Auftragsdatenverarbeitung | Datenübermittlung im In- und Ausland

Dass Daten von Unternehmen nicht nur intern verarbeitet werden ist keinesfalls neu. Vielmehr steigt die immense wirtschaftliche Bedeutung des Outsourcings: Einerseits werden Datenverarbeitungen gemeinsam mit ganzen Arbeitsprozessen insgesamt ausgelagert. Andererseits werden die Datenmengen, mit denen Unternehmen in ihren täglichen Prozessen umgehen müssen, auf externen Speichern verwaltet. Neu ist bei dem Ganzen nun die rechtliche Lage: Die neue europäische Datenschutz-Grundverordnung (DSGVO) hat ebenso wie das neue Bundesdatenschutzgesetz eine Vielzahl der Regelungen zur Auftragsdatenverarbeitung reformiert. Was genau das nun bedeutet, möchten wir Ihnen in diesem Beitrag näher erläutern.

Was ist Auftragsdatenverarbeitung?

Unter einem Auftragsdatenverarbeiter versteht der europäische Gesetzgeber „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet”, Art. 4 Nr. 8 DSGVO. Die Auftragsverarbeitung zeichnet sich demnach nach der europäischen Definition lediglich durch das Auftragsverhältnis ab, ohne auf weitere Merkmale aus dem Innenverhältniss wie Weisungsgebundenheit oder Verantwortlichkeiten abzustellen. Demnach sind eigenverantwortliches Handeln und eigene Entscheidungsspielräume des Auftragsverarbeiters durchaus zulässig.

Damit unterscheidet sich die neue europäische Definition deutlich von dem früheren deutschen Verständnis einer Auftragsdatenverarbeitung i.S.d. § 11 BDSG a.F., wonach der für die jeweilige Dienstleistung bzw. Datenverarbeitung eingeschaltete Auftragnehmer tatsächlich nur unterstützend tätig werden durfte. Er durfte also gegenüber dem Auftraggeber lediglich Hilfstätigkeiten ohne eigenen Entscheidungsspielraum hinsichtlich der verarbeiteten Daten erbringen. Aufgrund dieses Verständnisses erfolgte nach der alten Rechtslage eine Abgrenzung zur sogenannten Funktionsübertragung auf den Auftragnehmer mit der Folge, dass dieser selbst als datenschutzrechtlich verantwortliche Stelle anzusehen war. Eine solche Differenzierung ist nun jedoch obsolet, wodurch zum Beispiel auch der besonders relevante Bereich des Cloud Comutings durchaus unter die Definition der Auftragsdatenverarbeitung gefasst werden kann.

Wo spielt Auftragsdatenverarbeitung eine Rolle?

Das Outsourcing von Arbeitsprozessen und damit auch von Datenverarbeitungen prägt heute in weiten Teilen das Alltagsgeschehen in fast allen Unternehmen. Aus Kosten- oder Know-How-Gründen werden immer mehr einzelne Prozesse und teilweise auch ganze Aufgabenbereiche auf externe Dienstleister ausgelagert, z.B. auf Callcenter zur Kundenbetreuung, externe Agenturen zur Durchführung von Marketingaktionen oder externe Lohnbuchhaltungen. Insbesondere im IT-Bereich nimmt die Auftragsdatenverarbeitung beispielsweise durch Einschaltung externer Wartungsdienstleister und Rechenzentren sowie durch die wachsende Nutzung von Cloud-Services rasant zu. Denn für Unternehmen bedeutet die Auslagerung von Daten eine deutliche Einsparung von Kapazitäten auf mehreren Ebenen. Große unternehmensinterne Rechen- und IT-Zentren müssen nicht mehr bereitgehalten werden. Große Investitionen entfallen damit ebenso vollständig wie die Wartung der Hardware und die Sicherung sowie das regelmäßige Updaten der Software. Diese Aufgaben werden zusammen mit den betreffenden Daten an den Cloud-Anbieter ausgelagert. Die Bereitstellung ebenso wie die anschließende Abrechnung erfolgt dann bedarfsabhängig, ohne ständig laufende Kosten zu erzeugen. Das bedeutet gleichzeitig bessere Organisationsmöglichkeiten und mehr Flexibilität.

