Ratgeber: Auftragsverarbeitung DSGVO-sicher (FAQ, Tipps und Checklisten)

Eine datenschutzrechtliche Auftragsverarbeitung begründet eine Verantwortungs- und Haftungsbeziehung zwischen dem Auftraggeber und dem Auftragnehmer.

Es ist für Unternehmen daher essenziell zu wissen, wann der Austausch personenbezogener Daten im Rahmen einer Geschäftsbeziehung oder Dienstverhältnisses eine Auftragsverarbeitung darstellt.

Ferner schreibt die DSGVO in dem Fall den Abschluss eines Auftragsverarbeitungsvertrages vor, dessen Inhalt wiederum durch das Gesetz vorgegeben ist. Die Rechtslage ist also nicht gerade einfach.

Daher ist der Zweck dieses Ratgebers, Ihnen mit Antworten auf die häufigsten Fragen zur Auftragsverarbeitung einen Überblick zu verschaffen sowie Sie mit Ratschlägen und Checklisten bei der praktischen Umsetzung zu unterstützen.

Hinweis in eigener Sache: Mit unserem "Vertrag über die Verarbeitung von personenbezogenen Daten im Auftrag (Auftragsverarbeitungsvertrag)" können Sie auch ohne Rechtskenntnisse einen Auftragsverarbeitungsvertrag erstellen (dennoch empfehlen wir Ihnen den Ratgeber und den Vertrag selbst zu lesen).
Hinweis in eigener Sache: Mit unserem “Vertrag über die Verarbeitung von personenbezogenen Daten im Auftrag (Auftragsverarbeitungsvertrag)” können Sie auch ohne vertiefte Rechtskenntnisse einen Auftragsverarbeitungsvertrag erstellen und mit vorgegebenen Optionen (z. B. zu TOMs) individualisieren.

Inhalt des Beitrags:

Welche Strafen drohen bei fehlendem Auftragsverarbeitungsvertrag?

Im Fall fehlender oder unvollständiger Regelungen zur Auftragsverarbeitung drohen Bußgelder von bis zu 2% des zurückliegenden Jahresumsatzes, bzw. 10. Mio. Euro, je nachdem was höher ist (Art. 83 Abs. 4 DSGVO).

Werden bei der Durchführung der Auftragsverarbeitung Datenschutzverstöße, z .B. Missachtung von Betroffenenrechten, begangen, erhöhen sich die Bußgelder von bis zu 4% des zurückliegenden Jahresumsatzes, bzw. 10. Mio. Euro, je nachdem was höher ist (Art. 83 Abs. 5 DSGVO).

Daneben kommen, zumindest im Fall faktischer Auswirkung, Schadensersatzansprüche der Betroffenen gem. Art. 82 Abs. 1 DSGVO in Frage.

Wann liegt eine Auftragsverarbeitung vor?

Eine Auftragsverarbeitung liegt vor, wenn ein Verantwortlicher (der Auftraggeber) einen sogenannten Auftragsverarbeiter mit der Verarbeitung personenbezogenen Daten beauftragt (Art. 4 Nr. 12 DSGVO). Das heißt, die folgenden Voraussetzungen müssen im Einzelnen geprüft werden:

  1. Verarbeitung
  2. personenbezogener Daten,
  3. im Auftrag
  4. und auf Weisung
  5. des Auftraggebers,
  6. durch einen Auftragsverarbeiter.

Die einzelnen Voraussetzungen werden nachfolgend erläutert (aus Verständnisgründen in leicht veränderter Reihenfolge).

Wann sind personenbezogene Daten Gegenstand des Auftrags?

Die Auftragsverarbeitung ist nur dann relevant, wenn personenbezogene Daten verarbeitet werden (Art. 4 Nr. 1 DSGVO, in dem Kontext auch kurz als “Daten” bezeichnet).

Personenbezogene Daten sind Angaben, mit deren Hilfe eine Person identifiziert oder Ziel individueller Maßnahmen (z. B. Einblendung passender Werbung) werden kann. Es müssen keine Klardaten (Namen, Adressen, etc.) sein. Auch pseudonyme Daten (z. B. mit ID-Nummern gekennzeichnete und nur vom Auftraggeber lesbare Daten oder IP-Adressen) sind im Regelfall personenbezogen.

Wann liegt eine Verarbeitung vor?

Der Begriff der Verarbeitung umfasst praktisch alle Vorgänge, denen personenbezogenen Daten unterworfen werden können (Art. 4 Nr. 2 DSGVO).

Der Rahmen der Verarbeitung reicht von der Erhebung personenbezogener Daten (z. B. Beauftragung einer Marketingagentur Adressdaten zu gewinnen), über deren Organisation und Auslesen (z. B. im Rahmen von Datenanalysen), Übermittlung bis zur Löschung und Vernichtung (z. B. Beauftragung eines Akten- und Datenträgervernichtungsunternehmens).

Wann ist die Verarbeitung Kern des Auftrags?

Die Verarbeitung von personenbezogenen Daten muss eine Hauptpflicht (bzw. eine der Hauptpflichten) sein, d. h. zum Kern der Rechtsbeziehung (z. B. eines Vertrags, bzw. Auftrags) zwischen dem Auftraggeber und dem Auftragsverarbeiter gehören.

Setzt z. B. ein Unternehmen eine Plattform zur Verwaltung von Personaldaten ein, dann ist die Verarbeitung der Daten der Beschäftigten der Kern dieses Auftrags.

Keine Auftragsverarbeitung liegt dagegen vor, wenn die Verarbeitung personenbezogener Daten z. B. lediglich die Nebenfolge einer Rechtsbeziehung ist.

Schließen z. B. Unternehmen Verträge und werden dabei die Namen und Adressen der Ansprechpartner ausgetauscht, dann liegt im Hinblick auf diese Angaben keine Auftragsverarbeitung vor.

Wann liegt eine Weisung des Auftraggebers vor?

Die Verarbeitung muss auf dessen Weisung hin erfolgen, um eine Auftragsverarbeitung darzustellen. Das heißt, der Auftraggeber muss die Mittel, also die Art und Weise der Verarbeitung bestimmen.

Der Auftragnehmer muss also als “verlängerter Arm”, bzw. “Werkzeug” des Auftraggebers handeln. Zwar gibt es auch an dieser Stelle keine ganz klaren Bestimmungen, aber folgende Kriterien können bei der Orientierung helfen:

  • Art und Weise der Verarbeitung wird vorab festgelegt – Der Auftragnehmer erhält eine Marschroute, d.h. Vorgaben, wie die Verarbeitung durchzuführen ist. Diese Vorgaben können individuell vereinbart oder durch AGB des Auftragnehmers festgelegt werden.
  • Ein Spielraum des Auftragnehmers bei den Mitteln der Verarbeitung ist zulässig – Die Verarbeitung im Auftrag muss nicht en Detail festgelegt werden. So muss z. B. ein Webhoster nicht die eingesetzten Server bezeichnen oder ein Cloudsoftwareanbieter den Aufbau seiner Datenbank beschreiben. Wichtig ist vielmehr, dass der Auftraggeber den Verarbeitungsprozess und dessen Auswirkungen auf die Personen, deren Daten verarbeitet werden, überblicken kann.
  • Bei den Zwecken der Verarbeitung darf dem Auftragnehmer kein Spielraum zustehen – Anders als bei der Bestimmung über die Mittel der Verarbeitung, darf der Auftragnehmer nicht über die Zwecke der Verarbeitung der ihm anvertrauten Daten bestimmen. Er darf also z. B. nicht darüber bestimmen, ob die Ergebnisse einer Verarbeitung der Auftragsdaten auch ihm oder Dritten zur Verfügung gestellt werden.
  • Der Auftraggeber ist “HerrIn der Daten” – Der Auftraggeber muss das Recht haben, über die Löschung der im Auftrag durch den Auftragnehmer verarbeiteten Daten oder deren Rückgabe zu bestimmen. Keine Auftragsverarbeitung läge hingegen vor, wenn der Auftragnehmer die Daten zurückbehalten dürfte, weil er sie z. B. für eigene Zwecke verwenden möchte.

Gibt es Fallgruppen und Beispiele einer Auftragsverarbeitung?

