Tipps zur EU-Datenschutz-Grundverordnung

"Zeitenwende beim Datenschutz"

30. April 2018
von Börsenblatt
Am 25. Mai endet die Schonfrist: Dann müssen Unternehmen die neue EU-Datenschutz-Grundverordnung konsequent anwenden. Lässt sich die Umstellung überhaupt aus Bordmitteln bewältigen? Antworten von Adil-Dominik Al-Jubouri, Rechtsanwalt beim Börsenverein.

Bis zum 25. Mai ist nicht mehr viel Zeit. Herr Al-Jubouri, klingeln die Telefone in der Rechtsabteilung des Börsenvereins derzeit Sturm wegen der Datenschutz-Grundverordnung?

Ja, denn immer mehr Mitgliedern wird – leider jetzt erst – bewusst, dass sie, weil sie ja eigentlich alle mit personenbezogenen Daten hantieren, durch die EU-DSGVO vor ganz neue Herausforderungen gestellt werden. Allerdings sind uns bei der Beratung weitgehend die Hände gebunden: Zum einen dürfen wir aus rechtlichen Gründen die beim Thema Datenschutz zwingend notwendige individuelle Beratung nicht leisten. Zum anderen könnten wir diese individuelle Beratung bei über 4.500 Mitgliedern auch personell gar nicht bewältigen.

Sind Buchhändler und Verleger vorbereitet?

Ich fürchte, dass das Thema vielfach erst jetzt aufgegriffen wird. Angesichts der Komplexität des neuen Rechtsrahmens und der damit einhergehenden zwingenden Maßnahmen ist das sehr spät. Zwar erfahren wir nur von den Fällen, in denen wir akuten Beratungsbedarf feststellen. Ich weiß aber auch aus vielen Seminaren und Vorträgen, die ich zum Thema Datenschutz in der letzten Zeit gehalten habe, dass sich noch nicht alle mit der nötigen Aufmerksamkeit und Akribie der Sache gewidmet haben. Wer jetzt einsteigt, hat schon zeitlich eine sehr anspruchsvolle Aufgabe vor sich!

Datenschutz ist aber doch schon lange ein Thema...

Sicher, aber gerade beim Datenschutz haben viele Unternehmen – gleich welcher Branche – bislang nach dem Augen-zu-und-durch-Prinzip gehandelt: Man nahm das Thema zur Kenntnis, wollte aber keinen Handlungsbedarf für das eigene Unternehmen ausmachen. Oftmals begnügte man sich damit, Datenschutzfloskeln auf der Website zu präsentieren. Diese Zeiten sind mit dem Inkrafttreten der EU-DSGVO endgültig vorbei – ab dem 25. Mai ist die intensive Befassung mit dem Datenschutz in jedem Unternehmen Pflicht!

Die neuen Regelungen läuten eine Zeitenwende ein: War es bislang für Unternehmen selbstverständlich, etwa für alle steuerlichen Angelegenheiten einen Steuerberater zu engagieren, bei Rechtsfragen einen Rechtsanwalt hinzuzuziehen, zur Aufsetzung der Unternehmens-IT einen Dienstleister zu beauftragen, so wird man in Zukunft kaum mehr umhinkommen, für Fragen rund um den Datenschutz ebenfalls einen Berater zu Rate zu ziehen. Selbst wenn für ein Unternehmen ein interner, betrieblicher Datenschutzbeauftragter bestellt wird, wird dieser sich in Zweifelsfragen extern beraten lassen müssen. Das Thema Datenschutz ist, salopp gesagt, erwachsen geworden und will nun auch so behandelt werden.

Wo liegen die großen Unterschiede zum bisherigen Datenschutzrecht?

Es gibt viele Bereiche, die neu geregelt wurden. Ein zentraler Punkt sind die neuen und nunmehr sehr umfangreichen Informationspflichten. Die Grundverordnung will Transparenz erzwingen und hat dazu einen ganzen Katalog von Angaben aufgestellt, die Unternehmen dem Betroffenen zwingend bei Erhebung der seine Person betreffenden Daten geben müssen. Das ist nicht durch einen vorgefertigten Mustertext in den Griff bekommen, ein solches Muster kann immer nur abstrakt bleiben. Unternehmen sind jetzt verpflichtet, viel mehr aus ihrem "Innenleben" preiszugeben. Das Aufsetzen einer Datenschutzinformation setzt also notwendig voraus, dass man zunächst individuell abklopft, was für Daten man für welche Zwecke von wem erhebt und wie man damit umgeht. Erst wenn man diesen Schritt vollzogen hat, kann man die gewonnenen Erkenntnisse für die neuen Datenschutzerklärungen fruchtbar machen.

Dabei sind auch verbindliche Speicher- bzw. Löschfristen zu definieren (Stichwort: Grundsatz der Datensparsamkeit). Die Festlegung solcher Löschfristen, etwa in Form von Löschroutinen, ist allerdings rechtlich komplex, weil man dabei für jede zu einer Person gespeicherte Information schauen muss, wie lange man diese vorzuhalten gedenkt. Dabei ist zu beachten, dass einzelne Daten zu einer Person immer nur so lange gespeichert bleiben dürfen, wie man sie tatsächlich zur Erfüllung einer bestimmten Aufgabe braucht bzw. so lange, wie man gesetzlich verpflichtet ist, bestimmte Daten aufzubewahren.

Darüber hinaus ist es technisch sehr schwierig, bestimmte Datensätze einfach aus einer Datenbank zu löschen. Oft sind Daten über Jahre in Datenbanken miteinander verknüpft worden und eine Löschung dieser Daten würde zu erheblichen Friktionen innerhalb der Datenbank führen. Die notwendigen Programmierarbeiten sind aufwändig und ich fürchte, wer jetzt erst damit beginnt, wird das bis zum 25. Mai nicht mehr schaffen. Da kann man nur hoffen, dass der eigene IT-Dienstleister das Thema auf dem Schirm hatte und die notwendigen Patches rechtzeitig bereitstellt.

Außerdem sind Unternehmen – Stichwort "Rechenschaftsplicht"  – mit Inkrafttreten der EU-DSGVO in weitaus höherem Maße dazu verpflichtet, die jeweils von ihnen zum Schutz der Daten ergriffenen technischen und organisatorischen Maßnahmen auch nachweisen zu können. Dazu dient unter anderem das verpflichtend vorgeschriebene Anlegen eines "Verzeichnisses der Verarbeitungstätigkeiten". Darüber hinaus sollte aber auch dokumentiert sein, wie man sich im Unternehmen zum Datenschutz verhält, etwa in Form einer "Datenschutzrichtlinie" für die Mitarbeiter.

Sie haben die Informationspflichten gegenüber den Kunden schon angesprochen: Wann und wo müssen die Kunden denn informiert werden?

Die Informationen sind "bei Erhebung" der Daten zu geben, also in dem Moment, in dem man mit der Datenabfrage beginnt. Bei einer Website also in einem eigenen Reiter zum Datenschutz. Auf diesen Reiter kann dann auch unproblematisch in einem Webshop verlinkt werden, so dass die Pflichtinformationen in den Bestellablauf integriert sind.

Der Kunde ist aber auch in der Buchhandlung selbst entsprechend zu informieren, dann nämlich, wenn etwa der Händler bei einem nicht vorrätigen Titel für eine Bestellung beim Barsortiment den Namen des Kunden aufnimmt. Auch das ist schon eine Datenerhebung, so dass bei Abfrage des Namens sämtliche Pflichtinformationen zu geben sind. Das könnte etwa durch einen deutlich sichtbaren Aushang an der Kasse geschehen, auf den der Kunde hingewiesen wird. Dabei sollte darauf geachtet werden, dass Ausdrucke dieser Datenschutzhinweise vorhanden sind, die dem Kunden gegebenfalls mitgegeben werden können.

Sehr schwierig wird die Erfüllung der Informationspflicht bei telefonischen Bestellungen, wenn die Bestelldaten des Kunden, also dessen Name und seine Lieferanschrift, abgefragt werden. Die EU-DSGVO macht für solche Fälle keine Ausnahme und sie schafft auch keine Erleichterungen. Die Information kann dann eigentlich nur durch Vorlesen des gesamten Textes der Datenschutzinformation bewerkstelligt werden. Vermutlich wird das – ganz gleich in welcher Branche – kein Händler machen. Um sich aber halbwegs rechtskonform zu verhalten, wird man wohl nicht umhinkommen, dem Kunden jedenfalls genau das anzubieten. Die meisten werden wahrscheinlich dankend ablehnen und sich damit zufriedengeben, die Datenschutzinformationen bei Ausführung der Bestellung in Schriftform zu erhalten.

