DSGVO Basics, Teil 3: Die Auftragsverarbeitung (AV)

Nachdem wir mit diesem und diesem Beitrag unsere Einführung in das seit dem 25. Mai 2018 geltende Datenschutzrecht begonnen haben, ist hier zu diesem Thema zwischenzeitlich etwas Ruhe eingekehrt (Grund: zu viele Beratungsaufträge). Nun setzen wir unsere Reihe zu den „DSGVO Basics“ fort. Das nächste Thema: Die Auftragsverarbeitung (AV).

Wen betrifft die Auftragsverarbeitung?

Bevor Sie sich mit den Einzelheiten zu diesem Thema vertraut machen, sollten Sie zunächst prüfen, ob Sie die Regelungen zur Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) überhaupt betreffen, und wenn ja, in welcher Form.

Was unter einer Auftragsverarbeitung zu verstehen ist, erschließt sich, wenn man sich die Definition des Begriffes „Auftragsverarbeiter“ in der DSGVO anschaut (genauer: in Art. 4 Nr. 8 DSGVO). Danach ist ein Auftragsverarbeiter jemand, der einen Anderen bei der Verarbeitung personenbezogener Daten unterstützt, für welche dieser Andere verantwortlich bleibt (und deshalb in der DSGVO auch „Verantwortlicher“ genannt wird).

Das Thema Auftragsverarbeitung betrifft also unter anderem alle IT-Anbieter, die im Rahmen ihrer Leistungen personenbezogene Daten von Kunden ihrer Kunden (d.h. Endkunden) verarbeiten. Allein die Möglichkeit des Zugriffes auf diese Daten genügt, um von einer Verarbeitung zu sprechen.

Danach sind zum Beispiel folgende Unternehmen sehr häufig Auftragsverarbeiter ihrer Kunden:

• SaaS-Anbieter
• Webhoster
• Cloud-Dienstleister
• Betreiber von Rechenzentren
• IT-Support-Anbieter.

Wer Leistungen von solchen IT-Unternehmen bezieht, muss seinerseits darauf achten, dass diese Anbieter eine DSGVO-konforme Auftragsverarbeitung sicherstellen.

Welche Bedeutung hat die Auftragsverarbeitung (AV) nach der DSGVO?

Die Idee hinter den Vorschriften zur AV ist durch die DSGVO die gleiche geblieben wie bisher. Durch die AV-Regelungen kann ein Unternehmen die Handhabung von personenbezogenen Daten „outsourcen“, ohne dafür datenschutzrechtlich belangt zu werden. Gäbe es keine AV-Regelungen, müsste von jeder betroffenen Person (insbesondere Endkunden) stets eine Einwilligung zur ausgelagerten Datenverarbeitung eingeholt werden. Ein solches Vorgehen wäre in der Praxis kaum realisierbar.

Es gibt jedoch eine sehr wichtige Neuerung durch die DSGVO: Nach dem alten Bundesdatenschutzgesetz (BDSG) war nur der Verantwortliche (also derjenige, der die personenbezogenen Daten weitergibt) verpflichtet, die Erfüllung der AV-Regelungen sicherzustellen. Der Auftragsverarbeiter konnte sich insofern entspannt zurücklehnen und musste nur auf Ansprache des Verantwortlichen reagieren, um es sich mit diesem nicht zu verscherzen.

Nach der DSGVO ist nun zusätzlich auch der Auftragsverarbeiter verpflichtet, sich um die Einhaltung der AV-Vorschriften zu kümmern. Tut er dies nicht und verarbeitet trotzdem personenbezogene Daten seines Kunden, begeht er selbst einen Datenschutzverstoß.

Was müssen Sie für eine wirksame Auftragsverarbeitung tun?

