Mustervertrag: Datenschutzvereinbarung mit einem Kaufhausdetektiv

Datenschutz

Datenschutzvereinbarung mit Kaufhausdetektiv

Letzte Aktualisierung: 29.09.2016

Im Zusammenhang mit einer Mandatsanfrage wurde mir mal die Frage gestellt, ob die Tätigkeit eines externen Kaufhausdetektives bei der Überwachung der Monitore der Kaufhaus-Videoüberwachung in den Geschäftsräumen des Auftraggebers eine Auftragsdatenverarbeitung darstellen würde.

Meiner Meinung nach ist dies keine klassische Fallkonstellation für eine Auftragsdatenverarbeitung. Das heißt nicht, dass wir der Auffassung sein könnten, dass es durch Abschluss eines Auftragsdatenverarbeitungsvertrages geregelt werden könnte. Ich würde dieses Szenario persönlich aber nicht über einen Auftragsdatenverarbeitungsvertrag abwickeln.

Richtig ist aber auch, dass der Zugriff auf und der Umgang mit personenbezogenen Daten durch den Kaufhausdetektiv für das Kaufhaus datenschutzrechtlich geregelt werden sollte. Dies kann z.B. durch eine Datenschutzvereinbarung geregelt werden.

Häufig gibt es zwar einen Vertrag zwischen Kaufhausdetektiv/Sicherheitsfirma und dem Kaufhaus im Hinblick auf die Vergütung u.Ä. Sehr häufig fehlen in diesen Verträgen jedoch geeignete Regelungen zum Datenschutz.

Das nachfolgende Vertragsmuster kann dann als ergänzende Vereinbarung von den Vertragsparteien abgeschlossen werden:

Datenschutzvereinbarung mit Kaufhausdetektiv

Zwischen

Mustermann GmbH

Musterstraße 123

12345 Musterstadt

– Auftraggeber –

und

Kaufhausdetektiv/Sicherheitsfirma

Musterstraße 123

12345 Musterstadt

– Auftragnehmer –

1. Allgemeines

(1) Der Auftragnehmer soll in den Geschäftsräumen des Auftraggebers die optisch-elektronische Überwachung der Geschäftsräume durchführen. Die eingesetzten Videoüberwachungssysteme werden vom Auftraggeber vorgehalten. Der Auftragnehmer wird seine Leistungen in den Geschäftsräumen des Auftraggebers durchführen.

(2) Diese Vereinbarung hat nur den Umgang des Auftragnehmers mit personenbezogenen Daten zum Gegenstand und gilt vorrangig vor anderen Regelungen zur Datenverarbeitung, soweit diese in dieser Vereinbarung geregelt sind. Anderweitige vertragliche Regelungen zwischen den Parteien bleiben unberührt.

2. Pflichten des Auftragnehmers

(1) Der Auftragnehmer ist verpflichtet, bei der Erbringung seiner Leistungen für den Auftragnehmer die geltenden datenschutzrechtlichen Vorschriften, insbesondere die des Bundesdatenschutzgesetzes (BDSG) einzuhalten. Der Auftragnehmer verpflichtet sich, bei der Erbringung der vertragsgegenständlichen Leistungen die einschlägigen Datenschutzvorschriften, insbesondere die Vorschriften des Bundesdatenschutzgesetzes (BDSG), einzuhalten.

(2) In seinem Verantwortungsbereich ist der Auftragnehmer für die von ihm vorgenommene Erhebung, Verarbeitung und Nutzung personenbezogener Daten verantwortlich. Auch die Betroffenenrechte (z.B. auf Berichtigung, Sperrung, Löschung und Auskunft) i.S.d. §§ 33 ff. BDSG sind vom Auftragnehmer zu wahren.

(3) Sofern den Auftragnehmer eine gesetzliche Pflicht trifft, ist dieser zur Bestellung eines Datenschutzbeauftragten verpflichtet. Dieser hat über die gesetzlich erforderliche Fachkunde und Zuverlässigkeit zu verfügen.

(4) Der Auftragnehmer verpflichtet sich, die personenbezogenen Daten, die er im Zusammenhang mit seiner Tätigkeit für den Auftraggeber erhebt, verarbeitet oder nutzt, nur ausschließlich für die Erfüllung der Leistungen zu verwenden, zu denen er gegenüber dem Auftraggeber verpflichtet ist. Eine weitergehende Verwendung der Daten, insbesondere eine solche zu eigenen Zwecken des Auftragnehmers oder zu Zwecken Dritter, ist unzulässig. Insbesondere ist eine Übermittlung der Daten an Dritte unzulässig, soweit nicht eine gesetzliche Pflicht zur Übermittlung oder bei Vorliegen einer Rechtsgrundlage für eine Übermittlung an einen Dritten die vorherige Zustimmung des Auftraggebers eingeholt wurde.

