Es bleibt auch zwei Jahre nach Inkrafttreten der DSGVO in vielen Unternehmen eine der größten Herausforderungen: Die ständige Organisation der Auftragsverarbeitungsverträge und der datenschutzrechtliche Kontrolle der Zusammenarbeit mit externen Dienstleistern. Hier gibt es von den Datenschutzbeauftragten von Wiemer / Arndt erste Antworten auf die wichtigsten Fragen.

Wie ist die Auftragsverarbeitung definiert?

Ob der Cloud-Service, der E-Mail-Provider, die Online-Software für die Buchhaltung oder Marketing- und Eventagenturen: Sobald Selbstständige und Unternehmen interne personenbezogene Daten an externe Auftraggeber zur Verarbeitung weitergeben, besteht in der Regel eine Auftragsverarbeitung. Wer also externe Kundenservice-Dienstleistungen nutzt, beschäftigt bereits einen Auftragsverarbeiter.

In Art. 4 DSGVO ist der Auftragsverarbeiter definiert als „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Seine Tätigkeit ist dadurch geprägt, dass die personenbezogenen Daten „ausschließlich auf Weisung des Verantwortlichen“ verarbeitet werden (Art. 29, DSGVO).

Starke Hinweise auf Auftragsverarbeitung:

  • fehlende Entscheidungsbefugnis des Auftragsverarbeiters
  • personenbezogene Daten werden nicht für eigene, unternehmenseigene Zwecke benötigt
  • jeweilige nutzerbezogene Daten dürfen von Auftragsverarbeiter nicht genutzt werden

Häufige Beispiele von Auftragsverarbeitern sind etwa:

  • externe Rechenzentren
  • externe Datenspeicherung
  • externe Druckdienstleistungen
  • externe Vernichtung von Akten und Datenträgern
  • Agenturen, die Zugriffe auf unternehmensinterne Dokumente, Unternehmenswebsites oder Software haben

Wann braucht es keinen Auftragsverarbeitungsvertrag?

Es gibt jedoch auch geschäftliche Beziehungen, in denen personenbezogene Daten transferiert werden, jedoch trotzdem keine Auftragsverarbeitung vorliegt. Das ist insbesondere bei fremden Fachleistungen durch eigenständig Verantwortliche der Fall.

Bekannte Beispiele:

  • Steuerberatung
  • Wirtschaftsprüfung
  • Rechtsanwälte
  • Bankinstitute
  • Post

Laut dem Bayerischen Landesamt für Datenschutz steht hier die Datenverarbeitung nicht im Vordergrund bzw. macht sie keinen wichtigen (Kern-)Bestandteil der Zusammenarbeit aus und „stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar“.

Die Frage, wann eine Auftragsverarbeitung vorliegt, ist in manchen Fällen nicht leicht zu beantworten. Mitunter sind Geschäftsbeziehungen komplex oder nicht eindeutig. Liegt eine unentdeckte Auftragsverarbeitung vor und kommt es zu einer Datenpanne, kann dies teure Folgen für beide Seiten haben. Mit einer Prüfung durch einen externen Datenschutzbeauftragten kann hier Abhilfe geschaffen werden.

Aufgaben des Auftragsverarbeiters

Seit dem Inkrafttreten der DSGVO müssen Auftragsverarbeiter die folgenden (internen) Aufgaben erfüllen:

  • Erstellen und Pflegen eines Verarbeitungsverzeichnisses
  • Zusammenarbeit mit Datenschutzaufsicht
  • Planen und Durchführen von technischen und organisatorischen Maßnahmen für Datensicherheit
  • Beschränkungen für den Datentransfer in Drittländer einhalten

Durch solche Maßnahmen soll u. a. sichergestellt werden, dass jederzeit alle Schritte der Datenverarbeitung transparent und nachvollziehbar sind. Treten beispielsweise Datenpannen auf, können Fehler und Betroffene schnell ausfindig gemacht und geeignete Maßnahmen getroffen werden.

Verarbeitungsverzeichnis für Auftragsverarbeiter

Besonders wichtig ist das Verarbeitungsverzeichnis, mit dem Auftragsverarbeiter ihrer Dokumentationspflicht nachkommen.

