegung der Art und Weise 2 IV 26 – im Drittland 2 IV 36 f. – keine Vermischung 2 IV 65 – Kontrollrechte des Auftraggebers 2 IV 49 ff. – Kopien 2 IV 48 – Pflichten 2 IV 43 ff. – physikalische Maßnahmen bei Datenträgern 2 IV 22 – Rückgabe von Datenträgern 2 IV 46 ff. – schriftliche Bestätigung 2 IV 27 f. – technisch-organisatorische Maßnahmen 2 IV 29 ff. – Unterauftrag 2 IV 58 ff. – Verantwortung bei Subunternehmer 2 IV 60 f. – Vertragslaufzeit, Kündigung 2 IV 66 f. – zeitnah 2 IV 28 Vernichtungsverpflichtung – Verschwiegenheitsverpflichtung 1 IV 20 Vernichtungsvertrag – Schlussbestimmungen 2 IV 68 Veröffentlichung – Unternehmensrichtlinien 4 I 172 ff. Verpflichtung auf das Datengeheimnis – Auftragsdatenverarbeitungsvertrag 2 I 77 ff. Versandhandel – Datenübermittlung beim Kaufvertrag 6 II 22 f. Verschlüsselung – Datenschutz bei Whistleblowing 4 IV 65 Verschulden – Verstoß gegen Unternehmensregelungen, BCR 5 V 109 Verschwiegenheit – Datenschutzaudit 1 III 111 ff. – Datenschutzaudit, Zeitlimit 1 III 122 Verschwiegenheitspflicht – AG-Vorstand 1 IV 3 – Ausnahmeregelung 1 II 44 – Berufsgeheimnis, Datenschutzbeauftragter 1 II 49 – Berufshaftpflichtversicherung 1 II 45 – Betriebsvereinbarung, Internet- und E-Mail-Nutzung 4 V 112 f. – Datenschutzbeauftragter, Arbeitsvertrag 1 I 61 f. – Datenschutzbeauftragter, externer 1 II 15
Stichwortverzeichnis – Datenschutzbeauftragter nach Vertragsbeendigung 1 II 43 – Einschaltung der Aufsichtsbehörde 1 II 46 – Gegenstand und Umfang 1 IV 16 ff. – Nutzung sozialer Medien 4 VII 46 – Schutz bei Whistleblowing 4 IV 46 f. – Subunternehmer 1 II 47 – Vertraulichkeitsvereinbarung 1 IV 1 ff. Versetzung – Datenschutzbeauftragter, Arbeitsvertrag 1 I 17 ff. – vertraglicher Vorbehalt bei Datenschutzbeauftragtem 1 I 21 Versicherung – Datenübermittlung in Drittländer 5 V 12 – Unternehmensregelungen (BCR) 5 V 8 – Versicherungsschutz des Datenimporteurs 5 II 50 Versicherungsunternehmen – aufsichtrechtliche Vorgaben bei Auftragsdatenverarbeitung 2 III 8 Versicherungswirtschaft – branchenweite Verhaltensregeln 4 I 6 Vertrag – über die Beauftragung eines externen Datenschutzbeauftragten 1 II 2 Vertrag über die Durchführung eines Datenschutzaudits siehe Datenschutzaudit, Vertrag Vertrag zugunsten Dritter – Drittbegünstigtenklausel 5 I 53 ff.; 5 III 45 f. Vertragsabschluss – Einwilligung für zukünftige Werbemaßnahmen 4 I 92 Vertragsanbahnung – Datenverarbeitung für Werbemaßnahmen 4 I 89 – Unternehmensrichtlinien 4 I 43 Vertragsänderungen – Aktualisierung der BCR 5 V 119 ff. – Aktualisierung von Anhang B 5 II 79 – Einwilligungserklärung, soziale Netzwerke 7 II 74 f. – Einzelweisungen bei Auftragsdatenverarbeitung 2 II 30 – EU-Standardvertragsklauseln 5 I 17 ff.; 5 II 16 ff. – Privacy Policy 7 I 40 f. – Standardvertrag I 5 I 112 ff. – Standardvertrag II 5 II 72 f. Vertragsanpassung – Europäische-Datenschutz-Grundverordnung 1 II 67
Vertragsaussetzung – Datenübermittlung 5 I 64 f. – Datenübermittlung in Drittländer 5 II 7 – Standardvertrag II 5 II 70 Vertragsbeendigung – Daten bei Auftragsdatenverarbeitung 2 I 143 – Datenherausgabe 4 VI 102; 5 II 87 – Standardvertrag II 5 II 69 ff. – Verschwiegenheitspflicht 1 II 43 Vertragsbeginn – Datenschutzaudit 1 III 28 ff. Vertragsdauer – Auftragsdatenverarbeitung 2 I 151 ff.; 2 II 23 f. Vertragseinordnung – Datenschutzbeauftragter, externer 1 II 3 Vertragsgegenstand – Anpassung bei Datenschutzbeauftragtem 1 II 67 – Bestellungsurkunde, integriert 1 II 11 – Datenschutzbeauftragter, externer 1 II 9 ff. – Schlussbestimmungen, Datenschutzbeauftragter 1 II 67 – Schriftform, Datenschutzbeauftragter 1 II 67 – Social Media Monitoring 3 III 8 Vertragsgestaltung – Datenimporteur, Standardvertrag II 5 II 53 ff. – Datenverarbeitung 5 I 66 ff. Vertragsparteien – Angaben in Unternehmensregelungen, BCR 5 V 40 – Datenübermittlung beim Kaufvertrag 6 II 22 f. – Datenweitergabe im Konzern 5 I 28 ff.; 5 II 25 f. – Standardvertrag I 5 I 25 ff. – Standardvertrag II 5 II 22 ff. Vertragsstrafe – Adresslieferung 3 II 39 – Adresslieferungsrahmenvertrag 3 II 23 – Auftragsdatenverarbeitung 2 I 161 – besonderer Geheimhaltungsbedarf bei Daten 1 IV 9 – Datenschutzaudit 1 III 114 – Datenübermittlung in Drittländer 5 II 61 – Verstoß gegen Geheimhaltungsverpflichtung 1 IV 22
1091
Stichwortverzeichnis Vertragstheorie – Gegenstand der Datenverarbeitung 2 I 19 Vertragsunterlagen – Überlassung durch Datenimporteur 5 II 49 Vertragswidriges Verhalten – SCHUFA-Klausel 7 IV 22 f. Vertraulichkeit – Datenübermittlung 5 I 85 f. – Datenübermittlung in Drittländer 5 II 75 – Funktionsübertragung 6 I 19 – Nutzung sozialer Medien 4 VII 45 ff. – Schutz bei Whistleblowing 4 IV 46 f. – Social Media Monitoring-Vertrag 3 III 41 f. – Standardvertrag II 5 II 41 – Unternehmensregelungen (BCR) 5 V 75 ff. Vertraulichkeitsvereinbarung – Haftungsrisiko 1 IV 9 – Sinn und Zweck 1 IV 1 – Verschwiegenheitsverpflichtung 1 IV 1 ff. Vertretung – Drittbegünstigtenklausel 5 I 55; 5 V 105 – Privatnutzung betrieblicher Accounts 4 V 80 f. Verwendungszweck – Privacy Policy 7 I 19 ff. Verzicht – Widerrufsrecht, Zusatzvereinbarung 4 V 136 Videoüberwachung, Arbeitsplatz – Angemessenheit 4 II 61 ff. – BDSG 4 II 7 ff. – Betriebsrat 4 II 68 – Betriebsvereinbarungen 4 II 1 ff., 22 ff.; siehe auch Betriebsvereinbarung, Videoüberwachung – betroffener Personenkreis 4 II 3 – Black Box-Verfahren 4 II 53 – Briefverteilzentrum 4 II 42 – Datenverarbeitung 4 II 12 f. – dauerhaft 4 III 43 – Einwilligung 4 II 6 – Erforderlichkeit 4 II 33, 41 ff., 59 ff. – Geeignetheit 4 II 41 ff. – Hausrecht 4 II 11 – Hinweispflicht 4 II 14 – Leistungskontrolle 4 II 18 – Löschung von Aufzeichnungen 4 II 65 f. – Mitbestimmung 4 II 26 ff.
