Hintergrundgrafik intersoft consulting services AG
Weiter zum Inhalt
Info

Auftragsverarbeitung

Ob eine Auftragsverarbeitung (AV) vorliegt, ist manchmal rechtlich schwierig zu beurteilen. Daher erfahren Sie hier, was eine Auftragsverarbeitung ausmacht und Faustregeln, wann ein entsprechender Vertrag zu schließen ist.
No anker items found

Inhaltsverzeichnis

Kurz und bündig

  • Verarbeitet ein Unternehmen weisungsgebunden personenbezogene Daten für ein anderes Unternehmen, ist zwischen Ihnen ein Auftragsverarbeitungsvertrag abzuschließen.
  • Der Auftragsverarbeitungsvertrag muss einen Mindestinhalt erfüllen, der in Art. 28 Abs. 3 DSGVO näher beschrieben wird.
  • Der Auftragsverarbeiter ist gem. Art. 30 Abs. 2 DSGVO verpflichtet, selbst ein Verzeichnis über diejenigen Verarbeitungstätigkeiten zu führen, die sie für den für die Verarbeitung Verantwortlichen ausführen.
  • Die Datenschutzaufsichtsbehörden können überprüfen, ob die gesetzlichen Anforderungen an eine Auftragsverarbeitung erfüllt wurden und Verletzungen mit Bußgeldern sanktionieren.

Auftragsverarbeitung

Auftragsverarbeitung in der Wirtschaft

Die Übermittlung personenbezogener Daten an Dienstleister ist in der heutigen arbeitsteiligen Welt nicht mehr wegzudenken. Der große Vorteil einer Auftragsverarbeitung liegt in der sog. Privilegierungswirkung der Auftragsverarbeitung. Danach braucht der Auftragsverarbeiter keine eigene Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten, sondern er wird aufgrund der Auftragsverarbeitung rechtlich wie eine interne Stelle des (für die Verarbeitung) Verantwortlichen behandelt. Er kann somit eine Datenverarbeitung vornehmen, die ohne die Auftragsverarbeitung mangels Rechtsgrundlage rechtswidrig wäre. Um jedoch die Einhaltung des Datenschutzes und der Datensicherheit durch den Auftragsverarbeiter zu gewährleisten, besteht für die Unternehmen die datenschutzrechtliche Pflicht, einen Auftragsverarbeitungsvertrag nach Maßgabe von Art. 28 DSGVO abzuschließen.

Gemäß Art. 4 Nr. 8 DSGVO liegt eine Auftragsverarbeitung vor, wenn eine Stelle personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Das beauftragte Unternehmen muss hier schwerpunktmäßig weisungsgebunden personenbezogene Daten für ein anderes Unternehmen verarbeiten. Ist daher lediglich eine Beauftragung fachfremder Dienstleistungen anderer Art gegeben, bei der es zu einer Übermittlung personenbezogener Daten kommt, bedarf es keines Abschlusses eines solchen Vertrages.

Versäumen die beteiligten Unternehmen, einen erforderlichen Auftragsverarbeitungsvertrag abzuschließen oder enthält ein solcher Vertrag nur unzureichende Regelungen, kann dies gem. Art. 83 Abs. 4 lit. a DSGVO von der Datenschutzaufsichtsbehörde mit einem Bußgeld belegt werden. Im Unterschied zur alten Rechtsfolge sind Verstöße gegen die Regelungen zur Auftragsverarbeitung jedoch nicht mehr wie früher im Wesentlichen auf den Verantwortlichen begrenzt. Nach der DSGVO kann nun auch der Auftragsverarbeiter wegen Verstöße gegen Art. 28 DSGVO in Haftung genommen werden. Unternehmen fällt es regelmäßig schwer einzuschätzen, wann die Vertragsbeziehung zu einem anderen Unternehmen den Abschluss eines Auftragsverarbeitungsvertrages erforderlich macht.

Abgrenzung zu anderen Rechtsinstituten

Eine Auftragsverarbeitung zeichnet sich dadurch aus, dass der Auftraggeber weiterhin über Zweck und Mittel der Datenverarbeitung entscheidet und der Auftragsverarbeiter personenbezogene Daten lediglich weisungsgebunden für den Auftraggeber verarbeitet.

Gemeinsame Verantwortlichkeit

Wenn beide Unternehmen hingegen gemeinsam über die Zwecke und die Mittel der Verarbeitung entscheiden, sind sie gemäß Art. 26 Abs. 1 DSGVO „gemeinsam für die Verarbeitung Verantwortliche“. Hier liegt dann kein Auftragsverarbeitungsverhältnis mehr vor, womit der Abschluss eines Auftragsverarbeitungsvertrags obsolet wird. Im Gegenzug treffen die beteiligten Unternehmen jedoch neue Pflichten, die sich aus Art. 26 DSGVO ergeben, z.B. der Abschluss einer Vereinbarung über die gemeinsame Verarbeitung von personenbezogenen Daten, deren Nichteinhaltung gem. Art. 83 Abs. 4 lit. a DSGVO mit einem Bußgeld sanktioniert werden kann.

Wahrnehmung fachfremder Dienstleistungen

Daneben gibt es noch die Konstellation, in der es sich bei der Datenweitergabe an ein Unternehmen um eine Übermittlung an einen Verantwortlichen handelt, bei dem jedes Unternehmen selbst über die Zwecke und Mittel der Verarbeitung entscheidet. In einem solchen Fall liegt weder eine Auftragsverarbeitungssituation noch eine gemeinsame Verantwortlichkeit vor.

Im Einzelfall muss daher stets geprüft werden, ob die Voraussetzungen für den Abschluss eines Auftragsverarbeitungsvertrages vorliegen. Hier ist auf die tatsächlichen Gegebenheiten abzustellen. Unterzeichnen die Parteien daher einen Auftragsverarbeitungsvertrag, in denen sich der Auftragnehmer zur weisungsgebundenen Verarbeitung verpflichtet, obwohl er tatsächlich die Daten für eigene Zwecke verarbeitet, liegt tatsächlich keine Auftragsverarbeitung vor. Der vermeintliche Auftragsverarbeiter wird hier wie ein Verantwortlicher behandelt (Art. 28 Abs. 10 DSGVO).

Nicht jede Einbindung von Dienstleistern, mit denen personenbezogene Daten ausgetauscht werden, stellt eine Auftragsverarbeitung dar.Es ist in jedem Einzelfall konkret zu prüfen, wie die Interessenlage der Beteiligten ausgestaltet ist und welcher Beteiligte in welcher Weise über Zwecke und Mittel der Verarbeitung bestimmt.

Sonderfälle

Einsatz von Cloud- und/oder Wartungsdienstleistern

Es gibt zudem bestimmte Fallkonstellationen, in denen ein Auftragsverarbeitungsvertrag zwischen den Beteiligten abgeschlossen werden sollte, auch wenn es sich auf den ersten Blick um keine Auftragsverarbeitung handelt, weil keine schwerpunktmäßige Verarbeitung personenbezogener Daten für den Auftraggeber vorliegt. Denkbar ist ein solcher Fall insbesondere im Bereich von Cloud-Diensten sowie bei der Bereitstellung und (Fern- bzw. System-) Wartung von EDV-Anlagen.

Die Anforderung an den Abschluss eines Auftragsverarbeitungsvertrags in solchen Konstellationen ergab sich nach alter Rechtslage explizit aus § 11 Abs. 5 BDSG, wonach die Regelungen zur Auftrags(daten)verarbeitung entsprechend anzuwenden waren, wenn bei der Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch ein anderes Unternehmen der Zugriff auf personenbezogene Daten nicht ausgeschlossen werden konnte.

Diese Regelung ist mit Einführung der DSGVO und der neuen BDSG-Fassung ersatzlos entfallen, daher ist es umstritten, ob in diesen Fällen weiterhin ein Auftragsverarbeitungsvertrag abzuschließen ist. Da in solchen Fällen der Zugriff des Dienstleisters der Systemwartung auf personenbezogenen Daten häufig nicht vollends ausgeschlossen werden kann, liegt nach zutreffender Ansicht eine Datenverarbeitung durch den Dienstleister vor. Aufgrund der damit einhergehenden potenziellen Gefährdungslage für das informationelle Selbstbestimmungsrecht der betroffenen Personen, sollte bei Einsatz eines Cloud-Anbieters oder eines Dienstleisters zur Fern- und/oder Systemwartung weiterhin ein Auftragsverarbeitungsvertrag geschlossen werden.

Konzerninterne Datenverarbeitung

Anders als häufig angenommen werden die rechtlich eigenständigen Unternehmen eines Konzerns datenschutzrechtlich nicht als eine Einheit bzw. ein Verantwortlicher gesehen, sondern stehen zueinander wie Dritte. Das bedeutet, dass auch bei der Übermittlung von personenbezogenen Daten innerhalb eines Konzern datenschutzrechtliche Regelungen beachtet werden müssen. Es besteht somit kein sog. Konzernprivileg. Wenn ein Konzernunternehmen daher z.B. zentral Dienstleistungen – sog. shared services – für andere Konzernunternehmen erbringt, braucht es für die Übermittlung eine Rechtsgrundlage. Erfolgt diese Übermittlung jedoch weisungsgebunden, genügt für die Rechtmäßigkeit der Datenverarbeitung der Abschluss eines Auftragsverarbeitungsvertrages.

Inhalt des Auftragsverarbeitungsvertrages

Mindestinhalt

Art. 28 Abs. 3 DSGVO definiert die Mindestanforderungen an den Inhalt eines Auftragsverarbeitungsvertrages. Der Auftragsverarbeitungsvertrag muss Regelungen zu den im Gesetz aufgeführten Punkten treffen.

Hierzu zählen:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten & Kategorien von betroffenen Personen
  • Weisungsbefugnis des Verantwortlichen
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen & organisatorischen Maßnahmen
  • Genehmigungsbedürfnis und Mindeststandards bei Subunternehmern
  • Unterstützung des Verantwortlichen bei Betroffenenanfragen
  • Unterstützung des Verantwortlichen bei Erfüllung der Meldepflicht von Datenschutzvorfällen und der Durchführung von Datenschutz-Folgenabschätzung
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Tückische Klauseln

Häufiger Streitpunkt in Auftragsverarbeitungsverträgen sind Kostentragungsregelungen hinsichtlich der durch Ausübung von Kontrollrechten (Stichwort: Inspektionen) entstehenden Kosten. Auftragsverarbeiter lassen sich gerne das Recht einräumen, die Kosten für Überprüfungen und Inspektionen dem Auftraggeber aufzubürden. Dies ist deshalb problematisch, weil hierdurch der Auftraggeber als Verantwortlicher gehindert werden könnte, seine Kontrollpflichten wahrzunehmen.

Die Datenschutzaufsichtsbehörden halten solche Klauseln deshalb für unwirksam und vertreten die Auffassung, dass etwaige durch Inspektionen entstehende Sonderkosten schon im Angebot eingepreist sein müssten. Oft finden sich auch Klauseln, wonach eine generelle Unterbeauftragung erlaubt wird, diese jedoch nur auf Anfrage durch den Auftraggeber mitgeteilt wird. Solche Klauseln verstoßen regelmäßig gegen Art. 28 Abs. 2 S.2 DSGVO, wonach der Auftragsverarbeiter den Auftraggeber über jede Änderung in Bezug auf andere Subunternehmer zu informieren hat.

Einzelne Klauseln in Auftragsverarbeitungsverträgen können gegen die DSGVO verstoßen und begründen damit ein Bußgeldrisiko.

Gesamtschuldnerische Haftung

Gem. Art. 82 Abs. 4 DSGVO haften Auftraggeber und Auftragsverarbeiter gesamtschuldnerisch, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist, d.h. jeder haftet im Außenverhältnis gegenüber der betroffenen Person in vollem Umfang.

Jedoch beschränkt sich die Haftung des Auftragsverarbeiters auf Verstöße gegen speziell ihm in seiner Rolle als Auftragsverarbeiter auferlegten Pflichten. Diese Einschränkung der Haftung des Auftragsverarbeiters gilt aufgrund der gesamtschuldnerischen Haftung jedoch nur im Innenverhältnis zum Verantwortlichen. Beiden Parteien steht die Möglichkeit der Exkulpation zur Verfügung. Dazu müssen sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind. Aufgrund der Dokumentationspflichten aus Art. 5 Abs. 2 DSGVO gilt hier hinsichtlich der Verletzungshandlung eine Beweislastumkehr, wodurch die betroffene Person lediglich darlegen und beweisen muss, dass der Verantwortliche an der Verarbeitung beteiligt war, ihr ein Schaden entstanden ist und die Verarbeitung zur Schadensherbeiführung auch geeignet war. Eine fehlende oder fehlerhafte Dokumentation der Datenverarbeitung kann für den Verantwortlichen oder Auftragsverarbeiter daher folgenschwer sein, da es Ihnen dann nur schwer möglich sein wird, nachzuweisen, dass die Verarbeitung datenschutzkonform erfolgte.

Typische Einzelfälle

Typische Fälle der Auftragsverarbeitung

Typische Fälle, in denen eine Auftragsverarbeitung des Dienstleisters zu bejahen sein wird, sind etwa:

  • Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten
  • Werbeadressenverarbeitung in einem Lettershop / Newsletter-Dienstleister
  • Datenträgerentsorgung durch Dienstleister
  • Kundenbetreuung durch Callcenter ohne wesentliche eigene Entscheidungsspielräume
  • Nutzung von Cloud-Computing
  • Shared Service Dienstleistungen innerhalb eines Konzerns (z.B. zentrale Lohnabrechnung)
  • Sicherheitsdienste, die Zugangskontrollen durchführen

Typische Fälle fachfremder Dienstleistungen

Keine Auftragsverarbeitung liegt hingegen vor bei der Tätigkeit fachfremder Dienstleistungen wie etwa:

  • Postdienste, Transportunternehmen
  • Inkassobüros mit Forderungsübergang
  • Bankinstitute, Zahlungsdienstleister
  • Tätigkeiten der Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, Wirtschaftsprüfer etc.)
  • Internet-Plattformanbieter zur Vermittlung von Anbietern und Interessenten
  • Versicherungs- und Finanzmakler
  • Personalvermittlung
  • Reinigungsdienstleistungen
Hintergrundgrafik intersoft consulting services AG
Unsere Datenschutzexperten können klären, ob es sich in Ihrem Einzelfall um eine Auftragsverarbeitung handelt. Informieren Sie sich hier: Externer Datenschutzbeauftragter