Wenn Sie nicht alle Prozesse innerhalb Ihres Unternehmens selbst durchführen können, ziehen Sie als Verantwortlicher weitere Dienstleister zum Outsourcing von Tätigkeiten hinzu. In der Regel wird in diesem Zusammenhang mit dem Auftragsverarbeiter ein Dienstleistungsvertrag geschlossen. Um den Anforderungen der DSGVO nachzukommen, muss ergänzend zu einem Dienstleistungsvertag auch ein Auftragsverarbeitungsvertrag unterzeichnet werden. Sie müssen also immer zwei Verträge (Dienstleistungsvertrag und Auftragsverarbeitungsvertrag) vorliegen haben.
Sie sehen also, eine Auftragsverarbeitung gemäß der DSGVO ist äußerst praxisrelevant. Was sich hinter einem Auftragsverarbeitungsvertrag verbirgt und warum dieser so wichtig ist, erklären wir in diesem Beitrag und zeigen einige Beispiele auf.
Was ist Auftragsverarbeitung? Eine Definition:
Eine Definition des Begriffs findet sich in Art. 4 Nr. 8 DSGVO: Danach ist ein Auftragsverarbeiter
„eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“
Auftragsverarbeiter gelten dabei nicht als Dritte im Sinne von Art. 4 Nr. 10 DSGVO. Allerdings sind Auftragsverarbeiter im Regelfall Empfänger von Daten (Art. 4 Nr. 9 DSGVO), so dass die betroffenen Personen im Rahmen der Informationspflichten nach Art. 13 DSGVO stets darauf hinzuweisen sind, wenn eine Datenübermittlung an einen Auftragsverarbeiter erfolgt.
Abgrenzung Auftragsverarbeiter vom Verantwortlichen
Die Auftragsverarbeitung ist dabei eine von drei möglichen Konstellationen im Verhältnis zum Verantwortlichen. Während der Verantwortliche nach Art. 4 Nr. 7 allein über Mittel und Zwecke der Datenverarbeitung entscheidet, darf der Auftragsverarbeiter die Daten nur so verarbeiten wie es die Weisungen des Verantwortlichen vorgeben. Die Auftragsverarbeitung ist daher immer ein Über-/Unterordnungsverhältnis. Wichtig hierbei ist, dass es bei der Auftragsverarbeitung keiner „normalen“ Rechtsgrundlage bedarf. Es ist ausreichend, wenn die Voraussetzungen des Art. 28 DSGVO eingehalten werden.
Davon abzugrenzen ist die gemeinsame Verantwortlichkeit zwischen mehreren Beteiligten. Hier legen zwei oder mehr Verantwortliche die Mittel und Zwecke gemeinsam fest. Ein Weisungs- oder Abhängigkeits- verhältnis besteht hier gerade nicht. Die dritte Konstellation ist die sogenannte Funktionsübertragung, also die Datenübermittlung zwischen zwei Verantwortlichen, welche die Daten jeweils für eigene Zwecke verarbeiten. Für die letztgenannten Konstellationen muss jeweils eine Rechtsgrundlage gegeben sein. Oftmals dürfte hier das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO zu Gunsten des bzw. der Verantwortlichen überwiegen.
Auftragsverarbeitung: Beispiele typischer Konstellationen
In der Praxis meint Auftragsverarbeitung im Regelfall das Auslagern von Datenverarbeitungsprozessen auf externe Dienstleister, um Kosten und eigene Ressourcen zu sparen. Zwar sind die rechtlichen Rahmenbedingungen zwischen den Konstellationen klar, allerdings kann die Abgrenzung selbst im Einzelfall schwierig sein.
Wann liegt eine Auftragsverarbeitung vor?
Eine Auftragsverarbeitung liegt immer dann vor, wenn der Dienstleister die Daten streng weisungsgebunden verarbeitet. Wenn also der Dienstleister keine eigene Entscheidungsbefugnis hat oder ihm die Nutzung der Daten für eigene Zwecke ausdrücklich untersagt ist, spricht viel für eine Auftragsverarbeitung. Wichtig ist dabei, dass es stets auf die objektive Rechtslage ankommt. Der Abschluss einer Auftragsverarbeitungs- vereinbarung (AVV) nach Art. 28 DSGVO hat daher nur eine deklaratorische Wirkung. Häufige Beispiele aus der Praxis sind:
Outsourcing des Rechenzentrums
Erstellung von Lohn- und Gehaltsabrechnungen (Ausnahme: Steuerberater)
Papier- und Aktenvernichtung einschließlich der Vernichtung von Datenträgern
Werbeadressenverarbeitung in einem Lettershop
Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume
Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen
Wann liegt keine Auftragsverarbeitung vor?