Jede Verarbeitung muss für sich beurteilt werden. Die im Folgenden genannten Fallgruppen und Beispiele von Auftragskonstellationen erlauben jedoch die erste Einschätzung:

  • Fälle der Auftragsverarbeitung:
    • Webhosting und Cloudspeicherung (die Speicherung und Übermittlung von Daten ist das Kerngeschäft).
    • Werbeagenturen (z. B. Erhebung von E-Mailadressen im Rahmen eines Gewinnspiels).
    • Post- und Scan sowie Akten- und Datenträgervernichtungsdienste (der Hauptzweck ist die Datenvernichtung, also deren Verarbeitung).
    • Gehaltsabrechnung (außer sie wird vom Steuerberater durchgeführt – gesetzliche Ausnahme).
    • IT-Einrichtung- und Wartung: Wenn der Kern die reine Hardwarewartung ist, liegt keine Auftragsverarbeitung vor.
    • Technischer Versanddienstleister für E-Mails (die E-Mailadressen werden als Gegenstand der Tätigkeit betrachtet).
  • Kein Fall der Auftragsverarbeitung:
    • Reine Vermietung von Hardware in einem Serverpark (anders als beim Webhosting verwaltet hier der Mieter die Hardware selbst).
    • IT-Einrichtung- und Wartung: Wenn dies nicht nur der reinen Hardwarewartung geschuldet ist, sondern auch Daten wie Logfiles, Kunden-/Nutzer-Datenbanken ausgewertet werden sollen, etc. dann handelt es sich (zumindest laut Datenschutzbehörden um Auftragsverarbeitung).
    • Rechtsanwalt (Im Regelfall ist das Ziel einen juristischen Erfolg zu erreichen).
    • Steuerberater (auch hier sollen Handels-/ Steuerpflichten erfüllt werden, klargestellt seit 2020 im § 11 StBerG).
    • Dropshipping (Ein Großhändler liefert Waren aus, die Verarbeitung der Lieferadressen ist nur eine Nebenfolge).
    • Druckerei oder Copyshop (Der Hauptzweck ist der Druck von Dokumenten, nicht die Verarbeitung der in den Dokumenten vorkommenden Daten).
    • Bewachungsdienste, Transportdienste, Reinigungsdienste (zwar können die jeweiligen Dienstleister in Berührung mit personenbezogenen Daten kommen, das aber nur als Nebenfolge der Wahrnehmung ihrer Aufgaben).
    • Mitverarbeitung von Mitarbeiterdaten (Wenn ein Cloudservice Logindaten eines Mitarbeiters speichert, dann ist das nur eine Nebenfolge der Bereitstellung des eigentlichen Clouddienstes).
    • Telekommunikationsleistungen, d. h. die reine Signalübertragung, z. B. als Anbieter eines virtuellen Nebenstellenangebotes (in dem Fall müssen jedoch die speziellen Vorgaben des Telekommunikationsrechts beachtet werden).

Die vorgenannten Beispiele dürften verdeutlichen, dass eine Pauschalierung nach dem Motto “IT-Wartung ist Auftragsverarbeitung” nicht möglich ist. Stattdessen muss im Einzelfall geprüft werden, ob es tatsächlich um Datenverarbeitung als Kerngeschäft geht und eher den Datenschutzbehörden gefolgt werden soll (die sich im Zweifel eher für eine Auftragsverarbeitung aussprechen).

Wer ist ein Verantwortlicher?

Verantwortlich ist, wer über die “Zwecke und Mittel” der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO).

Das ist in einem Auftragsverarbeitungsverhältnis der erste Auftraggeber in der Auftragskette und der bestimmende und weisungsberechtigte “Herr der Daten”, die im Auftrag verarbeitet werden.

Wer ist ein Auftraggeber?

Der Auftraggeber ist, wer eine andere Person mit einer weisungsgebundenen Verarbeitung von personenbezogenen Daten beauftragt. Das ist bei den meisten Auftragsverarbeitungsverhältnissen zugleich der Verantwortliche der Auftragsverarbeitung.

Der Auftraggeber kann im Rahmen von Unterauftragsverhältnissen aber auch selbst Auftragsverarbeiter sein. Beispiel:

  • Auftragsverarbeitung: Ein Unternehmen (Verantwortlicher und Auftraggeber) beauftragt eine Marketingagentur (Auftragsverarbeiterin) mit einer E-Mailkampagne an eigene Kunden.
  • Unterauftragsverarbeitung: Die Marketingagentur (hier als Auftraggeberin agierend) beauftragt wiederum einen Versanddienstleister (Unterauftragsverarbeiter) mit der Durchführung des Versands der Newsletter.

Wer ist ein Auftragsverarbeiter?

Der Auftragsverarbeiter kennzeichnet sich dadurch, dass er die personenbezogenen Daten nur im Auftrag, d. h. auf Weisung des Auftraggebers verarbeitet. Der Auftragsverarbeiter ist also ein “verlängerter Arm” oder ein “Werkzeug” des Auftraggebers.

Der Auftragsverarbeiter kann auch selbst Auftraggeber sein, wenn er Unterauftragnehmer beauftragt (s. o. Erläuterungen zum Auftraggeber).

Muss der Auftragnehmer Weisungen des Auftraggebers überprüfen?

Es ergibt sich aus dem Gesetz nicht unmittelbar, ob und in welchem Umfang ein Auftragsverarbeiter die Weisungen des Auftraggebers zu prüfen hat.

Um Unklarheiten zu vermeiden, sollte daher vertraglich festgelegt werden, dass der Auftragsverarbeiter grundsätzlich nicht zur Prüfung verpflichtet ist. Außer eine Prüfungspflicht wurde ausdrücklich vereinbart (z. B. im Rahmen des Auftrags als Leistung) oder es muss für den Auftragsverarbeiter erkennbar sein, dass eine Auftragsverarbeitung rechtswidrig ist.

Darf der Auftraggeber Weisungen nachträglich ändern?

Der Auftraggeber darf (und muss manchmal sogar) Weisungen auch nachträglich ändern. Allerdings müssen diese Weisungen auch im Rahmen des ursprünglichen Auftrags liegen, außer der Schutz der betroffenen Personen gebietet eine über den Vertrag hinausgehende Weisung.

Z. B. kann der Auftraggeber bestimmen, dass verarbeitete Daten gelöscht werden, weil er entdeckt hat, dass erforderliche Einwilligungen fehlen.

Durch nachträgliche Änderung können zusätzliche Kosten entstehen, die je nach erwartetem Umfang vertraglich geregelt werden können (beachten Sie weitere Hinweise zum Aufwendungsersatz, bzw. Vergütung).

Wann darf der Auftragnehmer datenschutzwidrige Weisungen ablehnen?

Der Auftragsverarbeiter und der Auftraggeber haften gesamtschuldnerisch. D.h. Betroffene können sich im Fall von Datenschutzverstößen an beide Vertragsparteien wenden und z. B. einen Schadensersatz geltend machen (der Auftragsverarbeiter muss dann im Innenverhältnis gegenüber dem Auftraggeber geltend machen, nicht verantwortlich zu sein).

Bereits deswegen hat der Auftragsverarbeiter auch das Recht, rechtswidrige Weisungen zu beanstanden. Dennoch sollte dies zur Sicherheit vertraglich klargestellt werden, ebenso wie die Pflicht, die Beanstandung zu begründen.

Wann darf der Auftragnehmer ihm unzumutbare Weisungen ablehnen?

Die DSGVO regelt nicht explizit, wann Weisungen unzumutbar sind und welche Reaktion des Auftragnehmers in einem solchen Fall angemessen wäre. Daher muss jeder Fall für sich bewertet werden.

Unzumutbar wäre z. B. vom Auftragsverarbeiter alle paar Wochen die Anpassung datenschutzrechtlich hinreichend sicherer Verarbeitungsprozesse zu verlangen. Aber auch die Datenschutzrechte der Betroffenen müssen hinreichend gesichert werden und können wirtschaftliche Interessen des Auftragsverarbeiters durchaus überwiegen .

Sind derartige Streitkonstellationen vorhersehbar, sollten die Grenzen und Folgen des Ablehnungsrechts aufgrund der sonst bestehenden Unsicherheit vertraglich festgelegt werden.

Dürfen Weisungen auch mündlich erteilt werden?

Die DSGVO legt den Verarbeitern so genannte Rechenschaftspflichten auf (Art. 5 Abs. 2 DSGVO). Praktisch heißt es, dass alle datenschutzrechtliche Vorgänge nach Möglichkeit protokolliert werden sollten, um jederzeit Rechenschaft über eine ordnungsgemäße Verarbeitung ablegen zu können.

Auch bei etwaigen Haftungsfragen gewinnt häufig die Partei, die nachweisen kann, was gesagt wurde und was nicht. Daher sollten alle Weisungen schriftlich oder textlich (E-Mail) erfolgen und im Fall mündlicher Weisungen sollte um deren Nachreichung zumindest per E-Mail oder um die Bestätigung eigener Mitschriften gebeten werden.

Wer muss die Weisungen des Auftraggebers dokumentieren?

Grundsätzlich müssen beide Vertragsparteien die Weisungen aufgrund ihrer Rechenschaftspflichten dokumentieren. Es kann jedoch vereinbart werden, dass der Auftraggeber die Protokollpflichten dem Auftragsverarbeiter auferlegt (wobei dies auch der Unterstützungspflicht im Art. 28 Abs. 3 lit. h DSGVO entspricht).

Allerding sollten Auftragsverarbeiter den Protokollaufwand im Rahmen ihres Angebots berücksichtigen. Wobei der Aufwand auch gering ausfallen und nur im Speichern des E-Mailverkehrs bestehen kann.

Müssen in einem Auftragsverarbeitungsvertrag die Ansprechpartner benannt werden?

Ansprechpartner müssen in einem Auftragsverarbeitungsvertrag nicht zwingend benannt werden. Vor allem, wenn sich die Ansprechpartner auch sonst eindeutig bestimmen lassen (z. B. Beauftragung eines Einzelunternehmers oder Festlegung der Ansprechpartner im Hauptvertrag).

Empfohlen wird jedoch, die Ansprechpartner (oder zumindest Ansprechstellen, wie z. B. “Leitung IT”) festzulegen und anzugeben, wie diese erreichbar sind.

Ansonsten können z. B. Unklarheiten entstehen, wenn z.B. ein Mitarbeiter des Auftragsverarbeiters eine Weisung des Auftraggebers nicht weiterleitet oder nicht ausführt, da er sich für diese Aufgabe nicht zuständig fühlt oder tatsächlich (z. B. mangels Fachkompetenz) die Weisung nicht durchführen oder deren Bedeutung nicht einschätzen kann.

Müssen technische und organisatorischen Maßnahmen (TOMs) vereinbart werden?

Das Gesetz gibt im Art. 28 Abs. 3 lit. c. DSGVO in Verbindung mit Art. 32 DSGVO vor, dass ein Auftragsverarbeiter dem Risiko der Datenverarbeitung entsprechend angemessene technische und organisatorischen Maßnahmen (TOMs) treffen und hierzu verpflichtet werden muss.

D.h. je sensibler die Daten (z. B. Bankverbindungen) und je größer der potentielle Schaden (z. B. Identitätsmissbrauch) und je höher das Risiko des Eintritts des Schadens ist (z. B. hoher wirtschaftlicher Wert der Informationen, Vorfälle in der Vergangenheit), desto höher muss der mit Hilfe der TOMs hergestellte Datenschutzniveau sein. Die konkrete Höhe kann jedoch nur im Einzelfall bestimmt werden.

Müssen die TOMs im Einzelnen aufgeführt werden?

Das Gesetz gibt nicht direkt vor, dass technische und organisatorische Maßnahmen im Einzelnen gelistet werden müssen. Direkt ergibt es sich lediglich, dass sie im erforderlichen Umfang implementiert sein müssen (Art. 28 Abs. 3 lit. c. DSGVO in Verbindung mit Art. 32 DSGVO).

Allerdings erleichtert die Angabe der TOMs dem Auftraggeber die Prüfung, ob die ergriffenen Maßnahmen angemessen sind (und vor allem der Nachweis der Prüfung). So kann der Abschluss des Auftragsverarbeitungsvertrages erheblich beschleunigt werden.

Darf der Auftragnehmer die TOMs nachträglich anpassen?

Die TOMs müssen sich an dem Stand der Technik orientieren und dürfen, bzw. sollten sogar entsprechend angepasst werden (wenn z.B. offizielle Empfehlungen für Passwortlängen sich ändern) oder neue Softwareupdates vorliegen.

Allerdings ist die Anpassung nur dann zulässig, wenn das vereinbarte Schutzniveau gleichbleibt, sich bessert aber nicht sinkt. Ferner sollte der Auftraggeber über die wesentlichen Änderungen informiert werden.

Müssen Mitarbeiter auf die Verschwiegenheit verpflichtet werden

Mitarbeiter des Auftragsverarbeiters müssen auf den Datenschutz explizit verpflichtet werden. Das schreiben Art. 28 Abs. 3 lit. b DSGVO (bzw. in Österreich auch § 6 DSG) explizit vor.

Müssen Mitarbeiter geschult werden?

Das Datenschutzrecht ändert sich ebenso, wie auch die technische Entwicklung stets voranschreitet.

Die Verpflichtung Mitarbeiter regelmäßig zu schulen, gehört daher zu jedem guten Sicherheitskonzept (und sollte entsprechend im Auftragsverarbeitungsvertrag als Pflicht aufgenommen werden).

Ist die Tätigkeit von Mitarbeitern des Auftragnehmers im Home- & Mobileoffice erlaubt?

Sie können eine entsprechende "Vereinbarung über Datenschutz im Home- und Mobile-Office (Telearbeit)" als auch eine "Vereinbarung über betriebliche Nutzung von Privatgeräten der Mitarbeiter*innen (BYOD)" bei uns erstellen.
Sie können eine entsprechende “Vereinbarung über Datenschutz im Home- und Mobile-Office (Telearbeit)” als auch eine “Vereinbarung über betriebliche Nutzung von Privatgeräten der Mitarbeiter*innen (BYOD)” bei uns erstellen.

Heutzutage ist das Homeoffice oder die Arbeit von Unterwegs aus (z. B. Abruf von E-Mails oder Zugriff auf Daten via Mobiltelefon) üblich.

Daher erlauben moderne Auftragsverarbeitungsverträge die Fernarbeit, solange die Anforderungen an die Sicherheit der im Auftrag verarbeiteten Daten auch in diesen Fällen eingehalten werden. Das gilt auch für die Nutzung von Privatgeräten für berufliche Zwecke.

Dass die Fernarbeit vom Auftraggeber freigegeben werden muss, ist heutzutage dagegen eher unüblich. Anders sieht es dagegen aus, wenn das Risiko besonders hoch ist, weil z. B. besondere Kategorien von Daten (Art. 9 DSGVO, z. B. Gesundheitsdaten), verarbeitet werden.

Muss ein Datenschutzbeauftragter benannt werden?

Die Pflicht zu Benennung eines oder einer Datenschutzbeauftragten ergibt sich aus dem Gesetz.

Datenschutzbeauftragte müssen in Deutschland Unternehmen schon ab 20 Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (wobei hierzu schon die Führung eines E-Mailpostfachs ausreichend ist), benennen (§ 38 BDSG).

Darüber hinaus und dann auch außerhalb Deutschlands, im Falle von besonders risikoreichen oder umfangreichen Verarbeitungen (Art. 37 DSGVO und § 38 BDSG).

Daneben kann in einem Auftragsverarbeitungsvertrag auch unabhängig vom Gesetz eine Bestellpflicht für Datenschutzbeauftragte geregelt werden. Auch wenn dies eher unüblich ist und eine zwingende Bestellpflicht nur bei besonders risikoreichen Fällen der Auftragsverarbeitung vereinbart wird.

Muss der Auftragnehmer ein Verzeichniss von Verarbeitungstätigkeiten führen?

Nach Art. 30 DSGVO muss grundsätzlich von jedem Verantwortlichen ein Verzeichnis von Verarbeitungstätigkeiten geführt werden.

Es gibt zwar eine Befreiung für Unternehmen mit weniger als 250 Mitarbeitern. Allerdings gilt sie nur im Fall des Art. 30 Abs. 5 DSGVO, wenn keine besonderen Kategorien von Daten verarbeitet werden (Art. 9 DSGVO, passiert sobald Mitarbeiter beschäftigt werden, da diese z. B. für Steuerzwecke die Konfession angeben müssen) und die Verarbeitung von personenbezogenen Daten zudem nur gelegentlich erfolgt (was eigentlich nur auf “traditionelle” Unternehmen zutrifft, die kaum personenbezogene Daten verarbeiten, wie z. B. ein kleines Ladengeschäft).

Zusammenfassend wird die Pflicht zur Führung von Verzeichnissen von Verarbeitungstätigkeiten sehr häufig vorliegen, aber in der Praxis häufig unterlassen

Daher ist es generell zu empfehlen den Auftragsverarbeiter im Auftragsverarbeitungsvertrag zur Führung eines Verzeichnisses von Auftragsverarbeitungstätigkeiten zu verpflichten (also vor allem einer Übersicht, welche Daten zu welchen Zwecken mit welchen Schutzmaßnahmen, auf welche Art und Weise und im welchen Umfang im Auftrag verarbeitet werden).

Welche Pflichten gelten für die Aufbewahrung und Vernichtung von Daten und Datenträgern?

Da der Auftragsverarbeiter die maßgeblichen Daten nur nach Weisung des Auftraggebers verarbeiten darf, muss er die folgenden Grundsätze beachten:

  • Verwahrungssorgfalt – Zu den Grundpflichten eines Auftragsverarbeiters gehört es, besondere Sorgfalt der Sicherung der im Auftrag verarbeiteten Daten zu widmen.
  • Pflicht zur Rückgabe/ Löschung und Vernichtung – Auf Weisung des Auftraggebers und spätestens nach Ende der Auftragsverarbeitung muss der Auftragsverarbeiter die Daten sowie Datenträger herausgeben, bzw. löschen.
  • Rückgabe und Löschung auch bei Subunternehmern – Der Auftragsverarbeiter muss sicherstellen, dass die Daten auch von (sofern vorhanden) Unterauftragsverarbeitern zurückgegeben oder bei diesen gelöscht werden. Dies geschieht durch die Vereinbarungen entsprechender Pflichten im Vertrag mit dem Auftragsverarbeiter.
  • Ausschluss des Zurückbehaltungsrechts – Das Zurückbehaltungsrecht (in Deutschland geregelt im § 273 BGB) würde dem Auftragsverarbeiter ein Recht gewähren die Daten zurückzubehalten, wenn er gegenüber dem Auftraggeber z. B. noch Zahlungsansprüche hätte. In diesem Fall wäre jedoch der betroffene Dateninhaber gefährdet, so dass das Zurückbehaltungsrecht ausgeschlossen werden sollte.
  • Pflicht ordnungsgemäße Vernichtung/ Löschung von Daten nachzuweisen – Der Auftragsverarbeiter muss nachweisen können, dass Daten unwiederherstellbar gelöscht wurden. In der Praxis erfolgt dies durch die Vorlage einer Protokollierung und des Ergebnisses der Löschung. Falls ein Anlass zu Zweifeln besteht (z. B. Lücken im Protokoll) darf als letzter Schritt auch eine Versicherung an Eides statt verlangt werden.

Können die Anlagen (Gegenstand der Verarbeitung, Ansprechpartner, TOMs, Subunternehmer) auch online bereitgestellt werden?

Die den Auftragsverarbeitungsvertrag ergänzenden, bzw. dessen Rahmen bestimmenden Vereinbarungen können zusammen mit dem Auftragsverarbeitungsvertrag selbst oder einzeln ausgegliedert online bereitgestellt werden.

Eine Bereitstellung online ist bei sich ändernden Angaben, d. h. vor allem bei den Ansprechpartnern, TOMs oder Angaben zu Subunternehmern sogar zu empfehlen.

Wer ist für die Erfüllung von Betroffenenrechten (Auskunft, Löschung, etc.) zuständig?

Für die Erfüllung der Rechte der von der Auftragsverarbeitung betroffenen Personen (Art. 15 bis 21 DSGVO), ist der Verantwortliche der Verarbeitung und nicht der Auftragsverarbeiter zuständig.

Nur der Verantwortliche darf entscheiden, ob und im welchen Umfang z. B. Auskünfte beantwortet werden oder Löschungsansprüchen entsprochen wird. Sollten derartige Anfragen der Betroffenen beim Auftragsverarbeiter eingehen, dann muss er sie an den Auftraggeber weiterleiten.

Checkliste: Welche sonstigen Informations- und Mitwirkungspflichten treffen den Auftragsverarbeiter?

Die DSGVO verpflichtet den Auftragsverarbeiter, den Auftraggeber bei der Erfüllung seiner Informationspflichten und Schutz der im Auftrag verarbeiteten Daten wie folgt zu unterstützen (Art. 28 Abs. 3 S. 2 lit. h. DSGVO):

  • Informationspflichten bei Fehlern und Unregelmäßigkeiten – Da der Auftragsverarbeiter einen besseren Überblick über die Verarbeitung der maßgeblichen Daten hat, ist es nachvollziehbar, dass er Fehler oder Unregelmäßigkeiten der Verarbeitung an den Auftraggeber melden und Maßnahmen zur Risikominderung ergreifen muss.
  • Unterstützung in Verfahren mit Aufsichtsbehörden – Die Datenschutzaufsichtsbehörden haben das Recht, die Verarbeitung der Daten durch den Verantwortlichen zu überprüfen, was auch eine Überprüfung der Verarbeitung beim Auftraggeber mit umfassen kann (Art. 28 Abs. 3 S. 2 lit. h und Abs. 4. DSGVO).
  • Abwehr und Unterstützung gegen externe Gefährdung von Daten – Der Auftragsverarbeiter ist der verlängerte Arm des Auftraggebers und die Daten sind ihm nur für die Zwecke der Verarbeitung übertragen. Sonst hat der Auftragsverarbeiter keine Rechte an den Daten. Daher dürfen die Daten des Auftraggebers beim Auftragsverarbeiter grundsätzlich nicht durch Behörden, Gerichtsvollzieher oder Insolvenzverwalter oder andere Dritte in Beschlag genommen werden. Sollte dies doch passieren, dann muss der Auftragsverarbeiter die Dritten darauf hinweisen, dass die Daten des Auftraggebers auszunehmen sind und den Auftraggeber über eine derartige Gefährdung seiner Daten, schon wenn sie droht, informieren. Ferner muss der Auftragsverarbeiter den Auftraggeber bei der Rückgewinnung der Daten oder sonstigen und angemessenen Schadensminderungsmaßnahmen unterstützen.
  • Bereitstellung von Informationen zur Erfüllung gesetzlicher Pflichten des Auftraggebers – Der Auftraggeber ist darauf angewiesen, dass der Auftragsverarbeiter ihn bei der Erfüllung seiner gesetzlichen Pflichten (z. B. gegenüber Behörden, Betroffenen oder sonstigen Dritten) mit Informationen betreffend die Verarbeitung der Daten beim Auftragsverarbeiter unterstützt.
  • Keine Pflichten, wenn Auftraggeber Informationen selbst beschaffen kann – Es sollte klargestellt werden, dass der Auftragsverarbeiter den Auftraggeber nur soweit bei der Beschaffung von externen erforderlichen Informationen unterstützen muss, wie der Auftraggeber die Information sich nicht selbst verschaffen kann.

Zu beachten ist ferner, dass der Auftragnehmer die vorgenannten Pflichten nicht nur einhalten, sondern dies auch nachweisen muss.

Welche Maßnahmen muss der Auftragnehmer bei Datenpannen einhalten?

Im Fall von Datenpannen, d. h. Verletzung des Datenschutzes, z. B. durch unerlaubte Zugriffe Dritter, ist der Auftraggeber unter Umständen verpflichtet die Datenschutzbehörde und gegebenenfalls auch die betroffenen Personen zu informieren und die Auswirkung der Datenschutzverletzung möglichst gering zu halten (Art. 33 und 34 i.V.m. Art. 4 Nr. 12 DSGVO).

Der Auftragsverarbeiter muss den Auftraggeber bei der Beseitigung der Datenpanne sowie ihrer Folgen, als auch bei der Einhaltung seiner Meldepflichten unterstützen (Art. 28 Abs. 3 S. 2 lit. f. DSGVO).

Wie schnell müssen Datenpannen vom Auftragnehmer gemeldet werden?

Im Fall von Datenpannen, (d. h. der Verletzung des Datenschutzes) die einen bestimmten Risikograd erreichen, ist der Auftraggeber verpflichtet, binnen 72 Stunden eine Meldung bei der zuständigen Datenschutzaufsichtsbehörde und ebenfalls unverzüglich bei den betroffenen Personen zu machen (Art. 33 und 34 DSGVO).

Damit der Auftraggeber für diese Risikoprüfung und Vornahme der Meldung hinreichend Zeit hat, sollte der Auftragsverarbeiter seinerseits mit dieser Klausel verpflichtet werden, Datenpannen unverzüglich beim Auftraggeber zu melden. Optional ist eine Bestimmung der Üblichkeit auf 24 Stunden möglich.

“Grundsätzlich” bedeutet, dass im Einzelfall eine schnellere oder kürzere Meldung angebracht sein kann, je nachdem wie schwerwiegend die Folgen der Datenpanne sein können oder wie klar es ist, dass der Schutz der Daten tatsächlich verletzt worden ist.

Welche Kontrollrechte stehen dem Auftraggeber zu?

Laut Art. 28 Abs. 3 S. 2 lit. h) DSGVO muss der Auftragsverarbeiter erforderliche Überprüfungen, einschließlich Inspektionen vor Ort durch den des Auftraggeber dulden.

  • Beschränkung von Kontrollen auf den Gegenstand der Auftragsverarbeitung – Die Kontrolle ist auf die im Auftrag verarbeiteten Daten und die angegebenen technischen und organisatorischen Maßnahmen sowie einen etwaigen Einsatz von Unterauftragsverarbeitern beschränkt.
  • Kein Recht auf Zugang zu Geschäftsgeheimnissen und personenbezogenen Daten Dritter – Der Auftraggeber hat kein Recht auf Zugang zu Geschäftsgeheimnissen und personenbezogenen Daten, die nicht Teil seines Auftrags sind.
  • Keine Störung des Betriebsablaufs – Der Auftraggeber darf ohne einen zwingenden Grund den Betriebsablauf beim Auftragsverarbeiter nicht stören und falls die Störung unvermeidbar ist, darf sie nur in einem möglichst geringen Umfang erfolgen.
  • Übliche Geschäftszeiten und 14-tägige Vorankündigung – Um etwaige Unklarheiten zu vermeiden, ist es zu empfehlen festzulegen, dass eine Prüfung nur innerhalb üblicher Geschäftszeiten zu erfolgen hat und angemessen vorab anzukündigen ist.
  • Fachkunde, Vertraulichkeit und Integrität der Prüfer – Der Auftragsverarbeiter muss sicher sein, dass die Kontrollen von fachkundigen Personen durchgeführt werden, die selbst auf den Datenschutz verpflichtet sind und mit dem Auftragsverarbeiter nicht in einem Wettbewerbsverhältnis stehen. Denn nur so kann der Auftragsverarbeiter darauf vertrauen, dass die Grenzen der Erforderlichkeit eingehalten und insbesondere personenbezogene Daten Dritter oder Geschäftsgeheimnisse geschützt und zutreffende Ergebnisse erzielt werden.
  • Kontrollen grundsätzlich maximal alle 12 Monate – Eine Begrenzung der Kontrollen auf 12 Monate (außer bei Anlässen, wie z. B. Datenpannen) ist üblich, zulässig und wird im Regelfall ausreichend sein. Ohne eine ausdrückliche Vereinbarung bestimmt sich ein angemessener Turnus nach den Umständen, wie z. B. Art der verarbeiteten Daten, Branchenübung etc., was durchaus ein Streitpunkt zwischen dem Auftraggeber und dem Auftragnehmer werden könnte.

Kann der Auftraggeber, statt eine Inspektion zu erdulden, Testate oder Zertifikate vorlegen?

Eine Datenschutzkontrolle vor Ort findet in der Praxis eher selten statt und wenn, dann bei besonders schutzwürdigen (z. B. bei Gesundheitsdaten) und/oder umfangreichen Auftragsverarbeitungen (z. B. Übernahme Personalverwaltung), bei Stichproben oder nach Datenpannen.

Dies hängt mit dem praktischen Aufwand und den Kosten zusammen. Umgekehrt versuchen auch Auftragsverarbeiter vor Ort Kontrollen eher zu vermeiden, um die Daten anderer Kunden oder Geschäftsgeheimnisse zu schützen.

Als Mittelweg ist daher empfohlen und zulässig, dass Kontrollen auch durch Vorlage von Ergebnissen von Prüfungen unabhängiger und kompetenter Dritter, Zertifikate oder behördlich genehmigte interne Verhaltensregeln erfolgen dürfen.

Wann dürfen Unterauftragnehmer (z. B. Subunternehmer) beauftragt werden?

Es kommt häufig vor, dass Auftragsverarbeiter ihre Pflichten aus dem Auftrag durch Subunternehmer erfüllen lassen. In diesem Fall spricht man von einer Unterauftragsverarbeitung und bei den Subunternehmern von Unterauftragsverarbeitern.

Derartige Ketten-Auftragsverhältnisse sind erlaubt, wenn die folgenden Voraussetzungen beachtet werden:

  1. Genehmigung: Der Einsatz von Unterauftragsverarbeitern muss mit der Genehmigung des Auftraggebers erfolgen (entweder ausdrücklich für jeden Unterauftragsverarbeiter oder als pauschale Allgemeineinwilligung, Art. 28 Abs. 2 S. 1 DSGVO).
  2. Einhaltung Sicherheitsniveau: Das dem Auftraggeber zugesicherte Sicherheitsniveau muss auch bei dem Unterauftragsverarbeiter nachweislich eingehalten werden (Art. 28 Abs. 4 DSGVO).

Keine Unterauftragsverarbeitung bei Nebenleistungen

Eine Unterbeauftragung im Sinne der DSGVO liegt nur dann vor, wenn die Daten, die Gegenstand der Auftragsverarbeitung sind, betroffen sind.

Eine Unterauftragsverarbeitung im Sinne des Gesetzes liegt nur vor, wenn die Unterbeauftragung die Verarbeitung der Daten des Auftraggebers zum Kern hat (s. Erläuterung oben). D.h. der Unterauftragsverarbeiter muss auch solche Kernaufgaben wahrnehmen.

Dagegen liegt keine Unterauftragsverarbeitung in den folgenden Fällen vor:

  • Mittelbarer/zufälliger Kontakt mit den Daten: Wenn die vom Auftragsverarbeiter beauftragten Dienstleister nur mittelbar oder zufällig mit den Daten in Verbindung kommen (z. B. bei IT-Wartung ohne Datenpflege, Bewachungsdienstleistungen oder als Reinigungskraft).
  • Verarbeitung betrifft andere Daten, als die im Auftrag verarbeiteten: Angenommen, der Versanddienstleister X erhält vom Auftraggeber Y einen Satz E-Mailadressen zwecks Newsletterversandes. Wenn der Versanddienstleister X den Adresssatz auf einem Google-Server speichert, wird Google zum Unterauftragsverarbeiter. Werden jedoch nur die Angaben zu Ansprechpartnern des Auftraggebers bei Google-Mail gespeichert, der Adresssatz aber auf deinem eigenem Server vom Versanddienstleister X, dann ist Google kein Unterauftragsverarbeiter. Denn Kern der Auftragsverarbeitung ist die Verarbeitung des Adresssatzes, nicht der Daten der Ansprechpartner. Diese werden nur nebenbei verarbeitet.

Achtung, auch bei Nebenleistungen muss der Auftragsverarbeiter für die Sicherheit der Daten des Auftraggebers sorgen und im Optimalfall Verpflichtungen der Dienstleister zum Datenschutz oder generell zum Schutz von vertraulichen Informationen (NDAs) einholen (eine “Vertraulichkeitsverpflichtung von Geschäftspartnern und Dienstleistern (NDA)” können Sie bei uns erstellen).

Welche Art der Genehmigung von Unterauftragsverarbeitern ist zu empfehlen?

Artikel 28 Abs. 2 DSGVO bestimmt, dass Unterauftragsverarbeiter entweder ausdrücklich für jeden Unterauftragsverarbeiter oder als pauschale Allgemeineinwilligung genehmigt werden müssen:

  • Einsatz Unterauftragsverarbeiter nur mit gesonderter Genehmigung – Nach dieser Alternative muss jeder Unterauftragsverarbeiter von dem Auftraggeber separat und vorab genehmigt werden.
  • Allgemeine Genehmigung mit Einspruchsrecht – Statt für jeden Unterauftragsverarbeiter eine gesonderte Einwilligung einzuholen, kann der Auftraggeber den Einsatz von Unterauftragsverarbeitern allgemein genehmigen. In dem Fall muss der Unterauftragsverarbeiter den Auftraggeber jedoch mit einer angemessenen Vorfrist informieren, die mindestens 14 Werktage betragen sollte (die Frist kann jedoch unter den Vertragsparteien auch abweichend festgesetzt werden). Innerhalb der Frist sollte der Auftraggeber prüfen können, ob er mit dem Einsatz des Auftragsverarbeiters einverstanden ist. Der Einspruch darf nicht willkürlich erfolgen, sondern muss begründet sein. Die genannten Fristen von 14 Tagen können unter den Vertragsparteien auch abweichend festgesetzt werden, wenn die Umstände es erfordern sollten.

Eine separate Genehmigungspflicht für die Beauftragung von Unterauftragsverarbeitern kommt vor allem dann in Frage, wenn der Auftraggeber die Verarbeitung seiner Daten genau kontrollieren will. Dazu besteht zum Beispiel bei besonders sensiblen Daten, wie Gesundheitsdaten oder Daten der Beschäftigten ein Anlass.

Allerdings sollte bedacht werden, dass der Genehmigungsprozess für den Auftragsverarbeiter vor allem bei einer Vielzahl von Auftraggebern hinderlich und langwierig sein kann. Daher wird vor allem bei Massengeschäften (z. B. Onlineplattformen) eine Vorabgenehmigung mit Meldepflicht praktiziert.

Welche weiteren Pflichten müssen im Hinblick auf Unterauftragsverarbeiter beachtet werden?

Neben der grundsätzlichen Erlaubnis, muss der Auftragsverarbeiter eine Reihe weiterer Pflichten im Hinblick auf die Beauftragung eines Unterauftragsverarbeiters beachten:

  • Sorgfältige Auswahl und Sicherstellung des Datenschutzniveaus – Der Auftragsverarbeiter muss sicherstellen, dass das Datenschutzniveau und die Schutzpflichten, die er mit dem Auftraggeber vereinbart hat, zumindest genauso auch beim Unterauftragsverarbeiter eingehalten werden. D. h. insbesondere, dass die Vereinbarungen, Verpflichtungen und TOMs aus dem Auftragsverarbeitungsvertrag zwischen dem Auftraggeber und dem Auftragsverarbeiter, sich spiegelbildlich im Auftragsverarbeitungsvertrag zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter wiederfinden sollten.
  • Dokumentation der Prüfung und Beauftragung – Der Auftraggeber muss die Rechtmäßigkeit der Auftragsverarbeitung nachweisen können. Daher ist er auf die Dokumentation des Auftragsverarbeiters angewiesen (z. B. Verzeichnis von Verarbeitungstätigkeiten, Protokolle der technischen und organisatorischen Maßnahmen, etc.).
  • Evaluation der Unterauftragsverarbeiter mindestens alle 12 Monate – Genauso wie der Auftraggeber die Verarbeitung seiner Daten durch den Auftragsverarbeiter kontrollieren muss, muss auch der Auftragsverarbeiter eine entsprechende Kontrolle bei den Unterauftragsverarbeitern durchführen. Die Frequenz von 12 Monaten ist üblich, wobei sie durch die Vertragsparteien je nach Bedarf auch abweichend festgelegt werden kann. Der Auftragsverarbeiter muss die Kontrollen der Unterauftragsverarbeiter jedoch nicht vor Ort durchführen, sondern kann z. B. auf Zertifikate oder Prüfungsberichte von neutralen Auditoren vertrauen (welche jedoch selbst nicht älter als 12 Monate, bzw. die abweichend vereinbarte Frist, sein sollten).
  • Festlegung der Verantwortlichkeiten zwischen Unter- und Auftragsverarbeiter – Die Beauftragung von Unterauftragsverarbeitern muss, vor allem für den Auftraggeber, transparent erfolgen. Es muss immer klar sein, welche Aufgaben der Unterauftragsverarbeiter statt des Auftragsverarbeiters wahrnimmt. In der Praxis ist dieser Punkt eher unproblematisch, da sich diese Angaben in der Regel aus dem Auftragsverarbeitungsvertrag zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter ergeben.

Kann der Auftraggeber seine Rechte direkt gegenüber einem Unterauftragsverarbeiter geltend machen?

Dem Auftraggeber dürfen durch die Beauftragung des Unterauftragsverarbeiters keine Nachteile die Verarbeitung seiner Daten kontrollieren zu können, entstehen. Daher muss der Auftraggeber die ihm gegenüber dem Auftragsverarbeiter zustehenden Rechte, auch direkt gegenüber dem Unterauftragsverarbeiter geltend machen können. Dazu gehört insbesondere das Recht, Kontrollen durchzuführen.

Daher sollte der Auftragsverarbeitungsvertrag zwischen dem Auftraggeber und dem Auftragnehmer eine entsprechende Klausel enthalten, die explizit auf diese Berechtigung des Auftraggebers hinweist.

Welche räumlichen Beschränkungen gelten für den Auftraggeber?

Sofern im Auftragsverarbeitung keine andere Vereinbarung getroffen wurde, kann eine räumliche Einschränkung nur mit einem Begründungsaufwand erfolgen und wird mit großer Wahrscheinlichkeit zu Streitigkeiten oder zumindest Klärungsaufwand führen.

Daher ist es sinnvoll den räumlichen Rahmen für die Auftragsverarbeitung festzulegen, wobei z. B. die folgenden Regelungen häufiger verwendet werden:

  • Verarbeitung im Drittland ist zulässig, wenn Datenschutzniveau gesichert ist – Offiziell spricht nichts dagegen, dass der Auftraggeber die Verarbeitung seiner Daten auch außerhalb der EU/ des EWR erlaubt, solange dort das EU-Datenschutzniveau gewährleistet ist. Praktisch ist das Risiko allerdings höher, wie das Beispiel des 2020 aufgehobenen EU-US-Privacy Shield zeigte. Auch in den USA war bei unter dem “Privacy Shield” selbst-zertifizierten Unternehmen ein sicheres Datenschutzniveau offiziell festgestellt worden, bis der Europäische Gerichtshof dem widersprach und die Unternehmen plötzlich besondere Sicherheitsnachweise erbringen müssen. Daher sollten Auftraggeber sich überlegen, ob sie das Risiko, dass eine Datenverarbeitung im Drittland unsicher werden könnte (bzw. als solche gelten könnte), eingehen möchten. Das gilt vor allem, wenn besonderes sensible Arten von Daten, wie z. B. Gesundheits- oder Arbeitnehmerdaten verarbeitet werden sollten.
  • Beschränkung Datenverarbeitung auf EU/EWR – Die Beschränkung auf den Bereich der EU, bzw. den EWR (u.a. Norwegen, Island) ist üblich, schränkt jedoch den Auftragsverarbeiter ein, da er z. B. keine US-Dienstleister als Hilfsdienste zur Verarbeitung der Daten als Unterauftragsverarbeiter heranziehen kann.
  • Beschränkung Datenverarbeitung auf EU/EWR & Schweiz – Wird neben der EU und der EWR auch die Schweiz als zulässiger Ort der Auftragsverarbeitung aufgenommen, dann ist dies grundsätzlich unproblematisch, da das Datenschutzniveau in der Schweiz von der EU-Kommission als hinreichend sicher anerkannt ist. Dass die Schweiz explizit genannt wird, hängt damit zusammen, dass die Schweiz häufig als Teil der DACH-Region (Deutschland, Schweiz, Österreich) in Verträgen mit aufgenommen wird.
  • Beschränkung Datenverarbeitung auf den DACH-Bereich – Diese Beschränkung auf die DACH-Region (Deutschland, Schweiz, Österreich) ist eher unüblich, wird jedoch von manchen Auftraggebern gewünscht.
  • Beschränkung Datenverarbeitung auf Deutschland – Eine Beschränkung der örtlichen Verarbeitung auf bestimmte Länder, wie hier Deutschland, ist nicht zwingend notwendig (formell, d. h. laut Gesetz, besteht in der EU/EWR das gleiche Datenschutzniveau), wird jedoch von manchen Auftraggebern gewünscht.

Sollte der Auftragsverarbeiter die Auftragsdaten in einem anderen Land, als vereinbart verarbeiten wollen, ist eine vorhergehende Genehmigung durch den Auftraggeber erforderlich.

Wann ist die Verarbeitung von personenbezogenen Daten im Drittland zulässig?

Die DSGVO verbietet zunächst die Verarbeitung personenbezogener Daten außerhalb der EU (in sogenannten Drittländern gem. Art. 44 DSGVO) und macht nur in den folgenden Fällen eine Ausnahme:

  • EU-Kommission hat ein angemessenes Datenschutzniveau festgestellt – derartige Angemessenheitsbeschlüsse existieren z. B. für die Schweiz, Neuseeland, Andorra, Argentinien, die Färöer Inseln, Guernsey, Japan und im Wesentlichen für Kanada und Israel (dagegen nicht für die USA – für die die EU-Kommission in der Vergangenheit zwar Ausnahmen gemacht hat, die jedoch vom Europäischen Gerichtshof aufgehoben wurden – “Safe Harbor” in 2015 und “Privacy Shield” in 2020).
  • Abschluss sog. “Standard Contractual Clauses (SCC)” – Diese vorgefertigten und als “Standardschutz-” / bzw. “Standardvertragsklauseln” bezeichneten Vertragsvorlagen, verpflichten den Vertragspartner zur Einhaltung des europäischen Datenschutzniveaus (Standardschutzklauseln sind häufig mit Auftragsverarbeitungsverträgen verbunden). Allerdings erlauben die Standardvertragsklauseln Datentransfers in Drittländer nur, wenn das Datenschutzniveau tatsächlich gewahrt wird, d. h. sichergestellt ist, dass die Zusagen auch eingehalten werden. D. h. der Auftraggeber muss prüfen, ob die Standardvertragsklauseln tatsächlich beachtet werden (s. unseren Ratgeber Keine Angst vor US-Datentransfers ohne Privacy Shield & Muster, Ratschläge und Checkliste für Standardvertragsklauseln).
  • Binding Corporate Rules – Unternehmen können sich auch selbst gegebene und verbindliche Datenschutzregeln geben. Diese Alternative ist eher selten, zumal auch eine externe Zertifizierung oder eigene Prüfung erforderlich wäre, um auf deren Grundlage Daten in Drittländer zu transferieren (das Ergebnis dürfte ähnlich wie bei Standardschutzklauseln ausfallen).
  • Erforderliche Datentransfers – Wenn die Übermittlung oder sonstige Verarbeitung der Daten in Drittländern erforderlich und für die Betroffenen erkennbar ist, darf die Übermittlung erfolgen (z. B. wenn Waren für Kunden erkennbar aus den USA verschickt werden).
  • Einwilligungen – Als letzte Möglichkeit bleiben praktisch nur die Einwilligungen der betroffenen Personen. Diese sind jedoch zum einen umständlich und können schnell an fehlender Transparenz, ausdrücklicher Abgabe oder an fehlender Freiwilligkeit (z. B. bei Arbeitnehmern, § 26 Abs. 2 BDSG) oder fehlender Einwilligungsfähigkeit (in Deutschland ab 16 Jahren, in Österreich ab 14, s. Art. 8 Abs. 3 DSGVO) scheitern.
  • Weitere Ausnahmen – Weitere Ausnahmen können Sie Art. 49 DSGVO entnehmen (die zwar in Frage, aber nur unter strengen Voraussetzungen in Frage kommen könnten).

Sollte der Auftragsverarbeiter die Daten im Auftrag in einem anderen Land, als in diesem Auftragsverarbeitungsvertrag vereinbart, verarbeiten wollen, ist eine Genehmigung durch den Auftraggeber erforderlich.

Welche Pflichten trägt der Auftraggeber?

Da der Auftraggeber und der Auftragsverarbeiter gegenüber den betroffenen Personen (d. h. nach außen hin) gemeinsam haften (zur Haftung s. Antworten weiter unten), sollten Auftraggeber die folgenden Punkte bereits im eigenen Interesse beachten:

  • Information bei Fehlern in Auftragsergebnissen – Falls der Auftraggeber Unregelmäßigkeiten bei der Verarbeitung feststellt, dann sollte er den Auftragsverarbeiter darüber informieren.
  • Benennung von Ansprechpartnern durch den Auftraggeber – Ansprechpartner müssen nicht zwingend benannt werden, wenn sich die Ansprechpartner sonst eindeutig bestimmen lassen (z. B. Beauftragung durch einen Einzelunternehmer oder Festlegung der Ansprechpartner im Hauptvertrag). Empfohlen wird jedoch die Ansprechpartner (oder Ansprechstellen, wie z. B. “Leitung IT”) festzulegen und anzugeben, wie diese erreichbar sind. Ansonsten können z. B. Unklarheiten entstehen, wenn sich ein bis dato unbekannter Mitarbeiter des Auftraggebers mit einer dringenden Weisung meldet und unklar ist, ob diese ausgeführt werden sollte.
  • Unterstützung bei der Abwehr von Ansprüchen Dritter – Der Auftragsverarbeiter muss die Daten des Auftraggebers im Fall der Zugriffe oder Zugriffsversuche seitens Behörden, Gläubigern oder Insolvenzverwaltern schützen und muss den Auftraggeber bei der Abwehr dieser Zugriffe unterstützen. Umgekehrt muss auch der Auftraggeber dem Auftragsverarbeiter beistehen (und z. B. behördliche Anträge stellen), wenn dieser aufgrund der Auftragsverarbeitung von Dritten in Anspruch genommen wird.

Wer haftet für Datenschutzverstöße im Rahmen der Auftragsverarbeitung?

Der Auftraggeber und der Auftragsverarbeiter haften gegenüber den betroffenen Personen (d. h. nach außen hin) gemeinsam, zumindest soweit der Auftragsverarbeiter gegen seine Pflichten verstoßen hat (Art. 82 Abs. 2 DSGVO).

Erst im Innenverhältnis muss letztendlich derjenige die Nachteile/ Kosten tragen, der für den Schaden verantwortlich war (Art. 82 Abs. 3 DSGVO).

Wann beginnt und wann endet ein Auftragsverarbeitungsvertrag?

Die Laufzeit des Auftragsverarbeitungsvertrages kann wie folgt geregelt werden:

  • Beginn und Ende gekoppelt an Hauptvertrag – Hiernach ist der Auftragsverarbeitungsvertrag so lange wirksam wie der Hauptvertrag. Diese Regelung ist vor allem in dem häufigen Fall zu empfehlen, wenn der Auftragsverarbeitungsvertrag begleitend zu einem Hauptvertrag geschlossen wird (was z. B. auch für Rahmenverträge und andere laufende Geschäftsbeziehungen gelten kann).
  • Geltung ab Unterschrift / elektronischem Abschluss des Auftragsverarbeitungsvertrages – Dieser Punkt regelt speziell, dass der Auftragsverarbeitungsvertrag erst mit dessen Unterschrift oder mit elektronischem Abschluss (z. B., wenn er online akzeptiert wird) wirksam wird.
  • Bestimmung eines Laufzeitbeginns und Endes – In diesem Fall muss genau klar sein, wann eine Auftragsverarbeitung beginnt und endet. Da sich dieser Zeitpunkt in der Praxis meistens anhand des Hauptvertrages bestimmt, kann gleich auf diesen verwiesen werden.

In den meisten Fällen wird eine Kopplung des Auftragsverarbeitungsvertrages an einen Hauptvertrag sinnvoll sein. So wird sichergestellt, dass die Auftragsverarbeitung stets von einem gesetzlich vorgesehenen Auftragsverarbeitungsvertrag begleitet wird. Im Übrigen wirken die Schutzpflichten im Hinblick auf die sich noch beim Auftraggeber befindlichen Daten nach (s. Erläuterungen unten).

Eine Kündigungsfrist wird daher erst dann relevant, wenn der Auftragsverarbeitungsvertrag nicht automatisch an den Hauptvertrag gekoppelt wurde. Dann würde ein Auftragsverarbeitungsvertrag rein theoretisch unendlich lang laufen und dessen Pflichten würden fortgelten (auch wenn sie in der Mehrzahl mangels einer tatsächlich erfolgenden Auftragsverarbeitung leerlaufen würden).

Muss die Kündigung schriftlich erfolgen?

Das Gesetz gibt keine Vertragsform für eine Vertragskündigung vor. Daher empfiehlt es sich eine Kündigungsform zu bestimmen:

  • Kündigung nur in Schriftform – Eine Vereinbarung, nach der die Kündigung des Auftragsverarbeitungsvertrages nur schriftlich, also “auf dem Papier” zu erfolgen hat, ist zwar nicht erforderlich und heutzutage immer seltener, aber zulässig.
  • Kündigung in elektronischer Form möglich – Es ist zunehmend üblich, vor allem im Massengeschäft (z. B. bei Onlineplattformen oder SaaS/Cloud-Software), dass Auftragsverarbeitungsverträge elektronisch gehandhabt werden und Kündigungen z. B. per E-Mail oder im Kundenbereich einer Onlineplattform bereitgestellt und “per Klick” akzeptiert werden. Dies ist entsprechend Art. 28 Abs. 9 DSGVO zulässig, da eine Kündigung grundsätzlich im selben Format erfolgen kann, wie die Begründung des Vertrages. Wobei eine strengere Form, d. h. hier eine schriftliche Kündigung daneben möglich bleibt.

Erlöschen die Pflichten aus dem Auftragsverarbeitungsvertrag nach dessen Ende?

Der Vorrang des Schutzes personenbezogener Daten verlangt es, dass die Pflichten des Auftragsverarbeiters auch nach einer Kündigung solange fortbestehen, wie der Auftragsverarbeiter die Daten des Auftraggebers noch verarbeitet (also die Daten z. B. noch bei ihm oder bei seinen Unterauftragsverarbeitern gespeichert sind).

Darf der Auftragsverarbeiter Unterlagen zur Auftragsverarbeitung nach deren Ende aufbewahren?

Die Dokumente und Protokolle, die der Auftragsverarbeiter im Hinblick auf die Auftragsverarbeitung führt (z. B. Verzeichnis der Auftragsverarbeitung, Protokolle oder Prüfberichte im Hinblick auf TOMs, etc.) können für den Auftraggeber in der Zukunft zum Nachweis der Rechtmäßigkeit der Auftragsverarbeitung erforderlich werden.

Daher ist eine Vereinbarung zu empfehlen, nach der der Auftragsverarbeiter die Dokumentationen so lange aufbewahren muss, wie der Auftraggeber sie zum Nachweis benötigt (wobei der Auftraggeber diese Fristen dem Auftragsverarbeiter mitteilen sollte, falls sie nicht deutlich sein sollten), bzw. mindestens drei Jahre. Wobei der Auftragsverarbeiter auch das Recht hat, die Dokumentationen dem Auftraggeber vor Ablauf dieser Fristen zu übergeben und sich so von der Aufbewahrungspflicht zu befreien.

Hat der Auftragsverarbeiter einen Anspruch auf eine Aufwandsentschädigung?

Die DSGVO sieht keine Aufwandsentschädigung für Auftragsverarbeiter vor. Allerdings muss der Auftragsverarbeiter nicht umsonst arbeiten, weshalb eine Entgeltregelung grundsätzlich zulässig ist.

Umstritten ist jedoch, ob die Entgeltregelungen im Auftragsverarbeitungsvertrag stehen dürfen.

  • Regelung im Auftragsverarbeitungsvertrag unzulässig – Zumindest die bayerische Datenschutzaufsicht (BayLfD) hält Entgeltregelungen im Auftragsverarbeitungsvertrag für unzulässig, da sie zumindest im Hinblick auf Kontrollen deren Wirksamkeit hemmen und sich so zu Lasten der Nutzer auswirken können. Allerdings sei die Entgeltregelung zu Serviceleistungen im Hauptvertrag oder in einer gesonderten Vereinbarung zulässig.
  • Regelung im Auftragsverarbeitungsvertrag zulässig – Nach der von uns vertretenen Ansicht, macht es jedoch keinen Unterschied, an welcher Stelle dieselbe Verpflichtung geregelt wird, solange deutlich gemacht wird, dass die Betroffenenrechte beachtet und nicht beeinträchtigt werden. Wenn Sie jedoch auf Nummer Sicher gehen möchten, dann können Sie die Vereinbarungen zur Aufwandsentschädigung auch in ihrem Hauptvertrag oder einem gesonderten Vertrag aufnehmen.

Inhaltlich besagen Entgeltvereinbarungen dieser Art, dass der Auftragsverarbeiter dann eine zusätzliche Vergütung verlangen kann, wenn er in einem Umfang datenschutzrechtlich in Anspruch genommen wird, mit dem er typischerweise nicht rechnen müsste. Z. B. wenn der Auftraggeber massiv gegen das Datenschutzrecht verstößt und Kontrollen sowie Prüfungen unterworfen wird, die sich auch auf den Auftragsverarbeiter auswirken.

Sollte eine Vertragsstrafe für den Fall von Datenschutzverstößen vereinbart werden?

Die Vereinbarung einer Vertragsstrafe hat den Vorteil, dass kein konkreter Schaden nachgewiesen werden muss. In der Praxis hat sie jedoch vor allem den Vorteil, dass sie abschreckend wirkt und den Auftragsverarbeiter zu einer höheren Vorsicht zwingt.

Eine Vertragsstrafe sollte vor allem dann vereinbart werden (zumindest aus der Sicht des Auftraggebers), wenn ein besonders hohes Risiko bei Pflichtverletzungen des Auftraggebers besteht (z. B. bei Gesundheitsdaten oder Beschäftigtendaten). Auch, wenn z.B. ein Datenschutzverstoß seitens des Auftragsverarbeiters erfolgen sollte, wird eine Vertragsstrafenvereinbarung positiv zu Gunsten des Auftragsverarbeiters ausgelegt.

Um wirksam zu sein, müssen Vertragsstrafen jedoch die folgenden Voraussetzungen erfüllen:

  • Transparenz – die Voraussetzungen müssen klar, Verstöße erkennbar und vermeidbar sein.
  • Der Höhe nach angemessen – Die Höhe der Vertragsstrafe ist anhand des Risikos, der Eintrittswahrscheinlichkeit, möglicher Schäden und des Grades des Verschuldens des Vertragsstrafenschuldners zu bestimmen. Allerdings müssen auch die individuellen Bußgeldhöhen beachtet werden, die je nach Umsatz eines Unternehmens mit bis zu 4 % des Jahresumsatzes sehr hoch ausfallen können (Art. 83 Abs. 6 DSGVO).
  • Verschuldensabhängig – Eine Vertragsstrafe ohne Verschulden, würde bedeuten, dass der Vertragsstrafenschuldner auch für eine zufällige Offenbarung von vertraulichen Informationen verantwortlich wäre. Eine derartige Garantiehaftung ist grundsätzlich unwirksam und sollte in Spezialfällen gesondert als eine Individualabrede vereinbart werden.