Worin besteht die rechtliche Problematik?

Diese besondere Konstellation der Datenverarbeitung durch einen externen Auftragnehmer ist im Hinblick auf die Verantwortlichkeit für die Einhaltung datenschutzrechtlicher Regelungen nicht unproblematisch. Da mit der Aufgabenübertragung regelmäßig auch eine Übermittlung von personenbezogenen Daten etwa der Kunden oder Mitarbeiter des auslagernden Unternehmens verbunden ist, entsteht in datenschutzrechtlicher Hinsicht ein dringlicher Regelungsbedarf hinsichtlich der Fragen, welches Unternehmen für den Schutz der verarbeiteten Daten verantwortlich ist und welche Maßnahmen hierfür erforderlich sind. In der Konsequenz betrifft dies auch die Frage, wer gegenüber Aufsichtsbehörden und Betroffenen haftet, wenn es zu Datenschutzverstößen kommt. Dieses Problem verschärfts sich dann, wenn die Daten zudem ins Ausland transferriert werden. Auf diese Fragen gibt nun der europäische Gesetzgeber in der Datenschutz-Grundverordnung ebenso eine Antwort wie der deutsche Gesetzgeber im neuen Bundesdatenschutzgesetz.

Welche Regelungen gelten bei der Auftragsdatenverarbeitung?

Die Auftragsdatenverarbeitung ist in der europäischen Datenschutz-Grundverordnung in Art. 28 und Art. 29 DSGVO geregelt und normiert damit den Rahmen der Zulässigkeit einer Datenverarbeitung durch beauftragte Dritte. Danach ist es gemäß Art. 28 Abs. 1 DSGVO die Pflicht des beauftragenden Unternehmens sicherzustellen, dass dieser nur mit Auftragsverarbeitern arbeitet, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Diese Pflicht hat der deutsche Gesetzgeber mit einer ähnlichen Formulierung auch noch einmal in § 62 Abs. 2 BDSG n.F. kodifizert und damit dessen Wichtigkeit unterstrichen. Als Beleg für eine solche Qualität des beauftragten Unternehmens können zum Beispiel Zertifizierungen, die im Rahmen eines Datenschutzaudits erteilt werden, angeführt werden. Darüber hinaus ist auch nach neuem europäischem Datenschutzrecht eine Auftrsgadatenverarbeitung nur dann zulässig, wenn die Zusammenarbeit auf einem schriftlich oder – neuerdings auch in elektronischer Form – abgefassten Vertrag basiert. Insofern ähnelen die neuen Regelungen der Datenschutz-Grundverordnung und des Bundesdatenschutzgesetzes den Vorgaben des § 11 BDSG a.F.

Auch wenn viele Aspekte dabei bereits bekannt sind und beibehalten wurden, wird der Auftragsdatenverarbeiter künftig mit den Voragben des Art. 28 Abs. 3 DSGVO stärker in die Pflicht genommen, die Einhaltung der Datenschutzregelungen einzuhalten. Denn anders als nach den Regelungen des früher geltenden Bundesdatenschutzgesetzes, ist der Auftragsdatenverarbeiter künftig für die Datenschutzkonformität der Verarbeitungsprozesse mitverantwortlich. Daraus ergibt sich zum Beispiel die Pflicht, einen Verterter zu bestimmen (Art. 27 Abs. 1 DSGVO), ein Verzeichnis aller von ihm getätigten Verarbeitungen zu erstellen (Art. 30 Abs. 2 DSGVO), mit der Datenschutzaufsicht zusammenzuarbeiten (Art. 31 DSGVO), die technischen und organisatorischen Maßnahmen der Datensicherheit einzuhalten (Art. 32 Abs. 1 DSGVO) oder auch die Beschränkungen für den Datentransfer in Drittländer zu beachten (Art. 44 DSGVO).

Welche Konsequenzen hat ein Verstoß des Auftragnehmers?

