Auf den Webseiten von Datenschutzbehörden, Verbänden und Beratern finden sich viele Vorlagen zu datenschutzrechtlichen Verträgen. Unerfahrene Interessierte greifen darauf zu und schon sind Verträge in der Welt, deren Qualität häufig zweifelhaft ist. Bestimmte Klauseln aus Auftragsdatenverarbeitungsverträgen sind trotz völliger Sinnlosigkeit sogar auf dem Weg zum Standard.
Der Inhalt im Überblick
Fragwürdige Motive der Veröffentlichung
Die Motive der Veröffentlichung von Vertragsmuster sind unterschiedlich. Die einen wollen tatsächlich einfach guten Service anbieten, andere lediglich ihre Zugriffszahlen erhöhen. Tatsächlich finden sich gerade im Datenschutzrecht eine Vielzahl von Muster und Vorlagen im Netz. Dagegen ist grundsätzlich wohl nichts einzuwenden, denn ein Verwender mag selbst entscheiden, ob er sich auf frei verfügbare und abstrakte Muster verlässt.
Sehr problematisch wird es hingegen, wenn die Muster einerseits Klauseln enthalten, die rechtlich zweifelhaft sind, andererseits gerade von Datenschutzbehörden veröffentlich werden, die ja gemeinhin ein besonderes Vertrauen genießen.
Uneingeschränkter Zugang … auch zur Privatwohnung?
Konkrete Vorfälle häufen sich in der Praxis. Insbesondere folgende Klausel findet sich in vielen Vorlagen und beispielsweise auf der Webseite des hessischen Landesdatenschutzbeauftragen und sollte Juristen Kopfzerbrechen bereiten:
„3.8 … soweit die Daten in einer Privatwohnung verarbeitet werden ist der Zugang zur Wohnung durch den Auftraggeber vorher mit dem Auftragnehmer abzustimmen. Der Auftragnehmer sichert zu, dass auch die anderen Bewohner dieser Privatwohnung mit dieser Regelung einverstanden sind.“
Mit anderen Worten sichert der Auftragnehmer zu, mitunter vertragsstrafenbewehrt, Vereinbarungen mit seinen Mitarbeitern oder Angestellten zu treffen, in welcher sie sich verpflichten, den Vertragspartner ihres Arbeitgebers in ihre Privatwohnungen zu lassen und ihre Frauen, Männer, Kinder und sonstige Mitbewohner entsprechend mit einzubeziehen.
Umsetzung unmöglich
Da haben die Datenschützer ganze Arbeit geleistet. Ohne Rücksicht auf Persönlichkeitsrechte und Grundrechte, z.B. Unverletzlichkeit der Wohnung werden Regelungen in Umlauf gebracht, deren arbeitsrechtliche Umsetzbarkeit nahezu unmöglich sind und Auftragnehmer etwas versprechen lassen, das nicht einzuhalten ist.
Die praktischen Auswirkungen zeigt der konkrete Fall einer großen deutschen Bank, die auf die Klausel unter dem Verweis auf die Vorgabe der hessischen Datenschutzbehörde besteht.
Bei Unternehmen, deren Dienstleistung in der Erbringung von Datenverarbeitungen besteht, können die Mitarbeiter ja vielleicht zu Hause ein Wartezimmer für die Auditoren der vielen Auftragsdatenverarbeitungsgeber einrichten.
Für nähere Informationen zur Auftragsdatenverarbeitung können wir Ihnen unseren Artikel „Auftragsdatenverarbeitung“ empfehlen.
Dann würde mich aber interessieren wie Sie die gesetzliche Kontrollpflicht bei ADVs in Privatwohnungen durchsetzen wollen?
Es gibt immer wider Selbstständige Dienstleister die von zu Hause aus arbeiten.
Meiner Meinung nach ist diese Klausel in diesem Fall sehr wichtig. Denn sie erlaubt dem Auftraggeber die Kontrolle Vorort, aber nur wenn alle Mitbewohner damit einverstanden sind. Sollte das nicht der Fall sein, darf der Auftragnehmer den Vertrag gar nicht schließen.
Sie argumentieren nur aus Sicht des Auftragsdatenarbeitungsgebers und haben insoweit Recht, dass ein Interesse an der Überprüfbarkeit besteht. Persönlichkeitsrechte beeinhalten aber mehr als nur Datenschutz, nämlich z.B. auch die Unverletzlichkeit der Wohnung. Das Argument, man müsse den Vertrag nicht unterschreiben geht zu kurz – die wirtschaftliche Unterlegenheit wird Auftragsdatenverarbeitungsnehmer durchaus zwingen, die Klausel zu unterschreiben, andere juristisch nicht gut beratene Unternehmen bemerken die Crux nicht einmal.
Soweit bekannt sind „tatsächliche Schwierigkeiten“ kein Rechtfertigungsgrund, gesetzliche Forderungen nicht umzusetzen. In der Hinsicht taugt auch der Wunsch, etwas mit möglichst geringem Aufwand oder größtmöglicher Freiheit (hier: auch zu Hause) zu erledigen, nicht als Grund, die Kette von Dienstleistern und Subdienstleistern an irgendeiner Stelle nicht mehr so stark zu machen, wie es der Schutzbedarf der im Auftrag verarbeiteten Daten erfordert.
Wenn ich mir als Auftraggeber, das Recht zur vor Ort Kontrolle vorbehalten muss, eben weil ich Verantwortung für entsprechend schutzbedürftige Informationen trage, dann habe ich vom (Sub-) Dienstleister auch die Duldung zu verlangen oder eben eine Verarbeitung an Orten, an denen keine Kontrolle gewünscht ist, wirksam zu unterbinden. Hierfür sind solche Klauseln durchaus geeignet. Die in Ihrem Beitrag vertretene Argumentation geht hieran völlig vorbei und unterstellt quasi die Befugnis eines Dienstleisters, Daten im Auftrag an Stellen zu verarbeiten, die der Kontrolle des Dienstherren entzogen sind!
Lediglich die pauschale Einräumung eines Rechts zur vor Ort Kontrolle, ohne Rücksicht auf den tatsächlichen Schutzbedarf, wäre hier m.E. diskutabel. Bei Bedarf muss aber eine Kontrolle an allen Orten der Verarbeitung möglich sein.
Tatsächliche Schwierigkeiten sind kein Grund dafür, eine Forderung nicht zustellen. Ja, den Schutzbedarf gibt es ohne Zweifel. Ob bedenkliche Klauseln aber ohne Aufklärung in Standardverträgen landen, sollte den Datenschützer doch nachdenken lassen. Datenschutz ist Persönlichkeitsrechtsschutz, der über die Überwachung richtiger Datenverarbeitung weit hinausgeht. Die Klauseln sind geeignet, vielleicht auch erforderlich, aber auch angemessen?
Diese Vorlagen sollen eben alle Eventualitäten abdecken die bei einer ADV vorkommen können. Das man solche Vorlagen nicht einfach übernehmen sollte, sondern immer auf den aktuellen Fall anpassen muss sollte jedem klar sein. Ein ADV-Vertag ist schließlich nicht „Ideal-Standard“. Hier ist auch der Datenschutzbeauftragte des Unternehmens gefragt solche Vereinbarungen praxisgerecht zu gestalten.
Wir können informer nur zustimmen. Mit diesem Artikel sollte gerade darauf hingewiesen werden, dass man eine Mustervorlage, auch wenn sie von einer Quelle wie den Landesdatenschutzbeauftragten stammt, nicht einfach übernehmen soll. Mustervorlagen sind für alle Eventualitäten geschrieben und daher großteils umfangreicher als erforderlich oder angebracht. Man sollte daher die Klauseln eines ADV immer kontrollieren egal wie gut die Quelle ist.