Auftragsverarbeitung

Was ist Auftragsverarbeitung?

Was ist eine Auftragsverarbeitung oder, wie es noch im alten Bundesdatenschutzgesetz hieß, Auftragsdatenverarbeitung? Lustigerweise ist das Wörtchen „daten“ beim neuen Begriff durch den Gesetzgeber gestrichen worden. Kurz gesagt redet man auch von ADV oder AV, beides meint aber letztlich fast dasselbe.

Die meisten Unternehmen geben personenbezogene Daten auch an externe Unternehmen weiter, die diese Daten in irgendeiner Form weiterverarbeiten – dies bringt Rechtssicherheit und spart Kosten, wenn spezielle Arbeiten von Fachleuten vorgenommen werden.

Dabei handelt es sich vor allem um Outsourcing-Anbieter, die z. B. Unterstützung bei Lohnbuchhaltung oder Personalbeschaffung leisten. Insbesondere im Bereich von IT-Leistungen und Wartung entstehen Auftragsverarbeitungsverhältnisse.

Sobald personenbezogener Daten an ein externes Unternehmen übermittelt werden, wird dessen Leistung aus Sicht des Datenschutzes als Auftragsverarbeitung bezeichnet. Die Verarbeitung von Daten im Auftrag ist in der DSGVO und im BDSG akribisch geregelt und ist daher durchaus komplex. In so manche Falle müssen Unternehmen nicht gehen, wenn sie den Datenschutz einem Spezialisten übertragen, nämlich einem externen Datenschutzbeauftragten. Nicht abgeschlossene oder fehlerhafte AV-Verträge können hohe Bußgelder der Datenschutzaufsichtsbehörde nach sich ziehen.

Die DSGVO hat in Art. 28 aber doch auch einige Neuerungen im Vergleich zum früheren BDSG gebracht.

Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Begriff des Verantwortlichen und in der Folge die maßgebliche Unterscheidung zwischen Verantwortlichem und Auftragsverarbeiter ist in der DSGVO nicht vollständig deckungsgleich mit dem Wortlaut des BDSG-alt. Verantwortlicher ist gemäß Art. 4 Nr. 7 DSGVO die Stelle, die allein oder gemeinsam mit anderen über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet.

Hierbei kommt es maßgeblich auf die Entscheidung über die Verarbeitungszwecke an, während die Entscheidung über die technisch-organisatorischen Fragen der Verarbeitung auch auf den Auftragsverarbeiter delegiert werden kann (vgl. dazu schon WP 169 der Artikel-29-Gruppe, S. 17f. Dieses Arbeitsdokument bezieht sich zwar auf die Rechtslage unter der EU Datenschutzrichtlinie 95/46/EG [DS-RL], die grundsätzlichen Erwägungen zu diesen Fragestellungen sind aber auch für die Auslegung der DSGVO heranziehbar).

Unter BDSG-alt wurde häufig in Abgrenzung zur Auftrags(daten)verarbeitung die Figur der sog. Funktionsübertragung verwendet. Bei der Funktionsübertragung wurde anstelle einer Auftrags-(daten)verarbeitung eine Übermittlung personenbezogener Daten an Dritte im Zuge des Outsourcings solcher „Funktionen“/Aufgaben angenommen, die über eine bloße Datenverarbeitung als solche hinausgehen und bei denen dem Empfänger zumindest gewisse Entscheidungsspielräume zur Aufgabenerfüllung übertragen wurden.

Die Figur der Funktionsübertragung ist jedoch in der DSGVO nicht vorgesehen. Dies ergibt sich aus der Gesamtsystematik, insbesondere aus der speziell geregelten Figur der gemeinsam Verantwortlichen (Art. 26 DSGVO) sowie aus dem Umstand, dass gewisse Entscheidungsspielräume eines Beauftragten - innerhalb des durch den Verantwortlichen gesteckten Rahmens - bezüglich der Mittel der Verarbeitung hinsichtlich der technisch-organisatorischen Fragen, die Auftragsverarbeitung nicht ausschließen. Fortbestehende Sonderregelung für Verarbeitungen von personenbezogenen Daten im Auftrag Wie schon bislang besteht auch unter der DSGVO eine Sonderregelung für Verarbeitungen von personenbezogenen Daten im Auftrag. Allerdings legt die DSGVO den Auftragsverarbeitern künftig mehr Verantwortung und mehr Pflichten auf. Nach Art. 29 DSGVO ist der aufgrund eines Auftrages tätige Dienstleister weisungsgebunden. Er führt daher die Verarbeitung für den Auftraggeber nicht als Dritter i. S. d. Art. 4 Nr. 10 DSGVO durch. Es besteht vielmehr zwischen dem den Auftrag erteilen-den Verantwortlichen und seinem Auftragsverarbeiter ein „Innenverhältnis“. Die Verarbeitung durch den Auftragsverarbeiter wird deshalb grundsätzlich dem Verantwortlichen zugerechnet (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, Datenschutzkonferenz. Datenlizenz Deutschland – Version 2.0 (www.govdata.de/dl-de/by-2-0).)

Beispielfälle (aus dem DKS-Kurzpapier Nr. 13 der Datenschutzkonferenz):

Anhang A

Auftragsverarbeitung können regelmäßig z. B. folgende Dienstleistungen sein:

  • DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren
  • Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist
  • Werbeadressenverarbeitung in einem Lettershop
  •  Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume dort
  • Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen)
  • Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten
  • Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen
  • Datenträgerentsorgung durch Dienstleister
  • Prüfung oder Wartung (z. B. Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. 
  • Zentralisierung bestimmter „Shared Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen 

 

Anhang B

Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, für die bei der Verarbeitung (einschließlich Übermittlung) personenbezogener Daten eine Rechtsgrundlage gemäß Art. 6 DSGVO gegeben sein muss, sind beispielsweise in der Regel:

Die Einbeziehung eines

  • Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer),
  • Inkassobüros mit Forderungsübertragung,
  • Bankinstituts für den Geldtransfer,
  • Postdienstes für den Brieftransport,
  • und vieles mehr

 

Anhang C

Keine Auftragsverarbeitung liegt ferner vor, wenn gemeinsame Verantwortlichkeit nach Art. 26 DSGVO gegeben ist, d. h. wenn mehrere Verantwortliche gemeinsam über die Verarbeitungszwecke und -mittel entscheiden.

Hierunter können je nach Gestaltung eine Reihe von Verarbeitungen fallen, die bisweilen unter BDSG-alt als sog. Funktionsübertragung eingestuft wurden, etwa:

  • klinische Arzneimittelstudien, wenn mehrere Mitwirkende (z. B. Sponsor, Studienzentren/ z. B. Sponsor, Studienzentren/Ärzte) jeweils in Teilbereichen Entscheidungen über die Verarbeitung treffen
  • gemeinsame Verwaltung bestimmter Datenkategorien (z.B. „Stammdaten“) für bestimmte gleichlaufende Geschäftszwecke mehrerer Konzernunternehmen

 

In der Praxis wird die Situation in vielen Unternehmen falsch eingeschätzt. Oft wird vermutet, dass entsprechende Vertragsverhältnisse gar nicht existieren. Doch nach einer gründlichen Prüfung, beispielsweise durch einen externen Datenschutzbeauftragten, werden doch sehr oft zahlreiche Vertragsverhältnisse „gefunden“.

Im Übrigen gibt es auch Grenzfälle, in denen nicht unbedingt auf den ersten Blick zu erkennen ist, ob eine Auftragsverarbeitung stattfindet. Dies trifft ganz besonders für das Konzernumfeld zu, wenn beispielsweise Tochterunternehmen gezielt Daten untereinander austauschen. In solchen Fällen bedarf es einer genauen Prüfung, um letztlich genau sagen zu können, ob eine Auftragsverarbeitung vorliegt.

Welche Pflichten bestehen bei der Auftragsverarbeitung?

Sowohl für das Unternehmen als auch den externen Dienstleister ist es zwingend vorgeschrieben, Verträge abzuschließen. Leider ist es in der Praxis häufig so, dass eine Zusammenarbeit und somit auch der Austausch personenbezogener Daten erfolgt, obwohl kein Vertragsverhältnis besteht. Solch eine Vorgehensweise bedeutet einen erheblichen Verstoß gegen die in Europa gültigen Datenschutzbestimmungen.

Seit Einführung der DSGVO können Aufsichtsbehörden gezielte Sanktionen gegen den Verantwortlichen und den Auftragsverarbeiter verhängen. Seit dem 25.05.2018 hat der Gesetzgeber den rechtlichen Rahmen erheblich verschärft und die maximale Höhe für Bußgelder dramatisch erhöht. Seither sind die umfassenden Vorschriften über Geldbußen in Art. 83 Abs. 4, 5 und 6 DSGVO zu berücksichtigen (bei Verstößen gegen die Vorgaben des Art. 28 DSGVO können Geldbußen von bis zu 10.000.000,- Euro oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens verhängt werden).

Diese Sanktionen können bei Verstößen nicht nur den Verantwortlichen selbst, sondern auch den Auftragsverarbeiter treffen, z. B. bei Verstößen des Auftragsverarbeiters gegen seine Verpflichtungen aus Art. 28 Abs. 2 bis 4 DSGVO.

In den letzten Jahren haben die Aufsichtsbehörden der einzelnen Länder zahlreiche Kontrollen durchgeführt und dabei immer wieder gegen Unternehmen Bußgelder verhängt, die gegen die gesetzlichen Vorschriften verstoßen haben. Die Verhängung der Bußgelder und Verstöße gegen die DSGVO und das BDSG sind vermeidbar, indem die Unternehmen einen externen Datenschutzbeauftragten einsetzen, der in diesem Bereich für die compliance sorgt!

Bei der Schließung eines Vertrags über die Auftragsverarbeitung müssen sämtliche Details berücksichtigt werden, die gem. Art. 28 DSGVO im Vertrag zu regeln sind.

Zusammengefasst handelt es sich dabei um die folgenden Punkte:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten & Kategorien von betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen & organisatorischen Maßnahmen
  • Hinzuziehung von Subunternehmern
  • Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
  • Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Die im Internet angebotenen Musterverträge stammen teilweise von den Landesbeauftragen für Datenschutz der einzelnen Länder. Ungeprüft sollte man diese trotzdem nicht übernehmen, denn letztlich ergänzen wir die Verträge z. B. oft in Einzelfällen und passen diese datenschutzkonform an.

Wie kann ein externer Datenschutzbeauftragter helfen?

Eine der Aufgaben des externen Datenschutzbeauftragten ist es, zur Herstellung einer angemessenen Datensicherheit im Unternehmen zu überprüfen, ob Vertragsverhältnisse über die Auftragsverarbeitung bestehen und ob sie den Anforderungen des Datenschutzes gerecht werden. Andernfalls muss er Verträge anpassen oder neu abschließen. Laufend werden alle relevanten Geschäftsprozesse überwacht, um auf Änderungen reagieren zu können. Weitere gute Informationen finden Sie auch im DSK-Kurzpapier Nr. 13 der Datenschutzkonferenz.


Datenschutzbeauftragten für Auftragsverarbeitung anfragen

Sie wissen nicht, ob Ihr Unternehmen den Anforderungen und Pflichten an die Auftragsverarbeitung gerecht wird? Dann nehmen Sie jetzt Kontakt auf. Wir helfen gerne weiter!

☎ 07031 - 41 80 90

✉ info@columbus-consulting.eu

Zum Kontaktformular