1092
– nicht öffentlich zugänglicher Arbeitsplatz 4 II 16 ff. – öffentlich zugängliche Bereiche 4 II 7 ff., 10 ff. – Rahmenbedingungen 4 II 1 ff. – Rechtsgrundlagen 4 II 3 ff. – Speicherung 4 II 12 – Verhaltenskontrolle 4 II 18 – Videotechnik 4 II 2 – Zulässigkeit 4 II 59 ff. – Zutritt zum Überwachungssystem 4 II 95 ff. – Zweck 4 II 33 Virenschutz – Betriebsvereinbarung, BYOD 4 VI 38 – Installation von Apps bei BYOD 4 VI 74 Vorlagepflicht – Betriebsvereinbarung, Internet- und E-Mail-Nutzung 4 V 82 ff. – Datenexporteur 5 II 75 – Datenübermittlung in Drittländer 5 I 33; 5 II 6 f. Vor-Ort-Kontrolle – Auftragsdatenverarbeitung 2 I 14, 111 f.; 2 II 70 – bei Vernichtung 2 IV 52 Vorrangregelung – Auftragsdatenverarbeitungsvertrag 2 I 166; 2 II 123 Vorsatz – Arbeitnehmereigenschaden 4 VI 89 – Verfallklauseln, Datenschutzbeauftragter 1 I 65 Vorstand – Verschwiegenheitsverpflichtung 1 IV 3 Wahrscheinlichkeitswerte – Bonitätsprüfung 6 II 18 Warndatei – Auskunfteivertrag 3 I 7 Wartungsarbeiten – Herausgabepflicht des Mobilgerätes 4 VI 100 – Hilfsleistungen 2 I 22 – Nebenleistung 2 II 96 – Spezifizierung des Auftragsgegenstands 2 I 29 – Unterauftragsverhältnis 2 I 122 – Videoüberwachungssystem 4 II 96 ff. Webanalyse – Auftraggeberpflichten 3 IV 49 ff. – Auftragsdatenverarbeitungsvertrag als Annex 3 IV 93
Stichwortverzeichnis – Befristung der Vertragslaufzeit 3 IV 126 – Bereitstellung von Tracking-Code 3 IV 43 f. – Cookie 3 IV 10 ff. – Datenschutz 3 IV 1, 61 ff. – Datensicherung 3 IV 99 ff. – Datenverarbeitung EU/EWR 3 IV 82 f. – Device Fingerprinting 3 IV 12 – Geolokalisation 3 IV 13 – Gerichtsstandsvereinbarung 3 IV 134 – gesetzeskonforme Datenverarbeitung 3 IV 55 f. – Haftungsbeschränkungen 3 IV 116 ff. – Herr der Daten 3 IV 97 – Identifikationsnummer 3 IV 10 – Informationspflicht nach TMG 3 IV 57 ff. – Java-Script-Technologie 3 IV 11 – Kernleistung 3 IV 45 ff. – komplexe Systeme 3 IV 47 – Kündigung 3 IV 127 ff. – Laufzeit bei Cookies 3 IV 21 – Leistungen des Auftragnehmers 3 IV 38 ff. – messbare Daten 3 IV 2 – Messung des Besucherverhaltens 3 IV 9 ff. – Nutzungsrechte 3 IV 94 ff. – produktbezogen 3 IV 48 – Protokollierung von Zugriffen 3 IV 45 ff. – rechtliche und behördliche Vorgaben 3 IV 16 ff. – salvatorische Klausel 3 IV 135 – Schlussbestimmungen 3 IV 131 ff. – Schutz der Daten 3 IV 52 ff. – Sinn und Zweck 3 IV 3 – Speicherdauer von Cookies 3 IV 75 f. – Staaten mit Datenschutzniveau 3 IV 82 f. – Stralsunder Beschluss 3 IV 69 – unabhängig von Domain 3 IV 42 – Verfügbarkeit der Dienstleistung 3 IV 109 ff. – Vergütungsgestaltung 3 IV 104 ff. – Vertrag zur Durchführung 3 IV 1 ff. – Vertragsdauer 3 IV 123 ff. – Vertragsgegenstand 3 IV 28 f. – Vertragsschluss 3 IV 34 ff. – weitere Einbindungstechnologien 3 IV 33 Webanalyse-Software – Tracking-Script/Tracking Code 3 IV 30 ff.
Webbeobachtung – Social Media Monitoring-Vertrag 3 III 12 Web-Bugs 7 I 31 Website-Betreiber – Auskunftspflichten 7 I 42 f. – Musterklausel 7 I 8 – Verantwortungsbereich 7 I 39 Webtracking – Vertrag siehe Webanalyse Wegfall – Bestellungsvoraussetzungen 1 II 41 Weihnachtsgeld – Datenschutzbeauftragter, Arbeitsvertrag 1 I 31 Weisung – bei Vernichtung 2 IV 41 f. Weisungsfreiheit – Auditor 1 III 46 – Datenschutzbeauftragter 1 I 15 f. – Kontrollpflichten 1 II 32 – Umfang, Datenschutzbeauftragter 1 I 14 Weisungsrecht – Auftraggeber 2 II 26 ff. – Auftragsdatenverarbeitung 2 I 43 ff. – Auftragsdatenverarbeitung, Outsourcingvertrag 2 III 22 ff. – BDSG 1 II 13 – Beschränkung auf vertragliche Weisungen 2 II 29 – Datenschutzbeauftragter 2 I 115 – Datenschutzbeauftragter, Bestellungsurkunde 1 II 11 – Einzelweisungen 2 I 46 – Form 2 I 47 – Kontrollrechte des Auftraggebers 2 I 107 – Ratio 2 I 44 – Remonstration des Auftragnehmers 2 I 50 – Umsetzungsfrist 2 I 49 – vertragsändernde Weisungen 2 I 51 – Weisungs- und Empfangsberechtigte 2 I 48 – Weiterentwicklung von Sicherheitsmaßnahmen 2 I 88 Weiterentwicklung – technische/organisatorische Maßnahmen 2 I 86 ff.; 2 II 57 Weitergabekontrolle – Auftragsdatenverarbeitungsvertrag 2 I 83 – technische/organisatorische Maßnahmen 2 II 54
1093
Stichwortverzeichnis Weiterleitungspflicht – Auftragnehmer 2 II 108 Weiterübermittlung – Anhang A, Standardvertrag II 5 II 57 f. – Beschränkung 5 I 91 f. – Datenimporteur 5 II 56 – Drittbegünstigtenklausel 5 V 104 – Einwilligungserklärung, soziale Netzwerke 7 II 64 ff. – personenbezogene Daten 6 I 2 – Privacy Policy 7 I 35 ff. – Unternehmensregelungen (BCR) 5 V 80 ff. Werbeadressat – freie Willensentscheidung 7 III 4 Werbeadressenverarbeitung – Auftragsdatenverarbeitung 2 I 21 Werbe-Einwilligungserklärung – Abrufbarkeit des Inhalts der Einwilligung 7 III 21 – Adresslieferungsrahmenvertrag 3 II 14 – auf Vorrat 3 II 36 – Begriff 7 III 1 – Datenqualität 3 II 32 – Datenschutz 3 II 10 – Double-opt-in-Verfahren 7 III 20 – Gewinnspiel, offline 7 III 25 ff. – Gewinnspiel, online 7 III 29 f. – IP-Timestamps 3 II 37 – Klarheit und Verständlichkeit 7 III 6 – Klausel, Inhaltskontrolle 7 III 6 – Offline-Antragsformular 7 III 8 – Opt-in, Opt-out 7 III 10 – Permission Marketing 3 II 3 – Täuschung, arglistige 3 II 29 – Verwendung offline 7 III 7 ff. – Verwendung online 7 III 15 ff. – Werbeinhalt 7 III 13 – Wettbewerbsrecht 3 II 11 Werbekampagnen – Produktgestaltung 3 III 3 Werbezweck – Verbraucherkenntnis 3 II 33 Werbung – Beachtung des Wettbewerbsrechts 6 II 12 – Dateneinkauf 3 II 8 – Einwilligungsvoraussetzungen 6 II 11 – Kopplungsverbot 7 III 5 – Listenprivileg 3 II 10 – mittels elektronischer Post 6 II 12 – personalisierte ~, soziale Netzwerke 7 II 89 – Sperrung von Daten 4 I 141 – Unternehmensrichtlinien 4 I 87 ff.
1094
– verhaltensbezogene, Anonymisierungsdienste 3 IV 20 Werbung, Brief – vorformulierte Einwilligung, BDSG 7 III 10 – Werbe-Einwilligungserklärung 7 III 1 Werbung, E-Mail – Datenqualität 3 II 24 ff. – Direktmarketing 3 II 10 – Robinsonliste 3 II 40 – Werbe-Einwilligungserklärung 7 III 1 Werbung, Telefax – Robinsonliste 3 II 40 Werbung, Telefon – BGH-Rechtsprechung 7 III 13 – Bußgeld, fehlende Einwilligung 3 II 51 – Datenqualität 3 II 24 ff. – Einwilligung, Nachweis 3 II 28 – Marktforschung 2.0 3 III 3 – netto erreicht 3 II 46 – Robinsonliste 3 II 40 – Verification Call 7 III 20 – Werbe-Einwilligungserklärung 7 III 1 Werkvertrag – Datenschutzaudit, Vertrag 1 III 129 – Prüfbericht, Datenschutzaudit 1 III 80 f. – Social Media Monitoring-Vertrag 3 III 10 Werturteil – Nutzung sozialer Medien 4 VII 51 ff. Wettbewerbsrecht – Kundenansprache für Werbezwecke 6 II 12 – Verstoß bei Internet-Angebot 7 I 7 Wettbewerbsverbot – Datenschutzbeauftragter, Arbeitsvertrag 1 I 41 ff. Whistleblowing – anglo-amerikanische Länder 4 IV 2 – Ansprechpartner 4 IV 33 ff. – Begriffsbestimmungen 4 IV 1, 13 ff. – Datenschutz 4 IV 22 ff. – europäische Länder 4 IV 3 – externes Whistleblowing 4 IV 37 f. – Gegenstand der Meldung 4 IV 21 ff. – internes Whistleblowing 4 IV 31 f. – Missbrauch 4 IV 49 ff. – Personenkreis 4 IV 11 ff. – Schutz des Hinweisgebers 4 IV 44 ff. – Treue- und Loyalitätspflichten 4 IV 26 – unsicherer Drittstaat 4 IV 37 – Zweck 4 IV 18 Whistleblowing-Richtlinie – begründeter Verdacht 4 IV 30 – Bekanntmachung 4 IV 69
Stichwortverzeichnis – – – – – – – – – – – –
Beschwerderechte 4 IV 57 ff. Beschwerdestelle 4 IV 59 Betriebsvereinbarung 4 IV 8 betroffene Personen 4 IV 19 f. Datenschutz 4 IV 62 ff. Denunzianten 4 IV 50 Einleitung 4 IV 1 ff., 19 ff. Gegenstand der Meldung 4 IV 21 ff. Grundsätze 4 IV 16 ff. Gutgläubigkeit 4 IV 51 Hinweisgeberschutz 4 IV 44 ff. Information der gemeldeten Person 4 IV 54 – Kenntnisnahme durch Arbeitnehmer 4 IV 73 ff. – Löschung 4 IV 56 – Meldeberechtigter 4 IV 19 f. – Meldeverfahren 4 IV 27 ff.; siehe auch dort – Missbrauch 4 IV 49 ff. – Muster 4 IV 6 – Passwort/Verschlüsselung 4 IV 65 – Personenkreis 4 IV 11 ff. – Pflicht zur Meldung 4 IV 25 f. – Ratio der Einleitung 4 IV 10 – Recht auf Stellungnahme 4 IV 55 – Schulungen 4 IV 74 – Schutz der gemeldeten Person 4 IV 52 ff. – Schutz vor Repressalien 4 IV 48 – Speicherdauer 4 IV 66 – Strafbarkeitsrisiko 4 IV 51 – Umsetzung 4 IV 67 ff. – Verantwortlichkeit 4 IV 67 ff. – Verfahrensablauf nach Meldung 4 IV 39 ff. – Zugänglichkeit von Informationen 4 IV 72 – Zweck 4 IV 18 Whitelist-Staat – Rahmenvertrag für EU-Standardvertragsklauseln 5 IV 30 Wichtiger Grund – Kündigung, Auftragsdatenverarbeitung 2 I 155 Widerruf – dienstliche Nutzung des privaten Endgerätes 4 VI 97 – Einschränkung bei Zusatzvereinbarung 4 V 133 ff. – Einwilligung nach § 4a BDSG 6 II 8 – Einwilligung, Unternehmensrichtlinie 4 I 52 – Einwilligung zur Videoüberwachung 4 II 6
