Mythos 6: Verträge

In der Blog-Serie Die 7 größten Missverständnisse über die DSGVO klären wir die 7 häufigsten Mythen und Märchen. Diese Woche befassen wir uns mit Verträgen zwischen zwei Parteien.

Verträge

In einem Vertrag dokumentieren die Parteien ihre Absicht, bezüglich personenbezogener Daten zusammenzuarbeiten. Beispielsweise können eine Gemeinde und eine Wohnungsbaugesellschaft vertraglich vereinbaren, dass sie personenbezogene Daten miteinander teilen, um gemeinsam gegen Lärmbelästigung in Mietwohnungen vorzugehen. Häufig wird angenommen, dass die Vertragsparteien personenbezogene Daten weitergeben dürfen, weil sie dies in einem Vertrag vereinbart haben. Das stimmt nicht! Die bloße Zustimmung oder Absicht der Parteien, personenbezogene Daten miteinander zu teilen, bildet keine rechtliche Grundlage für die Verarbeitung personenbezogener Daten. Bei diesem Missverständnis geht es also weniger um Verträge als um die Rechtmäßigkeit der Verarbeitungen.

Grundvoraussetzungen

Der erste Grundsatz, der bei der Verarbeitung personenbezogener Daten zu berücksichtigen ist, ist der der der Rechtmäßigkeit. Die Verarbeitung personenbezogener Daten ist nur in 6 Einzelfällen zulässig:

a) nach Zustimmung der betroffenen Person
b) die Verarbeitung ist für die Zwecke eines Vertrags erforderlich, an dem die betroffene Person beteiligt ist
c) die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich
d) die Verarbeitung ist notwendig, um die lebenswichtigen Interessen des Einzelnen zu schützen
e) die Verarbeitung für die Erfüllung einer Aufgabe von öffentlichem Interesse erforderlich ist
f) die Verarbeitung ist für die Zwecke des berechtigten Interesses des für die Verarbeitung Verantwortlichen erforderlich

Diese 6 speziellen Fälle werden auch als Grundlagen bezeichnet. Bevor du mit der Verarbeitung personenbezogener Daten beginnst, musst du daher immer eine Grundlage haben; es muss einer der 6 oben genannten Fälle vorliegen. Ohne Grundlage ist die Verarbeitung rechtswidrig. Beachte dabei, dass "ein Vertrag" nicht auf der Liste steht.

Wir kehren zu dem Beispiel zurück, in dem die Gemeinde und eine Wohnungsbaugesellschaft persönliche Daten austauschen, um die Lärmbelästigung in Mietwohnungen zu bekämpfen. Die Rechtmäßigkeit der Verarbeitung kann sich nicht auf einen Vertrag stützen. Denn das ist keine legitime Grundlage. Im Falle eines Vertrages kann es zu Verwechslungen kommen, weil die Vertragsparteien glauben, dass sie sich auf die Grundlage (b) verlassen können: Die Verarbeitung ist für einen Vertrag erforderlich, an dem die betroffene Person beteiligt ist. Das stimmt aber nicht, weil der Betroffene nicht Vertragspartei ist. Um sich auf diese Grundlage stützen zu können, muss die Vereinbarung ein Vertrag sein, an dem die betreffende Person beteiligt ist.

Ist der Austausch zwischen der Gemeinde und der Wohnungsbaugesellschaft also illegal? Nicht unbedingt. Buchstabe b) kann jedoch auf keinen Fall die Grundlage sein. Wenn der Datenaustausch tatsächlich notwendig ist, um Lärmbelästigungen zu bekämpfen, kann die Verarbeitung auf Basis e) erfolgen: Die Verarbeitung ist für eine Aufgabe von allgemeinem Interesse notwendig. Schließlich ist es eine der Aufgaben von allgemeinem Interesse sowohl der Kommunen als auch der Wohnungsunternehmen, die Belästigung des Wohnraums zu bekämpfen. Die Durchführung dieser Aufgabe bildet dann die Grundlage der Verarbeitung.

Gemeinsame Verantwortung

Charakteristisch für einen Vertrag ist, dass die Parteien gleichberechtigt zusammenarbeiten. Es geht also nicht um Auftraggeber und Auftragnehmer. Die Parteien legen gemeinsam den Zweck und die Mittel der Verarbeitung fest. Dies bedeutet, dass die Vertragsparteien gemeinsam für die Verarbeitung personenbezogener Daten verantwortlich sind. Anstelle eines Auftragsdatenverarbeitungsvertrags (der Vertrag zwischen der verantwortlichen Partei und dem Verarbeiter) legen sie die Verantwortlichkeiten aller Beteiligten im Vertrag oder in einem Anhang zum Vertrag fest. Es ist besonders wichtig zu notieren, an wen sich die Beteiligten wenden können und welche der Vertragsparteien die Beteiligten informieren können. Diese Vereinbarungen sollten auch der betroffenen Person zugänglich gemacht werden, damit diese weiß, an wen sie sich wenden kann, wenn sie Fragen zu ihren personenbezogenen Daten hat.

Wenn Sie Hilfe bei der Erstellung eines Vertrages benötigen, kann Privacy Company Ihnen dabei helfen. Kontaktiere uns gerne!

Author image
Jill Baehring
Referentin für Datenschutz & Recht auf Privatsphäre bei Privacy Company