Gedanken über Datenschutzverträge
Prof. Dr. Alexander Golland Schriftleitung Datenschutz-Berater
Wenige Tage nach dem „Klassentreffen der Datenschützer“, der Datenschutzkonferenz 2024, bei der wir rund 450 Teilnehmer begrüßen durften (an dieser Stelle: ein großes Danke!), war ich auf einer Tagung der Stiftung Datenschutz in Berlin. Dort wurde ich von einem Teilnehmer dort mit einer interessanten Frage konfrontiert:
Was ist eigentlich, wenn IT-Dienstleistungen wie Cloud-Speicherplatz u.Ä. an Verbraucher angeboten werden? Verträte man die Ansicht, eine Verarbeitung im Auftrag eines durch Art. 2 Abs. 2 lit. c DSGVO Privilegierten sei nicht möglich, so wäre allein der Diensteanbieter verantwortlich. Das Erfordernis einer Rechtsgrundlage wird spätestens dann problematisch, wenn der Nutzer über den Dienst sensible Daten verarbeitet. Kann diese Folge einer faktisch unvermeidbaren Rechtswidrigkeit richtig sein? Sicher nicht. Auch wäre der Diensteanbieter nicht in der Lage, Betroffenenrechten zu erfüllen. In der Praxis könnte kaum ein Dienst datenschutzkonform angeboten werden – private Internetnutzung also vorbei?
Das Problem ist alt; bereits vor 15 Jahren gingen Aufsichtsbehörden davon aus, dass es in dieser Konstellation keinen Verantwortlichen gebe. Meines Erachtens ist hier die Auftragsverarbeitung analog anzuwenden, sodass der Diensteanbieter nicht als Verantwortlicher zu qualifizieren ist, sondern die mit der Auftragsverarbeitung verbundene Privilegierungswirkung genießt (somit keiner eigenen Rechtsgrundlage bedarf). Problematisch? Nein, da der Diensteanbieter analog Art. 28 Abs. 3 DSGVO verpflichtet wäre, mit dem Privatnutzer einen Vertrag mit den Regelungsinhalten einer Auftragsverarbeitung einzugehen, d.h. insbesondere weisungsgemäß zu verarbeiten und die risikobasierten Anforderungen an Datensicherheit einzuhalten.
Nachdem ich vor etwa fünf Jahren zu diesem Thema veröffentlichte, dachte ich: „Gut, die Lösung liegt auf der Hand, fertig.“ Der Teilnehmer, der mich letzten Donnerstag ansprach, hatte tatsächlich eine Umfrage unter deutschen Aufsichtsbehörden durchgeführt, wie diese die Konstellation beurteilen. „Es steht 8:8, und es gibt kaum Veröffentlichungen zu dem Thema“, so seine Aussage. Ich schreibe es also nochmal: Es ist auch mit Privatnutzern eine AV-Vereinbarung zu schließen. Und wenn Sie an eine Aufsichtsbehörde geraten, die den „Quasi-Auftragsverarbeiter“ für einen Verantwortlichen hält, stellen Sie gern den Kontakt mit mir her. Ich freue mich immer über den Austausch.
Apropos Datenschutzverträge: Die Europäische Kommission hat Standarddatenschutzklauseln für die Konstellation angekündigt, in der der im Drittland belegene Datenimporteur unmittelbar selbst der DSGVO unterliegt. Datenexportierende Unternehmen schließen in diesen Fällen häufig die „normalen“ Standarddatenschutzklauseln ab und ignorieren, dass diese hier eigentlich gar nicht passen. Erfolgt die hierauf gestützte Übermittlung ins Drittland nun widerrechtlich? Wohl nicht, denn die bisherigen Standarddatenschutzklauseln enthalten viele Vorgaben, die identisch in der DSGVO geregelt sind. Wenn Sie mit einem Datenimporteur, der selbst der DSGVO unterliegt, vermeintlich unpassende Klauseln abgeschlossen haben, dann haben Sie wahrscheinlich einfach zu viel geregelt.
Was erwartet uns also? Mein Tipp: Die bisherigen Standarddatenschutzklauseln werden bloß gekürzt um die (in diesem Fall: obsoleten) Pflichten, die direkt aus der DSGVO folgen. Aber lassen Sie uns mal gemeinsam schauen, was die Zukunft bringt.
Ihr
Alexander Golland