Wann ist ein Abschluss eines AVV nötig?

Ausführliche Informationen zu AV-Verträgen finden Sie in unserem Blog.

Was sagt der EDSA/EDPD zum Thema AV-Vertrag?

Ausführliche Informationen zu AV-Verträgen finden Sie in unserem Blog.

Ist es ausreichend, wenn die Aufklärung über die Drittlandsverarbeitung in den Datenschutzhinweisen ausführlicher und bei dem Hinweis-Text etwas sparsamer erfolgt?

Beispiel mit folgendem Wortlaut:

Ja, ich möchte News per E-Mail zugesendet bekommen. Ich bin damit einverstanden, dass eine Datenverarbeitung auch außerhalb der EU stattfinden könnte. Weiterführende Detail finden Sie in unseren Datenschutzhinweisen. Diese Einwilligung kann ich jederzeit widerrufen.

Antwort: das ist eine Frage der Informiertheit der Einwilligung:

Die Einwilligung hat in informierter Weise zu erfolgen. In ErwGr. 42 der DS-GVO wird insbesondere darauf abgestellt, dass eine vom Verantwortlichen vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt wird, keine missverständlichen Klauseln enthalten sind und die betroffene Person mindestens darüber in formiert wird, wer der Verantwortliche ist und zu welchen Zwecken ihre personenbezogenen Daten verarbeitet werden sollen. DSGVO).

Darüber hinaus ist die betroffene Person nach Auffassung des Europäischen Datenschutzausschusses über die Art der verarbeiteten Daten, über ihr Recht, die Einwilligung jederzeit zu widerrufen, ggf. über die Verwendung der Daten für eine automatisierte Entscheidungsfindung und über mögliche Risiken von Datenübermittlungen in Drittländer ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien nach Artikel 46 DS-GVO zu informieren.

Ergebnis: Abwägungsfrage!

Wir halten den Hinweistext gerade noch für zulässig (wegen der besseren Lesbarkeit), wenn der verlinkte Text dann vollständig ist. Vielleicht sollte zusätzlich im Hinweistext vor allem die Rechtsfolge beschrieben werden, was mit den pbD in den USA passiert. 

Stand: 30.11.2022

In welchen Fällen kommt man bei Kontaktformularen oder Newsletter Anmeldungen ohne Check-Boxen aus?

Check-Boxen sind ein beliebtes und sinnvolles Tool um

Datenschutzrechtlich sind Check-Boxen nicht zwingend erforderlich, aber sinnvoll (Dokumentationsmöglichkeit!). Grundsätzlich reicht es auch aus, dem Benutzer einen gut sichtbaren Hinweis auf die Datenschutzerklärung zu geben, bevor dieser das Webformular absendet. Ein Bestätigen, dass der Nutzer die Datenschutzerklärung auch wirklich gelesen hat, ist nicht erforderlich.

Mehr Infos hier

Ohne Check-Boxen kommt man insbesondere auch dann aus, wenn man die Verarbeitung nicht auf eine Einwilligung des Nutzers, sondern auf eine andere Rechtsgrundlage, z.B. sein berechtigtes Interesse an der Verarbeitung stützt bzw. stützten darf.


Dies kommt namentlich bei sog. „Bestandskunden“ in Betracht (§ 7 Abs. 3 UWG). Hier kann eine Verarbeitung auch ohne eine Einwilligung zulässig sein (siehe dazu auch LiiDU FAQ-Seite unter der Frage „Wie kann man sinnvoll mit der Zusammenlegung von Newslettern umgehen?“).


Beachte aber, dass auch hier eine Check-Box für den Nachweis der Informationserteilung nach Art. 13 DSGVO sinnvoll ist. Die Informationen nach Art. 13 DSGVO sind unabhängig von der Rechtsgrundlage, auf die die Verarbeitung gestützt würde, zu erteilen.

Abseits des Bestandskunden-Privilegs ist für den

die Einholung einer Einwilligung Pflicht. Der Double Opt-In ist dabei die in der Praxis am meisten verbreitete Lösung. Hier schickt der Verantwortliche dem Nutzer eine E-Mail, mit der er diesen auffordert, die Kontaktaufnahme zu bestätigen.

