Rechtsanwältin und Fachanwältin für Urheber- und Medienrecht Dr. Diana Ettig, LL.M.  - 
(Dresden/Strasbourg), Frankfurt am Main - 

Die Erstellung und Prüfung datenschutzrechtlicher Verträge ist für die Anwaltschaft mit Herausforderungen verbunden. Denn der Datenschutz genießt bei Unternehmen nach wie vor keinen guten Ruf und wird eher als zusätzlicher Ballast denn als nützlicher rechtlicher Rahmen oder gar als Wettbewerbs- und Standortvorteil verstanden. Gleichzeitig kommt mittlerweile kein Unternehmen mehr umhin, datenschutzrechtliche Verträge abzuschließen. Denn die DSGVO verlangt sowohl im Bereich der sog. Auftragsverarbeitung (Art. 28 DSGVO) als auch bei Datenverarbeitungen in gemeinsamer Verantwortlichkeit (Art. 26 DSGVO) den Abschluss von entsprechenden Vereinbarungen. Darüber hinaus ist es auch in vielen anderen Konstellationen sinnvoll, Regelungen zu datenschutzrechtlichen Rechten und Pflichten in Verträge aufzunehmen. Während es nach Wirksamwerden der DSGVO vor fünf Jahren primär darum ging, überhaupt einen dieser rechtlich erforderlichen Verträge abzuschließen, werden datenschutzrechtliche Verträge mittlerweile nicht mehr nur von Konzernen individuell verhandelt. Der Grund dafür liegt u.a. in dem immensen Haftungsrisiko, welches durch die DSGVO entstanden ist – sei es im Hinblick auf mögliche Bußgelder der Datenschutzaufsichtsbehörden, Individualansprüche Betroffener oder auch Unterlassungsansprüchen von Verbraucherschützern.

Rollenverteilung der Vertragsparteien

Ausgangspunkt jedes Vertrags ist die Festlegung der Rollen der beteiligten Vertragspartner, wobei im Wesentlichen zwischen Verantwortlichen, gemeinsam Verantwortlichen und Auftragsverarbeitern zu unterscheiden ist. Bereits an dieser Stelle kommt es zum Teil zu abweichenden Ansichten zwischen den Vertragsparteien. Hilfreich sind in solchen Fällen die Orientierungshilfen der Datenschutzaufsichtsbehörden, wie die „Leitlinien zu den Begriffen ‚Verantwortlicher‘ und ‚Auftragsverarbeiter‘ in der DSGVO“ des Europäischen Datenschutzausschusses (EDSA) vom Juli 2021. In anderen Fällen sah sich der Gesetzgeber gar genötigt, die Rollenverteilung ausdrücklich zu regeln, z.B. in § 11 II StBerG.

Inhaltliche Vorgaben und Gestaltungsmöglichkeiten

Während die DSGVO in Art. 28 für die Vereinbarungen zur Auftragsverarbeitung umfangreiche Mindestinhalte vorsieht, besteht bei anderen Verträgen ein deutlich größerer Gestaltungsspielraum. Eine Herausforderung bei der Vertragserstellung und -prüfung ist die nach wie vor fehlende Rechtsprechung zu den Vertragsinhalten. In der Praxis stützen sich die Vertragsparteien daher häufig auf Publikationen der Datenschutzaufsichtsbehörden wie die erwähnten Leitlinien des EDSA. Auch deutsche Behörden haben sich bereits zu einzelnen Rechtsfragen geäußert (z.B. Checkliste aus einer koordinierten Prüfung von Auftragsverarbeitungsverträgen von Webhostern, veröffentlicht von der Berliner Beauftragten für Datenschutz und Informationsfreiheit). Gleichzeitig sind die Publikationen nicht frei von Widersprüchen und stellen zunächst nur eine – nicht immer neutrale – Rechtsansicht dar. Die Erstellung und Prüfung datenschutzrechtlicher Verträge ist daher ein anspruchsvolles und wirtschaftlich zunehmend relevantes Beratungsfeld.

Dieser Text wurde veröffentlicht im BRAK-Magazin, Ausgabe 5/2023. Das gesamte Heft kann hier abgerufen werden: DAI Aktuell - BRAK Magazin November 2023 - Ausgabe 5/2023