In den Fällen, in denen sich der Auftragnehmer nicht an die Weisungen seines Auftraggebers hält, indem er zum Beispiel die Daten abredewidrig verarbeitet oder erforderliche Sicherheitmaßnahmen nicht beachtet, wird er selbst gemäß Art. 28 Abs. 10 DSGVO als Verantwortlicher behandelt und haftet damit voll und eigenständig für die Konsequenzen aus den Datenschutzverstößen. Er wird demnach so behandelt, als hätte das Auftragsverhältis nicht bestanden und muss mit Geldbußen von bis zu 20 Millionen Euro oder 4% des Umsatzes des vergangenen Geschäftsjahres rechnen – je nachdem, welcher Betrag höher ist. Dieser Haftung können Auftragsverarbeiter auch nicht durch einen vollständiger Haftungsausschluss in ihren AGB entgehen, da ein solcher unwirksam ist.

Ganz grundsätzlich haftet der Auftragsverarbeiter gemäß Art. 82 Abs. 2 DSGVO für den durch die Datenverarbeitung entstandenen Schaden nämlich nur dann, wenn „er seinen speziell den Auftragsverarbeitern auferlegten Pflichten (…) nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.“ Von dieser Haftung kann sich der Auftragsverarbeiter nur dann befreien, wenn er beweisen kann, dass „er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“, Art. 82 Abs. 3 DSGVO.

Was ist bei einem Datentransfer ins außereuropäische Ausland zu beachten?

Da die europäische Datenschutz-Grundverordnung einen einheitlchen Datenschutz-Standard gewährleitst, ist nur der Transfer in Länder außerhalb der Europäischen Union, sogenannte Drittländer, problematisch. Denn der Datentransfer ins außereuropäische Ausland, der insbesondere die Inanspruchnahme ausländischer Cloud-Dienste betrifft, wird durch die Art. 44 ff. DSGVO weitestgehend eingeschränkt. Zwar dürfen verschlüsselte Daten grundsätzlich immer ins Ausland übertragen werden, weil sie ihren personenbezogenen Charakter verloren haben, jedoch ist dies anders, wenn die Daten unverschlüsselt in das außereuropäische Ausland transferiert werden.

Unter welchen Bedingungen ist ein Datentransfer in Drittstaaten zulässig?

Ob personenbezogene Daten in einem konkreten Einzelfall in Drittstaaten überführt werden dürfen, wird auf Basis eines zweistufigen Verfahrens beurteilt (sogenannter Zwei Stufen-Test). Danach ist Grundvoraussetzung, dass die allgemeinen Anforderungen an eine rechtskonforme Datenübermittlung erfüllt werden. Dazu gehört beispielsweise das Erfordernis, besondere Kategorien personenbezogener Daten wie solche über die rassische und ethnische Herkunft oder politische Meinung entsprechend den Anforderungen des Art. 9 DSGVO zu verarbeiten. Erst wenn die erste Stufe ergibt, dass dies sichergestellt werden kann, wird auf der zweiten Stufe geprüft, ob die spezifischen Voraussetzungen für einen Datentransfer in Drittstaaten entsprechend den Art. 45 ff. DSGVO vorliegen. Entscheidend ist dabei, dass das Schutzniveau am Zielort dem europäischen Schutzniveau entspricht. Denn ein Großteil der Software in Drittstaaten ist nicht mit dem europäischen Recht kompatibel und weist große Defizite auf. Aus diesem Grund sieht Art. 45 Abs. 1 DSGVO vor, dass personenbezogene Daten grundsätzlich nur dann an ein Drittland übertragen werden dürfen, wenn die Europäische Kommission beschlossen hat, dass dieses Land ein angemessenes Schutzniveau bietet. Zudem muss der Betroffene über den Transfer seiner Daten ins Ausland mindestens informiert werden. Hierzu bietet sich die Datenschutzerklärung an, der die Betroffenen zustimmen sollten, bevor mit der Datenverarbeitung oder dem Datentransfer begonnen wird.

In welche Drittstaaten ist ein Datenstransfer zulässig?

