Auftragsverarbeitung und Verantwortlichkeit – eben kein „Entweder-Oder“!

Unter (kleineren) Auftragsverarbeitern herrscht oftmals Unklarheit, wo die Grenzen zwischen einer Datenverarbeitung im eigenen Verantwortungsbereich und der Auftragsverarbeitung verlaufen. Warum diese Unterscheidung aber wichtig ist und wo Sie die Grenze ziehen müssen, erfahren Sie in diesem Beitrag.


Sie möchten auch in kurzer Zeit viel im Job bewegen und gleichzeitig für Ihre Familie da sein? Dann bewerben Sie sich bei uns als:
Rechtsanwältin im IT- und Datenschutzrecht (m/w/d) in Teilzeit
Head of Operations (m/w/d) in Teilzeit
Team-Managerin (m/w/d) in Teilzeit


Welche Pflichtinhalte hat eine AVV?

Viele unserer Mandanten sind Auftragsverarbeiter. Das bedeutet, dass sie für jemand Anderen – den Verantwortlichen –  Daten weisungsgebunden verarbeiten. Erster Schritt, den die DSGVO für einen solchen Fall fordert, ist dann der Abschluss einer Auftragsverarbeitungsvereinbarung (oder kurz: AVV). So weit – so gut – so richtig. 

Diese AVV ist dann Grundlage für die weitere Beziehung zwischen dem Auftragsverarbeiter und dem Kunden – zumindest datenschutzrechtlich. Eine AVV muss nach Art 28 Abs. 3 DSGVO zudem bestimmte Mindestinhalte haben. Unter anderem gehören detaillierte Angaben zu den im Auftrag verarbeitete Daten und zu den Verarbeitungszwecken in jede AVV. Allerdings verschwimmen in der weiteren Folge oftmals die Grenzen zwischen den verschiedenen Rollen des Auftragsverarbeiters, nämlich als Auftragsverarbeiter auf der einen und als Verantwortlicher auf der anderen Seite.

Ein Beispiel aus der Praxis

Hierzu ein Beispiel aus unserer Beratungspraxis: Unser Mandant, ein IT-Service-Haus, hat im Wesentlichen zwei Geschäftsfelder. Auf der einen Seite das Reselling von Standardsoftware, auf der anderen Seite den Support dieser Software. Für die Lizenzvergabe durch den Softwarehersteller muss dieser Informationen über den Kunden haben, ansonsten könnte der u.a. Lizenzschlüssel nicht bereitgestellt werden. Weil im Rahmen des Support nicht ausgeschlossen werden kann, dass das IT-Service-Haus Einblick in die im Rahmen der Nutzung durch den Kunden eingegebene Daten von Betroffenen erhält, schließt das IT-Service-Haus mit seinen Kunden standardmäßig eine AVV, und das ist auch ein guter erster Schritt.

Was sich dann allerdings bei den Datenarten in der AVV findet, wirft jedoch Fragen auf. Denn dort finden sich dann diejenigen Daten wieder, die im Rahmen des Resellings an den Hersteller weitergegeben worden sind. Darüber hinaus wird der Softwarehersteller sogar als Unterauftragnehmer in der AVV ausgewiesen. Offensichtlich getreu dem Motto: Wieso, ich bin doch Auftragsverarbeiter?

Was ist falsch an diesem Vorgehen? 

Hier verschwimmen die Grenzen zwischen der Rolle des IT-Service-Hauses als eigener Verantwortlicher und der des Auftragsverarbeiters. Nicht alle Daten, die ein Auftragsverarbeiter verarbeitet, verarbeitet er auch im Auftrag seines Kunden. Für manche Daten ist er auch selbst verantwortlich und genau das muss sich in der AVV widerspiegeln. Das Motto für den Inhalt der AVV muss also lauten: So viel wie nötig, so wenig wie möglich. 

Werden in den Anwendungsbereich der AVV (unzutreffenderweise) Datenverarbeitungsvorgänge einbezogen, für die der Auftragsverarbeiter eigentlich selbst verantwortlich ist, kann dies unschöne Konsequenzen nach sich ziehen. Beispielsweise könnte der vermeintliche Auftraggeber seine Rolle als datenschutzrechtlich Verantwortlicher ausüben wollen, und beispielsweise die Löschung oder eine bestimmte Änderung der Datenverarbeitungen anweisen. Eine Situation, die es zu vermeiden gilt.

Im obigen Beispiel muss also auch datenschutzrechtlich zwischen dem Reselling und der Wartung unterschieden werden. Für Ersteres ist das IT-Service-Haus selbst verantwortlich, für Letzteres hingfegen fungiert es als Auftragsverarbeiter.

Warum ist diese Unterscheidung wichtig?

Die Antwort ist einfach: An der Auflistung der im Auftrag verarbeiteten Datenarten merkt man in sehr vielen Fällen, dass ein Auftragsverarbeiter datenschutzrechtlich nicht sonderlich gut aufgestellt ist. Denn sehr häufig, gerade bei kleineren IT-Unternehmen, finden sich in der Auflistung der Datenarten Angaben über Datenverarbeitungen, die ganz eindeutig ausschließlich dem eigenen Verantwortungsbereich des Auftragsverarbeiter zuzuordnen sind. Das ist eindeutig falsch! Zudem wird der aufmerksame Leser der AVV (im Regelfall wird dies der Kunde des Auftragsverarbeiters sein) dann die Frage stellen: Kann der Auftragsverarbeiter wirklich das geforderte Maß an Zuverlässigkeit für die Datenverarbeitung bieten, wenn bereits nicht klar ist, welche Daten überhaupt im Auftrag verarbeitet werden? Die Antwort wird wohl häufig lauten: eher Nein.

Zudem können Unsauberkeiten böse Konsequenzen nach sich ziehen: Über alle Datenverarbeitungen im eigenen Verantwortungsbereich muss ein Verantwortlicher nach Art. 13 DSGVO umfassend informieren. Tut er dies nicht, liegt ein Verstoß gegen die DSGVO vor, der von den Aufsichtsbehörden mit einem Bußgeld geahndet werden kann. Logischerweise muss der Auftragsverarbeiter sich seiner Rolle als Verantwortlicher bewusst sein, um in einem nächsten Schritt die Informationspflicht nach Art. 13 DSGVO mit einer Datenschutzerklärung zu erfüllen. Hat er jedoch keine positive Kenntnis davon, dass er bestimmte Datenverarbeitungsvorgang in eigener Verantwortung vornimmt oder macht sich schlichtweg keine Gedanken darüber, wo die Grenze zwischen eigener Verantwortung und Auftragsverarbeitern verläuft, kann er folglich auch seine Pflichten aus Art. 13 DSGVO nicht erfüllen. Ein Fall, wie wir ihn häufig in der Praxis erleben.

Wo verläuft die Grenze zwischen eigener Verantwortung und Auftragsverarbeitung?

Verantwortlicher ist gemäß Art. 4 Nr. 7 DSGVO die Stelle, die allein oder gemeinsam mit anderen über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. Hierbei kommt es maßgeblich auf die Entscheidung über die Verarbeitungszwecke an, während die Entscheidung über die technisch-organisatorischen Fragen der Verarbeitung auch auf den Auftragsverarbeiter delegiert werden kann. Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO wiederum eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Die Frage, wie man die eigene Verantwortlichkeit und die Auftragsverarbeitung voneinander abgrenzen kann, ist gerade in Randbereichen oftmals nicht besonders leicht zu beantworten und wird auch durch die gesetzliche Definition in der DSGVO nicht leichter. Allerdings muss man sich die Grundsituation eines Auftragsverarbeiters vor Augen führen. Denn jeder Auftragsverarbeiter ist ja per se ein „ganz normales Unternehmen“ mit ganz normalen Datenverarbeitungsprozessen, wie sie jedes Unternehmen in Europa hat beziehungsweise haben muss. So muss jeder Auftragsverarbeiter Rechnungen ausstellen, mit seinen Kunden kommunizieren, E-Mails beantworten und Unterlagen für die Buchhaltung aufbewahren. Grundsätzlich unterscheidet sich ein Auftragsverarbeiter also nicht von einem Verantwortlichen. Es gibt ein gewisses „Basis-Setup“ an Datenverarbeitungen, die (fast) jedes Unternehmen durchführt. Für diese Datenverarbeitungen ist das Unternehmen dann selbst verantwortlich, auch wenn es in anderen Bereichen als Auftragsverarbeiter tätig wird. 

Wenn die Datenverarbeitung hauptsächlich im Interesse des Auftragsverarbeiters vorgenommen wird und der Auftraggeber an der Verarbeitung als solcher kein Interesse hat, handelt es sich im Regelfall um eine Datenverarbeitung in eigener Verantwortung des Auftragsverarbeiters. Sind die Rollen jedoch vertauscht und die Datenverarbeitung stellt für den Auftragsverarbeitung lediglich das „Mittel zum Zweck“ der Vertragserfüllung dar, wird in der Regel eine Auftragsverarbeitung vorliegen.

Welcher Handlungsbedarf ergibt sich daraus für meine AVV?

Sie sollten sich in einem ersten Schritt fragen, ob sie in der Lage sind, die Grenze zwischen dem eigenen Verantwortungsbereich und der Auftragsverarbeitung haarscharf ziehen zu können. Sofern Sie diese Frage bejahen können, sollten Sie ihre AVV daraufhin überprüfen, ob nur diejenigen Datenverarbeitungsvorgänge genannt werden, die tatsächlich in den Anwendungsbereich der AVV fallen.

Bei Ihrer Auftragsverarbeitung sollten Sie kein Risiko eingehen. In unserem E-Book erfahren Sie, worauf es bei Auftragsverarbeitung in der Praxis ankommt – so müssen Sie sich um Ihre AVV keine Sorgen mehr machen:

Brauchen Sie Hilfe?

Zusammenfassend lässt sich sagen, dass die Abgrenzung zwischen eigener Verantwortung und Auftragsverarbeitung nicht immer leicht ist. Wenn man jedoch ein paar Kontrollfragen stellt, entwickelt man ziemlich schnell  ein Gespür dafür, wo der eigene Verantwortungsbereich endet und die Auftragsverarbeitung beginnt.

Sofern Sie dabei Hilfe benötigen oder Sie eine AVV benötigen, die vollständig auf Ihre Bedürfnisse und Ihre Situation zugeschnitten ist: Kontaktieren Sie uns, wir helfen Ihnen gerne!

Wie steht Ihr IT-Unternehmen rechtlich da? Überprüfen Sie es mit unserer IT-Recht-Checkliste für IT-Unternehmen.


Ihr Ansprechpartner


Themen:

Ähnliche Artikel: