Dr SuP Logo Test354x50

Dr SuP Standorte NEU4

news kanzlei dr schmidt und partner

Die Auftragsverarbeitung im Kontext des neuen Datenschutzrechts

Sicherlich haben auch Sie innerhalb der vergangenen Wochen von Ihrem EDV-Anbieter einen Vertrag erhalten, der neben dem eigentlichen Vertrag über die EDV-Leistungen, neue Regelungen zum Datenschutz beinhaltet. Ein solcher Vertrag ist für die Fälle der Auftragsverarbeitung gem. Art. 28 Abs. 3 DSGVO erforderlich, also immer dann, wenn ein Dritter im Auftrag des Verantwortlichen (hier: Apothekeninhaber) persönliche Daten von natürlichen Personen u.a. erfasst, organisiert, ordnet, speichert oder verarbeitet.

Da diese Verträge in den meisten Fällen vom jeweiligen EDV-Anbieter gestellt und zur Unterschrift übersandt werden, ist mit Vorsicht vorzugehen. Im Rahmen unserer Rechtsberatungspraxis sind uns bereits Verträge zur Prüfung vorgelegt worden, die eine gesonderte, vom Gesetz abweichende Haftungsregelung für Datenschutzverstöße regeln. In besagtem Fall soll mit dem Vertrag vereinbart werden, dass der Apothekeninhaber als Auftraggeber bei Verstößen gegen Datenschutzvorschriften allein für Schäden verantwortlich sein soll, selbst wenn diese Verstöße vom Auftragsverarbeiter, sprich dem EDV-Dienstleister, verursacht worden sind. Nur im Nachweisfalle soll er sich entlasten können, sodass eine Haftung dann ausgeschlossen ist, wenn er „in keinerlei Hinsicht für den Umstand verantwortlich ist“. Dass dies erhebliche Schwierigkeiten bedeuten kann, erschließt sich leicht.

Da es sich bei diesen Verträgen in der Regel um allgemeine Geschäftsbedingungen (AGB) handelt, müssen diese - auch zwischen Unternehmern - gewissen Wirksamkeitsanforderungen genügen. Es kann durchaus der Standpunkt vertreten werden, dass es sich dabei um eine unwirksame Klausel handelt, die deshalb keine rechtliche Wirkung entfalten würde. Allerdings müsste diese Frage im schlimmsten Falle durch ein Gericht geklärt werden, sodass nicht mit Sicherheit davon ausgegangen werden kann, dass die Klausel in jedem Falle als unangemessene Benachteiligung gewertet werden würde.

Nach diesseitigem Dafürhalten, sollten sich die Vertragsparteien auf Augenhöhe begegnen; dies gilt in besonderem Maße für diejenigen Bereiche, die außerhalb der eigentlichen vertraglichen Leistung angesiedelt sind, vorliegend in der Einhaltung von allgemeinen Datenschutzvorschriften. Somit raten wir dazu, eine solche Klausel im Einvernehmen zu streichen.

Die DSGVO sieht eine eigene Regelung für solche Schadensfälle vor, von welcher mit der genannten Klausel abgewichen werden soll. In Art. 82 Abs. 5 DSGVO ist geregelt, dass ein Verantwortlicher (hier: der Apothekeninhaber) oder ein Auftragsverarbeiter (hier: der EDV-Anbieter), der einer betroffenen Person (hier: einem Patienten) vollständigen Schadenersatz für den erlittenen Schaden gezahlt hat, berechtigt ist, vom Auftragsverarbeiter bzw. vom Verantwortlichen den Teil des Schadenersatzes zurückzufordern, der seinem Verschuldensanteil hinsichtlich der eigenen datenschutzrechtlichen Pflichten entspricht. Wir halten diese gesetzliche Regelung für ausreichend und angemessen im Hinblick auf das gemeinsame Ziel, den Datenschutz zu gewährleisten.

Aber was geschieht, wenn sich ein Anbieter nicht auf die Streichung einer oder mehrerer Klauseln einlässt und der Vertrag deshalb nicht unterzeichnet wird? Streng genommen dürfte die Auftragsverarbeitung nicht fortgeführt werden, da eine wesentliche Voraussetzung aus Art. 28 Abs. 3 DSGVO nicht erfüllt ist. In die Überlegung müsste dann einbezogen werden, dass eine Sonderkündigung durch den Apotheker oder den EDV-Dienstleister aus wichtigem Grunde nicht ausgeschlossen werden kann.

Zum Seitenanfang