Auftragsverarbeitung

Wie ist die Auftragsverarbeitung definiert?
Unter Auftragsverarbeitung ist das Auslagern von Datenverarbeitungsprozessen, durch den Auftraggeber auf externe Dienstleister (Auftragnehmer), zu verstehen. Häufig ist das “Outsourcing” ein Hilfsmittel zur Kostensenkung und/oder der Nutzung von externem Know How. Sind hiervon personenbezogene Daten betroffen, findet der Art. 28 Datenschutz Grundverordnung (DSGVO) Auftragsverarbeiter Anwendung.

Im nachfolgenden gehen wir auf Dienstleister mit (Haupt-)Sitz innerhalb der Europäische Union (EU) bzw. des Europäischer Wirtschaftsraum (EWR) ein.
Werden Daten in ein Land außerhalb der EU bzw. EWR übermittelt, sind geeignete Garantien erforderlich, damit ein angemessenes Datenschutzniveau im Drittland gewährleistet werden kann. Lesen Sie mehr zum Thema in unserem Beitrag „Neue Standarddatenschutzklauseln für internationalen Datentransfer“.

In Art. 4 DSGVO ist der Auftragsverarbeiter (Auftragnehmer) definiert als „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Seine Tätigkeit ist dadurch geprägt, dass die personenbezogenen Daten „ausschließlich auf Weisung des Verantwortlichen“ verarbeitet werden (Art. 29 DSGVO).

Folgende Kriterien (Auswahl) unterstützen die Bewertung über das Vorliegen einer Auftragsverarbeitung:

  • Dem Auftragnehmer fehlt die Entscheidungsbefugnis über die übermittelten Daten.
  • Die Nutzung der überlassenen Daten ist über den eigentlichen Überlassungszweck hinaus verboten.
  • Der Auftragnehmer nutzt nur die ihm überlassenen Daten.
  • Die Datenverarbeitung wird nach außen durch den Auftraggeber vertreten.
  • Der Auftragnehmer steht in keiner vertraglichen Beziehung zu den Betroffenen der personenbezogenen Daten.

Einige praktische Beispiele von Auftragsverarbeitung:

  • Outsourcing des Rechenzentrums (ganz oder teilweise).
  • Software as a Service / Cloud-Services (nicht nur reine Dateiablage).
  • Marketingaktionen, Kundenumfragen, Newsletterversand durch eine externe Agentur.
  • Beauftragung eines Callcenters für Kundensupport oder Kundengewinnung.
  • Papier- und Aktenvernichtung sowie die Vernichtung von Datenträgern.
  • Externe Lohn- und Gehaltsabrechnung.
  • Externe Rechnungsbearbeitung / Buchhaltung.
  • Zugriff auf personenbezogene Daten vor Ort bei Auftraggeber

Aber auch weitere Leistungen können ebenfalls von den Regelungen zu betroffen sein (Beispiele):

  • Wartung von Servern und Computern durch einen externen Dienstleister (wichtig: auch Fernwartung!)
  • Pflege von Software (Updates etc.), über die Zugriff auf personenbezogene Daten möglich ist.
  • Systemmigrationen.

Anforderung Erstbefragung für Auftragsverarbeiter

  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.
Wann braucht es keinen Vertrag für die Auftragsverarbeitung?
Es gibt jedoch auch geschäftliche Beziehungen, in denen personenbezogene Daten weitergegeben werden, jedoch trotzdem keine Auftragsverarbeitung vorliegt. Das ist insbesondere bei fremden Fachleistungen durch eigenständig Verantwortliche der Fall.
Bekannte Beispiele:

  • Berufsgeheimnisträger (Steuerberater, Anwälte, externe Betriebsärzte, Wirtschaftsprüfer…)
  • Bankinstitute für den Geldtransfer
  • Post- / Kurierdienstleistungen

Laut dem Bayerischen Landesamt für Datenschutz steht hier die Datenverarbeitung nicht im Vordergrund bzw. macht sie keinen wichtigen (Kern-)Bestandteil der Zusammenarbeit aus und „stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar“.

Aufgaben des Auftragsverarbeiters
Mit Anwendung der DSGVO müssen Auftragsverarbeiter die folgenden (internen) Aufgaben erfüllen:

  • Erstellen und Pflegen eines Verarbeitungsverzeichnisses
  • Zusammenarbeit mit der Datenschutzaufsicht
  • Planen und Durchführen von technischen und organisatorischen Maßnahmen für Datensicherheit
  • Beschränkungen für den Datentransfer in Drittländer einhalten

Durch solche Maßnahmen soll u. a. sichergestellt werden, dass jederzeit alle Schritte der Datenverarbeitung transparent und nachvollziehbar sind. Treten beispielsweise Datenpannen auf, können Fehler und Betroffene schnell ausfindig gemacht und geeignete Maßnahmen getroffen werden.

Haftung: Alle sitzen im gleichen Boot
Tritt ein materieller oder immaterieller Schaden auf und fordert beispielsweise eine Kundin bzw. Kunde, Klientin oder Klient, Schadenersatz, sind nach außen beide Parteien verantwortlich.
Im Innen Verhältnis muss dann geklärt werden, welche der beiden Parteien den Schaden zu verschulden hat und wie sich beide Parteien anteilig an dem zu zahlenden Betrag beteiligen.
Um genau in solcher Situation möglichst einwandfrei klären zu können, welche Aufgaben und Pflichten Auftraggeber und Auftragsverarbeiter ausgehandelt haben, braucht es eine klare Vertragsgrundlage – den Vertrag zur Auftragsverarbeitung (AV-Vertrag).