Eine Auftragsverarbeitung liegt dementsprechend nicht vor, wenn die vorgenannte Voraussetzungen nicht erfüllt sind, insbesondere wenn es an der Weisungsgebundenheit fehlt. Dies gilt u. a. bei der Inanspruchnahme fremder Fachdienstleistungen, wie z. B. von einem Rechtsanwalt oder einem Steuerberater. Diese sind keine Auftragsverarbeiter, weil diese auf Grund ihrer besonderen Stellung als Berufsgeheimnisträger niemals weisungsgebunden handeln. Weitere Beispiele aus der Praxis sind:
Inkassobüros mit Forderungsübertragung
Insolvenzverwalter
Übersendung von Schulungsteilnehmer-Daten zur Durchführung der Schulung an einen externen Trainer, Schulungsveranstalter oder an das Tagungshotel
Postdienste für den Brief- oder Pakettransport
vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten
Sachverständige zur Begutachtung eines Kfz-Schadens Vor allem die beiden letzten Beispiele zeigen auf, dass die Datenverarbeitung immer auch den Kern der Dienstleistung darstellen muss, um eine Auftragsverarbeitung anzunehmen.
Auswahl eines zuverlässigen Auftragsverarbeiters
Warum ist die Auswahl eines zuverlässigen Auftragsverarbeiters so wichtig? Ganz einfach: Die DSGVO will gewährleisten, dass das Mindestniveau des Datenschutzes auch im Falle der Auslagerung von Datenverarbeitungen an Dienstleister gewahrt bleibt. Aus Erwägungsgrund 81 zur DSGVO ergibt sich, dass der Verantwortliche einen Auftragsverarbeiter heranziehen soll, der „insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen hinreichende Garantien dafür bietet, dass technische und organisatorische Maßnahmen - auch für die Sicherheit der Verarbeitung - getroffen werden, die den Anforderungen dieser Verordnung genügen.“ Durch den Verweis auf Art. 32 DSGVO sollte sichergestellt werden, dass vor allem ausreichende Maßnahmen im Bereich der Datensicherheit getroffen werden.
Abschluss eines Auftragsverarbeitungsvertrag (AVV)
Art. 28 DSGVO nennt die Mindestanforderungen an den Inhalt einer AVV. Die Vorgaben sind angelehnt an die Informationspflichten aus Art. 13 DSGVO, um bestmögliche Transparenz für alle Beteiligten zu gewährleisten.
Welche Details gehören in einen Auftragsverarbeitungsvertrag?
Die inhaltlichen Anforderungen müssen aufgeführt werden, können aber einzelfallbezogen ausgestaltet sein und auf den jeweiligen Vertragspartner und dessen Tätigkeit angepasst werden. Nach Art. 28 Abs. 3 DSGVO sind zu regeln:
Gegenstand und Dauer der Verarbeitung
Art und Zweck der Verarbeitung
Art der personenbezogenen Daten und Kategorien von betroffenen Personen
Umfang der Weisungsbefugnisse
Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
Sicherstellung von technischen und organisatorischen Maßnahmen
Hinzuziehung von Subunternehmern
Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
Welche Pflichten hat der Verantwortliche?
Für den Verantwortlichen hat sich im Vergleich zum Zeitalter vor der DSGVO inhaltlich praktisch nichts geändert. Die wesentlichen Pflichten waren zuvor bereits im BDSG geregelt. Der Verantwortliche hat auch weiterhin die allgemeinen Grundsätze nach Art. 5 DSGVO einzuhalten (z. B. Zweckbindungsgebot oder Transparenz für die Betroffenen) und die technischen und organisatorischen Maßnahmen festzulegen. Neben der Auswahl eines zuverlässigen Auftragsverarbeiters (s. o.) darf der Verantwortliche beim Auftragsverarbeiter auch kontrollieren, ob dieser die datenschutzrechtlichen Vorschriften einhält. Dies kann sowohl durch eine Kontrolle vor Ort als auch durch die Vorlage entsprechender Zertifikate des Auftragnehmers geschehen. Eine weitere Pflicht ist die Erteilung dokumentierter Weisungen an den Auftragsverarbeiter. Dies liegt auch im eigenen Interesse des Verantwortlichen. Insbesondere bei Datenschutzverstößen und daraus resultierenden Schadensersatzansprüchen betroffener Personen kann es für die Schadensverteilung im Innenverhältnis zwischen Verantwortlichen und Auftragsverarbeiter auf den Wortlaut einer Weisung und darauf ankommen, ob sich der Auftragsverarbeiter an die Weisung gehalten hat oder nicht.
Welche Pflichten hat der Auftragsverarbeiter?
