Die kleine Reihe: Auftragsverarbeitung – Zusammenfassung
Mit dieser Zusammenfassung endet unsere „kleine Reihe Auftragsverarbeitung“ im Rahmen der DSGVO. In den 5 Teilen haben wir einen umfassenden Überblick zu allen Aspekten der Auftragsverarbeitung nach DSGVO zusammengestellt.
Teil 1 – die Auswahl von neuen Auftragsverarbeitern
In Teil eins der Reihe beschäftigten wir uns mit der sogenannten „Auswahlverantwortung“ des Verantwortlichen. Setzt man einen Auftragsverarbeiter ein, so muss sichergestellt werden, dass der Dienstleister die Bestimmungen der DSGVO einhält und wirksame Maßnahmen ergreift, um die übertragenen personenbezogenen Daten zu sichern.
Warum ist das überhaupt wichtig? Durch die Auftragsverarbeitung wird der Dienstleister quasi in die Sphäre des Verantwortlichen hineingezogen. Läuft beim Dienstleister etwas schief und war dies, zum Beispiel aufgrund von unzureichenden technischen und organisatorischen Maßnahmen, vorhersehbar, ist auch der Auftraggeber verantwortlich.
Wie so oft gibt es aber leider keine genaue Checkliste, die man für die Prüfung neuer Dienstleister hinzuziehen kann. Welche Aspekte man aber beispielsweise bei der Auswahl neuer Cloud-Dienstleister beachten muss, haben wir im Hauptartikel vorgestellt.
Teil 2 – Vertragsschluss
Ist der passende Dienstleister ausgewählt, so geht es weiter mit dem Abschluss eines passenden Auftragsverarbeitungsvertrages. In Teil zwei der Reihe beleuchteten wir daher die Themen Vertragsgestaltung, Vertragsschluss und Vertragskontrolle.
Die notwendigen Mindestinhalte eines Auftragsverarbeitungsvertrages sind in Art. 28 DSGVO festgelegt. An diesem Katalog kann man sich zur Prüfung einer Vorlage gut orientieren. Fehlen Regelungen zu den in der Norm geforderten Inhalte, so sollte ein vorgelegter Vertrag nicht unterschrieben werden.
Mittlerweile findet sich kaum noch ein Dienstleister, der seine Leistungen ohne die Hinzunahme von weiteren Auftragsverarbeitern erfüllt. Deshalb ist es schon im frühen Stadium der Vertragsprüfung enorm wichtig, die eingesetzten Subunternehmer zu sichten und zu überprüfen, ob sich hierdurch weitere Risiken ergeben. Insbesondere im Bezug auf mögliche Drittstaatentransfers ergeben sich hier häufig Probleme.
Zum Abschluss des zweiten Teils schauten wir kurz auf die Frage, in welcher Form ein Vertrag abgeschlossen werden kann. Auch hier gibt es Besonderheiten, die es zu beachten gilt.
Teil 3 – Weisungsbefugnisse und Kontrollrechte
Das zentrale Element einer Auftragsverarbeitung ist die Weisungsgebundenheit des Auftragsverarbeiters. Der Vertrag sollte regeln, unter welchen Bedingungen der Auftraggeber Weisungen erteilen kann und welche formalen Anforderungen an die Weisungen gestellt werden. Zudem sollte ausgeschlossen sein, dass der Auftragsverarbeiter die übertragenen Daten für eigene Zwecke weiterverarbeiten darf, denn dann liegt keine Auftragsverarbeitung mehr vor.
Wichtig sind insbesondere für die Praxis auch die Festlegung der Mitwirkungspflichten des Auftragsverarbeiters bei Datenschutzvorfällen oder Betroffenenanfragen.
Damit der Auftraggeber die notwendigen Prüfrechte und -pflichten erfüllen kann, müssen auch die entsprechenden Rechte und Befugnisse im Vertrag geregelt werden. Der Auftraggeber muss die Möglichkeit haben, den Auftragsverarbeiter, sowie auch ggf. eingesetzte Unterauftragsverarbeiter wirksam bei der Erfüllung seiner vertraglichen Pflichten zu kontrollieren.
Genaueres können Sie im Teil drei unserer Reihe nachlesen.
Teil 4 – Beauftragung von Subunternehmern
Aufgrund der hohen Bedeutung von Subunternehmern im Auftragsverarbeitungsverhältnis haben wir uns in Teil vier der Reihe noch einmal tiefergehend damit beschäftigt, unter welchen Voraussetzungen Subunternehmer eingesetzt werden können.
Wichtig ist in jedem Fall, dass der Auftragsverarbeitungsvertrag mit dem direkten Dienstleister Regelungen zur Beauftragung von weiteren Auftragsverarbeitern enthält. Dabei gibt es grundsätzlich zwei Regelungsmöglichkeiten. Entweder erteilt der Verantwortliche eine allgemeine Genehmigung für den Einsatz von weiteren Auftragsverarbeitern und räumt sich für jeden Einzelfall ein Informations- und Widerspruchsrecht ein. Oder man vereinbart, dass für jede Änderung eine gesonderte Genehmigung des Verantwortlichen notwendig ist.
Einen direkten Vertrag zwischen dem Verantwortlichen und den Subunternehmern braucht es nicht. In aller Regel schließt nur der Auftragsverarbeiter einen entsprechenden Datenschutzvertrag mit den Sub-Dienstleistern.
Teil 5 – Kostentragungsregelungen
Zum Abschluss ging es im fünften Teil der Reihe dann nochmal um das liebe Geld. Oft verstecken sich in Vertragsvorlagen, insbesondere von größeren Dienstleistern, Regelungen zur Übernahme von Kosten, die beim Auftragsverarbeiter im Rahmen der Mitwirkungspflichten anfallen. Häufig wird beispielsweise auch eine Vergütung für Vor-Ort-Kontrollen verlangt. Das führt letztendlich natürlich dazu, dass ein Verantwortlicher seine Kontrollbefugnisse nicht allzu häufig in Anspruch nehmen wird, wenn dafür jedes Mal eine ordentliche Rechnung auf dem Tisch liegt.
Diese Kostentragungsregelungen sind dabei in der Regel rechtmäßig. Es muss allerdings sichergestellt sein, dass die geregelten Kostenübernahmeregelungen nicht dazu führen, dass es für den Verantwortlichen unzumutbar ist, die Dienste in Anspruch zu nehmen. Hier gilt es, bei Vertragsschluss auf solche Regelungen zu achten und sie gegebenenfalls nachzuverhandeln.
Fazit
Der Bereich der Auftragsverarbeitung ist definitiv ein komplexer. Insbesondere bei der Auswahl des passenden Dienstleisters und der nachfolgenden Vertragsgestaltung gibt es viele Dinge zu beachten. In Zweifelsfällen und bei wichtigen Verträgen sollte man vor der Durchführung einer rechtlichen Prüfung durch entsprechende Experten nicht zurückschrecken. Denn im schlimmsten Fall bewahrt ein ordentlicher Vertrag den Verantwortlichen vor unangenehmen Überraschungen.
Die einzelnen Beiträge:
Die kleine Reihe: Auftragsverarbeitung Teil 1 Die Auswahl von neuen Auftragsverarbeitern
Die kleine Reihe: Auftragsverarbeitung Teil 2 Vertragsschluss
Die kleine Reihe: Auftragsverarbeitung Teil 3 Weisungsbefugnisse und Kontrollrechte
Die kleine Reihe: Auftragsverarbeitung Teil 4 Beauftragung von Subunternehmern
Die kleine Reihe: Auftragsverarbeitung Teil 5 Kostentragungsregelungen