Auftragsverarbeitung nach DSGVO – So einfach gehts

Sie haben schon von der Auftragsverarbeitung gehört, sind sich aber nicht sicher, was man darunter genau versteht? Mit wem Sie welche Verträge schließen müssen – Wir haben die wichtigsten Fakten zusammengefasst. (Lesezeit 5min)

 

Was versteht man unter einer Auftragsverarbeitung?

Ob Marketingaktionen, Personalbeschaffung oder Lohnbuchhaltung – Unternehmen lagern eine Vielzahl an Aufgaben an externe Dienstleister aus. In diesem Fall verarbeiten Unternehmen personenbezogene  Daten nicht mehr selbst, sondern dies wird möglicherweise von einem externen Partner, einem sog. Auftragsverarbeiter, erledigt.

Sobald ein externer Dienstleister personenbezogene Daten im Auftrag eines Unternehmens weisungsabhängig verarbeitet, liegt eine Auftragsverarbeitung vor. (§62 BDSG i.V.m. Art 28 DSGVO)

Typische Beispiele einer Auftragsverarbeitung sind:

• externe Lohn- oder Gehaltsabrechnung
• Webhosting der eigenen Homepage
• Newsletterversand durch eine Marketingagentur
• Nutzung von Cloud-Diensten zur Kundenverwaltung oder Personaleinsatzplanung
• Nutzung cloudbasierter Groupwaresysteme,  wie Microsoft Exchange
• Bewerbersuche über Recruiting-Agenturen
• Datenträgerentsorgung, Aktenvernichtung
• Webanalyse- und Trackings-Dienste wie Google Analytics, Google Maps
• Callcenter, die Kundendaten verarbeiten

Für die Auftragsdatenverarbeitung bedarf es stets einer umfassenden Vereinbarung  zwischen Auftraggeber und Auftragsverarbeiter, dem sog. Auftragsverarbeitungvertrag (AV-Vertrag).

 

Was beinhaltet und regelt der Auftragsverarbeitungsvertrag?

Die Vereinbarung zur Auftragsverarbeitung umfasst die Gegenzeichnung eines gemeinsamen Vertrages zur weisungsgebundenen Verarbeitung personenbezogener Daten. Der Vertrag besteht im Wesentlichen aus den Anforderungen des Art. 28 DSGVO (Auftragsverarbeitung). Hinzu kommen wichtige Normen zur Sicherheit der Verarbeitung sowie zum Verhalten bei Datenschutzpannen. Zudem regelt der AV-Vertrag weitere  Unterstützungspflichten  des Auftragnehmers (Hinweise bei Auskunftsersuchen) und mögliche  Schadensersatzansprüche zwischen Auftraggeber und Auftragnehmer.

Ein AV-Vertrag sollte Folgendes beinhalten:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der  personenbezogenen Daten
• Kategorien von betroffenen Personen
• Umfang der Weisungsbefugnisse
• Vertraulichkeitsverpflichtung des beim Auftragsverarbeiter eingesetzten Personals
• Gewährleistung der Datensicherheit durch den Auftragsverarbeiter (technischen und organisatorischen Maßnahmen)
• Einsatz von Subunternehmer (Vereinbarung ob, welche & unter welchen Voraussetzungen)
• Meldepflicht bei Datenschutzverletzungen
• Unterstützungspflicht des Auftragsverarbeiters bei Transparenz- und Nachweispflichten des Verantwortlichen
• Rückgabe oder Löschung von personenbezogenen Daten durch den Auftragsverarbeiter nach Leistungserbringung bzw. -abschluss
• Kontrollen beim Auftragsverarbeiter im Hinblick auf Einhaltung der DSGVO sowie sonstiger einschlägiger Datenschutzvorschriften
• Unterrichtungspflicht des Auftragsverarbeiters, sofern dieser eine Weisung des Verantwortlichen für unzulässig hält

 

Wer erstellt den Auftragsverarbeitungsvertrag? 

Die Vorlage für den AV  stammt üblicherweise vom Auftragsverarbeiter. Viele Dienstleister wie 1&1, Newsletter2Go, DATEV oder Salesforce stellen für ihre Kunden einen Vertrag zur Auftragsverarbeitung zur Verfügung. Stellt der Dienstleister keinen Vertrag zur Auftragsverarbeitung zur Verfügung, sind Sie selbst in der Pflicht einen solchen Vertrag zu formulieren.

Nebenbei: Im englischsprachigen Raum finden Sie den AV-Vertrag unter der Bezeichnung „Data Processing Agreement (DPA)“. Die DSGVO wird mit „GDPR“ (General Data Protection Regulation) übersetzt. 

Weigert sich ein Dienstleister einen AV-Vertrag zu unterschreiben, sollten Sie auf ein anderes Unternehmen ausweichen. Außerdem sollten Sie ihn dann auffordern, alle bisher übermittelten Daten umgehend zu löschen.

 

Muss ich jetzt mit jedem Dienstleister einen Auftragsverarbeitungsvertrag abschließen? 

Um herauszufinden mit welchen Dienstleistern Sie einen Auftragsverarbeitungsvertrag (AVV) schließen können, sollten Sie sich folgende Fragen stellen:

1. Legen Sie die Zwecke und Mittel der Verarbeitung selbst fest?
2. Entscheiden Sie, welche Daten wie zu verarbeiten sind, wann die Verarbeitung beginnt und wann sie endet?
3. Beinhaltet die Dienstleistung im Wesentlichen die Verarbeitung personenbezogener Daten für Ihre Zwecke (und stellt nicht nur eine Hilfe oder Unterstützung ihrer eigenen Datenverarbeitung dar)?
4. Bestehen keine  berufsständischen  Gesetze, die dem Auftragnehmer bereits eine umfassende Vertraulichkeit bezüglich des Umgangs mit den Daten abverlangen?

Lautet Ihre Antwort stets “Ja”, liegt in der Regel eine Auftragsverarbeitung vor.

 

Wann liegt keine Auftragsverarbeitung vor?

Ausnahmen bestätigen die Regel. Wenn Sie die Verarbeitung vollständig auf einen Dienstleister übertragen und dieser weisungsunabhängig, also eigenverantwortlich, Daten verarbeitet, dann liegt keine Auftragsverarbeitung, sondern schlicht eine Weitergabe und Verarbeitung durch Dritte vor.

In diesen Fällen ist der „Beauftragte“ kein Auftragsverarbeiter, sondern ein eigenständiger Verantwortlicher. Ein solcher Fall von Weisungsfreiheit liegt bspw. bei Steuerberatern vor. Deren Kerntätigkeit ist die Steuerberatung. Dabei handeln sie unabhängig, eigenverantwortlich (§ 57 StBerG) und somit weisungsfrei. Eine Auftragsverarbeitung ist damit nicht vereinbar.

Weitere Beispiele, bei denen keine Auftragsverarbeitung vorliegt:

• Finanz- und Steuerberater
• Wirtschaftsprüfer
• Rechtsanwalt
• externer Betriebsarzt
• Inkassobüro
• Bankinstitut für den Geldtransfer
• Postdienst für den Brieftransport

Fragen Sie im Zweifel Ihren Datenschutzbeauftragten  oder – wenn Sie keinen haben – gern uns!

 

Was muss man bei der Auswahl seiner Auftragsverarbeiter beachten?

Der Verantwortliche muss seinen Auftragsverarbeiter nach Art 28 DSGVO „sorgfältig“ auswählen. Gemeint ist damit u.a., dass der Auftragsverarbeiter die notwendigen technischen und organisatorischen Maßnahmen zum Schutz von personenbezogenen Daten vorweist.

Art. 32 DSGVO nennt dabei insbesondere:

• Maßnahmen zur Pseudonymisierung und Verschlüsselung
• Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Systemen und Diensten
• Maßnahmen zur raschen Wiederherstellung von Daten und Zugängen (Stichwort: Notfallmanagement/Business Continuity Management)
• Verfahren zur Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen (Stichwort: IT-Sicherheitsmanagement)

Aufgrund der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO sind Sie, als Verantwortlicher, grundsätzlich dazu verpflichtet, die Einhaltung der DSGVO nachweisen zu können.

Zum Nachweis hinreichender Garantien kommen folgende Nachweise in Betracht:

• (Verbindliche) Erklärung des Auftragsverarbeiters zur Umsetzung von technischen und organisatorischen Maßnahmen, ggf. per „Self-Assessment“ bestätigt
• Zertifizierungen (Art. 42 DSGVO)
• Genehmigte Verhaltensregeln (Art. 40 DSGVO)
• Datenschutz-Siegel (z. B. für ein bestimmtes Produkt)
• ISO-27001-Zertifizierung (IT-Sicherheitsmanagement)
• Testate (Drittbestätigungen, z. B. von Wirtschaftsprüfern oder interner Revision)

 

Was passiert, wenn ich keinen Vertrag zur Auftragsdatenverarbeitung abschließe?

Haben die Parteien keinen Vertrag zur Auftragsverarbeitung geschlossen oder entspricht dieser nicht den Anforderungen des Art. 28 DSGVO, kann es durchaus teuer werden. Nach der DSGVO können zuständige Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro verhängen. Ebenfalls kann die betroffene Person, deren Daten verarbeitet werden, vom Auftraggeber und Auftragnehmer Schadensersatz verlangen.

 

„Auftragsdatenverarbeitung vs. Auftragsverarbeitung“ – Wo ist da der Unterschied 

Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 wurde der Begriff Auftragsdatenverarbeitung von der Auftragsverarbeitung abgelöst.

Aber nicht nur die Bezeichnung wurden durch die DSGVO neu geregelt. Auch sind einige Neuerungen bei der Anwendung geltender Vorschriften zur auftragsbezogenen Verarbeitung von personenbezogenen Daten zu beachten.

Was sich mit der DSGVO geändert hat:

• Bezeichnung:  Mit der DSGVO hat sich die Bezeichnung geändert: Aus Auftragsdatenverarbeitung wurde Auftragsverarbeitung. Der ehemalige ADV-Vertrag heißt nun nur noch AV-Vertrag. Der Auftragnehmer heißt jetzt Auftragsverarbeiter.
• Elektronische Form:  Verträge zur Auftragsverarbeitung können nun auch in elektronischer Form abgeschlossen werden.
• Haftung:   Auftraggeber UND Auftragsverarbeiter haften nun gegenüber der betroffenen Person. Die „gleichberechtigte“ Stellung zeigt sich sowohl in der Bußgeldandrohung nach Art. 83 Abs. 4 DSGVO, als auch im Hinblick auf die gesamtschuldnerische Haftung gegenüber Betroffenen nach Art. 82 Abs. 1 DSGVO. Nach Abs. 2 Satz 2 haftet der Auftragsverarbeiter allerdings nur dann, wenn er seinen auferlegten Pflichten lt. DSGVO nicht nachgekommen ist oder die Anweisungen des Verantwortlichen nicht beachtet hat.
• EU +:  Eine Auftragsverarbeitung darf laut DSGVO nun auch außerhalb der EU stattfinden.
• Kontrollpflicht:  Auftraggeber haben Kontrollrechte, aber keine Kontroll- und Dokumentationspflichten mehr.
• Subunternehmen:  Auftragsverarbeiter dürfen erst nach ausdrücklicher Zustimmung des Auftraggebers weitere Unternehmen zur Verarbeitung der Daten einsetzen.

 

Fazit

Ob Sie nun als Verantwortlicher (Auftraggeber) oder als Auftragsverarbeiter agieren – in beiden Fällen sollten Sie Ihren Pflichten gem. DSGVO nachkommen, um unnötige Bußgelder zu vermeiden. Hier noch einmal das Wichtigste in Kürze:

Pflichten als Auftraggeber (Verantwortlicher)

• Auftragsverarbeiter sorgfältig auswählen (hinreichende Garantien zum Schutz von personenbezogenen Daten).
• Nachweise und Garantien des Auftragsverarbeiters prüfen.
• Schriftlichen Vertrag mit Auftragsverarbeiter abschließen. Wichtig ist, dass Sie gegenüber den Datenschutzbehörden nachweisen können, dass Sie Auftragsverarbeitungsverträge geschlossen haben.
• In der Datenschutzerklärung darauf hinweisen, welche externen Dienstleister personenbezogene Daten verarbeiten.

Pflichten als Auftragsverarbeiter:

• Auftragsverarbeiter ist Normadressat (Haftung).
• Verträge zur Auftragsverarbeitung abschließen. Nach der DSGVO müssen Auftragsverarbeiter ein aktives Interesse zeigen, einen ordnungsgemäßen AV-Vertrag abzuschließen.
• Nur auf Weisung verarbeiten (inkl. Prüfung und Dokumentation). Nach Art. 28 Abs. 3 a) DSGVO darf der Auftragsverarbeiter personenbezogene Daten nur auf Weisung des Verantwortlichen verarbeiten. Dabei muss er Weisungen auf ihre Rechtmäßigkeit hin prüfen, dokumentieren und den Verantwortlichen in Zweifelsfällen informieren.
• Nachweise und Garantien beibringen. Geeignete technische und organisatorische Maßnahmen implementieren und nachweisen.
• Mit der Auftragsverarbeitung betraute Mitarbeiter zur Vertraulichkeit verpflichten.
• Den Verantwortlichen im Rahmen der Ausübung von Betroffenenrechten und der Gewährleistung der Datensicherheit unterstützen.
• Verzeichnis von Verarbeitungstätigkeiten führen (Art. 30 Abs. 2 DSGVO).
• Information über beabsichtigte Änderungen (Genehmigung zur Einschaltung weiterer Auftragsverarbeiter/ zum Ersatz einholen).

 

Sie haben Fragen zur Ihrem AV-Vertrag? Oder sind sich immer noch unsicher, ob Sie an alles gedacht haben? Wir helfen Ihnen weiter!

Ihre Datenschutzbeauftragten

 

Folgende Beiträge könnten Sie auch interessieren:

• EuGH: Keine Cookies und Like-Button ohne Einwilligung, Verstöße abmahnbar
• Wearables und Datenschutz – Wie Sie Ihre Datenkrake im Blick behalten und worauf Sie jetzt achten sollten!
• Plötzlich Videokonferenzen – Und nun? Welche datenschutzrechtlichen Grundlagen Sie jetzt beachten sollten.