Sollte der ext. DSB eine AVV zwischen seinem Arbeitgeber und dem Kunden prüfen?

Normalerweise kann der Datenschutzbeauftragte den Verantwortlichen bei der Erstellung als auch bei der Prüfung von AVVs unterstützen. Wenn nun der DSB allerdings beim Beratungsunternehmen angestellt ist, sollte er für den Kunden, bei dem er als ext. DSB eingesetzt ist, diesen speziellen AVV (bei dem eine Auftragsverarbeitung zw. Beratungsunternehmen und Kunde vereinbart wird) nicht mitverhandeln, um eine Interessenskollision zu vermeiden.

Beachte dazu Art. 38 Abs. 6 DSGVO: Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

Es muss also sichergestellt werden, dass Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Ein Interessenkonflikt liegt immer dann vor, wenn die gesetzlichen Aufgaben des DSB möglicherweise nicht bedenkenfrei ausgeführt werden können. Als die Hauptpflichten gelten die Unterrichtung und Beratung des Auftraggebers (Art. 39 Abs. 1 lit. a, c DSGVO), die Überwachung der Einhaltung datenschutzrechtlicher Vorschriften (Art. 39 Abs. 1 lit. b DSGVO) und das Zusammenwirken mit der Aufsichtsbehörde (Art. 39 Abs. 1 lit. d, e).

Für diese Pflichten benötigt der Datenschutzbeauftragte insofern Neutralität und Unabhängigkeit. Auch sollte er kein Interesse daran haben „nicht so genau hinzusehen“.

Wir empfehlen daher, den DSB aus der Beratung und Prüfung des AVV zwischen seinem Arbeitgeber und dem Kunden ausdrücklich herauszulassen. Dies sollte schriftlich im DSB-Bestellungsvertrag zwischen Beratungsunternehmen und Kunden so geregelt werden.

Stand: 23.11.2022

Sind Verweise in einem Vertrag mit einem Dienstleister auf sich verändernde online hinterlegte TOMS mit deutschem Recht vereinbar?

Konkretisierung der Fragestellung:

Ist z.B. eine Analogie zur AGB-Einbeziehung in Verträge erlaubt, wonach es ausreicht, wenn bei einer Onlinebestellung nur auf die AGB verwiesen wird, die über einen funktionierenden Link auf der Webseite abrufbar und ausdruckbar sind. Auf diesem Link kann dann immer die aktuelle Version der AGB abgelegt werden, sodass automatisch der Stand der AGB gilt, der bei Vertragsschluss abrufbar war.

Ist dieses Prinzip auf eine Einbindung von TOMs in den AVV übertragbar? Und wie verhält sich die Wirksamkeit bei Änderungen?

Antwort:

Ja, das ist ausreichend!

Begründung:

Anders als AGB statuieren TOMs keine gegenseitigen Rechte und Pflichten, sondern dienen der Dokumentation von technischen und organisatorischen Maßnahmen zur IT-Sicherheit. Ihre detaillierte Einbindung in den AVV ist auch nicht verpflichtend. Lediglich ihre Einhaltung muss sichergestellt sein. Insofern würde eine „unzulässige“ Einbindung die TOMs auch nicht „unwirksam“ werden lassen. Auch nachträgliche und häufige Änderungen an den TOMs können also vorgenommen werden, ohne deren Wirksamkeit im Gesamtkontext zu gefährden. Mit anderen Worten: TOMs haben weniger Vertragscharakter, sondern stellen die Dokumentation von Sicherheitsmaßnahmen dar. Man könnte dies mit einem Verhaltenskodex vergleichen. Es ist davon auszugehen, dass grundlegende Änderungen oder gravierende Streichungen unter Vertragspartnern besprochen werden müssen oder zumindest Kenntnis davon erlangt werden muss. Kleinere Änderungen oder Aktualisierungen sind jedoch jederzeit nötig und möglich, um die Aktualität der Sicherheitsmaßnahmen sicherzustellen. In der Praxis werden TOMs längst über Links in die AVV miteingebunden, um so der Dokumentationspflicht von Beginn an gerecht zu werden.

Stand: 16.11.2022