3. Datengeheimnis

(1) Der Auftragnehmer verpflichtet sich, das Datengeheimnis i.S.d. § 5 BDSG zu wahren.

(2) Sofern der Auftragnehmer Beschäftigte zur Erbringung seiner Leistungen gegenüber dem Auftraggeber einsetzt, ist er verpflichtet nur solche Personen einzusetzen, die durch geeignete Maßnahmen mit den geltenden datenschutzrechtlichen Vorschriften sowie den Pflichten aus dieser Vereinbarung vertraut gemacht worden sind. Darüber hinaus sind diese Personen zwingend zuvor auf das Datengeheimnis i.S.d. § 5 BDSG zu verpflichten. Gleiches gilt im Hinblick auf die Wahrung von Betriebs- und Geschäftsgeheimnissen.

4. Datensicherheit

(1) Der Auftragnehmer wird personenbezogene Daten, die im Zusammenhang mit der Erbringung seiner Leistungen gegenüber dem Auftraggeber erhoben, verarbeitet oder genutzt werden, grundsätzlich nur in den Geschäftsräumen des Auftraggebers verarbeiten oder nutzen. Eine Mitnahme von Videoaufzeichnungen oder anderen personenbezogene Daten aus den Geschäftsräumen des Auftraggebers ist ohne vorherige Zustimmung des Auftraggebers untersagt. Dies gilt auch für eine elektronische Übertragung der Daten (z.B. per E-Mail).

(2) Für den Fall, dass der Auftragnehmer personenbezogene Daten mit Zustimmung des Auftraggeber außerhalb der Geschäftsräume des Auftraggeber verarbeitet oder nutzt, ist der Auftraggeber verpflichtet, die erforderlichen technischen und organisatorischen Maßnahmen gemäß § 9 BDSG und der Anlage zu § 9 Satz 1 BDSG zum Schutz der personenbezogenen Daten – insbesondere vor der unbefugten Kenntnisnahme durch Dritte – zu treffen. Der Auftragnehmer hat die getroffenen technischen und organisatorischen Maßnahmen schriftlich zu dokumentieren und die Dokumentation auf Anforderung des Auftraggebers in der jeweils aktuellen Fassung an den Auftragnehmer zu übermitteln. Eine Änderung oder Weiterentwicklung der technischen und organisatorischen Maßnahmen ist mit dem Auftraggeber im Voraus abzustimmen.

5. Unterauftragnehmer

(1) Die Einschaltung von Unterauftragnehmern durch den Auftragnehmer für Leistungen, die für den Auftraggeber ausgeführt werden, bedarf der vorherigen Zustimmung des Auftraggebers in Textform (z.B. E-Mail/Fax).

(2) Der Auftragnehmer verpflichtet sich, den Unterauftragnehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen zur Datensicherheit i.S.d. § 9 BDSG und der Anlage zu § 9 Satz 1 BDSG sorgfältig auszuwählen. Der Auftragnehmer ist verpflichtet, die Pflichten aus dieser Vereinbarung in gleicher Weise gegenüber Unterauftragnehmer verpflichtend zu regeln.

(3) Soweit diese Vereinbarung Kontrollrechte des Auftraggebers gegenüber dem Auftragnehmer vorsieht, hat der Auftragnehmer im Falle der Beauftragung eines Unterauftragnehmers dafür Sorge zu tragen, dass die Kontrollrechte des Auftraggebers auch direkt gegenüber dem Unterauftragnehmer wirken und insoweit vertragliche Regelungen zwischen Auftragnehmer und Unterauftragnehmer bestehen. Der Auftragnehmer wird das Vorliegen entsprechender Kontrollrechte des Auftraggebers beim Unterauftragnehmer durch Vorlage beim Auftraggeber auf Anfrage des Auftraggebers nachweisen. Erfolgt der Nachweis nicht, kann der Auftraggeber die Zustimmung des Auftraggebers zur Beauftragung des Unterauftragnehmers verweigern oder zurückziehen. Die Parteien sind sich darüber einig, dass dem Auftragnehmer im Falle einer Verweigerung oder einer Zurückziehung der Genehmigung der Beauftragung eines Unterauftragnehmer keine Schadensersatzansprüche gegenüber dem Auftraggeber zustehen.

6. Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, die rechtskonforme Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch den Auftragnehmer jederzeit zu überprüfen. Dies kann durch das Einholen von Auskünften oder durch Vor-Ort-Kontrollen erfolgen.

(2) Sofern der Auftragnehmer Daten im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber außerhalb der Geschäftsräume des Auftraggebers verarbeitet oder nutzt, müssen Vor-Ort-Kontrollen vom Auftraggeber grundsätzlich mit angemessener Frist im Voraus angekündigt werden. In dringenden Fällen kann eine Vor-Ort-Kontrolle auch ohne Frist durchgeführt werden. Der Auftragnehmer hat die Kontrollen im erforderlichen Umfang zu dulden.

7. Informationspflichten

(1) Der Auftragnehmer wird den Auftraggeber bei Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung und Nutzung der ihm vom Auftraggeber zur Verfügung gestellten personenbezogenen Daten unverzüglich informieren. Die Information soll in Textform (z.B. E-Mail) erfolgen.

(2) Der Auftragnehmer wird den Auftraggeber zudem unverzüglich informieren, wenn eine Aufsichtsbehörde bei ihm Kontrollhandlungen nach § 38 BDSG bzw. Ermittlungen im Zusammenhang mit Ordnungswidrigkeiten oder Straftaten gemäß §§ 43, 44 BDSG durchführt.

8. Rückgabe von Daten / Löschung von Daten

Der Auftragnehmer hat nach Abschluss der vertragsgegenständlichen Leistungen die ihm vom Auftraggeber überlassenen Daten oder die Daten, die er im Zusammenhang mit der Tätigkeit für den Auftraggeber verarbeitet oder genutzt hat, in einem mit dem Auftraggeber abzustimmenden Format auszuhändigen und nach der vorherigen schriftlichen Freigabe durch den Auftraggeber datenschutzkonform zu löschen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Auf Verlangen hat der Auftragnehmer dem Auftraggeber das Löschungsprotokoll vorzulegen. Dem Auftraggeber steht es frei, statt der Aushändigung der Daten nur eine Löschung der Daten vom Auftraggeber zu verlangen.

9. Schlussbestimmungen

(1) Es gilt das Recht der Bundesrepublik Deutschland, wobei die Geltung des UN-Kaufrechts ausgeschlossen wird.

(2) Ist der Auftragnehmer Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen, so ist der Sitz des Auftraggebers ausschließlicher Gerichtsstand für alle Streitigkeiten aus dem Vertragsverhältnis.

(3) Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

Ort, Datum

Auftraggeber

Ort, Datum

Auftragnehmer

Version 1.1 (Stand: 29.09.2016)

Wenn Sie Fehler in dem Vertragsmuster finden sollten, freue ich mich über einen Hinweis per E-Mail, damit ich diesen umgehend beheben kann.

Hinweise zum Nutzungsrecht:

Urheber für das nachfolgende Vertragsmuster bin ich – Rechtsanwalt Stephan Hansen-Oest. Der Vertrag kann kostenlos verwendet werden. Auch Änderungen an dem Vertrag sind erlaubt. Es ist zudem erlaubt, etwaige Hinweise zum Urheber im Vertragsdokument zu entfernen. Nicht erlaubt ist jedoch die gewerbliche Nutzung dergestalt, dass der Vertrag ohne meine Genehmigung als Vertragsmuster für gewerbliche Zwecke in Online- oder Printmedien vervielfältigt, verbreitet oder öffentlich zugänglich gemacht wird.

Kurzfassung der Nutzungsregeln:

Der Vertrag kann gerne in der Praxis von Unternehmen oder auch Anwälten genutzt und verändert werden. Ich möchte jedoch nicht, dass der Vertrag ohne meine Zustimmung auf anderen Internetseiten als Vertragsmuster zum Download angeboten wird oder sich irgendwann in einem Vertragsmusterbuch wiederfindet.

Haftungsausschluss:

Der Vertrag muss für die Anwendung im Einzelfall angepasst werden. Das Vertragsmuster stellt lediglich einen Vorschlag für eine vertragliche Regelung dar. Es wird dringend empfohlen, den Vertrag im Einzelfall anwaltlich anpassen und prüfen zu lassen. Dies gilt insbesondere im Hinblick auf die tatsächliche Berücksichtigung aktueller Rechtsprechung im Einzelfall. Es wird keine Haftung für Schäden durch die Verwendung des Vertragsmusters übernommen.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.