ituso GmbH
Fraunhoferstraße 9
85221 Dachau
Tel: +49 8142 42050 20
E-Mail: info@ituso.de
Die Auftragsverarbeitung oder die Verarbeitung von Daten im Auftrag nimmt fast jedes Unternehmen in der ein oder anderen Form in Anspruch. Die DSGVO spricht von einer Verarbeitung im Auftrag, wenn ein Unternehmen ein anderes Unternehmen als Dienstleister mit der weisungsgebundenen Verarbeitung von ihm bereitgestellter personenbezogener Daten beauftragt. Dienstleister, denen man Daten zur weiteren Verarbeitung überlässt, gibt es viele: den Steuerberater, den Hoster, den Handwerker. Aber sind das denn alles auch Auftragsverarbeiter im Sinne der DSGVO und muss ich mit jedem einen Auftragsverarbeitungsvertrag abschließen? Wir klären auf.
Florian Padberg im Experteninterview zum Thema Auftragsverarbeitungsvertrag
Etwas vereinfacht kann man sagen, dass bei einer Auftagsverarbeitung die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Zentrum der Leistung steht und sie klar weisungsgebunden erfolgt. Um sicherzugehen, dass es sich um eine Auftragsverarbeitung handelt, sollte man sich jedoch die konkreten Leistungselemente ansehen, die in dem zugrundeliegenden Service- bzw. Dienstleistungsvertrag definiert sind.
Nein, denn es gelten weitere wichtige Kriterien. So gibt es Ausnahmen in einigen besonders geregelten Berufen, deren Spezialgesetze bereits umfangreiche Direktiven zur Vertraulichkeit und damit dem Datenschutz beinhalten. Mit diesen Berufsgruppen sind Auftragsverarbeitungsverträge nicht notwendig. Als Beispiele wären hier Steuerberater, Rechtsanwälte, Notare oder Ärzte zu nennen.
Also Achtung: Der Teufel liegt manchmal im Detail. Nehmen wir zum Beispiel die Lohnbuchhaltung. Wenn Sie die Lohbuchhaltung durch Ihr Steuerberaterbüro erledigen lassen, unterliegt dieses dem Steuerberatergesetz, ein Auftragsverarbeitungsvertrag ist demnach nicht nötig. Beauftragen Sie damit jedoch eine freie Lohnbuchhalterin, unterliegt diese eben nicht dieser Sondergesetzgebung und gilt somit als Auftragsverarbeiterin, Sie müssen hier also einen Auftragsverarbeitungsvertrag abschließen. Gleicher Prozess, unterschiedliches Ergebnis. Man darf also nicht zu leichtfertig entscheiden.
Wenn es sich um eine Auftragsverarbeitung gemäß DSGVO handelt, also wenn einige harte Kriterien zutreffen wie
ist ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abzuschließen.
Der Auftragsverarbeitungsvertrag legt fest, welche Rechte und Pflichten die beiden Rollen „Auftraggeber“ und „Auftragnehmer“ bezüglich der Verarbeitung personenbezogener Daten des Auftraggebers haben.
Er ist damit eine Zusatzvereinbarung zum eigentlichen Leistungsvertrag.
Die im Markt üblichen Vertragsvorlagen (Muster) sehen sich sehr ähnlich, was natürlich auch sein Gutes hat, denn Sie müssen nicht jeden einzelnen Aspekt individuell erarbeiten. Sie sollten jedoch unbedingt darauf achten, dass ein Auftragsverarbeitungsvertrag immer vollständig ist: Eine Darstellung zuständiger Ansprechpartner, eine Aufzählung aktueller Subdienstleister sowie eine aussagekräftige Liste konkreter technischer und organisatorischer Maßnahmen (die TOMs) sind ein Muß für einen solchen Vertrag.
Ein gewisses Augenmerk sollte aber auch beispielsweise auf die korrekte Darstellung des Zwecks der Verarbeitung und der verarbeiteten Datenkategorien gelegt werden. Manchmal versucht ein Dienstleister durch allzu wolkige Formulierungen und lange Listen von Datentypen, quasi „durch die Hintertür“, bestimmte Verarbeitungszwecke und Datenarten hinzuzunehmen, die eigentlich gar nicht nötig sind. Seien Sie hier so spezifisch und konkret wie möglich, denn so verhindern Sie ein unnötiges Risiko durch ein Zuviel-Verarbeiten Ihrer Daten.
Daneben lohnt es sich, Ihre Kontrollrechte gegenüber dem Auftragsverarbeiter nicht zu sehr aufweichen zu lassen. Bestehen Sie auf der Möglichkeit, sich vor Ort ein Bild von den unternommenen technischen und organisatorischen Maßnahmen machen zu können, wenn Sie es für wichtig erachten und lassen Sie sich nicht mit einem Verweis auf uneindeutige „Zertifikate“ Ihnen unbekannter Prüfungsdienstleister abspeisen.
Andersherum sollten Sie als Auftragsverarbeiter darauf achten, dass der Auftraggeber sich nicht unverhältnismäßige Einsichtsrechte in ihre interne Dokumentation in den Vertrag schreibt – Sie müssen einen transparenten Nachweis über ihren Datenschutz führen können, Sie müssen sich aber nicht komplett entblößen.
Google ist ein sehr schönes Beispiel für die Komplexität bei der Datenschutz-Bewertung: Der Konzern hat eine Vielzahl von Dienstleistungen rund um Daten – und vor allem auch personenbezogene Daten – im Angebot, und faktisch ist es so, dass man bei den Leistungen unterscheiden muss: Manche sind Auftragsverarbeitung wie etwa der Cloudspeicher Google Drive, manche fallen unter die Rubrik „Gemeinsame Verantwortlichkeit“ wie seit kurzem Google Analytics (in der meistverwendeten Verwendungsform), und wieder andere werden eher über die Telekommunikationsgesetze abgedeckt wie etwa die eigentliche Google-Suchmaschine – für letztere schließen Sie beispielsweise natürlich keinen zusätzlichen Datenschutz-Vertrag ab.
Das kann man klar beantworten: Offiziell nein! Zunächst einmal ist es unerheblich wer die Panne verursacht hat – aus Datenschutzsicht bleiben Sie gegenüber den Betroffenen als Auftraggeber auch verantwortlich für die Verarbeitung der Daten und damit für die Panne. Es ist ja gerade das Wesen der Auftragsverarbeitung, dass Sie als Auftraggeber den Zweck und die Mittel bestimmen, wie die Daten zu verarbeiten sind, der Auftragnehmer führt letztendlich nur aus was Sie anweisen. Im Schadenfall wird sich ein Betroffener daher auch zunächst an Sie als rechtlich Verantwortlichen wenden und seine Ansprüche geltend machen.
Aber der Auftragsverarbeitungsvertrag ist ja nicht sinnlos: Denn neben den Pflichten und Rechten der Parteien regelt er eben auch, dass im Innenverhältnis sehr wohl Ansprüche durch den Auftraggeber an den Auftragnehmer weitergereicht werden können, wenn dieser ursächlich für den Schaden verantwortlich ist, beispielsweise durch eine unsichere technische Verarbeitung der Daten und ein so entstehendes Datenleck.
Daher gibt es auch nicht selten den Fall, dass ein Auftragsverarbeiter keine solche zusätzliche Datenschutzvereinbarung abschließen will, bedeutet sie doch für ihn eine recht große Verpflichtung und damit auch ein gewisses Risiko. Bleiben Sie hier unbedingt standhaft: Wenn Sie Auftraggeber einer Auftragsverarbeitung sind und keinen Auftragsverarbeitungsvertrag abgeschlossen haben, droht ein empfindliches Bußgeld durch die Datenschutzaufsicht – und das trifft Sie als den Auftraggeber, nicht den vertragsunwilligen Auftragnehmer, so wie ein Unternehmen aus Hessen, das wegen des Fehlens eines solchen Vertrags mit 5.000 EUR zur Kasse gebeten wurde, obwohl es selbst alles getan hat um den Vertragsabschluss herbeizuführen. Im Fall des Falles müssen Sie die Auftragsverarbeitung mit einem solchen vertragsunwilligen Dienstleister beenden und sich eine Alternative suchen.
