Digital Services Act

Auftragsverarbeitung nach DSGVO – So einfach gehts

Sie haben schon von der Auftragsverarbeitung geh√∂rt,¬†sind sich¬†aber nicht¬†sicher, was¬†man darunter¬†genau¬†versteht?¬†Mit wem Sie¬†welche¬†Vertr√§ge schlie√üen m√ľssen¬†– Wir haben die wichtigsten Fakten zusammengefasst. (Lesezeit 5min)

 

Was versteht man unter einer Auftragsverarbeitung?

Ob¬†Marketingaktionen,¬†Personalbeschaffung¬†oder Lohnbuchhaltung¬†–¬†Unternehmen¬†lagern eine Vielzahl an¬†Aufgaben an¬†externe¬†Dienstleister aus.¬†In diesem Fall¬†verarbeiten Unternehmen¬†personenbezogene ‚ÄĮDaten¬†nicht¬†mehr¬†selbst, sondern dies wird m√∂glicherweise von einem externen¬†Partner, einem sog.¬†Auftragsverarbeiter, erledigt.

Sobald ein externer Dienstleister personenbezogene Daten im Auftrag eines Unternehmens weisungsabhängig verarbeitet, liegt eine Auftragsverarbeitung vor. (§62 BDSG i.V.m. Art 28 DSGVO)

Typische Beispiele einer Auftragsverarbeitung sind:
  • externe¬†Lohn- oder Gehaltsabrechnung
  • Webhosting der eigenen Homepage
  • Newsletterversand¬†durch eine Marketingagentur
  • Nutzung von Cloud-Diensten¬†zur¬†Kundenverwaltung¬†oder Personaleinsatzplanung
  • Nutzung cloudbasierter¬†Groupwaresysteme,¬†¬†wie Microsoft Exchange
  • Bewerbersuche √ľber Recruiting-Agenturen
  • Datentr√§gerentsorgung, Aktenvernichtung
  • Webanalyse- und¬†Trackings-Dienste wie Google Analytics, Google¬†Maps
  • Callcenter, die Kundendaten verarbeiten

F√ľr die Auftragsdatenverarbeitung bedarf es stets einer¬†umfassenden Vereinbarung ‚ÄĮzwischen Auftraggeber¬†und¬†Auftragsverarbeiter, dem sog.¬†Auftragsverarbeitungvertrag¬†(AV-Vertrag).

 

Was beinhaltet und regelt der Auftragsverarbeitungsvertrag?

Die Vereinbarung zur¬†Auftragsverarbeitung¬†umfasst¬†die Gegenzeichnung eines¬†gemeinsamen¬†Vertrages zur¬†weisungsgebundenen Verarbeitung¬†personenbezogener Daten.¬†Der Vertrag besteht im Wesentlichen¬†aus den¬†Anforderungen des Art.¬†28 DSGVO (Auftragsverarbeitung). Hinzu kommen¬†wichtige¬†Normen¬†zur¬†Sicherheit der Verarbeitung¬†sowie¬†zum Verhalten bei¬†Datenschutzpannen.¬†Zudem regelt der AV-Vertrag¬†weitere ‚ÄĮUnterst√ľtzungspflichten ‚ÄĮdes Auftragnehmers (Hinweise¬†bei Auskunftsersuchen) und¬†m√∂gliche ‚ÄĮSchadensersatzanspr√ľche¬†zwischen Auftraggeber und Auftragnehmer.

Ein AV-Vertrag sollte Folgendes beinhalten:
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der ‚ÄĮpersonenbezogenen Daten
  • Kategorien von betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Vertraulichkeitsverpflichtung¬†des beim Auftragsverarbeiter eingesetzten Personals
  • Gew√§hrleistung der Datensicherheit durch den Auftragsverarbeiter¬†(technischen und organisatorischen Ma√ünahmen)
  • Einsatz von¬†Subunternehmer (Vereinbarung ob, welche & unter welchen Voraussetzungen)
  • Meldepflicht bei Datenschutzverletzungen
  • Unterst√ľtzungspflicht des¬†Auftragsverarbeiters¬†bei Transparenz- und Nachweispflichten des Verantwortlichen
  • R√ľckgabe oder L√∂schung von personenbezogenen Daten durch den Auftragsverarbeiter nach Leistungserbringung bzw. -abschluss
  • Kontrollen beim Auftragsverarbeiter im Hinblick auf Einhaltung der DSGVO sowie sonstiger einschl√§giger Datenschutzvorschriften
  • Unterrichtungspflicht des¬†Auftragsverarbeiters, sofern dieser eine Weisung des Verantwortlichen f√ľr unzul√§ssig h√§lt

 

Wer erstellt den Auftragsverarbeitungsvertrag? 

Die Vorlage f√ľr den AV ‚ÄĮstammt¬†√ľblicherweise vom¬†Auftragsverarbeiter.¬†Viele Dienstleister wie 1&1, Newsletter2Go, DATEV¬†oder¬†Salesforce stellen f√ľr ihre Kunden einen Vertrag zur Auftragsverarbeitung zur Verf√ľgung.¬†Stellt¬†der Dienstleister keinen Vertrag zur Auftragsverarbeitung zur Verf√ľgung, sind¬†Sie selbst¬†in der Pflicht¬†einen solchen Vertrag¬†zu¬†formulieren.

Nebenbei: Im englischsprachigen Raum finden Sie den AV-Vertrag unter der Bezeichnung ‚ÄěData Processing Agreement (DPA)‚Äú. Die DSGVO wird mit ‚ÄěGDPR‚Äú (General Data¬†Protection¬†Regulation) √ľbersetzt.¬†

Weigert¬†sich ein Dienstleister einen AV-Vertrag zu unterschreiben, sollten Sie auf ein anderes Unternehmen ausweichen. Au√üerdem sollten Sie ihn dann¬†auffordern, alle¬†bisher √ľbermittelten¬†Daten umgehend zu l√∂schen.

 

Muss ich jetzt mit jedem Dienstleister einen Auftragsverarbeitungsvertrag abschließen? 

Um herauszufinden mit welchen Dienstleistern Sie einen Auftragsverarbeitungsvertrag (AVV) schließen können, sollten Sie sich folgende Fragen stellen:
  1. Legen Sie die Zwecke und Mittel der Verarbeitung selbst fest?
  2. Entscheiden Sie, welche Daten wie zu verarbeiten sind, wann die Verarbeitung beginnt und wann sie endet?
  3. Beinhaltet die Dienstleistung¬†im Wesentlichen die Verarbeitung personenbezogener Daten f√ľr¬†Ihre¬†Zwecke (und stellt nicht nur eine Hilfe oder Unterst√ľtzung ihrer eigenen Datenverarbeitung¬†dar)?
  4. Bestehen keine ‚ÄĮberufsst√§ndischen ‚ÄĮGesetze, die dem Auftragnehmer bereits eine umfassende Vertraulichkeit bez√ľglich des Umgangs mit den Daten abverlangen?

Lautet Ihre Antwort stets ‚ÄúJa‚ÄĚ, liegt in der Regel eine Auftragsverarbeitung vor.

 

Wann liegt keine Auftragsverarbeitung vor?

Ausnahmen best√§tigen die¬†Regel.¬†Wenn Sie die Verarbeitung¬†vollst√§ndig¬†auf¬†einen Dienstleister¬†√ľbertragen und¬†dieser weisungsunabh√§ngig, also eigenverantwortlich,¬†Daten¬†verarbeitet,¬†dann liegt keine Auftragsverarbeitung, sondern schlicht eine Weitergabe und Verarbeitung durch Dritte vor.

In diesen F√§llen ist der ‚ÄěBeauftragte‚Äú kein Auftragsverarbeiter, sondern ein eigenst√§ndiger Verantwortlicher. Ein solcher Fall von Weisungsfreiheit liegt¬†bspw.¬†bei Steuerberatern¬†vor. Deren¬†Kernt√§tigkeit¬†ist die¬†Steuerberatung. Dabei handeln sie unabh√§ngig, eigenverantwortlich (¬ß 57 StBerG) und somit weisungsfrei. Eine Auftragsverarbeitung ist damit nicht vereinbar.

Weitere Beispiele, bei denen keine Auftragsverarbeitung vorliegt:
  • Finanz- und Steuerberater
  • Wirtschaftspr√ľfer
  • Rechtsanwalt
  • externer Betriebsarzt
  • Inkassob√ľro
  • Bankinstitut f√ľr den Geldtransfer
  • Postdienst f√ľr den Brieftransport

Fragen Sie im Zweifel Ihren‚ÄĮDatenschutzbeauftragten ‚ÄĮoder ‚Äď wenn Sie keinen haben ‚Ästgern uns!

 

Was muss man bei der Auswahl seiner Auftragsverarbeiter beachten?

Der Verantwortliche muss seinen Auftragsverarbeiter nach Art 28 DSGVO¬†‚Äěsorgf√§ltig‚Äú¬†ausw√§hlen.¬†Gemeint ist damit u.a., dass der Auftragsverarbeiter die notwendigen technischen und organisatorischen Ma√ünahmen zum Schutz von personenbezogenen Daten¬†vorweist.

Art. 32 DSGVO nennt dabei insbesondere:
  • Ma√ünahmen zur¬†Pseudonymisierung¬†und Verschl√ľsselung
  • Ma√ünahmen zur Sicherstellung der Vertraulichkeit, Integrit√§t, Verf√ľgbarkeit und Belastbarkeit von Systemen und Diensten
  • Ma√ünahmen zur raschen Wiederherstellung von Daten und Zug√§ngen (Stichwort: Notfallmanagement/Business¬†Continuity¬†Management)
  • Verfahren zur √úberpr√ľfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Ma√ünahmen (Stichwort: IT-Sicherheitsmanagement)

Aufgrund der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO sind Sie, als Verantwortlicher, grundsätzlich dazu verpflichtet, die Einhaltung der DSGVO nachweisen zu können.

Zum Nachweis hinreichender Garantien kommen folgende Nachweise in Betracht:
  • (Verbindliche) Erkl√§rung des¬†Auftragsverarbeiters¬†zur Umsetzung von technischen und organisatorischen Ma√ünahmen, ggf. per ‚ÄěSelf-Assessment‚Äú best√§tigt
  • Zertifizierungen (Art. 42 DSGVO)
  • Genehmigte Verhaltensregeln (Art. 40 DSGVO)
  • Datenschutz-Siegel (z. B. f√ľr ein bestimmtes Produkt)
  • ISO-27001-Zertifizierung (IT-Sicherheitsmanagement)
  • Testate (Drittbest√§tigungen, z. B. von Wirtschaftspr√ľfern oder interner Revision)

 

Was passiert, wenn ich keinen Vertrag zur Auftragsdatenverarbeitung abschließe?

Haben die Parteien keinen Vertrag zur Auftragsverarbeitung geschlossen oder entspricht dieser nicht den Anforderungen des Art. 28 DSGVO, kann es durchaus teuer werden. Nach der DSGVO können zuständige Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro verhängen. Ebenfalls kann die betroffene Person, deren Daten verarbeitet werden, vom Auftraggeber und Auftragnehmer Schadensersatz verlangen.

 

„Auftragsdatenverarbeitung vs. Auftragsverarbeitung“ ‚Äď Wo ist da der Unterschied¬†

Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 wurde der Begriff Auftragsdatenverarbeitung von der Auftragsverarbeitung abgelöst.

Aber nicht nur die Bezeichnung wurden durch die DSGVO neu geregelt. Auch sind einige Neuerungen bei der Anwendung geltender Vorschriften zur auftragsbezogenen Verarbeitung von personenbezogenen Daten zu beachten.

Was sich mit der DSGVO geändert hat:
  • Bezeichnung:¬†‚ÄĮMit der DSGVO hat sich¬†die Bezeichnung¬†ge√§ndert: Aus Auftragsdatenverarbeitung wurde Auftragsverarbeitung. Der¬†ehemalige¬†ADV-Vertrag hei√üt nun nur noch AV-Vertrag. Der Auftragnehmer¬†hei√üt jetzt¬†Auftragsverarbeiter.
  • Elektronische Form:‚ÄĮ Vertr√§ge zur Auftragsverarbeitung k√∂nnen nun auch in elektronischer Form abgeschlossen werden.
  • Haftung: ‚ÄĮ Auftraggeber UND Auftragsverarbeiter¬†haften nun gegen√ľber der betroffenen Person.¬†Die ‚Äěgleichberechtigte‚Äú Stellung zeigt sich sowohl in der Bu√ügeldandrohung nach Art. 83 Abs. 4 DSGVO, als auch im Hinblick auf die gesamtschuldnerische Haftung gegen√ľber Betroffenen nach Art. 82 Abs. 1 DSGVO.¬†Nach Abs. 2 Satz 2 haftet der Auftragsverarbeiter allerdings nur dann, wenn er seinen auferlegten Pflichten lt. DSGVO nicht nachgekommen ist oder die Anweisungen des Verantwortlichen nicht beachtet¬†hat.
  • EU +:‚ÄĮ Eine¬†Auftragsverarbeitung darf¬†laut DSGVO nun¬†auch au√üerhalb der EU stattfinden.
  • Kontrollpflicht:‚ÄĮ Auftraggeber¬†haben Kontrollrechte, aber keine Kontroll- und Dokumentationspflichten mehr.
  • Subunternehmen:‚ÄĮ Auftragsverarbeiter d√ľrfen¬†erst nach ausdr√ľcklicher Zustimmung des Auftraggebers weitere¬†Unternehmen¬†zur Verarbeitung der Daten¬†einsetzen.

 

Fazit

Ob Sie nun als Verantwortlicher (Auftraggeber) oder als Auftragsverarbeiter agieren – in beiden F√§llen sollten Sie Ihren Pflichten gem. DSGVO nachkommen, um unn√∂tige Bu√ügelder zu vermeiden. Hier noch einmal das Wichtigste in K√ľrze:

Pflichten als Auftraggeber (Verantwortlicher)
  • Auftragsverarbeiter sorgf√§ltig ausw√§hlen (hinreichende Garantien zum Schutz von personenbezogenen Daten).
  • Nachweise und Garantien des Auftragsverarbeiters pr√ľfen.
  • Schriftlichen Vertrag mit Auftragsverarbeiter abschlie√üen. Wichtig ist, dass Sie gegen√ľber den Datenschutzbeh√∂rden nachweisen k√∂nnen, dass Sie Auftragsverarbeitungsvertr√§ge geschlossen haben.
  • In der‚ÄĮDatenschutzerkl√§rung‚ÄĮdarauf hinweisen, welche externen Dienstleister personenbezogene Daten verarbeiten.
Pflichten als Auftragsverarbeiter:
  • Auftragsverarbeiter ist Normadressat (Haftung).
  • Vertr√§ge zur Auftragsverarbeitung abschlie√üen.¬†Nach der DSGVO m√ľssen Auftragsverarbeiter ein aktives Interesse zeigen, einen ordnungsgem√§√üen AV-Vertrag abzuschlie√üen.
  • Nur auf Weisung verarbeiten (inkl. Pr√ľfung und Dokumentation).¬†Nach Art. 28 Abs. 3 a) DSGVO darf der Auftragsverarbeiter personenbezogene Daten nur auf Weisung des Verantwortlichen verarbeiten. Dabei muss er Weisungen auf ihre Rechtm√§√üigkeit hin pr√ľfen, dokumentieren und den Verantwortlichen in Zweifelsf√§llen informieren.
  • Nachweise und Garantien beibringen.¬†Geeignete technische und organisatorische Ma√ünahmen implementieren und nachweisen.
  • Mit der Auftragsverarbeitung betraute Mitarbeiter zur Vertraulichkeit verpflichten.
  • Den Verantwortlichen¬†im Rahmen der Aus√ľbung von Betroffenenrechten und der Gew√§hrleistung der Datensicherheit¬†unterst√ľtzen.
  • Verzeichnis von Verarbeitungst√§tigkeiten f√ľhren (Art. 30 Abs. 2 DSGVO).
  • Information √ľber beabsichtigte √Ąnderungen (Genehmigung zur Einschaltung weiterer Auftragsverarbeiter/ zum Ersatz¬†einholen).

 

Sie haben Fragen zur Ihrem AV-Vertrag? Oder sind sich immer noch unsicher, ob Sie an alles gedacht haben? Wir helfen Ihnen weiter!

Ihre Datenschutzbeauftragten

 

Folgende Beiträge könnten Sie auch interessieren:

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert