Auftragsverarbeitung nach der DSGVO

Daten von Unternehmen werden nicht nur intern verarbeitet – das ist keinesfalls neu. Vielmehr steigt die immense wirtschaftliche Bedeutung des Outsourcings: Einerseits werden Datenverarbeitungen gemeinsam mit ganzen Arbeitsprozessen insgesamt ausgelagert. Andererseits werden die Datenmengen, mit denen Unternehmen in ihren täglichen Prozessen umgehen müssen, auf externen Speichern verwaltet. Neu sind dabei nun die rechtlichen Rahmenbedingungen: Die neue DSGVO hat ebenso wie das neue BDSG eine Vielzahl der Regelungen zur Auftragsverarbeitung reformiert. Doch was genau bedeutet das nun für Unternehmen und Auftragsverarbeiter?

Was ist Auftragsverarbeitung?

Das Outsourcing von Arbeitsprozessen und damit auch von Datenverarbeitungen prägt heute in weiten Teilen das Alltagsgeschehen in fast allen Unternehmen. Aus Kosten- oder Know-How-Gründen, um Raum oder Investitionen zu sparen oder um einfach flexibler zu sein – immer mehr einzelne Prozesse und teilweise auch ganze Aufgabenbereiche werden auf externe Dienstleister ausgelagert.

Auftragsverarbeiter kann „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet” sein, Art. 4 Nr. 8 DSGVO. Der Auftragsverarbeiter handelt dabei auf Weisung des Verantwortlichen, auch, wenn er durchaus noch gewisse Entscheidungsspielräume haben kann. Das Verhältnis, das zwischen externem Dienstleister und dem auftraggebenden Unternehmen besteht, nennt man aus datenschutzrechtlicher Sicht „Auftragsverarbeitung“. Die Auftragsverarbeitung ist in der europäischen Datenschutz-Grundverordnung (DSGVO) in Art. 28 und Art. 29 geregelt.

Beispiele für Auftragsverarbeiter sind etwa: Einschaltung externer Wartungsdienstleister und sonstige EDV-, Telekommunikations- oder IT-Dienstleister mit Fernzugriff auf Ihre Daten, externe Rechenzentren, E-Mail-Provider, Cloud-Anbieter wie Google Drive oder die Dropbox, ein externes Lohnbuchhaltungsbüro, Callcenter zur Kundenbetreuung, externe Agenturen zur Durchführung von Marketingaktionen. Schließlich ist sogar der Abfallentsorger als Auftragsverarbeiter anzusehen, wenn er Zugriff auf entsorgte Papiere hat, die personenbezogene Daten enthalten.

Keine Auftragsverarbeiter, sondern eigenständig Verantwortliche sind aber eigenständig agierende Berufsgruppen, z.B. Berufsgeheimnisträger wie etwa Steuerberater, Wirtschaftsprüfer und Rechtsanwälte, Bankinstitute für Überweisungen oder die Post für ihre Dienstleistungen. Auch gemeinsam für eine Verarbeitung Verantwortliche (Art. 26 DSGVO), die gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen und etwa in ihren jeweiligen Teilbereichen Entscheidungen über die Verarbeitung treffen, fallen nicht unter den Begriff Auftragsverarbeiter.

Worin besteht die rechtliche Problematik?

Diese besondere Konstellation der Datenverarbeitung durch einen externen Auftragnehmer ist im Hinblick auf die Verantwortlichkeit für die Einhaltung datenschutzrechtlicher Regelungen nicht unproblematisch. Da mit der Aufgabenübertragung regelmäßig auch eine Übermittlung von personenbezogenen Daten etwa der Kunden oder Mitarbeiter des auslagernden Unternehmens verbunden ist, entsteht in datenschutzrechtlicher Hinsicht ein dringlicher Regelungsbedarf hinsichtlich der Fragen, welches Unternehmen für den Schutz der verarbeiteten Daten verantwortlich ist und welche Maßnahmen hierfür erforderlich sind. In der Konsequenz betrifft dies auch die Frage, wer gegenüber Aufsichtsbehörden und Betroffenen haftet, wenn es zu Datenschutzverstößen kommt. Dieses Problem verschärft sich dann, wenn die Daten zudem ins Ausland transferiert werden. Auf diese Fragen gibt nun der europäische Gesetzgeber in der Datenschutz-Grundverordnung (DSGVO) eine Antwort.

Welche Regelungen gelten für den Auftragsverarbeiter?

Auch wenn viele Aspekte dabei bereits bekannt sind und beibehalten wurden, wird der Auftragsverarbeiter künftig mit den Vorgaben des Art. 28 Abs. 3 DSGVO stärker in die Pflicht genommen, die Einhaltung der Datenschutzregelungen einzuhalten. Denn anders als nach den Regelungen des früher geltenden Bundesdatenschutzgesetzes ist der Auftragsverarbeiter künftig für die Datenschutzkonformität der Verarbeitungsprozesse mitverantwortlich.

Daraus ergibt sich zum Beispiel die Pflicht, ein Verarbeitungsverzeichnis zu erstellen (Art. 30 Abs. 2 DSGVO), mit der Datenschutzaufsicht zusammenzuarbeiten (Art. 31 DSGVO), die technischen und organisatorischen Maßnahmen der Datensicherheit einzuhalten (Art. 32 Abs. 1 DSGVO) oder auch die Beschränkungen für den Datentransfer in Drittländer zu beachten (Art. 44 DSGVO).

Das Verarbeitungsverzeichnis ist eine wichtige Neuerung für Auftragsverarbeiter. Im Wesentlichen sei hier auf die Ausführungen zum Verzeichnis der Verarbeitungstätigkeiten für Verantwortliche verwiesen, allerdings mit der Abweichung, dass das Verzeichnis nur folgende Inhalte aufführen muss:

  • den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;
  • die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Wer haftet bei Rechtsverstößen auf Schadensersatz?

Bislang waren die Auftraggeber allein verantwortlich für etwaige Schäden bei der Datenverarbeitung. Art. 82 DSGVO hingegen sieht nun eine gemeinsame Haftung des Auftragsverarbeiters und des Auftraggebers gegenüber den Betroffenen vor – sowohl für materielle als auch für immaterielle Schäden. Nach außen gegenüber Betroffenen haften der Verantwortliche und der Auftragsverarbeiter damit grundsätzlich als Gesamtschuldner, Art. 82 Abs. 2 S. 1 DSGVO. Das heißt, der Verletzte kann von jedem die volle Summe verlangen. Untereinander hängt die Schadensersatzpflicht aber davon ab, wessen Verschuldensbeitrag schwerer wiegt. Derjenige, der ggf. die volle Summe hat zahlen müssen, kann sich einen entsprechenden Anteil vom anderen zurückholen.

Welche Pflichten hat der Verantwortliche bei der Auftragsverarbeitung?

Verantwortliche müssen zunächst prüfen, wer für sie personenbezogene Daten Dritter verarbeitet. Praktikabel und sinnvoll ist es, in einer Liste zu vermerken, welche Daten Ihre jeweiligen Dienstleister jeweils zu welchem Zweck verarbeiten – dann haben Sie einen Überblick. Hierzu können Sie auch einen Auszug aus Ihrem Verzeichnis der Verarbeitungstätigkeiten verwenden.

Anschließend müssen Sie prüfen, ob die Rahmenbedingungen für die Auftragsverarbeitung schon auf dem Stand der DSGVO sind oder ob Sie Anpassungen vornehmen müssen. Denn gemäß Art. 28 Abs. 1 DSGVO ist es die Pflicht des beauftragenden Unternehmens, sicherzustellen, dass dieser nur mit Auftragsverarbeitern arbeitet, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“

Dabei müssen Sie gemäß Art. 28 DSGVO vor allem auf folgendes achten: die Auswahl, die vertragliche Ausgestaltung und die anschließende Kontrolle Ihrer externen Dienstleister. Denn wenn Sie hier Fehler machen, drohen Bußgelder.

Bei der Auswahl sollten Sie als Unternehmen zunächst prüfen, ob der Auftragsverarbeiter ausreichenden Datenschutz gewährleistet. Als Beleg für eine solche Qualität des beauftragten Unternehmens gelten zum Beispiel Zertifizierungen nach Art. 42 DSGVO, die im Rahmen eines Datenschutzaudits erteilt werden, oder genehmigte Verhaltensregeln nach Art. 40 DSGVO.

Darüber hinaus ist auch nach neuem europäischem Datenschutzrecht eine Auftragsverarbeitung nur dann zulässig, wenn die Zusammenarbeit auf einem schriftlich oder – neuerdings auch in elektronischer Form – abgefassten Vertrag über eine weisungsgebundene Tätigkeit basiert. Insofern ähneln die neuen Regelungen der DSGVO und dem BDSG n.F. den Vorgaben des § 11 BDSG a.F. Haben Sie als Unternehmen noch keine Verträge mit externen Dienstleistern geschlossen, so sollten Sie dies nun dringend nachholen. Bestehende Verträge müssen Sie überprüfen und ggf. im Sinne der DSGVO anpassen, um Ihr Haftungsrisiko zu reduzieren. Hierfür können Sie entweder individuelle Verträge aushandeln oder Standardverträge verwenden. Darin müssen die Inhalte des Art. 28 Abs. 3 lit a) – h) DSGVO geregelt sein, insbes. folgendes:

  • Weisungsabhängigkeit
  • Vertraulichkeitsvereinbarung und ggf. gesetzliche Verschwiegenheitsverpflichtung
  • Zusicherung eines dauerhaften hinreichenden Datenschutzes i.S. d. Art. 32-36 DSGVO
  • Offenlegung der Subunternehmer, keine Subunternehmer ohne vorherige Genehmigung, Zusicherung, dass auch die Subunternehmer die vertraglichen Anforderungen einhalten, Informationspflicht bei Wechsel
  • Unterstützung im Hinblick auf die Erfüllung der Rechte, Information und Benachrichtigung Betroffener, bei einer etwaigen Datenschutzfolgenabschätzung sowie bei Überprüfungen und Datenschutzpannen
  • Umschreibung von Inhalt, Beginn, Ende eines Auftrags inkl. Zusicherung der Datenlöschung
  • Ggf. Zusicherung ausreichender technischer und organisatorischer Maßnahmen

Wenn es sich um Datenübermittlungen in Staaten außerhalb der EU handelt, müssen die ergänzenden Regelungen hierzu beachtet werden.

Im weiteren Verlauf sind die datenrelevanten Tätigkeiten Ihres Auftragsverarbeiters regelmäßig zu überwachen. Hier helfen zunächst die Informationen, die Ihr Auftragsverarbeiter Ihnen als Selbstauskunft nachweisen muss, z.B. durch Vorlage von Revisionsberichten. Eine weitere Grundlage für die Kontrolle kann z.B. eine Zertifizierung (Art. 42 DSGVO) bzw. die Einhaltung einer genehmigten Verhaltensregel (Art. 40 DSGVO) sein. Auch ein Datenschutzaudit vor Ort ist möglich.

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (4 Bewertungen, Durchschnitt: 5,00 von 5)