Die Vertragsstrafe soll zudem die Begründung eines tatsächlichen Schadens ersparen, indem sie in Höhe eines typischerweise entstehenden Schadens festgelegt wird. Jedoch sollten Auftraggeber sich die Möglichkeit einen tatsächlich höheren Schaden geltend machen zu können, vorbehalten.

Welches Recht und welcher Gerichtsstandort gelten?

Regelungen zum anwendbaren Recht kommen bei internationalen Verträgen in Frage, Regelungen zum Gerichtsstandort dagegen praktisch immer:

  • Vereinbarung des geltenden Rechts – Wenn der Auftraggeber und der Auftragsverarbeiter aus unterschiedlichen Ländern kommen, dann ist es sinnvoll das Recht zu vereinbaren, welches im Fall von Rechtsstreitigkeiten gelten soll. Man kann aber auch das Gesetz über das anwendbare Recht bestimmen lassen, was wiederum durch internationale Vereinbarungen bestimmt wird, weshalb im Regelfall das Recht im Land des Auftragsverarbeiters maßgeblich ist (so z. B. ROM I und ROM II Verträge). Im Regelfall gibt der Auftragsverarbeiter auch im Auftragsverarbeitungsvertrag vor, dass das Recht seines Landes gilt. Am Ende zählt aber letztendlich, welche Vertragspartei eher die Regeln diktiert. Das ist dann die Frage der wirtschaftlichen Position und des Verhandlungsgeschicks.
  • Vereinbarung des Gerichtsstandorts – Der Gerichtsstandort ist ebenfalls relevant, denn er bestimmt, am Ort welcher Vertragspartei ein eventueller Rechtsstreit ausgetragen wird. Das kann vor allem Reisekosten, auch innerhalb eines Landes, für die Vertragsparteien und deren RechtsanwältInnen ersparen. Hier gilt das zum geltenden Recht gesagte, d. h. wenn nichts geregelt wird, es grundsätzlich der Sitz des Auftragsverarbeiters.

Wenn die Vertragsparteien keine Vereinbarungen treffen, wird der Hauptvertrag maßgeblich sein.

Muss ein Auftragsvereinbarungsvertrag schriftlich abgeschlossen und geändert werden?

Laut Art. 28 Abs. 9 DSGVO ist

der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 […] schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.

An dieser Stelle herrscht zumindest in der Theorie keine Klarheit, da sowohl im deutschen Recht wie auch im EU-Recht das “elektronischen Format” nicht ausdrücklich geregelt wird. Ferner mussten Auftragsverarbeitungsvertrag nach altem deutschen Recht, per Hand unterschrieben werden, was noch in vielen Köpfen verankert ist.

In der Praxis ist dieses Problem jedoch weniger relevant und Abschlüsse von Auftragsverarbeitungsverträgen werden nicht beanstandet, solange der klare Wille der Vertragspartner erkennbar und der Vertragsschluss nachweisbar ist.

Daher kann ein Auftragsverarbeitungsvertrag in Papierform, durch eine Bestätigung per E-Mail oder eine protokollierte Bestätigung, z.B. per Schaltfläche auf einer Webseite abgeschlossen werden.

Kann ein Auftragsvereinbarungsvertrag als Anlage zu AGB oder einem Vertrag vereinbart werden?

Ein Auftragsverarbeitungsvertrag muss nicht als ein für sich stehendes Dokument abgeschlossen werden. Ganz im Gegenteil, bietet es sich sogar an, dass Auftragsverarbeitungsverträge als Anlage zu Hauptverträgen gereicht oder als Teil der AGB online bei einer Registrierung bereitgestellt und damit mit Abschluss des Hauptvertrages wirksam werden.

Sie sollten dazu im Hauptvertrag darauf hinweisen, z. B. in dessen Anlagenübersicht “Anlage: Auftragsverarbeitungsvertrag”.

Welche Strafen drohen bei fehlenden Auftragsvereinbarungsverträgen?

Auftragsverarbeitungsvertrag per Generator erstellen

 


Kommentare

  1. “Druckerei oder Copyshop (Der Hauptzweck ist der Druck von Dokumenten, nicht die Verarbeitung der in den Dokumenten vorkommenden Daten).”

    Ggfls. etwas zu pauschal. Sofern die Druckerei ausschließlich eine fertige Druckdatei verarbeitet (=druckt), ist dies sicher der Fall. Wird der Druckerei aber z.B. ein Adressdatensatz bereitgestellt, um Briefumschläge zu bedrucken oder die Adressen in ein (Werbe-)Anschreiben anzudrucken, findet imho wieder eine Auftragsverarbeitung statt. Was meinen Sie?

    Beste Grüße
    Marco

    1. Ja, in dem Fall würde ich es genauso sehen (zumindest ausgehend von den derzeit herrschenden Ansichten, auch wenn der Aufwand angesichts “ein paar Adressen zum Ausdrucken” übertrieben erscheinen mag). Daher sind die Beispiele nur Orientierungspunkte, die als Grundlage für die Einschätzung der konkreten Leistung im jeweiligen Fall dienen (wie Sie es zutreffend getan haben).

  2. Super-Artikel – habe einiges für mich mitnehmen können. Zwei Punkte möchte ich aber ansprechen:
    1. „…sollte der Auftragsverarbeiter seinerseits mit dieser Klausel verpflichtet werden, Datenpannen grundsätzlich innerhalb von 24 h beim Auftraggeber zu melden.“
    M.E. stammt dieser Ansatz noch aus 2018, als es noch unterschiedliche Meinungen darüber gab, ab wann die 72-Stundenfrist beginnt – zum Zeitpunkt der Kenntnisnahme beim Auftragsverarbeiter oder erst mit Eingang der Mitteilung des Auftragsverarbeiters beim Verantwortlichen? Inzwischen ist herrschende Meinung, dass der Zeitpunkt des Meldeeingangs beim Verantwortlichen zählt. Von daher sollte man über die in Art. 33 Abs. 2 vorgegebene unverzügliche Meldung des Auftragsverarbeiters nicht hinausgehen. Der alternative Ansatz – die Uhr beginnt bei Kenntnisnahme im letzten Glied einer Auftragsverarbeiterkette zu ticken – würde zwangsläufig zu der absurden Situation führen, dass jeder Unterauftragsverarbeitungsvertrag diese Frist noch weiter kürzen müsste bis man in einem nicht mehr realistischen Reaktionszeitraum ankäme. Unter Berücksichtigung der Erfüllung der Vorgaben aus Art. 33 Abs. 3 ist jedoch bereits die 24-Stundenfrist für den ersten Auftragsverarbeiter je nach konkretem Vorfall nur schwer einzuhalten (wobei Art. 33 Abs. 3 ja eigentlich sowieso nur für die Meldung des Verantwortlichen an die Aufsichtsbehörde gilt – was dem Auftragsverarbeiter die Meldung an den Verantwortlichen wiederum zumindest im ersten Schritt erleichtert und eine schnellere Meldung ermöglicht). Wenn meine Kunden als Auftragsverarbeiter solche Fristen von ihren Kunden in einem AVV vorgelegt bekommen, lehne ich sie grundsätzlich begründet ab – dies wurde bisher immer akzeptiert.
    2. „Auch in den USA war ein sicheres Datenschutzniveau offiziell festgestellt worden, bis der Europäische Gerichtshof dem widersprach und die USA plötzlich nicht mehr als ein sicheres Drittland galten.“
    Sorry – aber die USA galten noch nie als sicheres Drittland 😊. Genau deswegen gab es ja „Safe Harbor“ bzw. „Privacy Shield“. Und – SCC etc. mal außen vor gelassen – nur US-Unternehmen, die diesen Vertragswerken – quasi in Selbstverpflichtung – beigetreten sind, galten sozusagen als sichere Unternehmen in einem unsicheren Drittland, an die personenbezogene Daten transferiert werden durften.

    1. Vielen Danke für die Hinweise. Ich habe den Beitrag wie folgt angepasst, da die 24 h dennoch häufig als klärende Richtgröße gewünscht werden (was ich eigentlich zum Ausdruck bringen wollte): “Damit der Auftraggeber für diese Risikoprüfung und Vornahme der Meldung hinreichend Zeit hat, sollte der Auftragsverarbeiter seinerseits mit dieser Klausel verpflichtet werden, Datenpannen unverzüglich beim Auftraggeber zu melden. Optional ist die Bestimmung, dass die Meldung grundsätzlich innerhalb von 24 Stunden erfolgen muss.”
      Die Stelle mit dem Privacy Shield habe ich ebenfalls dahin klargestellt, dass nur die selbst-zertifizierten Unternehmen die Vorzüge des Privacy Shield genossen.

  3. Hallo Herr. Dr. Schwenke (Thomas?)

    kann es sein, dass hier etwas verrutscht ist, bzw. eine andere Rechtsgrundlage (NDSG-neu) in Frage kommt? Oder sind das zwei Beispiele??

    -> fehlender Freiwilligkeit (z. B. bei Arbeitnehmern, Art. 26 DSGVO)

Fügen Sie einen Kommentar hinzu

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.