Ohne Double-Opt-In kommt man bei Newslettern nur aus, wenn die Einwilligung auf andere Weise erfolgt (z.B. E-Mail, Liste auf Messe, etc.).

Im Gegensatz dazu ist beim

die Einholung einer Einwilligung KEINE Pflicht.

Das gilt dann, wenn alleiniger Zweck der Verarbeitung die Bearbeitung der über das Kontaktformular gestellte Anfrage ist. Diese Verarbeitung ist von anderen Rechtsgrundlagen gedeckt, v.a. das berechtigte Interesse des Seitenbetreibers an der Bearbeitung der Anfrage.

Eine Check-Box ist damit ebenfalls nicht zwingend notwendig. Es genügt ein gut sichtbarer Hinweis im Kontaktformular in der Nähe des „Sende-Buttons“, dass auf die Datenschutzerklärung hingewiesen und diese verlinkt wird. 

Ändert sich die Situation, falls die Daten in ein Ticket-System laufen
(Zendesk), welches zwar einen Serverstandort in Europa hat, aber deren Hauptsitz in den USA liegt?

Die Anbindung von Zendesk erfolgt in der Regel über Cookies. Hier müssen dann alle Vorgaben zum Thema rechtswirksame Cookie-Einbindung eingehalten werden. Eine datenschutzrechtliche Einwilligung des Nutzers der Website nach § 25 TTDSG, Art. 6 Abs.1 lit. a DSGVO ist damit in jedem Fall Pflicht.

Nicht vergessen:

Stand: 30.11.2022

Sollte der ext. DSB eine AVV zwischen seinem Arbeitgeber und dem Kunden prüfen?

Normalerweise kann der Datenschutzbeauftragte den Verantwortlichen bei der Erstellung als auch bei der Prüfung von AVVs unterstützen. Wenn nun der DSB allerdings beim Beratungsunternehmen angestellt ist, sollte er für den Kunden, bei dem er als ext. DSB eingesetzt ist, diesen speziellen AVV (bei dem eine Auftragsverarbeitung zw. Beratungsunternehmen und Kunde vereinbart wird) nicht mitverhandeln, um eine Interessenskollision zu vermeiden.

Beachte dazu Art. 38 Abs. 6 DSGVO: Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

Es muss also sichergestellt werden, dass Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Ein Interessenkonflikt liegt immer dann vor, wenn die gesetzlichen Aufgaben des DSB möglicherweise nicht bedenkenfrei ausgeführt werden können. Als die Hauptpflichten gelten die Unterrichtung und Beratung des Auftraggebers (Art. 39 Abs. 1 lit. a, c DSGVO), die Überwachung der Einhaltung datenschutzrechtlicher Vorschriften (Art. 39 Abs. 1 lit. b DSGVO) und das Zusammenwirken mit der Aufsichtsbehörde (Art. 39 Abs. 1 lit. d, e).

Für diese Pflichten benötigt der Datenschutzbeauftragte insofern Neutralität und Unabhängigkeit. Auch sollte er kein Interesse daran haben „nicht so genau hinzusehen“.

Wir empfehlen daher, den DSB aus der Beratung und Prüfung des AVV zwischen seinem Arbeitgeber und dem Kunden ausdrücklich herauszulassen. Dies sollte schriftlich im DSB-Bestellungsvertrag zwischen Beratungsunternehmen und Kunden so geregelt werden.

Stand: 23.11.2022

Ist der Azure Key Vault datenschutzkonform?

Mehr Infos zum Azure Key Vault finden Sie in unserem Blog.

Welche Qualität müssen TOMs haben, um den Anforderungen der DSGVO zu genügen?

Die TOMs, also die technischen und organisatorischen Maßnahmen die geeignet sind, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, vgl. Art. 32 DS-GVO, müssen nach Art. 28 Abs. 3 lit. c DS-GVO bei der Auftragsverarbeitung ergriffen und dokumentiert werden.

Einerseits müssen die TOMs dem aktuellen Stand der Technik entsprechen. Andererseits muss auch das Verhältnis von Maßnahme zu Aufwand im Rahmen der Verhältnismäßigkeit berücksichtigt werden. Auf Grund des hohen Schutzinteresses der Betroffenen werden wirtschaftliche Erwägungen jedoch eine hintergründige Rolle spielen. Dabei ist der Verantwortliche selbst in der Pflicht geeignete TOMs aufzustellen und deren Einhaltung zu garantieren.