– Einwilligung zur Zusatzvereinbarung 4 V 131 f. – Einwilligungserklärung, BYOD 4 VI 111 – Einwilligungserklärung, soziale Netzwerke 7 II 76 ff. – Hinweispflicht bei Online-Verwendung 7 III 17 – pauschalierte Kostenerstattung bei BYOD 4 VI 82 f. – Unternehmensrichtlinien 4 I 146 ff. – Werbe-Einwilligungserklärung bei Offline-Werbung 7 III 28 – Werbe-Einwilligungserklärung, OfflineVerwendung 7 III 14 – Werbe-Einwilligungserklärung, OnlineVerwendung 7 III 17 Widerspruch – Anhang A, Standardvertrag II 5 II 57, 59 – Datenverarbeitung 5 I 87 ff. – Direktmarketing 5 V 65 – Drittbegünstigtenklausel 5 V 104 – Unternehmensregelungen (BCR) 5 V 61 ff., 69 Widerspruchsrecht – Interessenabwägung 4 I 149 – Nutzerprofile 4 I 97 – Unternehmensrichtlinien 4 I 146 ff. – Verwendung personenbezogener Daten 6 II 26 f. – Werbung 6 II 12 Wiederholungsaudit 1 III 102 ff. Working Paper – Unternehmensregelungen (BCR) siehe Arbeitsdokumente Xing – Klarnamenzwang 7 II 36 – Nutzungspflicht sozialer Medien 4 VII 14 Zahlungsausfall – Bonitätsprüfung 6 II 15 ff. Zahlungsdaten 7 I 21 Zertifikat – Audit, zeitliche Befristung 1 III 91 ff. – Vertragsende Datenschutzaudit 1 III 146 – Vorlage bei Auftragsdatenverarbeitung 2 I 114 Zertifizierung – Datenexporteur 5 II 51 – Datenschutzaudit 1 III 8 f.
1095
Stichwortverzeichnis – Großprojekt 1 III 39 – Kompetenz der Prüfer 1 III 42 Zugangskontrolle – Auftragsdatenverarbeitungsvertrag 2 I 83 – Scan der Endgeräte 4 VI 34 – technische/organisatorische Maßnahmen 2 II 54 Zugangsverfahren, biometrische – Unternehmensrichtlinien 4 I 106 Zugriff auf Daten – dienstliche SIM-Karte 4 VI 49 – E-Mail-Verkehr 4 VI 48 – Kontrolle, BYOD 4 VI 33 ff., 45 ff. – Ordner für dienstliche/private Daten 4 VI 45 f. – Regelung, Privatnutzung betrieblicher Accounts 4 V 80 f. Zulässigkeit – Datenübermittlung, Drittländer 5 III 3 ff. – Videoüberwachung am Arbeitsplatz 4 II 59 ff. Zurückbehaltungsrecht – Auftragsdatenverarbeitung 2 I 41 Zusatzvereinbarung, Privatnutzung betrieblicher Accounts – Absicherung des Einwilligungsmanagements 4 V 138 – Allgemeines 4 V 120 – Arbeitsvertrag und Privatnutzung betrieblicher Accounts 4 V 10 f. – Aufklärung des Betroffenen 4 V 130 – betroffener Personenkreis 4 V 120 f. – Eingriffsbefugnisse 4 V 124
1096
– Einschränkung des Widerrufsrechts 4 V 133 – Einwilligung 4 V 125 ff. – Rechtsverbindlichkeit 4 V 122 – Restrisiken 4 V 139 ff. – vertraglicher Verzicht auf Widerruf 4 V 136 – Widerruf der Einwilligung 4 V 131 f. Zustimmung – Änderung bei vereinbarten Maßnahmen 2 II 57 – Einzelweisungen 2 II 30 – Unterauftragsdatenverarbeitungsverhältnis 2 I 121, 124; 2 II 93 Zutrittsrechte – EU-Standardvertragsklauseln, Auftragsdatenverarbeitung 5 III 132 ff. Zuverlässigkeit – Interessenkollision 1 II 40 – Wegfall 1 II 38, 41 Zweckbindungsgrundsatz – Anhang A, Standardvertrag II 5 II 57 ff. – Anlage 2 zum Standardvertrag I 5 I 78 – Auskunfteivertrag 3 I 38 – Datenübermittlung 5 I 43 – Drittbegünstigtenklausel 5 V 104 – Funktionsübertragung 6 I 13 f. – Privacy Policy 7 I 20 – Schufa-Klausel 7 IV 30 ff. – Standardvertrag II 5 II 47 – Unternehmensregelungen (BCR) 5 V 41 ff. – Unternehmensrichtlinien 4 I 58 ff. Zweigstellen – Unternehmensrichtlinien 4 I 36