Welche Länder ein europäisches Schutzniveau gewährleisten, veröffentlicht die Europäische Kommission im Amtsblatt der Europäischen Union und auf ihrer Webseite. Bei dieser Beurteilung untersucht die Komission, ob das jeweilige Land im Hinblick auf ein bestimmtes Gebiet bzw. einen bestimmten Sektor oder in einer speziellen Datenkategorie einerseits auf Grundlage eigener nationaler Datenschutzregelungen und einer effektifen Durchsetzung der Regelungen durch Aufsichtsbehörden sowie andererseits durch eingegangene internationale Verpflichtungen ein dem europäischen Standard entsprechendes Schutzniveau gewährleistet.

Diese Voraussetzungen erfüllen derzeit beispielsweise die Schweiz, Kanada, Argentinien, Israel, Australien oder Neuseeland, nicht jedoch beispielweise Japan, Indien und China. Auch die USA gehörten zwischenzeitlich zu den unsicheren Drittstaaten. Denn der Europäische Gerichtshof (Urteil vom 06.10 2015, Az. C-362/14) hat entschieden, dass das sogenannte Safe-Harbor-Abkommen ungültig sei, weil es nicht den geltenden gesetzlichen Voraussetzungen entspreche. Insbesondere seien die Daten durch das Abkommen nicht genügend vor den US-amerikanischen Geheimdiensten geschützt. Zu einem neuen Datenschutzabkommen zwischen Europa und den USA kam es dann mit dem Privacy-Shield-Abkommen, dessen endgültige Fassung die Kommission am 12.07.2016 offiziell als Angemessenheitsentscheidung verabschiedete. Bei dem Privacy-Shield-Abkommen handelt es sich ebenso wie beim Vorgänger nicht um ein rechtsverbindliches Abkommen, sondern eher um einen rechtlichen Rahmen, zu dessen Einhaltung sich Unternehmen in den USA seit dem 01.08.2016 durch Eintragung in die sogenannte Privacy-Shield-Liste verpflichten können.

Ist ein Datentransfer in unsichere Staaten auch ohne Kommissionsbeschluss zulässig?

Unternehmen, die Daten in Drittländer übertragen möchten, für die kein Kommissions-Beschluss vorliegt, können dies gemäß Art. 46 Abs. 1 DSGVO tun, wenn der Auftragsdatenverarbeiter mit geeigneten Garantien die Einhaltung des europäischen Datenschutzniveaus belegt und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Welche Garantien dies sein können, hat der Gesetzgeber in Art. 46 Abs. 2 DSGVO geregelt. Danach sind beispielsweise sogenannte Binding Corporate Rules oder Verträge zwischen Auftraggeber und Auftragsverarbeiter unter Verwendung der bestehenden Standarddatenschutzklauseln der Europäischen Kommission ebenso effektive Garantien wie nun auch europäische Zertifizierungen.

Kann ein Datentransfer in Dritstaaten auch ohne Garantien erfolgen?

Ausnahmen von dem Erfordernis eines Kommissions-Beschlusses oder geeigneter Garantien hat der europäische Gesetzgeber ebenfalls vorgesehen und diese in Art. 49 DSGVO normiert. Danach ist ein solcher Datentransfer zum Beispiel dann zulässig, wenn die von der Datenverarbeitung betroffene Person in die Datenübermittlung ausdrücklich eingewilligt hat, nachdem sie umfassend und transparent über die damit verbundenen Risiken – insbesondere im Hinblick auf die Durchsetzung von Betroffenenrechten – und ihr jederzeitiges Widerrufsrecht belehrt wurde. Dies ist in der Praxis wohl der bedeutenste Ausnahmefall innerhalb des enga uazulegenden Ausnahmekatalogs. Darüber hinaus ist eine Datenübermittlung unter anderem auch dann unter bestimmten Voraussetzungen zulässig, wenn diese zur Vertragserfüllung im Interesse der betroffenen Person erforderlich ist oder wichtigen öffentlichen Interessen, lebenswichtigen Interessen des Betroffenen oder berechtigten Interessen des Verantwortlichen dient.

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (1 Bewertungen, Durchschnitt: 5,00 von 5)