Neben der Sicherstellung geeigneter Schutzmaßnahmen – Stichwort TOMs – sind hier vor allem Informations- und Mitwirkungspflichten zu nennen, die auch explizit im Auftragsverarbeitungsvertrag enthalten sein müssen: Stellt der Auftragnehmer beispielsweise fest, dass eine Verarbeitung aus irgendeinem Grund nicht rechtmäßig ist – er soll etwa Newsletter an eine Empfängerliste senden, die er von Ihnen erhalten hat, stellt dann aber fest, dass Sie gar keine Einwilligungen dafür vorliegen haben – so muss er Ihnen dies mitteilen und die Verarbeitung stoppen, bis das Thema gelöst ist.
Stellt er einen Datenschutzverstoß fest, muss er diesen umgehend an Sie melden, damit Sie etwaig nötige Meldefristen gegenüber den Behörden einhalten können. Auch bei Betroffenenrechtsanfragen muss er Sie bei der Beantwortung angemessen unterstützen. All dies muss im Vertrag enthalten sein. Bei vernünftigen Vorlagen aus einer vertrauenswürdigen Quelle ist das aber eigentlich immer der Fall.
Der Auftragsverarbeitungsvertrag stellt „lediglich“ eine Zusatzvereinbarung zu einem Leistungsvertrag dar, in der Datenschutz-relevante Aspekte geregelt werden. Daher orientiert sich ein solcher Auftragsverarbeitungsvertrag üblicherweise auch an der Laufzeit des Hauptvertrags. Sie werden zwar auch Versionen finden, die eine klare Laufzeit beinhalten, dabei ist aber darauf zu achten, dass das auch mit den Laufzeitregelungen des Hauptvertrags zusammenpasst. Es sollte nicht passieren, dass der Auftragsverarbeitungsvertrag vor dem Hauptvertrag ausläuft und dieser dann ohne Datenschutzvereinbarung weiterläuft. Ebenso kann ein Auftragsverarbeitungsvertrag nicht alleine ohne den Hauptvertrag bestehen, auf den er sich bezieht. Wir empfehlen also im Normalfall eine zeitliche Gleichschaltung mit dem Hauptvertrag.
Inhaltlich sollte ein Auftragsverarbeitungsvertrag aber natürlich regelmäßig überprüft werden, ob er denn noch zur vertraglichen Leistung passt. Manchmal verändert sich eine Leistungsbeziehung zwischen Auftraggeber und Auftragnehmer, etwa wenn das Service-Portfolio des Auftragnehmers breiter wird. Hier muss der Auftragsverarbeitungsvertrag dann natürlich entsprechend nachjustiert werden wenn es zu Abweichungen kommt, die ansonsten eine Regelungslücke verursachen würden.
Als Faustregel gilt: Schauen Sie sich einmal im Jahr Ihre Auftragsverarbeitungsverträge an und prüfen Sie sie auf Passung.
1. Stellen Sie sicher, dass eine aktuelle, qualitativ hochwertige und fair gestaltete Vertragsvorlage für den Auftragsverarbeitungsvertrag genutzt wird – entweder von Ihnen oder von Ihrem Gegenüber. Die Überschrift „Auftragsdatenverarbeitung gemäß BDSG“ sollte Sie stutzig machen, denn hier handelt es sich offensichtlich um eine veraltete Vertragsversion…
2. Achten Sie darauf, dass keine wichtigen Anlagen und Regelungen fehlen, und dass Ihre Anforderungen ausreichend berücksichtigt werden, etwa was Kontrollrechte und verursachungsgerechte Schadensersatzpflicht angeht. Bestehen Sie auf den TOMs und der Liste der Subdienstleister.
3. Kein Vertrag ist so schlecht wie der nicht geschlossene. Drängen Sie vor allem als Auftraggeber auf einen zeitnahen Abschluss des Vertrags, damit Sie nicht in die Bußgeldfalle tappen.
Florian Padberg ist einer der Geschäftsführer der ituso GmbH, Datenschutzbeauftragter und Datenschutzauditor. Er berät und unterstützt zahlreiche Unternehmen unterschiedlicher Branchen bei der korrekten Umsetzung der DSGVO Vorgaben. Er referiert regelmäßig auf Veranstaltungen und veröffentlicht Fachartikel zum Thema Datenschutz.
Fraunhoferstraße 9
85221 Dachau
Tel: +49 8142 42050 20
E-Mail: info@ituso.de