Da die DSGVO den Auftragsverarbeiter stärker als zuvor in die Pflicht zur Einhaltung des Datenschutzes nimmt, hat der Auftragsverarbeiter noch weitere Pflichten, für die er allein verantwortlich ist. Dazu gehören u. A.:
das Ergreifen technischer und organisatorischer Maßnahmen der Datensicherheit,
die Bestellung eines betrieblichen Datenschutzbeauftragten, sofern erforderlich,
die Pflicht den Verantwortlichen zu informieren, wenn Weisungen nach Ansicht des Auftragsverarbeiters gegen die Datenschutz-Grundverordnung oder andere Datenschutzbestimmungen verstoßen,
die Pflicht zur Meldung von Datenschutzverstößen an den Verantwortlichen. Sobald der Auftragsverarbeiter im Rahmen der Datenverarbeitung seine Befugnisse überschreitet und Daten für eigene Zwecke verarbeitet, gilt er diesbezüglich selbst als Verantwortlicher gemäß Art. 28 Abs. 10 DSGVO.
Einsatz von Unterauftragsnehmern durch den Auftragsverarbeiter
Oftmals werden noch weitere Subunternehmer eingesetzt, also Unternehmen, die als (Unter-) Auftragsnehmer vom eigentlichen Auftragsverarbeiter fungieren. Dadurch kann es zu einer regelrechten Vertragskette kommen. Letztlich hat aber stets der Verantwortlichen dafür Sorge zu tragen, dass die datenschutzrechtlichen Vorschriften eingehalten werden. Dabei ist es möglich, dass bestimmte Unterauftragsnehmer, mit welchen der Auftragnehmer bereits bei Vertragsschluss zusammenarbeitet, in den Vertrag aufgenommen werden. Genauso ist es denkbar, für einzelne Verarbeitungsschritte im Voraus mögliche Unterauftragnehmer festzulegen (z. B. Rechenzentrum für Hosting von Daten).
Alternativ kann der Verantwortliche seine allgemeine Genehmigung für den Einsatz von Unterauftragsverarbeitern erteilen. Wir empfehlen jedoch, dass die Unterauftragnehmer konkret benannt und innerhalb des Vertrags mit aufgeführt sind. Eine weitere Hinzuziehung von Unterauftragnehmern sollte nur mit schriftlicher Genehmigung des Verantwortlichen möglich sein.
Bußgelder und Sanktionen
Verstöße gegen die Vorgaben aus Art. 28 DSGVO können mit Bußgeldern und anderen Maßnahmen durch die Aufsichtsbehörden geahndet werden. Doch wer haftet im Einzelfall?
Wer haftet bei Datenschutzverstößen?
Gemäß Art. 82 Abs. 1 DSGVO haften Verantwortlicher und Auftragsverarbeiter im Außenverhältnis als Gesamtschuldner. Jede betroffene Person kann also von einem der an der Datenverarbeitung beteiligten Parteien in voller Höhe Schadensersatz verlangen. Doch was heißt das im Innenverhältnis? Kann der Verantwortliche seine Haftung etwa auf den Auftragsverarbeiter abwälzen? Zwar gilt hier grundsätzlich die Vertragsfreiheit zwischen den Parteien. Allerdings ist dieser eine Grenze gesetzt, wenn zu befürchten wäre, dass sonst das Datenschutzniveau zu sehr absinken würde. Gemäß Art. 82 Abs. 2 S. 2 DSGVO haftet ein Auftragsverarbeiter nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
Welche Sanktionen drohen Unternehmen?
Bei Verstößen gegen die Verpflichtungen der Art. 28 ff. DSGVO drohen den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern nach Art. 83 DSGVO Geldbußen in Höhe von bis zu 10 Millionen Euro oder 2 Prozent des gesamten weltweit erzielten Jahresumsatzes, je nachdem welcher Betrag höher ist. So hat beispielsweise ein Unternehmen aus Brandenburg ein Bußgeld in Höhe von 50.000,00 EUR kassiert, weil es entgegen der Regelung des Art. 28 Abs. 9 DSGVO keine AVV abgeschlossen hatte. Zudem hatte das Unternehmen es unterlassen, die Betroffenen darüber zu informieren, dass es sich bei dem eingesetzten Dienstleister um einen Auftragsverarbeiter gehandelt hat.
Was sollten Unternehmen beachten?
Auftragsverarbeitung kann also tückisch sein. Von der richtigen Auswahl des Auftragsverarbeiters selbst bis zu den vertraglichen Feinheiten der AVV macht die DSGVO eine Vielzahl von Vorgaben. Vor allem dann, wenn die Datenverarbeitung ganz oder teilweise in Drittländern stattfindet, sind die Vorgaben der Art. 44 ff. DSGVO und das leidige Thema EU-US-Datentransfer zu beachten ist. Im Regelfall müssen bestehende Verträge an die aktuellen Vorgaben der neuen Standarddatenschutzklauseln angepasst werden.