Du kommst aus dem Gefängnis frei – Teil II

Vertragsmanagement & DSGVO: Du kommst aus dem Gefängnis frei!

– Diese Karte musst du behalten, bis sie gebraucht oder verkauft wird. –

Im ersten Teil dieses Zweiteilers hatten wir mit einem fiktiven Beispiel gezeigt, wie schwierig die Umsetzung von DSGVO in Bezug auf die Anpassung von Verträgen sein kann. In diesem Newsletter wollen wir Ihnen einen ersten Lösungsvorschlag machen, wie Sie sich dem Thema widmen können. Und am Ende des Newsletters können Sie sich zu unserem Webinar anmelden.

In diesem Newsletter wollen wir Ihnen einen Lösungsvorschlag machen, wie Sie die Änderungen nach DSGVO nachhaltig, kostengünstig und effektiv umsetzen können. Denn machen wir uns nichts vor – nur weil alle Verträge nun DSGVO-konform angepasst worden sind, heißt das noch nicht, dass auch die entsprechenden organisatorischen und technischen Maßnahmen zur langfristigen Einhaltung der DSGVO ebenso umgesetzt sind.

Wie eine Umfrage vom Bundesverband Digitale Wirtschaft (BVDW) e.V. zeigt, haben bereits fünf Prozent der befragten Unternehmen eine Abmahnung erhalten, die sich auf die DSGVO stützt. Weiterhin rechnen 28% der Unternehmen zukünftig mit einer Abmahnung.

Und was hat das jetzt alles mit Vertragsmanagement zu tun?

Vertragsmanagement bedeutet, Verträge über ihren Lebenszyklus zu entwerfen, verhandeln, unterzeichnen, pflegen und schlussendlich zu kündigen oder zu verlängern.

Über alle Verträge eines Unternehmens hinweg bietet das Vertragsmanagement somit einen übergeordneten Steuerungs- und Analyserahmen. Daher ist eine der Aufgaben des Vertragsmanagements, entsprechende prozessuale Anpassungen vorzunehmen und das Vertragsmanagementsystem entsprechend anpassen zu lassen.

Hierbei bestehen aber derzeit erhebliche Ressourcenengpässe im Vertragsmanagement. Aktuell haben die, im Unternehmen für das Thema Vertragsmanagement, Verantwortlichen gleichzeitig mehrere, schwierige Aufgaben zu lösen. Einerseits sind bis Jahresende noch die Vorgaben nach IFRS 16 umzusetzen, andererseits ist die DSGVO bereits in allen Teilbereichen anzuwenden. Besonders im letzteren Fall hat es das Vertragsmanagement schwer, denn hier hat der Gesetzgeber kaum konkrete Vorgaben gemacht.

Artikel 5 Abs. 1b DSGVO schreibt vor, dass eine Verarbeitung personenbezogener Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben bzw. weiterverarbeitet werden dürfen.

Hierfür muss nach Artikel 6 Abs. 1 DSGVO mindestens eine von sechs Bedingungen erfüllt sein.

Laut Artikel 24 Abs. 1 liegt die Nachweispflicht, dass diese Vorgaben eingehalten worden sind, bei dem verarbeitenden Unternehmen.

Um dieser Nachweispflicht nachzukommen müssen insbesondere Anpassungen im Vertragsmanagementsystem und -prozess vorgenommen werden.

Es muss sichergestellt werden, dass die Mitarbeiter, welche bei Ihnen berechtigt sind Verträge zu schließen, fortan während jeder Vertragsanbahnung folgende Fragen beantworten und zentral, möglichst in Ihrem Vertragsmanagementsystem, dokumentieren:

  • Erhebt, verarbeitet oder übermittelt der Vertragspartner oder Dienstleister personenbezogene Daten?
  • Ist mit diesem Vertragspartner oder Dienstleister ist eine „Vereinbarung von personenbezogenen Daten im Auftrag“ nach §11 DSGVO grundsätzlich erforderlich?
  • Ist mit diesem Vertragspartner oder Dienstleister ist ein Vertrag zur Auftragsdatenverarbeitung erforderlich?

Die Mitarbeiter mit Prokura müssen also entsprechend geschult werden, eine Einschätzung der o.g. Fragen vornehmen zu können.

Um die Dokumentation im Vertragsmanagementsystem zu ermöglichen, müssen dort entsprechende Datenfelder implementiert werden. Darüber hinaus, sollte auch eine Verknüpfung des Hauptvertrages und der jeweiligen Vereinbarungen nach DSGVO möglich sein. Ist dies nicht der Fall, kann es sein, dass Sie im Falle einer Prüfung zwar die entsprechenden Datenfelder, nicht aber die Vereinbarungen vorzeigen können, weil der entsprechende Mitarbeiter zufällig gerade im Urlaub ist.

Neben einer routinemäßigen, punktuellen Einbindung Ihres Datenschutzbeauftragen sollten Sie auch Ihr internes Kontrollsystem (IKS) um entsprechende Kontrollen erweitern. Hierbei sollten Sie folgende Fehlerquellen auf jeden Fall eliminieren:

  • Gibt es Einträge im Vertragsmanagementsystem bei denen zwar die o.g. Datenfelder mit „ja“ befüllt sind, aber keine Vereinbarungen abgelegt sind und umgekehrt?
  • Gibt es Vertragsverhältnisse für die die o.g. Fragen mit „nein“ beantwortet sind, aber dennoch eine Vereinbarung nach DSGVO nötig wäre?

Die Umsetzung der DSGVO bedeutet leider auch langfristig mehr administrativen Aufwand. Richtig eingerichtet lässt sich der Aufwand jedoch auf ein Minimum reduzieren.

In vergangenen Projekten haben unsere Berater sogar für große DAX30 Konzerne unternehmensweit und bereichsübergreifend einheitliche Kernprozesse und Systeme eingeführt, ohne die Flexibilität der jeweiligen Bereiche einzuschränken. Wir wissen daher, dass eine durchdachte Integration zwar schwierig, aber dennoch erfolgversprechend ist.

Höchstwahrscheinlich wird es nicht das letzte Mal sein, dass Anpassungen an Verträgen oder dem gesamten Vertragsmanagement aufgrund gesetzlicher oder regulatorischer Änderungen vorgenommen werden müssen. Ein gutes und zentrales Vertragsmanagement zahlt sich also auf jeden Fall aus. Nutzen Sie die aktuellen Herausforderungen als Chance, Ihr Vertragsmanagement zu harmonisieren und effizienter zu gestalten.

Zum Glück gibt mittlerweile zahlreiche Tools am Markt, die einem die Erstellung von Verträgen, Erfassung von Vertragsattributen und das Vertragsmonitoring erheblich vereinfachen können und so den manuellen Aufwand auf ein Minimum reduzieren können.