Im Grunde lässt sich mit den Anforderungen der Auftragsverarbeitung relativ leicht umgehen. Man muss vor allem die Vorgaben aus Art. 28 DSGVO erfüllen. Darin ist geregelt, wie man einen sogenannten Auftragsverarbeitungsvertrag (abgekürzt: AV-Vertrag oder noch kürzer: AVV) abzuschließen hat.

Die Verantwortlichen müssen solche Verträge mit allen ihren Auftragsverarbeitern abschließen und – wie oben gesagt – umgekehrt.

Die Auftragsverarbeiter wiederum müssen AV-Verträge mit allen eigenen Auftragsverarbeitern – also zum Beispiel Subunternehmern – schließen. Auch dies gilt selbstverständlich umgekehrt genauso.

Sind freie Mitarbeiter (Freelancer), die für Sie als Subunternehmer tätig sind, als Auftragsverarbeiter oder als Mitarbeiter zu behandeln?

Auch natürliche Personen – also Menschen – können Auftragsverarbeiter sein. Bei freien Mitarbeitern ist manchmal nicht ganz leicht zu beurteilen, ob das sie beschäftigende Unternehmen sie aus Datenschutzsicht als Mitarbeiter oder als Auftragsverarbeiter behandeln muss.

Man unterscheidet das so: Arbeitet der freie Mitarbeiter für Sie wie ein externer Dienstleister, ist er als Auftragsverarbeiter zu behandeln.

Wenn er hingegen wie ein Mitarbeiter in Ihren eigenen Geschäftsablauf eingebunden ist, müssen Sie ihn – zumindest datenschutzrechtlich – wie einen eigenen Mitarbeiter behandeln.

Wie gehen Sie als Verantwortlicher vor, wenn Sie AV-Verträge mit Ihren Auftragsverarbeitern abschließen möchten?

Wenn Sie in Ihrer Rolle als Verantwortlicher AV-Verträge abschließen möchten, empfehlen wir Ihnen zunächst, Ihre AV-Partner zu fragen, ob sie bereits ein eigenes AV-Vertragsmuster haben.

Lautet die Antwort Ja, bitten Sie den Auftragsverarbeiter einfach um das Vertragsmuster und lassen es prüfen, falls Sie es sich selbst nicht zutrauen. Das kann eine spezialisierte Kanzlei oder Ihr Datenschutzbeauftragter für Sie erledigen. Ist die Antwort des Auftragsverarbeiters Nein, schlagen Sie ein eigenes Vertragsmuster vor; dieses kann Ihnen eine spezialisierte Kanzlei oder Ihr Datenschutzbeauftragter erstellen.

Sollte der Auftragsverarbeiter nicht auf Ihre Anfrage zum Abschluss eines Auftragsverarbeitungsvertrages reagieren, sollten Sie besser die Finger von dieser Geschäftsbeziehung lassen. Denn ohne AV-Vertrag ist eine datenschutzkonforme Zusammenarbeit nicht möglich.

Wie gehen Sie beim Entwurf Ihres eigenen Mustervertrags zur Auftragsverarbeitung vor?

Für den Fall, dass Sie selbst Auftragsverarbeiter Ihrer Kunden sind, sollten Sie aus eigenem Interesse und im Interesse Ihrer Kunden über ein eigenes AV-Vertragsmuster verfügen. Die Herangehensweise an die Ausarbeitung eines solchen AV-Vertragsmusters hängt davon ab, ob Sie mit Subunternehmern zusammenarbeiten oder nicht.

Wenn keine Subunternehmer als Auftragsverarbeiter eingesetzt werden, ist die Sache einfach. Sie müssen nur das AV-Vertragsmuster erstellen lassen und die technischen und organisatorischen Maßnahmen (TOM) – wie etwa Ihr Vorgehen bei Verschlüsselung und Datensicherung – dokumentieren. Die TOM-Dokumentation dient als Nachweis dafür, dass Sie ein ausreichendes Datensicherheitsniveau gewährleisten. Beispiel-TOMs können Sie z.B. bei uns erhalten.

Sollten Sie hingegen Subunternehmer als Auftragsverarbeiter einsetzen, müssen Sie zunächst alle Subunternehmer um deren AV-Verträge (inkl. TOM-Dokumentation der Subunternehmer) bitten. Erst bei Vorliegen dieser AV-Verträge können Sie ein eigenes Vertragsmuster erstellen lassen. Die Schwierigkeit besteht dann darin, dass die Regelungen Ihres AV-Vertrages mit den Regelungen der Subunternehmer-AVVs zusammenpassen müssen. Die TOM-Dokumentation besteht in dieser Konstellation aus einer Kombination der „eigenen“ TOMs und denen der Subunternehmer.

Auch die Arten der personenbezogenen Daten (Adressdaten, Bankverbindungsdaten, Mitarbeiterdaten, etc.) sowie die Betroffenen-Kreise (Kunden, Nutzer, Mitarbeiter, etc.) müssen im AV-Vertrag genannt sein. Da die Datenarten und Betroffenen unter Umständen von Kunde zu Kunde variieren können, sollten Sie den AVV an den entsprechenden Stellen von Ihren Kunden selbst ausfüllen lassen.

Wie gehen Sie mit Bestandskunden um, mit denen Sie bisher keine AV-Vereinbarung geschlossen haben?

Als Auftragsverarbeiter sollten Sie mit jedem Ihrer Kunden eine AV-Vereinbarung abschließen. Dabei können Sie verschiedene Wege gehen. Entweder Sie benachrichtigen den jeweiligen Bestandskunden manuell per Post oder E-Mail und fordern ihn freundlich zum Vertragsschluss auf. Oder Sie wirken auf einen elektronischen Vertragsschluss hin. Wenn ein Kunde zum Beispiel Ihre Software nutzen will, kann man von ihm verlangen, dass er damit auch den AVV akzeptiert. Allerdings kann das problematisch sein, wenn der Nutzer der Software, also derjenige, der die Akzeptanzerklärung abgibt, keine Berechtigung zur Abgabe dieser Erklärung hat.

Fraglich ist, ob es eine andere, kreativere Möglichkeit zur Herbeiführung der AV-Vereinbarung gibt, indem Sie z.B. den AVV Ihren AGB als Anhang beifügen. Diese Hinzufügung des AVVs könnte dann als AGB-Änderung gelten, sofern der Kunde ihr nicht widerspricht. Aber lässt sich die AVV-Akzeptanz durch eine entsprechende AGB-Änderungsklausel erreichen, die eine solche Widerspruchslösung enthält? Wir meinen Nein! Denn der AVV gilt als separate Vereinbarung, die nicht Bestandteil der Allgemeinen Geschäftsbedingungen ist. Eine AGB-Änderung ist daher kein geeignetes Mittel für den Abschluss eines AV-Vertrages „durch die Hintertür“. (Falls Sie Ihre AGB in laufenden Vertragsbeziehungen aus anderen Gründen ändern möchten, erfahren Sie hier alles, was Sie dazu wissen müssen.)

Wenn sich Ihr Bestandskunde nicht zum Abschluss eines AVVs bewegen lässt, heißt das, dass die Fortsetzung der Geschäftsbeziehung aus Sicht des Datenschutzes Risiken birgt. Sie sollten dann eine Risikoabwägung vornehmen, bei der wir Ihnen gerne behilflich sind.

Wie unterscheiden sich AV-Verträge nach BDSG (alt) und DSGVO?

In Bezug auf die Anforderungen an die Vertragsinhalte hat sich mit der DSGVO im Vergleich zum BDSG (alt) eher wenig geändert. Vor allem sind die datenschutzrechtlichen Anforderungen an die AVV in der DSGVO knapper definiert.

Die Änderungen betreffen vor allem die Pflichten des Auftragsverarbeiters:

• Der Auftragsverarbeiter muss zum Beispiel ausdrücklich auf bestehende Subunternehmer hinweisen und dem Verantwortlichen die Möglichkeit eines Widerspruches gegen die Datenverarbeitung einräumen, wenn er einen Subunternehmer austauscht.
• Der Auftragsverarbeiter muss den Verantwortlichen auch bei der Erfüllung von Ansprüchen einer betroffenen Person unterstützen; insbesondere hinsichtlich des neuen Rechts auf Datenportabilität, also des Rechts, seine Daten zu einem anderen Anbieter zu übertragen.
• Ferner muss der Auftragsverarbeiter Datenschutzverstöße melden und bei der Erfüllung neu geregelter Meldepflichten mitwirken.
• Außerdem muss der Auftragsverarbeiter an Datenschutz-Folgeabschätzungen mitarbeiten und an zugehörigen Konsultationen mit Aufsichtsbehörden teilnehmen.

Im Übrigen stellt die DSGVO z.T. neue Anforderungen an die TOM-Inhalte. Daher sind bestehende TOMs in der Regel zu aktualisieren.

Sollten andere der genannten Anforderungen an den AVV im bisherigen Vertrag nicht erfüllt sein, müssen Sie auch diese AV-Vereinbarungen ändern. Dies ist über eine kurze Ergänzungsvereinbarung möglich. Dabei können Sie die Aktualisierung genauso vornehmen wie im Falle des zuvor beschriebenen ersten AV-Vertragsschlusses mit Bestandskunden.

Können Sie die AV-Vereinbarung als „Annex“ in Ihren AGB unterbringen?

Wie wir oben gesehen haben, kann man den AVV rechtlich nicht als AGB-Änderung in einen laufenden Vertrag einbeziehen. Platztechnisch dürfen Sie den AVV aber als „Annex“ an Ihre AGB dranhängen. Auf diese Weise können Sie die Zustimmung zu AGB und AVV gemeinsam einholen – auch elektronisch.

Nach welchen Kriterien prüfen Sie die AV-Vereinbarung eines Dienstleisters oder Subunternehmers?

Wenn Ihnen ein Dienstleister oder Subunternehmer einen AV-Vertrag vorlegt, sollten Sie diesen anhand folgender Checkliste überprüfen:

• Enthält der AVV alle Regelungen, die nach der DSGVO erforderlich sind? Falls nicht, sollten Sie den AVV entsprechend ergänzen.
• Enthält der AVV zusätzliche Regelungen, die mit rechtlichen oder geschäftlichen Risiken verbunden sind? Falls ja, sollten Sie diese Stellen entsprechend streichen oder anpassen.
• Enthält der AVV Regelungen, die in einem AVV nichts zu suchen haben? Falls ja, sollten Sie diese Regelungen aus Gründen der Transparenz streichen.
• Sind im AVV ausreichende TOMs des Anbieters dargelegt, die Ihren eigenen Ansprüchen an Datenschutz und Datensicherheit genügen?

AVV-Support zum Festpreis!

Damit Sie sich auf Ihr Kerngeschäft konzentrieren können, nehmen wir Ihnen die rechtliche Arbeit zum Thema Auftragsverarbeitung gerne ab. Mithilfe der obigen Checkliste überprüfen wir Ihre AVVs oder diejenigen Ihrer Geschäftspartner. Die Prüfung lässt sich je nach Ihrem geschäftlichen Tätigkeitsfeld und Ihren Wünschen individuell um weitere Punkte erweitern.

Unsere AVV-Prüfung erfolgt zum vorher vereinbarten Festpreis. Sie gehen also kein Kostenrisiko ein.

Selbstverständlich entwerfen wir auch Ihre individuellen AVV oder Ergänzungsvereinbarungen zu bestehenden AVV.

Nehmen Sie einfach Kontakt zu uns auf, damit wir die weiteren Einzelheiten besprechen können.