Auftragsverarbeitungsvertrag

Wann handelt es sich um eine Auftragsverarbeitung?

Etwas vereinfacht kann man sagen, dass bei einer Auftagsverarbeitung die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Zentrum der Leistung steht und sie klar weisungsgebunden erfolgt. Um sicherzugehen, dass es sich um eine Auftragsverarbeitung handelt, sollte man sich jedoch die konkreten Leistungselemente ansehen, die in dem zugrundeliegenden Service- bzw. Dienstleistungsvertrag definiert sind.

• Ein Website-Hoster etwa stellt Usern die Website technisch zur Verfügung und erfasst dabei vor allem IP-Adressen der Nutzer, die aus Datenschutz-Sicht als personenbezogene Daten gelten. Diese Daten verarbeitet er nur, weil es einen Servicevertrag gibt. Der Hoster verfolgt mit der Verarbeitung auch keine eigenen Zwecke – er ist ein Paradebeispiel für einen Auftragsverarbeiter.
• Der Lohnbuchhalter verarbeitet zahllose Daten der Mitarbeiter und tut das nur, weil ein Unternehmen ihn dafür beauftragt hat. Meist ist er also ein Auftragsverarbeiter – doch es gibt Ausnahmefälle (siehe dazu weiter unten).
• Der IT-Dienstleister soll zwar meist nicht unmittelbar personenbezogene Daten verarbeiten, da er das aber theoretisch umfangreich auf Grund seiner breiten Zugriffsrechte im Kunden-System kann (Sehen ist bereits „Verarbeiten“!), ist er als Auftragsverarbeiter gesetzt.
• Ein Klempner hingegen, der in einem Mietshaus ein defektes Wasserrohr identifizieren muss und dazu eine Liste der Mieter hat, um mit ihnen Termine auszumachen, „verarbeitet“ dabei zwar auch personenbezogene Daten, dies liegt aber sicher nicht im Zentrum seiner Tätigkeiten.
• Und auch die klassische Reinigungsfirma, die täglich die Namensschilder an Ihren Bürotüren lesen kann ist mit Sicherheit kein Auftragsverarbeiter.

Sind demnach die meisten Dienstleister, die mit personenbezogenen Daten zu tun haben Auftragsverarbeiter?

Nein, denn es gelten weitere wichtige Kriterien. So gibt es Ausnahmen in einigen besonders geregelten Berufen, deren Spezialgesetze bereits umfangreiche Direktiven zur Vertraulichkeit und damit dem Datenschutz beinhalten. Mit diesen Berufsgruppen sind Auftragsverarbeitungsverträge nicht notwendig. Als Beispiele wären hier Steuerberater, Rechtsanwälte, Notare oder Ärzte zu nennen.

Also Achtung: Der Teufel liegt manchmal im Detail. Nehmen wir zum Beispiel die Lohnbuchhaltung. Wenn Sie die Lohbuchhaltung durch Ihr Steuerberaterbüro erledigen lassen, unterliegt dieses dem Steuerberatergesetz, ein Auftragsverarbeitungsvertrag ist demnach nicht nötig. Beauftragen Sie damit jedoch eine freie Lohnbuchhalterin, unterliegt diese eben nicht dieser Sondergesetzgebung und gilt somit als Auftragsverarbeiterin, Sie müssen hier also einen Auftragsverarbeitungsvertrag abschließen. Gleicher Prozess, unterschiedliches Ergebnis. Man darf also nicht zu leichtfertig entscheiden.

Wann ist ein Auftragsverarbeitungsvertrag abzuschließen?

Wenn es sich um eine Auftragsverarbeitung gemäß DSGVO handelt, also wenn einige harte Kriterien zutreffen wie

• Verarbeitung personenbezogener Daten im Zentrum der Aktivität,
• es liegt eine klare Weisungsgebundenheit vor,
• es gibt keine spezifischen zusätzlichen Rechtsnormen, die eine erhöhte Vertraulichkeit in der Dienstleistung separat regeln

ist ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abzuschließen.

Was regelt ein Auftragsverarbeitungsvertrag genau?

Der Auftragsverarbeitungsvertrag legt fest, welche Rechte und Pflichten die beiden Rollen „Auftraggeber“ und „Auftragnehmer“ bezüglich der Verarbeitung personenbezogener Daten des Auftraggebers haben.

