In der heutigen Zeit begegnen selbst dem Datenschutzlaien häufig die Begriffe „Auftragsverarbeitung“ und „Auftragsverarbeitungs-Vertrag“ und in den seltensten Fällen besteht eine genaue Vorstellung davon, was sich hinter diesen Wörtern verbirgt.
Definition und Abgrenzung der Auftragsverarbeitung
Die Auftragsverarbeitung wird in der Europäischen Datenschutzgrundverordnung (DSGVO) definiert, und zwar ausgehend von dem Begriff des „Auftragsverarbeiters“. Diesen definiert Art. 4 Ziffer 8. DSGVO als eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Exkurs: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, die von der DSGVO als „Betroffener“ bezeichnet wird. Verantwortlicher ist gemäß der DSGVO die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Verantwortliche und der Betroffene sind die Hauptakteure der Datenschutzgrundverordnung.
Anwalt Sendler: „Während der Verantwortliche über Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet, darf der Auftragsverarbeiter die Daten nur so verarbeiten, wie es den Weisungen des Verantwortlichen entspricht. Die Auftragsverarbeitung besteht daher immer in einem Über-/Unterordnungsverhältnis. Die gesetzlichen Vorgaben sind in Art. 28 DSGVO geregelt. Hiervon zu unterscheiden ist die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO, hier legen zwei oder mehr Verantwortliche die Mittel und Zwecke der Verarbeitung gemeinsam fest. Ein Weisungs- oder Abhängigkeitsverhältnis besteht hier nicht.“
Anwendungsgebiete der Auftragsverarbeitung
In der Praxis finden sich im Wesentlichen folgende klassischen Anwendungsgebiete für eine Auftragsvereinbarung:
- Erstellung von Lohn- und Gehaltsabrechnungen durch Lohnbüro (nicht Steuerberater!)
- Papier-und Aktenvernichtung einschließlich der Vernichtung von Datenträgern
- Werbeadressenverarbeitung in einem Lettershop
- Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume
- Outsourcing der IT
- Cloud Computing
Rechtsanwalt Sendler: „Nach ganz herrschender Meinung gehört zur Auftragsverarbeitung auch die Prüfung, Pflege und Wartung von EDV-Anlagen, obwohl hier die Verarbeitung von Daten überhaupt nicht im Vordergrund steht. Es reicht jedoch für die Annahme eine Auftragsverarbeitung mit den entsprechenden Rechtsfolgen, wenn die potenzielle Möglichkeit des EDV-Supporters zur Einsicht in personenbezogene Daten des Auftraggebers besteht. Gleiches gilt für den Support im Zusammenhang mit der Website.“
Eine Auftragsverarbeitung liegt demnach nicht vor, wenn es an der Weisungsgebundenheit fehlt, wenn also der Auftragnehmer frei von Weisungen des auftraggebenden Dateninhabers tätig wird. Dies gilt besonders für die Inanspruchnahme von Fachleistungen z.B. von einem Rechtsanwalt oder einem Steuerberater. Diese sind keine Auftragsverarbeiter, weil sie aufgrund ihrer besonderen Stellung als Berufsgeheimnisträger nie weisungsgebunden handeln. Weitere Beispiele sind:
- Inkassobüros mit Forderungsübertragung
- Sachverständige mit Gutachtenauftrag
- vom Vermieter beauftragte Handwerker, die die nötigen Mieterdaten erhalten
- Markt-und Meinungsforscher, die die Befragungsaktion aufgrund eigener Sachkunde durchführen und auch selbst auswerten
Rechte und Pflichten im Rahmen einer Auftragsverarbeitung
Liegt eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO vor, dann treffen den Verantwortlichen verschiedene Pflichten. In erster Linie hat der Verantwortliche dafür Sorge zu tragen dass eine Verarbeitung seiner Daten nur durch Auftragsverarbeiter erfolgt, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet.
Rechtsanwalt Sendler: „Mit dieser Pflicht korrespondiert das Recht des Verantwortlichen, beim Auftragsverarbeiter zu kontrollieren, ob dieser die datenschutzrechtlichen Vorschriften einhält. Dies kann sowohl durch eine Kontrolle vor Ort erfolgen als auch durch die Vorlage entsprechender Zertifikate durch den Auftraggeber.“
Der verantwortliche Auftraggeber hat die Pflicht, die Weisungen, die er dem Auftragsverarbeiter für den Umgang mit den personenbezogenen Daten erteilt, zu dokumentieren. Dies ist wichtig, um im Falle von Datenschutzverstößen klären zu können, wen dafür die Verantwortung trifft.
Anwalt Sendler: „Zu beachten ist in diesem Zusammenhang, dass nach außen der Verantwortliche und der Auftragsverarbeiter gemäß Art. 82 Abs. 1 DSGVO als Gesamtschuldner haften. Jede betroffene Person kann also von einem der an der Datenverarbeitung beteiligten Parteien in voller Höhe Schadensersatz verlangen. Der Verantwortliche kann zwar im Rahmen der Vertragsfreiheit seine Haftung auf den Auftragsverarbeiter abwälzen. Allerdings sind ihm hierbei durch Art. 82 Abs. 2 Satz 2 DSGVO Grenzen gesetzt, weil hiernach eine Haftung für den Auftragsverarbeiter nur besteht, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der Verordnung nicht nachgekommen ist oder gegen Anweisungen des Verantwortlichen gehandelt hat.“
Oftmals werden in Auftragsverarbeitungs-Verhältnissen Subunternehmer eingesetzt. Hier ist es Aufgabe des Verantwortlichen, dafür Sorge zu tragen, dass auch in diesem Fall die datenschutzrechtlichen Vorschriften eingehalten werden. Es bietet sich an, dass die Parteien direkt bestimmte Unterauftragnehmer, mit welchen der Auftragsverarbeiter bereits bei Vertragsschluss zusammenarbeitet, in den Vertrag mit einbeziehen.
Formanforderungen an einen Auftragsverarbeitungsvertrag
Nach den Maßgaben der DSGVO ist über das Auftragsverarbeitungsverhältnis ein Vertrag zu fertigen, der schriftlich oder „in einem elektronischen Format“ geschlossen werden kann.
Anwalt Sendler: „In der Literatur wird dies so verstanden, dass neben der einfachen elektronischen Unterschrift auch eine eingescannte Unterschrift im Rahmen eines Mail-Verkehrs formwahrend sein soll.“
Der Auftragsverarbeitungs-Vertrag (AVV) muss folgende Regelungen beinhalten:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Arzt der personenbezogenen Daten und Kategorien von betroffenen Personen
- Umfang der Weisungsbefugnisse
- Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
- Sicherstellung von technischen und organisatorischen Maßnahmen
- Hinzuziehung von Subunternehmern
- Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
- Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
- Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
- Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
- Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
Empfehlung für den Zweifelsfall
Was empfiehlt sich, wenn Zweifel bestehen, ob ein Auftragsverarbeitungsverhältnis vorliegt oder nicht, z.B. wenn im Rahmen einer Webapplikation durch den Dienstleister Nutzerdaten-Tracking (Übertragung der IP-Adresse, Nutzereinstellungen, Browser oder Geräteinformationen) stattfindet?
Rechtsanwalt Sendler: „Manchmal kann die Untersuchung, ob ein Auftragsverarbeitungsverhältnis vorliegt oder nicht, mehr Zeit in Anspruch nehmen, als der vorsorgliche Abschluss eines Datenverarbeitungsvertrags (AVV). Stellt sich später heraus, dass kein Auftragsverarbeitungsverhältnis vorliegt, schadet der vorsorgliche Vertragsschluss nicht. Im Übrigen hat der vorsorgliche Vertragsschluss in Zweifelsfällen den Vorteil, dass man abgesichert ist, sorgfältig gehandelt hat und jedenfalls für die Verarbeitung eine Rechtsgrundlage besteht. Das dürfte die Entstehung von Dokumentations- und Überprüfungspflichten durch den AVV aufwiegen.“
Fazit: Im Zweifel lieber einen Vertrag zu viel als zu wenig.