Ein Muss bei Weitergabe von Daten

Datenschutz in der Eventbranche: Der Auftragsverarbeitungsvertrag

Was ist eigentlich ein Auftragsverarbeitungsvertrag, wann und warum muss dieser abschlossen werden? Warum sich die Veranstaltungsbranche unbedingt mit dem Auftragsverarbeitungsvertrag beschäftigen sollte, erklärt Rechtsanwalt und Fachanwalt für IT-Recht Timo Schutt.

Mann und Frau schütteln die Hände, Schreibtisch(Bild: Shutterstock / Andrey_Popov )

In vielen Situationen muss ein Auftragsverarbeitungsvertrag abgeschlossen werden. Der Verzicht auf einen ebensolchen kann ein Bußgeld und Zahlungsansprüche auslösen.

Anzeige

Was ist eine Auftragsverarbeitung?

Immer dann, wenn Sie personenbezogene Daten (also beispielsweise, Namen, Adressen, Essgewohnheiten o.ä.) einem anderen Unternehmen (etwa einer anderen Agentur, einem Caterer, der Location o.ä.) weitergeben mit der konkreten Intention, dass dieses andere Unternehmen die Daten verwendet, also verarbeitet, beauftragen Sie diesen Dritten mit einer Datenverarbeitung. Das ist eine Auftragsverarbeitung.

Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt dabei aber nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird. Die Beauftragung mit Dienstleistungen anderer Art, also mit Dienstleistungen, bei denen nicht die Datenverarbeitung selbst im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, stellt wiederum keine Auftragsverarbeitung dar. Das ist oft gar nicht so einfach einzuordnen und auch ich stelle bei Anfragen von Mandant:innen immer wieder fest, dass es manchmal schwierig ist festzustellen, ob tatsächlich eine Auftragserarbeitung vorliegt oder nicht. Im Zweifel sollten Sie aber immer von einer Auftragsverarbeitung ausgehen. Dies ist der sicherere Weg.

Die Auftragsverarbeitung wird in Artikel 28 der Datenschutzgrundverordnung (DSGVO) geregelt. Dort steht zum Beispiel, dass Sie sich Ihren Auftragsverarbeiter sorgfältig aussuchen müssen. Denn es wird von Ihnen erwartet, personenbezogene Daten nur an solche Dritte weiterzugeben, die ihrerseits datenschutzkonform handeln und ausreichende Maßnahmen zur Sicherung dieser Daten getroffen haben. Das wiederum müssen Sie prüfen. Jedenfalls ist das Ihre Aufgabe nach der DSGVO.

Der Gedanke dahinter ist, dass Sie für die Ihnen anvertrauten Daten verantwortlich sind. Diese Verantwortung soll nicht aufhören, wenn Sie diese Daten weitergeben, sondern Sie bleiben verantwortlich für die Daten. Das betrifft auch Ihre Haftung für den Verlust oder den Missbrauch dieser Daten.

Warum muss ein Vertrag geschlossen werden?

Um sicherzustellen, dass der Schutz der zur Weitergabe vorgesehenen Daten gewahrt bleibt, schreibt Artikel 28 DSGVO vor, dass

  • das Unternehmen, welches die Daten im Auftrag weitergibt, nur mit Auftragsverarbeitern zusammenarbeiten darf, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet;
  • der Auftragsverarbeiter keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch nehmen darf und im Fall einer allgemeinen schriftlichen Genehmigung der Auftragsverarbeiter immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter informieren muss, damit dagegen u.U. Einspruch erhoben werden kann und, dass
  • die Verarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Vertrags erfolgt, in dem zumindest Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen, die Pflichten und Rechte des Verantwortlichen und weitere genannte Pflichten und Rechte festgelegt sind.

Auf Deutsch bedeutet das, dass Sie zum einen verantwortlich dafür sind, einen sorgfältig und sicher arbeitenden Auftragsverarbeiter auszusuchen, der wiederum selbst nur solche Unterauftragsverarbeiter beauftragen darf und Sie darüber informieren muss. Dieses und weiteres müssen Sie in einem Vertrag regeln. Dieser Vertrag ist der Auftragsverarbeitungsvertrag.

Er ist also zwingend zu schließen, wenn eine solche Auftragsverarbeitung erfolgen soll. Und er ist unbedingt zu schließen, bevor die ersten Daten übermittelt werden. Zudem muss er mindestens die in Artikel 28 DSGVO einzeln aufgezählten Inhalte aufweisen.

Hände schütteln, Geschäfte machen(Bild: Shutterstock/nampix )

Was passiert, wenn der Vertrag nicht geschlossen wurde?

Anderenfalls ist die Weitergabe der personenbezogenen Daten rechtswidrig. Denn es fehlt die erforderliche vertragliche Grundlage dafür. Und das wiederum löst bereits den Verstoß gegen die DSGVO und die Gefahr eines nicht unerheblichen Bußgelds aus. Ein Bußgeldverfahren aus Niedersachsen wurde vor einiger Zeit bekannt, in dem ein kleines Unternehmen nur wegen Fehlens eines Auftragsverarbeitungsvertrags für eine kleinere Datenübermittlung ein Bußgeld von 5.000 Euro erhielt.

Dazu kommt, dass alle betroffenen Personen – das sind also die Menschen, deren Daten weitergegeben werden – gegen Sie Ansprüche auf immateriellen Schadensersatz haben. Das ist das bekannte „Schmerzensgeld“. Denn die DSGVO sagt, dass schon die rechtswidrige Datenverarbeitung bei den Betroffenen einen zumindest immateriellen Schaden auslöst, der durch eine Zahlung auszugleichen ist. Die Gerichte sprechen zurzeit uneinheitlich hier Beträge zwischen 50 Euro und 5.000 Euro pro betroffene Person zu. Je nachdem, um wie viele Datensätze es geht, können Sie also ausrechnen, dass sich der potenzielle Schaden für Sie schnell nach oben bewegen kann.

In welchen Situationen brauchen Sie den Vertrag?

Nun, in der Eventbranche kommt es regelmäßig zu Situationen, die als Auftragsverarbeitung einzuordnen sind und die damit den Abschluss eines solchen Vertrages zwingend erforderlich machen. Das beginnt schon dann, wenn jemand anderes für Sie das Teilnehmermanagement übernimmt. Das ist eine Auftragsverarbeitung und Sie müssen vorher den Vertrag abschließen.

Oder wenn Sie einen Online-Anbieter beauftragen für Sie ein Event zu streamen. Selbst wenn Sie die Namen der Online-Teilnehmenden gar nicht erfassen, werden mindestens deren IP-Adressen verarbeitet, was für eine Auftragsverarbeitung schon reicht.

Oder nehmen wir den Fall, dass Sie personenbezogene Daten der Teilnehmenden an Beteiligte einer Veranstaltung schicken, sei es den Caterer, sei es die Location oder sei es das Hotel für die Übernachtungen. Wir haben regelmäßig mehrere Unternehmen, die an einem Event beteiligt sind und dabei oftmals großzügig Daten (auch der Beschäftigten und der Crew, was genauso als Auftragsverarbeitung anzusehen sein kann) austauschen. Alle diese typischen Situationen brauchen also einen solchen Auftragsverarbeitungsvertrag.

Daneben müssen Sie die Verträge (natürlich) auch archivieren und deren Vorliegen im Zweifel nachweisen können. Daher empfiehlt es sich, ein umfassendes Datenschutzmanagementsystem einzuführen, das dann auch solche Aufgaben beinhaltet, so dass Sie im besten Falle Ihre Datenschutz-Compliance jederzeit nachweisen und damit ruhig schlafen können.

Zusammenfassung

In vielen alltäglichen Situationen der Eventbranche liegt eine datenschutzrechtliche Auftragsverarbeitung vor. Das Gesetz zwingt Sie dann, vor Beginn der Datenweitergabe (wozu übrigens auch die bloße Zugriffsmöglichkeit durch einen Dritten gehört) einen Auftragsverarbeitungsvertrag zu schließen. Der Vertrag braucht mindestens die Pflichtinhalte, die sich aus Artikel 28 Absatz 3 DSGVO ergeben. Außerdem sind diese Verträge zu archivieren und müssen jederzeit als Nachweis für das ordnungsgemäße Vorgehen (insbesondere gegenüber den Aufsichtsbehörden für den Datenschutz) vorgelegt werden können.

Wenn Sie das Thema bislang nicht auf dem Schirm hatten: Es ist nie zu spät, sich mit dem Thema zu befassen und die eigenen Abläufe auf rechtmäßige Beine zu stellen. Schließlich gibt es auch externe Berater:innen und Expert:innen, die Ihnen hier tatkräftig zur Seite stehen und sich um Ihren Datenschutz kümmern können.

Timo Schutt unterstützt bei rechtlichen Fragen

Timo Schutt(Bild: Michael M.Roth/MicialMedia)

Kontaktieren Sie Timo Schutt per Mail an info@schutt-waetke.de, wenn Sie rechtliche Unterstützung in Sachen Teilnehmermanagement und Datenverarbeitung benötigen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.