Diese Inhalte gehören gemäß Art. 30, DSGVO in ein Verarbeitungsverzeichnis:

  • Name und Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist
  • Kategorien für alle Verarbeitungen, die im Auftrag durchgeführt werden
  • Transfer von personenbezogenen Daten in Drittländer oder beispielsweise internationale Organisationen inklusive Darstellung von allen Maßnahmen, um hier den Datenschutz garantieren zu können
  • (wenn möglich) Darstellung von TOMs

Haftung: Alle sitzen im gleichen Boot

Mit dem Inkrafttreten der DSGVO hat sich die rechtliche Situation für alle, die nun per Definition zu Auftragsverarbeitern geworden sind, verändert, auch wenn viele Pflichten bereits mit dem Bundesdatenschutzgesetz bestanden.

Von Neuerungen betroffen ist insbesondere die Frage nach der Haftung bei Schäden. War bisher nur der Auftraggeber haftbar, haften nun sowohl Auftraggeber wie auch Auftragsverarbeiter. Tritt ein materieller oder immaterieller Schaden auf und fordert beispielsweise eine Kundin bzw. Kunde, Klientin oder Klient, Schadenersatz, sind nach außen beide Parteien verantwortlich.

Nach innen muss geklärt werden, welche der beiden Parteien den Schaden verschuldet und wie sich beide Parteien anteilig an dem zu zahlenden Betrag beteiligen.

Um genau in solchen Situation möglichst einwandfrei klären zu können, welche Aufgaben und Pflichten Auftraggeber und Auftragsverarbeitende ausgehandelt haben, braucht es eine klare Vertragsgrundlage, den Auftragsverarbeitungsvertrag.

Das gehört in einen Auftragsverarbeitungsvertrag

Ein Auftragsverarbeitungsvertrag (AV-Vertrag) regelt die Zusammenarbeit zwischen Auftraggeber und Auftragsverarbeiter, die Inhalte sind in Art. 28, DSGVO vorgegeben:

  • Bestätigung der Weisungsabhängigkeit
  • Vertraulichkeitsvereinbarung und ggf. gesetzliche Verschwiegenheitsverpflichtung
  • Auftragsverarbeiter sichert die dauerhafte und hinreichende Einhaltung des Datenschutzes gemäß Art. 32-36, DSGVO zu
  • Auftragsverarbeiter versichert, dass er keine Subunternehmer beschäftigt, ohne vorherige Genehmigung und / oder Zusicherung durch Auftraggeber
  • Versicherung, dass auch Subunternehmer gemäß der Inhalte des AV-Vertrages bzw. der DSGVO arbeiten
  • Zusicherung der Mitarbeiter bei Datenschutzfolgenabschätzung, Überprüfungen beispielsweise durch Datenschutzbehörden sowie bei Datenschutzpannen
  • Definition von Inhalt, Start und Endzeitpunkt des Auftrages sowie Zusicherung der DSGVO-konformen Löschung von Daten

Aufgaben des Auftraggebers: Kontrolle und Organisation

Auftraggeber stehen gemäß Art. 28 DSGVO in der Pflicht, sicherzustellen, dass Auftragsverarbeiter gemäß der DSGVO arbeiten. Unternehmen, die sich dessen nicht sicher sind, erstellen im besten Fall eine Liste mit allen Auftragsverarbeitern, die für sie tätig sind. So erhalten sie einen Überblick und können nach und nach prüfen, ob die Auftragsverarbeiter gemäß DSGVO arbeiten und ob bereits ein Auftragsverarbeitungsvertrag vorliegt.

Für die Einhaltung des internen Datenschutzes ist es zudem ratsam, schriftlich festzuhalten, welche Arten von personenbezogenen Daten mit Auftragsverarbeitern zu welchem Zweck geteilt und verarbeitet werden. Diese Angaben befinden sich zumeist im unternehmenseigenen Verzeichnis der Verarbeitungstätigkeiten, so dass sie von dort übernommen werden können. Durch eine solche Auflistung kann auch deutlich werden, wo es noch Potenzial zur Datenminimierung gibt, was wiederum das Risiko von Datenpannen senken kann.

Gerne beraten wir Sie bei der Erstellung von AV-Verträgen und unterstützen Sie als externe Datenschutzbeauftragte bei der Organisation Ihrer Auftragsverarbeitungsprozesse.
Kontaktieren Sie uns!
Hat Ihnen dieser Beitrag gefallen? Dann teilen Sie ihn!

Tags: