Auftragsverarbeitung

Im Zuge der Umstellung auf die EU-Datenschutz-Grundverordnung (DSGVO) wird der für Auftragsdatenverarbeitung vorher einschlägige § 11 Bundesdatenschutzgesetz (BDSG) durch Art. 28 DSGVO abgelöst.

Ein Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. In diesem Fall übernimmt jener Dritter, der Auftragnehmer, Aufgaben der Verarbeitung von personenbezogenen Daten auf Anweisung des Auftraggebers. Die Grundlagen der Auftragsverarbeitung werden in den Art. 28 f. DSGVO geregelt.

Typische Beispiele für eine Auftragsdatenverarbeitung sind:

• externe Lohnbuchhaltung
• externe Reisekostenabrechnung
• Datenträgervernichtung (z.B. Papier- und Aktenentsorgung)
• Werbeadressengewinnung und -verarbeitung (z.B. Newsletterversand, Kundenumfagen, Gewinnspiele)
• die Auslagerung von Datendiensten zu Websites (z.B. Einsatz von Trackingtools wie Google Analytics)
• die Nutzung von Cloud-Services (z.B. virtueller Webserver oder Nutzung von Microsoft Office 365 oder Google Docs) und sofern ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann
• Betreuung der IT-Infrastruktur durch einen IT-Dienstleister
• Wartung von Softwarelösungen, Webportalen, Onlineshops etc. durch ein externes Softwareentwicklungsunternehmen

Auftragsverarbeitungsvertrag

Die Verarbeitung von personenbezogenen Daten im Auftrag muss auf Grundlage eines Vertrages zur Auftragsverarbeitung (AV-Vertrag) geschehen. Der Vertrag ist vor der Aufnahme der Auftragsverarbeitung abzuschließen. Der wirksame Abschluss eines solchen Vertrages ist an einige Grundbedingungen geknüpft:

• Vor der Beauftragung muss durch den Auftraggeber überprüft werden, ob ein potentieller Auftragnehmer geeignet ist, eine AV-Leistung datenschutzrechtlich sicher durchzuführen (Art. 28 Abs. 1 DSGVO). Dabei muss der Auftraggeber v.a. die technischen und organisatorischen Maßnahmen des Auftragnehmers (vgl. Art. 32 DSGVO) überprüfen.
• Die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO oder anerkannter Zertifizierungen gem. Art. 42 DSGVO durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne von Art. 28 Abs. 1 DSGVO nachzuweisen.
• Ein AV-Vertrag muss schriftlich geschlossen werden. Art. 28 Abs. 9 DSGVO stellt allerdings klar, dass auch eine elektronische Form (z.B. E-Mail) ausreichend ist.

Folgende Inhalte muss ein AV-Vertrag mindestens erfassen:

• Gegenstand und Dauer der Verarbeitungstätigkeit
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten
• Kategorisierung der Datenarten und betroffenen Personenkreise
• Festlegung der Weisungsbefugnisse
• Verpflichtung zur Verschwiegenheit einbezogener Personen
• Erfüllung der technischen und organisatorischen Maßnahmen nach Art. 32
• Regelungen für Subunternehmer
• Mitwirkungsklauseln bei Wahrung von Auskunftsrechten und der Meldepflicht
• Prozess der Rückgabe und/oder Löschung der Daten nach Beendigung der Verarbeitung
• Informationspflicht des Auftragnehmers zur Einhaltung der Regelungen
• Mitwirkung bei Kontrollen

Ergänzend: Hinweis des Auftragnehmers an den Auftraggeber, wenn eine Weisung gegen geltendes Recht verstoßen würde (§ 28 Abs. 3 lit. a) DSGVO).

Gesetzliche Pflichten des Auftragnehmers

Nach Art. 28 Abs. 10 DSGVO gilt ein Auftragnehmer dann als verantwortliche Stelle der Datenverarbeitung, wenn er sich entsprechenden Weisungen des Auftraggebers widersetzt. Dies betrifft insbesondere etwaige Haftungs- und Auskunftsansprüche von betroffenen Personen. Außerdem existieren nach Art. 82 DSGVO spezielle Haftungsanforderungen für Auftragsverarbeiter.

Darüber hinaus muss nach Art. 30 Abs. 2 DSGVO auch der Auftragnehmer ein „Verzeichnis von Verarbeitungstätigkeiten“ führen, welches auf Verlangen einer Aufsichtsbehörde vorzeigbar sein muss. Liegt eine Datenpanne vor, muss der Auftraggeber die Aufsichtsbehörde nach Art. 33 Abs. 2 DSGVO unverzüglich, spätestens aber nach 72 Stunden darüber informieren. Erfolgt die Meldung nicht binnen 72 Stunden, so ist der Meldung eine Begründung für die Verzögerung beizufügen.

Der Einsatz von Subunternehmern innerhalb einer Auftragsverarbeitung ist unter den Voraussetzungen des Art. 28 Abs. 2 DSGVO möglich. Danach muss der Auftraggeber jede Beauftragung eines Subunternehmens durch den Auftragnehmer schriftlich genehmigen.

Derzeit ungeklärte Fragen

Fraglich ist derzeit noch die Behandlung von Prüfungs- und Wartungsdienstleistern. Bisher musste nach § 11 Abs. 5 BDSG für die Zusammenarbeit mit solchen Dienstleistern ein Datenschutzvertrag vereinbart werden. Eine solche Norm kennt die DSGVO jedoch nicht. Entsprechend ist der Umgang mit solchen Leistungen bisher nicht eindeutig geklärt.
Liegt es in der Natur der beauftragten Support-Leistung, dass personenbezogene Daten verarbeitet werden müssen, ist eine Verpflichtung nach AV-Vertrag notwendig. Liegt dies jedoch nur im Bereich des Möglichen, ist ein Abschluss eines AV-Vertrages nicht zwingend erforderlich. Entsprechend sollte im Zweifel ein AV-Vertrag geschlossen werden, sofern eine Datenverarbeitung nicht vollständig ausgeschlossen werden kann.

Aufsichtsbehörden haben die Möglichkeit, einheitliche Standardklauseln für AV-Verträge zu veröffentlichen. Es bleibt abzuwarten, ob die Aufsichtsbehörden in Deutschland von diesem Recht Gebrauch machen. Geschieht dies, können diese Klauseln als Vorlage für sämtliche AV-Verträge genutzt werden. Sie müssen dann nur noch an die speziellen Bedingungen des Einzelfalles angepasst werden.

Auditierung der Datenverarbeitung im Auftrag nach Art 28 Datenschutz-Grundverordnung (DSGVO):
Viele Unternehmen lagern Teilaufgaben an externe Dienstleister aus. Insbesondere bei IT-Aufgaben wie Cloud-Computing oder dem Anbieten von externen Servern ist dies zur üblichen Praxis geworden. Jedoch ist für diese und andere externe Verarbeitungen von personenbezogenen Daten ein entsprechender Vertrag zwingend notwendig. Hierzu bieten wir folgende Leistungen an:

• IT-Beratung für Auftragnehmer oder Auftraggeber
• Prüfung der Verträge
• Überprüfung der IT-Sicherheits- und Datenschutzkonzepte (sofern für die Auftragsdatenverarbeitung relevant)
• Vor-Ort-Kontrollen beim Auftragnehmer zur Prüfung der umgesetzten technischen und organisatorischen Maßnahmen
• Identifikation von Korrektur- und Verbesserungsmaßnahmen
• Erstellung eines Reports mit Maßnahmenempfehlungen
• datenschutzrechtliche Bewertung von Geschäftsprozessen für Auftragnehmer
• Ausstellung eines Zertifikats

Beratung/ Prüfung des externen Dienstleisters für Auftraggeber
Das Angebot richtet sich an Unternehmen, die als Auftraggeber Dienstleistungen nach Art. 28 DSGVO an einen externen Auftragnehmer abgeben wollen. Der Auftraggeber als verantwortliche Stelle hat die Pflicht, den Auftragnehmer entsprechend der datenschutzrechtlichen Eignung auszuwählen. Die Pflichten und Rechte seitens der Vertragspartner sind in einem Vertrag zur Auftragsverarbeitung zu definieren und deren Umsetzung ist zu prüfen. Laut Gesetzgeber sind regelmäßige Kontrollen gefordert, diese sind zu dokumentieren.

Zertifizierung von Geschäftsprozessen für Auftragnehmer
Das Angebot richtet sich an externe Dienstleister, die als Auftragnehmer gegenüber ihren Auftraggebern den Nachweis der Einhaltung der Datenschutzvorgaben nach Art.28 DSGVO erbringen wollen. Für Auftragnehmer kann die Bescheinigung der Datenschutzkonformität der Geschäftsprozesse durch unabhängige Prüfer eine vertrauensbildende Maßnahme gegenüber potenziellen Neukunden darstellen. Einen besonderen Mehrwert stellen diese unabhängigen Prüfzertifikate aber insbesondere deshalb dar, weil damit aufwändige Einzelprüfungen durch Auftraggeber hinsichtlich der Umsetzung der vereinbarten technischen und organisatorischen Sicherheitsmaßnahmen entfallen.

Erstellung eines individuellen Angebots
Bei individuellen Anliegen, weiterführenden Fragen oder Angebotsanfragen zur Auditierung Ihrer Geschäftsprozesse wenden Sie sich gerne über das Kontaktformular an unser Datenschutzteam