Er ist damit eine Zusatzvereinbarung zum eigentlichen Leistungsvertrag.

Worauf sollte ich bei einem Auftragsverarbeitungsvertrag besonders achten?

Die im Markt üblichen Vertragsvorlagen (Muster) sehen sich sehr ähnlich, was natürlich auch sein Gutes hat, denn Sie müssen nicht jeden einzelnen Aspekt individuell erarbeiten. Sie sollten jedoch unbedingt darauf achten, dass ein Auftragsverarbeitungsvertrag immer vollständig ist: Eine Darstellung zuständiger Ansprechpartner, eine Aufzählung aktueller Subdienstleister sowie eine aussagekräftige Liste konkreter technischer und organisatorischer Maßnahmen (die TOMs) sind ein Muß für einen solchen Vertrag.

Ein gewisses Augenmerk sollte aber auch beispielsweise auf die korrekte Darstellung des Zwecks der Verarbeitung und der verarbeiteten Datenkategorien gelegt werden. Manchmal versucht ein Dienstleister durch allzu wolkige Formulierungen und lange Listen von Datentypen, quasi „durch die Hintertür“, bestimmte Verarbeitungszwecke und Datenarten hinzuzunehmen, die eigentlich gar nicht nötig sind. Seien Sie hier so spezifisch und konkret wie möglich, denn so verhindern Sie ein unnötiges Risiko durch ein Zuviel-Verarbeiten Ihrer Daten.

Daneben lohnt es sich, Ihre Kontrollrechte gegenüber dem Auftragsverarbeiter nicht zu sehr aufweichen zu lassen. Bestehen Sie auf der Möglichkeit, sich vor Ort ein Bild von den unternommenen technischen und organisatorischen Maßnahmen machen zu können, wenn Sie es für wichtig erachten und lassen Sie sich nicht mit einem Verweis auf uneindeutige „Zertifikate“ Ihnen unbekannter Prüfungsdienstleister abspeisen.

Andersherum sollten Sie als Auftragsverarbeiter darauf achten, dass der Auftraggeber sich nicht unverhältnismäßige Einsichtsrechte in ihre interne Dokumentation in den Vertrag schreibt – Sie müssen einen transparenten Nachweis über ihren Datenschutz führen können, Sie müssen sich aber nicht komplett entblößen.

Die klassischen „Datenkraken“ wie Google und Co – das sind doch sicher Auftragsverarbeiter, oder? Wie schließe ich da den Vertrag?

Google ist ein sehr schönes Beispiel für die Komplexität bei der Datenschutz-Bewertung: Der Konzern hat eine Vielzahl von Dienstleistungen rund um Daten – und vor allem auch personenbezogene Daten – im Angebot, und faktisch ist es so, dass man bei den Leistungen unterscheiden muss: Manche sind Auftragsverarbeitung wie etwa der Cloudspeicher Google Drive, manche fallen unter die Rubrik „Gemeinsame Verantwortlichkeit“ wie seit kurzem Google Analytics (in der meistverwendeten Verwendungsform), und wieder andere werden eher über die Telekommunikationsgesetze abgedeckt wie etwa die eigentliche Google-Suchmaschine – für letztere schließen Sie beispielsweise natürlich keinen zusätzlichen Datenschutz-Vertrag ab.

Wie ist das im Fall einer Datenpanne – tritt der Auftragsverarbeiter in die Verantwortung mit ein?

Das kann man klar beantworten: Offiziell nein! Zunächst einmal ist es unerheblich wer die Panne verursacht hat – aus Datenschutzsicht bleiben Sie gegenüber den Betroffenen als Auftraggeber auch verantwortlich für die Verarbeitung der Daten und damit für die Panne. Es ist ja gerade das Wesen der Auftragsverarbeitung, dass Sie als Auftraggeber den Zweck und die Mittel bestimmen, wie die Daten zu verarbeiten sind, der Auftragnehmer führt letztendlich nur aus was Sie anweisen. Im Schadenfall wird sich ein Betroffener daher auch zunächst an Sie als rechtlich Verantwortlichen wenden und seine Ansprüche geltend machen.

Aber der Auftragsverarbeitungsvertrag ist ja nicht sinnlos: Denn neben den Pflichten und Rechten der Parteien regelt er eben auch, dass im Innenverhältnis sehr wohl Ansprüche durch den Auftraggeber an den Auftragnehmer weitergereicht werden können, wenn dieser ursächlich für den Schaden verantwortlich ist, beispielsweise durch eine unsichere technische Verarbeitung der Daten und ein so entstehendes Datenleck.