Vertrag für die Auftragsverarbeitung
Der AV-Vertrag regelt die Zusammenarbeit zwischen Auftraggeber und Auftragsverarbeiter, die Inhalte sind in Art. 28 DSGVO vorgegeben:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien von betroffenen Personen
  • Umfang der Weisungsbefugnisse, Weisungsbefugte Personen
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen und organisatorischen Maßnahmen
  • Hinzuziehung von Subunternehmern
  • Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
  • Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenpannen
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
  • Pflicht, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
  • Maßnahmen bei Datenverarbeitungen außerhalb des EWR

Der Verantwortliche muss insbesondere prüfen, ob der Auftragsverarbeiter hinreichende Garantien dafür bietet, dass er geeignete technische und organisatorische Maßnahmen getroffen hat und der Schutz der Rechte der betroffenen Person gewährleistet wird.

Gemeinsame Verantwortliche – Joint Controllership
Die DSGVO ermöglicht neben der alleinigen Verantwortung für ein Verfahren (Datenverarbeitungsprozess) ein arbeitsteiliges Zusammenwirken. Dabei können „zwei oder mehr Verantwortliche“ gemeinsam die Verantwortung für die Verarbeitung personenbezogener Daten übernehmen.

In den Fällen, in denen eine gemeinsame Verantwortlichkeit vorliegt, sollten alle Parteien im Interesse der Risikominimierung klar festlegen, wer jeweils welche Verpflichtungen gemäß der DSGVO erfüllen muss.

Einige praktische Beispiele, bei denen eine gemeinsame Verantwortung vorliegen könnte:

  • Klinische Studien,
  • klinische Arzneimittelstudien bei mehreren Verantwortlichen, die eigene Entscheidungen treffen
  • mehrere Unternehmen eines Konzerns, die gemeinsam bestimmte Datenkategorien verwalten und verarbeiten
  • Soziale Medien, wenn Sie als Unternehmer eine Unternehmens- oder Fanpage betreiben
  • Forschungsprojekt Institute
  • Marketingveranstaltung mehrere Unternehmen
  • Headhunter (konkreter Einzelfall)

Keine gemeinsame Verantwortlichkeit

  • Übermittlung Lohndaten an Finanzverwaltung (gesetzlich geregelt)
  • Gemeinsame Nutzung einer Datenbank mit getrennten Bereichen – Mandantenfähigkeit / Berechtigungskonzepte etc.
  • Gemeinsame Infrastruktur (Rechenzentren etc.)

Vereinbarung über die gemeinsame Verantwortung (Joint-Controller-Vereinbarung)
Die folgenden Punkte sollten Mindestinhalt der Vereinbarung sein:

  • Beschreibung der Datenverarbeitung
  • Phasen, Funktionen und Beziehungen aller gemeinsam Verantwortlichen des gesamten Datenverarbeitungsprozesses
  • Beschreibung der Verteilung der datenschutzrechtlichen Verantwortlichkeiten
  • Festlegung der jeweiligen Rechtmäßigkeitsvoraussetzungen
  • Umgang und Verantwortlichkeiten bezüglich der Betroffenenrechte
  • Vereinbarung über technisch-organisatorische Maßnahmen
  • Zusammenarbeit bzgl. einer Datenschutz-Folgenabschätzung
  • Zusammenarbeit bei Bearbeitung und Meldung von Datenpannen
  • Nennung von gegenseitigen Ansprechpartnern für den Datenschutz
  • Pflichten zur gegenseitigen Übermittlung von Informationen (z.B. VVT)
  • Internationale Übermittlungen – Festlegung der eingesetzten Mechanismen und Verantwortlichkeiten
  • Regelungen wie auf den Datenschutz betreffende Änderungen reagiert wird
  • Regelungen zum Haftungsausgleich im Innenverhältnis

Wichtig ist: Der Vertrag zur gemeinsamen Verantwortlichkeit stellt keine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten dar, sondern setzt diese voraus.
Lesen Sie hierzu auch unseren Beitrag „Datenverarbeitung im Rahmen der Arbeitnehmerüberlassung – wer ist Verantwortlicher?)

Auftragsverarbeitung, gemeinsame oder eigene Verantwortlichkeit?
Von der richtigen Auswahl eines Dienstleisters (Auftragsverarbeiters) selbst, bis hin zu den Feinheiten der vertraglichen Regelungen macht die DSGVO eine Vielzahl von Vorgaben.

Gerne beraten wir Sie bei der Erstellung von AV-Verträgen und unterstützen Sie als externe Datenschutzbeauftragte bei der Organisation Ihrer Auftragsverarbeitungsprozesse.
Kontaktieren Sie uns!

Empfehlung: Nutzen Sie für die Auswahl und Erstbefragung eines Auftragsverarbeiters gerne unsere Checkliste.

Hat Ihnen dieser Beitrag gefallen? Dann teilen Sie ihn!

Tags: