75
06/18 personalmagazin
Bei Fragen wenden Sie sich bitte an
Geltendmachung von Haftungsansprü-
chen betroffener Personen oder Dritter
müsste die Klausel anzuwenden sein.
Bei idealer Vertragsgestaltung sollte ge-
regelt werden, dass der Auftragnehmer
vertraglich zur Übernahme anfallender
Mehrkosten verpflichtet ist, vor allem
wenn bei ihm selbst Ermittlungsverfah-
ren durchgeführt werden.
• kein Leistungsverweigerungsrecht
gegenüber der ermittelnden Behörde
geltend zu machen – selbst, wenn keine
Kostenübernahmeerklärung des Auf-
traggebers für Ermittlungsverfahren
geregelt ist.
Verträge mit Subunternehmern
Es kommt vor, dass ein Teil des Auftrags
– zum Beispiel aus Kostengründen –
vom Auftragsverarbeiter an einen Sub-
unternehmer abgeben wird. Von beson-
derer Bedeutung ist daher die Regelung
von sogenannten Subunternehmerver-
trägen. Darunter sind Unterauftrags-
verhältnisse zu verstehen, derer sich
der Auftragnehmer eventuell bedienen
möchte. In diesem Fall ist es empfeh-
lenswert, klar zu regeln, unter welchen
Umständen dies möglich ist.
Es bedarf zunächst einer vertraglichen
Definition, wann ein sogenanntes Sub-
auftragsverhältnis überhaupt besteht
und welche Dienstleistungen beispiel-
haft nicht hierzu gehören (etwa Tele-
kommunikationsleistungen, Post- oder
Transportdienstleistungen, Wartung
und Benutzerservice oder die Entsor-
gung von Datenträgern). In diesem Zu-
sammenhang ist auch die allgemeine
Entscheidung zu treffen, ob der Auf-
traggeber überhaupt möchte, dass der
Auftragnehmer Subunternehmer zur
Erfüllung der vertraglichen Hauptleis
tungspflichten nutzt. Falls ja, bleibt die
Frage: Kann der Service-Provider ausrei-
chende Maßnahmen zur Vertraulichkeit,
Verfügbarkeit, Integrität und Belastbar-
keit der Hard- und Software von Daten-
verarbeitungsanlagen vorweisen?
Praxis-Tipp: Falls Auftragsverarbeiter
aufgrund ihrer Marktmacht nicht von
der Nutzung von Subauftragsverhältnis-
sen abgebracht werden können, sollten
zumindest mögliche Subunternehmen
aufgelistet werden. Für diese muss
dann der Auftragnehmer selbst entspre-
chende datenschutzkonforme Vertrags-
lagen schaffen.
Auch an dieser Stelle sei angemerkt:
Erfolgt die Auftragsverarbeitung durch
den Subunternehmer in einem daten-
schutzrechtlich nicht sicheren Ausland
(zum Beispiel in den USA), sollte ver-
traglich vorgesorgt werden. In diesem
Fall kann sicherheitshalber die Ver-
pflichtung in das Vertragswerk eingear-
beitet werden, dass der Auftraggeber vor
einer Unterbeauftragung ausdrücklich
zustimmen muss. Zumindest sollte der
Auftragnehmer jedoch – durch entspre-
chende Maßnahmen, wie zum Beispiel
EU-Standard-Klauseln oder Privacy-
Shield-Zertifizierung – die datenschutz-
rechtliche Zulässigkeit auf Seiten des
Subunternehmers (eventuell „Cloud So-
lution Provider“) sicherstellen.
Praxis-Tipp: Wichtig ist in jedem Fall
die vertragliche Fixierung von Kont
rollrechten des Auftraggebers, gege-
benenfalls sogar von Stichproben, die
rechtzeitig anzumelden sind und zur
Überprüfung der Einhaltung der ver-
traglichen Vorgaben dienen.
Recht auf Vergessenwerden
Von großer Bedeutung sind Vertragsklau-
seln im Hinblick auf die Berichtigung,
Einschränkung und Löschung von Daten.
Denn nach den neuen Regelungen der
DSGVO haben die Eigentümer der per-
sonenbezogenen Daten ein sogenanntes
„Recht auf Vergessenwerden“, das heißt
auf Löschung ihrer Daten. Diesbezüglich
muss ein klares Regime geschaffen wer-
den. Dies soll es dem Service-Provider
ermöglichen, personenbezogene Daten
des Auftraggebers zu berichtigen, zu lö-
schen, nach Weisung des Auftraggebers
Auskunft zu erteilen oder die Verarbei-
tung der Daten einzuschränken.
Hierbei ist klar herauszustellen, ob
Kopien oder Duplikate ohne Wissen des
Auftraggebers erstellt werden können,
in welchem Umfang und was auszuneh-
men ist (zum Beispiel Sicherheitskopien,
soweit sie zur Gewährleistung einer ord-
nungsgemäßen Datenverarbeitung er-
forderlich sind oder Daten im Hinblick
auf gesetzliche Aufbewahrungspflich-
ten). An dieser Stelle ist auch zu regeln,
wie mit den Daten nach Abschluss der
vereinbarten Arbeiten umzugehen und
wie dies zu dokumentieren ist.
Praxis-Tipp: Im Sinne der Implemen-
tierung von klaren Regeln zur Löschung
und Rückgabe von personenbezogenen
Daten ist dem Auftragnehmer aufzuge-
ben, diesbezüglich ein Löschkonzept zu
entwickeln. Nach unserer Auffassung
sollte im Übrigen in diesem Zusammen-
hang versucht werden, den Auftragneh-
mer vertraglich zur Übernahme der
anfallenden Mehrkosten zu verpflichten,
was grundsätzlich möglich ist.
Verträge anpassen, Bußgelder drohen
Die Auftrags(-daten-)verarbeitung durch
externe Dienstleister bietet Unterneh-
men viele Vorteile. Sie stellt jedoch Da-
tenschutzverantwortliche hinsichtlich
der Anpassung von Auftragsverarbei-
tungsverträgen an die neuen Regelungen
der DSGVO auch vor Herausforderungen.
Und sie birgt Risiken, sollte die Anpas-
sung nur ungenügend erfolgen. Ein Ver-
stoß gegen die gesetzlichen Regelungen
kann zu nicht unerheblichen Bußgeldern
führen. Diese werden sich ab dem 25.
Mai 2018 in der Höhe deutlich von den
bislang festgesetzten Bußgeldern im An-
wendungsbereich des alten Bundesda-
tenschutzgesetzes unterscheiden. Falls
noch nicht geschehen, sollten daher die
Vertragstexte im Zusammenhang mit
der Auftragsverarbeitung dringend ge-
ändert, angepasst beziehungsweise neu
gefasst werden.
HENDRIK MUSCHAL
ist
Office Managing Partner bei
Ogletree Deakins, Fachanwäl-
te für Arbeitsrecht, in Berlin.