Daher gibt es auch nicht selten den Fall, dass ein Auftragsverarbeiter keine solche zusätzliche Datenschutzvereinbarung abschließen will, bedeutet sie doch für ihn eine recht große Verpflichtung und damit auch ein gewisses Risiko. Bleiben Sie hier unbedingt standhaft: Wenn Sie Auftraggeber einer Auftragsverarbeitung sind und keinen Auftragsverarbeitungsvertrag abgeschlossen haben, droht ein empfindliches Bußgeld durch die Datenschutzaufsicht – und das trifft Sie als den Auftraggeber, nicht den vertragsunwilligen Auftragnehmer, so wie ein Unternehmen aus Hessen, das wegen des Fehlens eines solchen Vertrags mit 5.000 EUR zur Kasse gebeten wurde, obwohl es selbst alles getan hat um den Vertragsabschluss herbeizuführen. Im Fall des Falles müssen Sie die Auftragsverarbeitung mit einem solchen vertragsunwilligen Dienstleister beenden und sich eine Alternative suchen.

Welche Pflichten hat denn ein Auftragsverarbeiter laut Vertrag noch?

Neben der Sicherstellung geeigneter Schutzmaßnahmen – Stichwort TOMs – sind hier vor allem Informations- und Mitwirkungspflichten zu nennen, die auch explizit im Auftragsverarbeitungsvertrag enthalten sein müssen: Stellt der Auftragnehmer beispielsweise fest, dass eine Verarbeitung aus irgendeinem Grund nicht rechtmäßig ist – er soll etwa Newsletter an eine Empfängerliste senden, die er von Ihnen erhalten hat, stellt dann aber fest, dass Sie gar keine Einwilligungen dafür vorliegen haben – so muss er Ihnen dies mitteilen und die Verarbeitung stoppen, bis das Thema gelöst ist.

Stellt er einen Datenschutzverstoß fest, muss er diesen umgehend an Sie melden, damit Sie etwaig nötige Meldefristen gegenüber den Behörden einhalten können. Auch bei Betroffenenrechtsanfragen muss er Sie bei der Beantwortung angemessen unterstützen. All dies muss im Vertrag enthalten sein. Bei vernünftigen Vorlagen aus einer vertrauenswürdigen Quelle ist das aber eigentlich immer der Fall.

Und wie sieht es mit der Laufzeit des Vertrags aus? Muss ich diesen regelmäßig erneuern?

Der Auftragsverarbeitungsvertrag stellt „lediglich“ eine Zusatzvereinbarung zu einem Leistungsvertrag dar, in der Datenschutz-relevante Aspekte geregelt werden. Daher orientiert sich ein solcher Auftragsverarbeitungsvertrag üblicherweise auch an der Laufzeit des Hauptvertrags. Sie werden zwar auch Versionen finden, die eine klare Laufzeit beinhalten, dabei ist aber darauf zu achten, dass das auch mit den Laufzeitregelungen des Hauptvertrags zusammenpasst. Es sollte nicht passieren, dass der Auftragsverarbeitungsvertrag vor dem Hauptvertrag ausläuft und dieser dann ohne Datenschutzvereinbarung weiterläuft. Ebenso kann ein Auftragsverarbeitungsvertrag nicht alleine ohne den Hauptvertrag bestehen, auf den er sich bezieht. Wir empfehlen also im Normalfall eine zeitliche Gleichschaltung mit dem Hauptvertrag.

Inhaltlich sollte ein Auftragsverarbeitungsvertrag aber natürlich regelmäßig überprüft werden, ob er denn noch zur vertraglichen Leistung passt. Manchmal verändert sich eine Leistungsbeziehung zwischen Auftraggeber und Auftragnehmer, etwa wenn das Service-Portfolio des Auftragnehmers breiter wird. Hier muss der Auftragsverarbeitungsvertrag dann natürlich entsprechend nachjustiert werden wenn es zu Abweichungen kommt, die ansonsten eine Regelungslücke verursachen würden.

Als Faustregel gilt: Schauen Sie sich einmal im Jahr Ihre Auftragsverarbeitungsverträge an und prüfen Sie sie auf Passung.