Wie bei vielen anderen Fragen auch wird sich zeigen, wie diese Problemfelder in der Praxis gehandhabt werden und was dann die Gerichte mitmachen. Man weiß nicht, ob das bei Ausarbeitung der EU-DSGVO hinreichend bedacht worden war oder ob das vielleicht sogar gewollt ist. Derartige Blüten trägt das neue Datenschutzrecht an vielen Stellen.

Wo finden Unternehmen Informationen und kompetente Ansprechpartner für solche komplexen Themenfelder?

Wir haben für unsere Mitglieder gerade auf boersenverein.de eine Handreichung zur EU-DSGVO veröffentlicht, die in groben Zügen den Handlungsbedarf beschreibt (Rubrik Downloads / Recht). An dieser Stelle seien aber noch einmal die Erwartungen an Merkblätter oder sonstige Materialien zum Thema Datenschutz gedämpft: Merkblätter können nur ein allererster Schritt in der Beschäftigung mit dem Datenschutz sein.

Die Befassung mit allen datenverarbeitenden Prozessen im eigenen Unternehmen sowie deren individuelle rechtliche Würdigung – etwa durch das Ausarbeiten von Datenschutzhinweisen und Verfahrensverzeichnissen – kann hierdurch nicht ersetzt werden. Denn auch wenn sich Buchhändler und Verleger verständlicherweise eine einfache Checkliste oder gar Mustertexte wünschen: Die zwingend notwendige Analyse der tatsächlichen Gegebenheiten muss jedes Unternehmen für sich selbst vornehmen – gegebenenfalls mit einem externen Berater.

Was kostet ein externer Datenschutzbeauftragter, über den Daumen gepeilt?

Ein mit der EU-DSGVO konformes Unternehmen wird in den allermeisten Fällen nicht kostenlos zu haben sein. Nach meinen Beobachtungen wird man für einen externen Datenschutzbeauftragten durchaus einige hundert Euro im Monat aufwenden müssen. Dabei gilt: Je größer ein Unternehmen ist und je intensiver personenbezogene Daten verarbeitet werden, desto teurer ist es.

Für die jetzige Phase, in der ein Unternehmen auf das neue Recht umgestellt werden muss – man denke hier nur an die Datenschutzhinweise in der eigenen Website –, wird man zusätzliche Kosten einplanen müssen, die in der Regel auf Stundenbasis abgerechnet werden. Dafür wird man, wiederum abhängig von der Größe des Unternehmens und damit vom Arbeitsaufwand, schon mit einem vierstelligen Betrag rechnen müssen.

Hier gilt: Je besser die Instruktion des Beraters durch die Buchhandlung oder den Verlag, desto weniger Arbeit fällt für diesen an. Zeitaufwändig sind insbesondere Erörterungen und Nachfragen im Hinblick auf die Datenerhebung und -nutzung eines Unternehmens.

Das mag alles sehr kostspielig erscheinen. Man muss jedoch eines bedenken: Die Zeiten, in denen Datenschutz im Unternehmen nicht oder nur am Rande behandelt wurden, sind endgültig vorbei. Wer jetzt den Aufwand macht und sich datenschutzrechtlich gut aufstellt, der ist auch für die Zukunft gut gewappnet! Und er geht letztlich auch teuren Abmahnungen durch Abmahnanwälte oder Abmahnvereine und etwaigen Nachfragen oder schlimmstenfalls sogar Bußgeldern durch die Behörden aus dem Weg.

Ob intern oder extern: Die Bestellung eines Datenschutzbeauftragten ist künftig dann Pflicht, wenn in der Regel mindestens zehn Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Entwarnung für kleinere Buchhandlungen und Verlage?

Ganz wichtig: Bei der Ermittlung der zehn Personen kommt es auf die schlichte Zahl derjenigen in einem Unternehmen an, die mit personenbezogenen Daten hantieren. Man zählt dabei Aushilfen genauso mit wie Vollzeitkräfte. Wenn also – einschließlich der Aushilfen – von vornherein weniger als zehn Personen in einem Unternehmen tätig sind, entfällt in aller Regel die Pflicht zur Bestellung eines Datenschutzbeauftragten. Ein Datenschutzbeauftragter muss dann nur noch in bestimmten gesetzlichen Ausnahmefällen bestellt werden, z.B. wenn die Datenverarbeitung die Kerntätigkeit eines Unternehmens darstellt oder die Betroffenen systematisch überwacht werden. Das dürfte aber im Buchhandel kaum irgendwo der Fall sein. Insofern also Entwarnung für kleine Buchhandlungen und Verlage.

Alle Unternehmen, die zehn oder mehr Personen beschäftigen, müssen nun schauen, ob diese Personen Umgang mit personenbezogenen Daten haben. Da kommt man meistens schnell hin: Kassenpersonal etwa wirkt bei Kartenzahlungen an der Erfassung personenbezogener Daten mit, das Team der Personalabteilung hat Zugriff auf Mitarbeiterdaten, das Lektorat auf Autorendaten, die Finanzbuchhaltung auf personenbezogene Daten in Rechnungen. Sind in einem Unternehmen also beispielsweise zehn Mitarbeiter beschäftigt, von denen einer in der Finanzbuchhaltung, einer in der Personalabteilung und die restlichen acht an der Kasse eingesetzt sind, muss zwingend ein Datenschutzbeauftragter bestellt werden.

Wie kann der Verband die Mitglieder unterstützen?

Nochmal: Die Umsetzung der EU-DSGVO setzt eine Individualberatung voraus, die der Verband bei mehreren Tausend Mitgliedern nicht leisten kann und auch rechtlich nicht leisten darf, da die Anwälte in der Rechtsabteilung des Börsenvereins nicht in Konkurrenz zu niedergelassenen Anwälten treten dürfen. Die Überschrift unseres Merkblattes zur EU-DSGVO lautet zwar "Was müssen Verlage und Buchhändler auf dem Schirm haben?", doch damit soll nicht nahegelegt werden, es gebe dabei für den Buchhandel spezielle Regelungen oder besondere Themen. Das Thema Datenschutz wirft vielmehr für alle Unternehmen – gleich welcher Branche – dieselben Fragen auf und bietet keine besonderen für die Buchbranche einschlägigen Spezifika. Deshalb sind sicherlich die Industrie- und Handelskammern die ersten Ansprechpartner. Gute Praxishilfen bietet auch die Gesellschaft für Datenschutz und Datensicherheit auf ihrer Website www.gdd.de.

Da die Nachfrage nach Beratung ungebrochen groß ist, bietet der Börsenverein über den mediacampus frankfurt weitere Seminare zur Umsetzung der EU-DSGVO an. So wurden am 8. und 17. Mai jetzt noch zwei zusätzliche Termine im Mai eingerichtet (mehr dazu hier). Da die Zeit bis zum Inkrafttreten des neuen Datenschutzrechts dann wirklich nur noch sehr knapp ist, wird ein Schwerpunkt in diesen Seminaren sicherlich darin liegen, aufzuzeigen, wie man kurzfristig wenigstens noch seine Website datenschutzkonform gestalten kann, insbesondere was man beim Aufsetzen der sehr umfangreichen neuen Datenschutzbelehrungen beachten muss.

Dennoch gibt es Neuregelungen, die Buchhandlungen und Verlage besonders umtreiben. Kinderbuchverlage etwa klagen darüber, dass die Verarbeitung von personenbezogenen Daten eines Kindes künftig erst ab 16 erlaubt ist. Das erhöht die Hürde für Online-Angebote, Newsletter oder Social-Media-Kampagnen...

Ja, in der Tat präzisiert die EU-DSGVO nunmehr eine Altersschwelle, die für Einwilligung von Kindern, nach der Verordnung Personen bis zur Vollendung des 16. Lebensjahres, gilt. Verarbeitungen sind hier nur noch rechtmäßig, wenn die Eltern einwilligen bzw. wenn das Kind mit dieser Einwilligung handelt. Für den Bereich des „Social-Webs“ hat das große Bedeutung, denn nun muss sichergestellt sein, dass die Einwilligung der Eltern tatsächlich vorliegt. Wie das im Einzelnen umgesetzt werden kann, ist nach wie vor ungeklärt. Als Leitlinie wird gelten: Je sensibler die vom Kind zu erhebenden Daten, desto höher die Anforderungen an das Prüfverfahren. Nicht ausreichend wird es aber in jedem Fall sein, das Kind eine einfache Bestätigung abklicken zu lassen, dass die Einwilligung der Eltern vorliege.

Welches Thema brennt Buchhändlern und Verlegern besonders auf den Nägeln? Und was können Sie ihnen raten?

Es ist schwer zu sagen, was "das Thema" ist. Letztlich haben wir es bei den Anforderungen, die die EU-DSGVO aufstellt, mit einer Vielzahl gleichgewichtiger neuer Regeln zu tun. Das reicht von den internen Prozessen im Unternehmen – u.a. Datensicherheit, Datenschutzbeauftragter, Löschroutinen – bis hin zu den Informationspflichten nach außen. Ich stelle aber fest, dass, vermutlich auch im Hinblick auf den jetzt noch zur Verfügung stehenden Zeitrahmen, ein gewisser Schwerpunkt bei den Informationspflichten liegt. Ich kann Buchhändlern und Verlagen nur raten, das Thema jetzt sehr ernsthaft aufzugreifen – auch wenn die Zeit inzwischen sehr knapp geworden ist.

Wie weit ist denn die Börsenvereinsgruppe mit der Umstellung? Gab es da Herausforderungen, mit denen Sie so nicht gerechnet hatten?

Ich habe die EU-DSGVO bereits seit langem im Blick und habe sehr frühzeitig angefangen, die für die Börsenvereinsgruppe relevanten Themenbereiche vorzustrukturieren. Die nähere Befassung mit der Verordnung warf jedoch eine Vielzahl neuer und völlig ungeklärter Rechtsfragen auf, das war für alle Juristen Neuland. Dazu gab es lange auch kaum juristische Fachliteratur, was sich erst in der letzten Zeit allmählich geändert hat. Natürlich tun sich bei einem solchen Großprojekt immer wieder neue Baustellen auf. Positiv formuliert: das macht die Arbeit daran spannend! Und leider auch sehr aufreibend. Ein Beispiel: Allein die Prüfung der einzelnen von Börsenverein und MVB unterhaltenen Websites nimmt unglaublich viel Zeit in Anspruch – es sind mehrere Hundert! Ich muss dabei jede Website einmal genau anschauen, um die Datenschutzinformationen abzustimmen. Zwar sind viele Weiterleitungen unterschiedlicher Top-Level-Domains auf eine Hauptseite dabei. Aber auch die muss man einmal durchgehen. Das ist insgesamt eine sehr kleinteilige Arbeit, die mich nach wie vor beschäftigt…

Ich merke schon, dass der Druck steigt. Wir sind aber, da wir frühzeitig die Sache angegangen sind, in der Börsenvereinsgruppe auf einem guten Weg und wir werden bis zum 25. Mai doch alles umgesetzt haben. Das liegt auch daran, dass wir in der Rechtsabteilung ein ausgezeichnetes Team sind und meine Kolleginnen und Kollegen mir durch ihren Mehreinsatz im nicht ruhenden Tagesgeschäft immer wieder den Rücken freihalten. Anders wäre das kaum zu schaffen.

Wer jetzt erst aufwacht - hat der noch eine Chance? Haben Sie Tipps für die Last-Minute-Umstellung?

Eine Last-Minute-Umstellung wird nicht zu haben sein. Man kann jetzt nur noch priorisieren und versuchen, bis zum 25. Mai die größten Mängel halbwegs in den Griff zu bekommen. Sofort anzugehen wären also mindestens die Verfahrensverzeichnisse und die Pflichtinformationen für Betroffene. Gerade bei letzterem muss bedacht werden, dass jedes Unternehmen mit einer eigenen Website die notwendigen Belehrungen ja auch im Netz anzeigen muss. Die damit verbundene Sichtbarkeit lässt das Risiko, wegen Nichtbeachtung der EU-DSGVO aufzufallen, immens steigen – ich bin mir sicher, dass hier die Abmahnindustrie bereits mit speziellen Suchmaschinen in den Startlöchern steht.

Erste Hilfe in Sachen EU-DSGVO

Ab dem 25. Mai sind die neuen Datenschutzbestimmungen von allen Unternehmen anzuwenden. Das Regelwerk soll u.a. für Transparenz im Umgang mit Daten und für Wettbewerbsgleichheit sorgen und Bürgern mehr Kontrolle über ihre Daten geben (etwa beim Recht auf Vergessenwerden, Direktmarketing).

  • Ansprechpartner für Unternehmen sind zunächst die örtlichen Industrie- und Handelskammern.
  • Eine Handreichung des Börsenvereins für Buchhandlungen und Verlage steht unter www.boersenverein.de zum Download bereit.
  • Hilfreiche Informationen und Links hat der Verband auch hier zusammengetragen.
  • Ein Leitfaden der EU-Kommission ist abrufbar unter http://bit.ly/eu-leitfaden.
  • Praxishilfen und Muster finden sich auf der Website der Gesellschaft für Datenschutz und Datensicherheit, www.gdd.de
  • Spezielle Seminare bieten die Landesverbände des Börsenvereins und der mediacampus frankfurt an (neue Zusatztermine am mediacampus: 8. / 17. Mai, Details und Anmeldung hier).

Priorisierung: Was soll ich zuerst tun?

1. Erstellung der Verfahrensverzeichnisse

Die neue EU-DSGVO legt fest, das Unternehmen über alle Datenverarbeitungsprozesse Verzeichnisse führen müssen. Enthalten müssen sie u.a. die Zwecke der Verarbeitung sowie die Beschreibung technischer und organisatorischer Maßnahmen zum Schutz der Daten. Ein gut aufbereitetes Muster für solche Verfahrensverzeichnisse gibt es online bei der Gesellschaft für Datenschutz und Datensicherheit, www.gdd.de, Rubrik Praxishilfen.

2. Altdaten löschen, Löschroutinen einführen

Nach der EU-DSGVO sind Daten, die Sie nicht mehr benötigen, zwingend zu löschen. Neben der Bereinigung vorhandener "Karteileichen" müssen für die Zukunft Löschroutinen definiert werden, die für jedes einzelne Datum mit Personenbezug festlegen, wann es jeweils zu löschen ist. Beispiel: Ein Kunde hat vor 15 Jahren ein Buch bestellt, Sie haben Name und Anschrift in Ihre Kundendatenbank aufgenommen. Es ist nicht plausibel, warum Sie diesen Datensatz heute noch benötigen, er ist also zwingend zu löschen.

3. Datenschutzinformationen erstellen

Häufig auch bezeichnet als "Datenschutzbelehrung", "Datenschutzhinweise". Details ergeben sich aus den Katalogen in Artikel 13 beziehungsweise 14 der EU-DSGVO. Die Informationen sind dem Betroffenen in einer klaren und einfachen Sprache mitzuteilen, wenn Sie die Daten von ihm abfragen (= erheben). Beispiele:

  • Setzen Sie auf Ihrer Website Trackingtools ein oder bieten Sie einen Webshop mit Bestellformular an, dann müssen die Datenschutzhinweise dazu auf der Website gut erreichbar hinterlegt und verlinkt sein (etwa als eigener Reiter "Datenschutz").
  • Haben Sie einen Katalog, in dem ein Bestellformular abgedruckt ist, das vom Kunden ausgefüllt an Sie zurückzusenden ist, dann platzieren Sie Ihre Hinweise zum Datenschutz in dessen Umfeld.
  • Fragen Sie von Kunden bei Buchbestellungen in der Buchhandlung jeweils den Namen ab, damit bei Bestellung des Buches beim Barsortiment und späterer Lieferung an Sie zugeordnet werden kann, sind die Hinweise in der Buchhandlung zu erteilen (etwa durch Hinweis auf einen gut sichtbaren Aushang im Kassenbereich).

4. Auftragsdatenverarbeitung klären

Wenn Dienstleiter Daten im Auftrag Ihres Unternehmens weiterverarbeiten, muss eine Zusatzvereinbarung zur Auftragsdatenverarbeitung abgeschlossen werden, die auf die neue Datenschutzgrundverordnung abgestimmt ist. Klassisches Beispiel ist der Betrieb eines Webshops durch einen technischen Dienstleister – sofern dieser die Daten des Kunden erhält oder auf eigenen Systemen für den Auftraggeber erfasst und an diesen weiterleitet. Die Gesellschaft für Datenschutz und Datensicherheit hält für solche Zusatzvereinbarungen auf ihrer Website ein gutes Musterformular bereit (www.gdd.de, Rubrik Praxishilfen).