Um die Qualität beurteilen zu können, ist das Kriterium ein angemessenes Schutzniveau und ist demnach ein Auswuchs der Verhältnismäßigkeit. Anhaltspunkte sind dabei Eintrittswahrscheinlichkeit, Schwere des Risikos für die Betroffenen, Kategorien personenbezogener Daten, aber auch die Implementierungskosten.

Dabei soll sich an schon vorhandene bzw. einfach zu handhabende Maßnahmen orientiert werden. Auch wie eine Verarbeitung stattfindet, in welchem Umfang, unter welchen Umständen und zu welchem Zweck ist zu berücksichtigen. Insgesamt muss also eine Schutzbedarfsfeststellung durchgeführt werden.

Um effektiv der entsprechende Nachweis erbringen zu können, ist folgendes zu dokumentieren: das Verfahren und Ergebnis der Schutzbedarfsfeststellung, der Risikobewertung und die entsprechende Ableitung der Sicherheitsmaßnahmen unter Berücksichtigung der Belastbarkeit.

Zusammengefasst müssen die TOMs verständlich alle Maßnahmen darlegen, um den zuvor nachweislich durchgeführten Schutzbedarfsfeststellungen zu genügen.

Für ausführlicher Informationen kann die Best-Practice Checkliste des BayLDA zu den TOMs herangezogen werden. Mehr Details zum Stand der Technik

Stand: 23.11.2022

Was steht in der NIS2-Richtlinie der EU?

Mehr Infos zur NIS2-Richtlinie finden Sie in unserem Blog.

Sind Verweise in einem Vertrag mit einem Dienstleister auf sich verändernde online hinterlegte TOMS mit deutschem Recht vereinbar?

Konkretisierung der Fragestellung:

Ist z.B. eine Analogie zur AGB-Einbeziehung in Verträge erlaubt, wonach es ausreicht, wenn bei einer Onlinebestellung nur auf die AGB verwiesen wird, die über einen funktionierenden Link auf der Webseite abrufbar und ausdruckbar sind. Auf diesem Link kann dann immer die aktuelle Version der AGB abgelegt werden, sodass automatisch der Stand der AGB gilt, der bei Vertragsschluss abrufbar war.

Ist dieses Prinzip auf eine Einbindung von TOMs in den AVV übertragbar? Und wie verhält sich die Wirksamkeit bei Änderungen?

Antwort:

Ja, das ist ausreichend!

Begründung:

Anders als AGB statuieren TOMs keine gegenseitigen Rechte und Pflichten, sondern dienen der Dokumentation von technischen und organisatorischen Maßnahmen zur IT-Sicherheit. Ihre detaillierte Einbindung in den AVV ist auch nicht verpflichtend. Lediglich ihre Einhaltung muss sichergestellt sein. Insofern würde eine „unzulässige“ Einbindung die TOMs auch nicht „unwirksam“ werden lassen. Auch nachträgliche und häufige Änderungen an den TOMs können also vorgenommen werden, ohne deren Wirksamkeit im Gesamtkontext zu gefährden. Mit anderen Worten: TOMs haben weniger Vertragscharakter, sondern stellen die Dokumentation von Sicherheitsmaßnahmen dar. Man könnte dies mit einem Verhaltenskodex vergleichen. Es ist davon auszugehen, dass grundlegende Änderungen oder gravierende Streichungen unter Vertragspartnern besprochen werden müssen oder zumindest Kenntnis davon erlangt werden muss. Kleinere Änderungen oder Aktualisierungen sind jedoch jederzeit nötig und möglich, um die Aktualität der Sicherheitsmaßnahmen sicherzustellen. In der Praxis werden TOMs längst über Links in die AVV miteingebunden, um so der Dokumentationspflicht von Beginn an gerecht zu werden.

Stand: 16.11.2022

Dürfen Mitarbeiter eines bestellten DSB datenschutzrechtlich beraten?

Wählt man eine strenge Auslegung nach dem Wortlaut des Gesetzes, dann dürfen Mitarbeiter eines bestellten DSB nicht beratend tätig werden.

Begründung:
Bei einem DSB kann es sich nach der gesetzgeberischen Konzeption nur um eine natürliche und keine juristische Person handeln. Der DSB wird gemäß Artikel 37 Abs. 1 DSGVO von dem Verantwortlichen benannt. Außerdem muss der DSB gemäß Artikel 37 Abs. 5 DSGVO eine hinreichende berufliche Qualifikation besitzen.
Aus der Zusammenschau der Normen geht recht eindeutig hervor, dass die Stellung des Datenschutzbeauftragten personengebunden ist.
Datenschutzbeauftragter im Sinne DSGVO ist folglich nur die Person, die von dem Verantwortlichen benannt wurde. Damit können die einem DSB nach Artikel 39 DSGVO auferlegten Aufgaben und damit einhergehenden Rechte auch nur von dieser Person ausgeübt werden. Rechtsberatung – also Einzelfallberatung (§ 2 Abs. 1 RDG) – durch andere (nicht bestellte) Personen (inklusive Mitarbeiter) ist damit aufgrund des RDG ausgeschlossen. Artikel 39 DSGVO gestattet als Ausnahmevorschrift gem. § 1 Abs. 3 RDG und § 3 RDG eine Rechtsberatung nur durch den benannten DSB.

Eine andere – weitere – Auffassung, vertritt die Art. 29 Datenschutzgruppe:

Im Rahmen eines Dienstleistungsvertrags beschäftigte DSB:

Die Funktion eines DSB kann auch auf Grundlage eines Dienstleistungsvertrags ausgeübt werden, der mit einer natürlichen oder juristischen Person geschlossen wird, die nicht der Einrichtung des Verantwortlichen oder Auftragsverarbeiters angehört. In letzterem Falle ist es unverzichtbar, dass jedes Mitglied der Einrichtung, das die Funktionen eines DSB wahrnimmt, sämtliche in Abschnitt 4 der DS-GVO genannten Anforderungen erfüllt (sodass Interessenkonflikte ausgeschlossen werden können). Ebenso wichtig ist es, dass jedes Mitglied durch die Bestimmungen der DS-GVO geschützt ist (keine ungerechtfertigte Kündigung von Dienstleistungsverträgen in Bezug auf Tätigkeiten als DSB und keine ungerechtfertigte Entlassung einer der Einrichtung angehörigen natürlichen Person, welche die Aufgaben eines DSB wahrnimmt). Zugleich lassen sich individuelle Qualifikationen und Stärken so miteinander kombinieren, dass Einzelpersonen durch die Zusammenarbeit im Team ihren Mandanten noch wirksamere Dienste leisten können.

Aus „Leitlinien in Bezug auf Datenschutzbeauftragte“, Art. 29 Datenschutzgruppe, angenommen am 13. Dezember 2016 zuletzt überarbeitet und angenommen am 5. April 2017.

Was gilt, wenn der bei der Aufsichtsbehörde gemeldete DSB durch Krankheit oder Urlaub nicht erreichbar ist?

Aus dem Gesetz heraus lässt sich weder ein Verbot, noch eine Verpflichtung zur Benennung eines Vertrertes herauslesen. Möglich wäre es z.B., einem externen DSB (vgl. Art. 36 Abs. 6 DSGVO) dienstvertraglich ein solches Recht einzuräumen.


Die sicherste Variante wäre die Benennung eines Vertreters des DSB durch den Verantwortlichen selbst. Wie aus dem Wortlaut von Artikel 37 Abs. 1 DSGVO hervorgeht, kann der Verantwortliche mehr als einen Datenschutzbeauftragen benennen (soweit dieser die fachlichen Voraussetzungen des Abs. 5 erfüllt). Dementsprechend halten wir es für möglich, dass ein Verantwortlicher einen Ersatzbeauftragen benennt, der bei fehlenden Erreichbarkeit des Haupt-DSB einspringen kann.

Dürfen andere „fachkundige“ Mitarbeiter dann datenschutzrechtliche Beratungsleistungen erbringen?

Ja, das halten wir mit der Artikel 29-Datenschutzgruppe für möglich. Allerdings gibt es noch keine Urteile dazu.

 Aus „Leitlinien in Bezug auf Datenschutzbeauftragte“, Art. 29 Datenschutzgruppe, angenommen am 13. Dezember 2016 zuletzt überarbeitet und angenommen am 5. April 2017.

Stand: 16.11.2022