Wann bin ich Auftragsverarbeiter und wie verhalte ich mich richtig? Eine Anleitung

Haben Sie sich auch schon gefragt: Was ist die Auftragsverarbeitung und wann muss man sich aus Sicht eines Software-Systemhauses mit ihr auseinandersetzen? Unsere Kolleginnen haben die Antworten: Ein Gespräch unter Juristinnen.

Wann liegt eine Auftragsverarbeitung vor?

Wenn Sie nicht (gemeinsame) Verantwortliche sind, könnten Sie Auftragsverarbeiter sein.

Erstens, Auftragsverarbeitung liegt immer dann vor, wenn ein Unternehmen, ohne selbst „verantwortlich“ zu sein (d.h. nach der Definition in Art. 4 Nr. 7 DSGVO ohne diejenige Stelle zu sein, die „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“), für das Systemhaus personenbezogene Daten verarbeitet. Dabei ist irrelevant, ob das auf eigenen Systemen oder auf Systemen der Auftraggeberin passiert.

Zweitens, ein Systemhaus wiederum kann auch selbst Auftragsverarbeiter sein und ist es in der Regel, wenn es nicht nur Hardware oder ein bestimmtes Produkt liefert, sondern auch Support für Kundinnen leistet, sodass es entweder aus der Ferne oder auch persönlich vor Ort Zugriff auf personenbezogene Daten von Kunden hat.

Beispielhaft: Wenn ein Systemhaus zur Erstellung von Rechnungen eine Abrechnungssoftware von einem Dritten verwendet, könnte das schon eine Auftragsverarbeitung sein? In einem solchen Fall wäre das Systemhaus Verantwortliche und nicht Auftragsverarbeiterin – der Anbieter der Software wäre Auftragsverarbeiter (sofern er durch die Software Zugriff auf personenbezogene Daten beim Systemhaus erhält).

Die Auftragsverarbeitung findet immer parallel zu einem zivilrechtlichen Dauerschuldverhältnis statt (im Beispielsfall: Das Systemhaus bezieht Software vom Dritten, z.B. durch Software-Miete), sie steht damit immer im Verhältnis mit einem (zivilrechtlichen) Vertrag.

Was gibt es für klassische Konstellationen?

Der Anbieter einer Abrechnungssoftware beispielsweise ist immer Auftragsverarbeiter, wenn er auf Grundlage seiner Verträge mit seinen Kundinnen Zugriff auf personenbezogene Daten der Kundinnen hat.

Personell kann die Auftragsverarbeitung nur diejenigen betreffen, die Daten für ein Unternehmen verarbeiten (nicht für Privatpersonen). Ob Sie dabei festangestellt für ein Systemhaus arbeiten oder als Freelancer für einen Kunden tätig werden, ist aber irrelevant. Im Umkehrschluss ergibt sich daraus: Wer eine IT-Anwendung, gleich welcher Art, nur für Verbraucherinnen zur Verfügung stellt, zB eine Plattform, und in diesem Rahmen Zugriff auf Daten der Verbraucher erhält, ist keine Auftragsverarbeiterin (sondern verarbeitet die Daten in eigener Verantwortung – ist also Verantwortliche).

Macht es einen Unterscheid, ob dabei auch besondere Kategorien von personenbezogenen Daten verarbeitet werden?

Einerseits: Nein, man kann und darf auch Auftragsverarbeiterin sein, wenn man besondere personenbezogene Daten verarbeitet. Man darf auch als Berufsgeheimnisträger personenbezogene Daten „auslagern“. Heißt, Dritte verarbeiten als Auftragsverarbeiterinnen dann die dem Berufsgeheimnis unterliegenden Daten eines Berufsgeheimnisträgers (der Verantwortlicher für die Daten ist). Dann ist man klassische Auftragsverarbeiterin unter Vertrag.

Andererseits: Ja, in der Ausgestaltung der Auftragsverarbeitung und in der Ausgestaltung der technisch-organisatorischen Maßnahmen (TOM) macht es einen Unterschied, ob jemand Berufsgeheimnisträger ist oder nicht.

Was gelten denn für Besonderheiten für Berufsgeheimnisträger?

Der Auftragsverarbeitungsvertrag muss um Normen aus dem Strafrecht und der Berufsordnung ergänzt werden, denn die Verantwortliche Berufsgeheimnisträgerin muss ihren Auftragsverarbeiter über bestimmte zusätzliche Pflichten, die sie selbst und bei Auslagerung auch den Auftragsverarbeiter treffen, belehren:

Eine Berufsgeheimnisträgerin benötigt immer einen entsprechenden Zusatz, der sich auf § 203 StGB bezieht (Strafbarkeit der Weitergabe bestimmter Daten/Privatgeheimnisse). Darüber hinaus muss in solchen Fällen ggf. auch besonderen Regeln aus der Berufsordnung Rechnung getragen werden.

Eine AVV sollte in diesen Fällen gewissenhaft zusammengestellt werden, um keinen Verstoß gegen die DSGVO zu riskieren. Besondere Vorsicht gilt auch, da man als Berufsgeheimnisträger bei Verstößen in den strafrechtlichen Bereich geraten kann. Diese Strafbarkeit kann sich auch auf Mitarbeitende der Auftragsverarbeiterin erstrecken. Die beteiligten Personen müssen korrekt belehrt und verpflichtet sein – und das muss sich im Auftragsverarbeitungsvertrag widerspiegeln.

Bei den TOM müssen höhere Schutzmaßnahmen ergriffen werden, insbesondere im Hinblick auf die Verschlüsselung von Daten. Zudem stellen sich beim Homeoffice weitere Schwierigkeiten, denn an jedem Ort, an dem auf die Daten zugegriffen werden kann, muss ein gesicherter Zugriff sowie eine gesicherte Übertragung gewährleistet sein.

Der Berufsgeheimnisträger selbst muss – wie erläutert neben der Auftragsverarbeiterin – auch seine Mitarbeitenden entsprechend belehren.

Welche Anforderungen gelten für den Auftragsverarbeitungsvertrag?

Der Auftragsverarbeitungsvertrag muss es klar darstellen, wenn eine besondere Kategorie an personenbezogenen Daten verarbeitet wird. Das kann direkt am Anfang unter „Art und Umfang“ des Auftragsverarbeitungsverhältnisses oder in einer Anlage passieren.

Der Verantwortliche ist gesetzlich verpflichtet, sich vor der Übermittlung personenbezogener Daten von dem Schutzniveau der Auftragsverarbeiterin zu überzeugen. Ansonsten drohen Bußgelder aufgrund von DSGVO-Verstößen.

Inwiefern spielen TOM in einem Auftragsverarbeitungsvertrag eine Rolle?

„TOM“ – also technisch-organisatorische Maßnahmen – sind bestimmte Anforderungen, die an die Verarbeitung von Daten technisch und organisatorisch gestellt werden, damit die Datenverarbeitung als „sicher genug“ gilt. Sie müssen so angegeben werden, dass sie überprüft werden können. Dabei müssen sie immer das Niveau widerspiegeln, das in Unternehmen tatsächlich vorliegt. Das bedeutet, dass jeder Auftragsverarbeiter angeben muss, welche Maßnahmen er tatsächlich ergreift.

Hier empfehlen wir, mit Listen zu arbeiten. Sie ermöglichen einen guten Überblick und erleichtern durch Ankreuzen die Nachweise. Es besteht zwar keine gesetzliche Pflicht, dem Vertrag TOM als Anhang beizufügen (sie müssen lediglich vorliegen, damit sich die Verantwortliche von ihnen überzeugen kann), aber wir empfehlen, dies zu tun.

Die DSGVO gibt zwar keine Standards für die TOM vor, sie spricht nur von „angemessenen“ und „verhältnismäßigen“ Maßnahmen. Wer sich inspirieren lassen möchte, findet beim BSI unter anderem Kataloge, die sich Verantwortliche wie Auftragsverarbeiter zur Hand nehmen können.

Um den gesetzlichen Anforderungen an einen Auftragsverarbeitungsvertrag gerecht zu werden, lohnt sich ein Blick Art. 28 DSGVO. Zudem kann man sich beispielsweise auch an Mustern der EU-Kommission orientieren.

Viele dieser frei zugänglichen Muster können allerdings keinen Anspruch auf Richtigkeit stellen. Achten Sie darauf – egal ob Sie Auftragsverarbeiterin oder Verantwortlicher sind -, dass Sie jede Regelung durchgehen und sich überlegen, ob Sie die jeweilige Maßnahme einerseits so ergreifen wollen und andererseits auch tatsächlich umsetzen können. Wir helfen Ihnen gerne bei der Prüfung des Vertragswerks und Ihrer TOM.

Wie schließt man die Auftragsverarbeitungsvertrag nun ab?

Der Auftragsverarbeitungsvertrag ist ein Vertrag und unterliegt der Schriftform. Das bedeutet, dass der Vertrag von beiden Parteien unterzeichnet werden muss. Dabei reicht die elektronische Form nach § 126a BGB aus. Wegen Art. 28 DSGVO darf die AVV aber nicht mündlich geschlossen werden. Das Muster für einen solchen Vertrag kann aus dem Internet bezogen werden, wichtig ist aber, dass der richtige Vertrag für Ihre konkrete Situation der Auftragsverarbeitung geschlossen wird.

Sorgen Sie für Ordnung in Ihrem Datenmanagement und werden Sie sich bewusst, welche Regelungen Sie brauchen und welche Daten wirklich verarbeitet werden.

Noch Fragen zu AVV? Sie benötigen ein auf Ihre Bedürfnisse zugeschnittenes Muster oder benötigen Hilfe bei der Einschätzung, ob Sie Auftragsverarbeiterin oder Verantwortliche sind? Kontaktieren Sie uns gerne für eine Ersteinschätzung und Angebote zur Erstellung Ihrer AVV!