Auftrags-Verarbeitung

Der Begriff der Auftragsverarbeitung (früher Auftragsdatenverarbeitung) wirft bei vielen Verantwortlichen Fragen auf, wird falsch verstanden oder ignoriert. Worum es sich dabei handelt, wann eine Auftragsverarbeitung vorliegt und wie man einen gültigen Vertrag zur Auftragsverarbeitung schließt möchte ich euch im folgenden Beitrag näher bringen.

In Artikel 28 Abs. 1 Datenschutz-Grundverordnung heißt es „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“

Im Klartext bedeutet das also, wer personenbezogene Daten nicht selbst, sondern durch einen Dritten verarbeiten lassen möchte, muss bei der Auswahl der jeweiligen Dienstleister bestimmte Kriterien beachten. Grund dafür ist, dass die Sicherheit der Persönlichkeitsrechte der betroffenen Personen, deren Daten verarbeitet werden, gewährleistet wird. 

Es dürfen demnach nur vertrauenswürdige Dienstleister beauftragt werden, welche nachweißlich bestimmte technische und organisatorische Datenschutz-Maßnahmen ergreifen. Das Ergebnis einer ordnungsgemäß geschlossenen Auftragsverarbeitung ist, dass Betroffene ihre individuellen Rechte nur gegenüber dem Verantwortlichen (also dem Auftraggeber) geltend machen können und nicht gegenüber dem im Auftrag arbeitenden. 

Übermittelt der Verantwortliche dem Auftragsverarbeiter personenbezogene Daten ist hierfür keine gesonderte Rechtsgrundlage erforderlich, da in diesem Fall die Weitergabe keine Verarbeitungstätigkeit darstellt. Allerdings ist zu beachten, dass der Auftragsverarbeiter zu den Empfängern der Daten zählt und somit beim durchsetzen des Auskunftsrechts der betroffenen Personen (Art. 15 DSGVO) genannt werden muss (dazu mehr in meinem Artikel zu den Datenschutz-Basics)

Doch wann liegt überhaupt eine Auftragsverarbeitung im Sinne der DSGVO vor? Trifft das für jeden Dienstleistungsvertrag zu oder nur in ganz bestimmten Fällen? Ausschlaggebend für die Beantwortung dieser Fragen ist, wie der Name schon sagt, ob die personenbezogenen Daten im Auftrag, also aufgrund klarer Anweisungen und nur im angewiesenen Rahmen verarbeitet werden und nicht zu weiteren eigenen Zwecken des Dienstleisters verarbeitet werden. Es liegt somit grundsätzlich keine Auftragsverarbeitung vor, wenn der Dienstleister selbst Entscheidungen darüber trifft, welche Daten er in welchem Umfang und auf welche Weise verarbeitet. Weitere Erfordernis für eine gültige Auftragsverarbeitung ist es, dass der Verantwortliche seine Auftragsverarbeiter sorgfältig auswählt (hierbei ist es wichtig die Gründe für die Entscheidungsfindung zu dokumentieren) und auch regelmäßig kontrolliert (das folgt aus Art. 28 Abs. 1 DSGVO zusammen mit ErwGr. 81). Zwischen Verantwortlichem und Auftragsverarbeiter ist ein schriftlicher (Art. 28 Abs. 9 DSGVO) Vertrag zu schließen, auf dessen Anforderungen ich weiter unten eingehe.

Beauftragt der Verantwortliche etwa ein Callcenter damit, in seinem Namen seine Kunden zu betreuen, so liegt eine Auftragsverarbeitung vor, solange das Callcenter die Kundendaten nicht noch zu weiteren Zwecken nutzt (etwa für eigene Zwecke auswertet), oder diese Daten weitergibt. Weitere typische Fälle von Auftragsverarbeitung sind die Erfassung von Daten, das Einscannen von Dokumente, Werbeadressenverwaltung durch einen Newsletter-Dienstleister, die fachgerechte Entsorgung von Daten(-trägern), die Nutzung von Cloud-Computing oder die Beauftragung eines Sicherheitsdienstes, der Zugangskontrollen durchführt. 

Keine Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung sind Reinigungsdienste, Bankinstitute und Inkassobüros, Postdienste sowie alle Dienstleister, die einem Berufsgeheimnis unterliegen (Steuerberater, Rechtsanwälte, Wirtschaftsprüfer). Auch hier gibt es allerdings Ausnahmen, z.B. wenn ein Steuerbüro als externe Lohnabrechnungsstelle genutzt wird. Grund dafür ist, dass in diesem Fall die Tätigkeit nach Weisung und nicht eigenverantwortlich ausgeübt wird.

Eine weitere Form der Auftragsverarbeitung liegt vor, wenn IT-Dienstleister per Vertrag sogenannte Fernwartungen durchführen oder anderweitigen Fernzugriff auf Systeme beim Verantwortlichen haben. Da es nicht ausgeschlossen werden kann, dass in solchen Fällen die jeweiligen IT-Mitarbeiter Kenntnis über personenbezogene Daten erlangen, ist auch in diesen Fällen der Abschluss eines Vertrages zur Auftragsverarbeitung erforderlich.

Dem Auftragsverarbeiter unterliegen einige eigenständige Pflichten. Zunächst ist er verpflichtet ein Verzeichnis der Verarbeitungstätigkeiten, die er im Auftrag ausführt, zu führen. Dieses Verzeichnis hat aber weniger Mindestinhalte als das entsprechende Verzeichnis des Verantwortlichen. Es muss nur den Namen und die Kontaktdaten des Verantwortlichen und des Auftragsverarbeiters enthalten, die Kategorien von Verarbeitungstätigkeiten, welche er im Auftrag ausführt und ggf. die Übermittlungen von personenbezogenen Daten in ein Drittland außerhalb der EU enthalten. Darüber hinaus muss der Auftragsverarbeiter einen Vertreter innerhalb der EU nennen, wenn er selbst keine Niederlassung in der EU hat. Der Auftragsverarbeiter ist nach Art. 31 DSGVO verpflichtet auf Anfrage mit der Aufsichtsbehörde zusammen zu arbeiten, er muss Datenschutzverstöße umgehend dem Verantwortlichen melden und kann unter Umständen verpflichtet sein einen Datenschutzbeauftragten zu benennen. 

Die Mindestanforderungen für einen Vertrag zur Auftragsverarbeitung sind in Art. 28 Abs. 3 DSGVO definiert. Dort müssen Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sein. Weiterhin muss der Vertrag Regelungen enthalten, die gewährleisten dass die personenbezogenen Daten nur auf dokumentierte Weise verarbeitet werden, dass alle Personen, die mit der Verarbeitung personenbezogener Daten beschäftigt sind auf Vertraulichkeit verpflichtet wurden und außerdem dass die erforderlichen technischen und organisatorischen Maßnahmen aus Art. 32 DSGVO ergriffen werden. 

Darüber hinaus muss der Vertrag regeln, dass der im Auftrag handelnde keine weiteren Auftragsverarbeiter, ohne vorherige schriftliche Erlaubnis des Verantwortlichen, in Anspruch nimmt. Auch Mitwirkungspflichten des Auftragnehmers zur Wahrung der Betroffenenrechte und bei eventuellen Datenpannen müssen im Vertrag geregelt sein wie auch eine Regelung, die es dem Verantwortlichen gestattet beim Auftragnehmer die Einhaltung der getroffenen Vereinbarungen zu kontrollieren einschließlich (angemeldeter) vor Ort Kontrollen. Zuletzt soll der Vertrag auch dafür Sorge tragen, dass der Auftragsverarbeiter die vom Verantwortlichen zur Verfügung gestellten Daten nach Vollendung des Zweckes wieder löscht bzw. an den Verantwortlichen zurückgibt.

Da viele Verträge zur Auftragsverarbeitung, die ich bis jetzt gesehen habe, Klauseln enthalten, die dem Verantwortlichen bei Kontrollen des Auftragverarbeiters vor Ort Kosten auferlegen, finde ich es wichtig darauf hinzuweisen, dass solche Regelungen die Durchführung von Kontrollen (zu denen der Verantwortliche wie bereits erwähnt verpflichtet ist) hemmen könnten und somit unzulässig sind. Der Auftragnehmer sollte also die Kosten für zukünftige Kontrollen durch den Auftraggeber bereits beim Vertragsschluss mit einpreisen, wenn er denn der Ansicht ist, dass ihm durch solche Kontrollen zusätzliche Kosten entstehen würden. 

Es gibt im Netz jede Menge Vorlagen für Verträge zur Auftragsverarbeitung, einige davon sind wirklich gut, andere weniger. Deshalb sollte man eine solche Vorlage (auch wenn man eine richtig gute erwischt hat) auf keinen Fall blind einsetzen, sie bedarf grundsätzlich einer individuellen Anpassung. Da auch kleine Fehler im Auftragsverarbeitungsvertrag große Probleme nach sich ziehen können, ist es ratsam einen Datenschutzexperten zu konsultieren. Für die Prüfung einer Vertragsvorlage muss selbstverständlich nicht gleich ein externer Datenschutzbeauftragter bestellt werden, man sollte sich aber überlegen ob man nicht eine einmalige Beratungsleistung in Anspruch nimmt. Für diese werden sicherlich geringere Kosten anfallen, als im schlimmsten Fall eine Vertragsstrafe oder gar ein Bußgeld zu kassieren, weil man eine Auftragsverarbeitung nach DSGVO nicht oder nicht korrekt vertraglich geregelt hat.