Was ist eine Auftragsverarbeitung (AV), ehemals Auftragsdatenverarbeitung?


Die Definition einer Auftragsverarbeitung ist nach Art. 28 Abs. 1 DSGVO das Verarbeiten personenbezogener Daten durch einen Dienstleister, den Auftragsverarbeiter, im Auftrag eines Verantwortlichen. Unter Verarbeiten versteht man dabei gem. Art. 4 Nr. 2 DSGVO unter anderem das Erheben, Erfassen, Ändern oder Speichern von personenbezogenen Daten. Der Auftragsverarbeiter handelt dabei gemäß den Weisungen des Verantwortlichen. Typische Anwendungen sind beispielsweise die Abwicklung der Lohnabrechnung über einen externen Dienstleister sowie ein Callcenter.

 

Der Auftragsdatenverarbeitungsvertrag nach alter und neuer Rechtslage


§ 28 EU-DSGVO spricht von dem für den Auftrag Verantwortlichen und dem Auftragsverarbeiter. Nach wie vor ist ein Vertrag zwischen beiden Parteien notwendig, dieser kann nicht nur wie nach der alten Rechtslage schriftlich abgeschlossen werden, sondern auch in einem elektronischen Format vorliegen. Weiterhin darf der Auftragsverarbeiter wie bisher nur auf Weisung des für den Auftrag Verantwortlichen tätig werden. Neu eingeführt wird mit der EU-Datenschutzrundverordnung die Möglichkeit, die Datenverarbeitung auch einem Dienstleister außerhalb der EU zu übertragen. Im Unterschied zur alten Rechtslage muss der Auftragsverarbeiter zukünftig selbst ein Verzeichnis über die Auftragsverarbeitungstätigkeiten führen.

 

Welche Bedeutung hat der AV-Vertrag für mein Unternehmen?


Die inhaltlichen Anforderungen an einen Auftragsverarbeitungsvertrag ergeben sich aus Art. 28 Abs. 3 DSGVO. Durch einen AV-Vertrag wird sowohl auf Auftraggeber, als auch auf Auftragnehmerseite Klarheit geschaffen, indem entsprechende Befugnisse und Weisungen, sowie Gegenstand und Zweck der Verarbeitung, geregelt werden. Rechte und Pflichten der jeweiligen Auftragsverarbeitung werden eindeutig festgelegt.

Außerdem können AV-Verträge Unternehmen eine gewisse Sicherheit geben, da im Falle eines vom Auftragsverarbeiter begangenen Datenschutzverstoßes nachgewiesen werden kann, dass die Verantwortung in seinem Aufgabenbereich lag. Allerdings ist hier Vorsicht geboten: Auch bei einer Auftragsverarbeitung bleibt der Auftraggeber der Verantwortliche im Sinne der DSGVO!

 

Abgrenzung zu anderen Fallgestaltungen


Abzugrenzen ist die Auftragsverarbeitung von der gemeinsamen Verantwortlichkeit („Joint Controllership“) nach Art. 26 DSGVO und der bloßen Übermittlung personenbezogener Daten an einen Verantwortlichen.

Erfolgt eine bloße Übermittlung von personenbezogenen Daten von einem Verantwortlichen zum anderen, ist hierfür keine gesonderte Vereinbarung erforderlich. Es bedarf aber eines Erlaubnistatbestandes für die Übermittlung sowie für die Verarbeitung der Daten beim anderen Verantwortlichen.

Legen hingegen zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten fest, so sind sie gemeinsame Verantwortliche und müssen untereinander vereinbaren, wer welcher Pflicht aus der Datenschutz-Grundverordnung nachkommt. Bei Vorliegen einer gemeinsamen Verantwortlichkeit ist eine entsprechende „Vereinbarung zur gemeinsamen Verantwortlichkeit“ nach Art. 26 DSGVO zu schließen.

Als Hilfe bei der Abgrenzung zur Auftragsverarbeitung kann man sich beispielsweise folgende Frage stellen: Lässt sich der angestrebte Zweck der Datenverarbeitung auch ohne den Dritten verfolgen? Wenn Sie die Frage mit einem Ja beantworten und somit der Dritte problemlos austauschbar ist, ist das ein Indiz für eine Auftragsverarbeitung. Beantworten Sie die Frage mit einem Nein, spricht dies für eine gemeinsame Verantwortlichkeit. Auch hier bedarf es eines Erlaubnistatbestandes für die Verarbeitung der Daten beim anderen Verantwortlichen.

 

In der Praxis: Wer braucht einen Auftragsverarbeitungsvertrag?


Leider ist hier eine allgemeingültige Antwort schwierig. Der Auftragnehmer im Rahmen einer Auftragsverarbeitung gilt im Sinne der DSGVO nicht als Dritter, sondern sozusagen als verlängerter Arm des Auftraggebers. Darum ist keine weitere Rechtsgrundlage für die Verarbeitung des Auftragsverarbeiter notwendig außer, diejenige, auf die Sie Ihre Verarbeitung der personenbezogenen Daten stützen. Anders verhält es sich, wenn Sie Daten an Dritte im Sinne der DSGVO weitergeben wollen.

Bei der Beantwortung der Frage, ob es sich um eine Auftragsverarbeitung handelt und somit ein AV-Vertrag geschlossen werden muss, spielt v.a. die Weisungsgebundenheit eine Rolle. Je weisungsgebundener ein Dienstleister ist, desto größer ist die Wahrscheinlichkeit, dass Sie Verantwortlicher im Sinne der DSGVO bleiben und einen Auftragsverarbeitungsvertrag schließen müssen. Auch für die Verwendung von Programmen wie Google Analytics ist ein AV-Vertrag notwendig, da auch hier eine Weitergabe von Daten stattfindet.

Die Dienste von Steuerberatern, Rechtsanwälten, externen Betriebsärzten, Wirtschaftsprüfern, Inkassobüros mit Forderungsübertragung, Bankinstituten und Postdiensten gelten übrigens nicht als Auftragsverarbeitung, sondern als fremde Fachleistung. Somit liegt die Verantwortung für den Schutz der von Ihnen weitergeleiteten personenbezogenen Daten in diesen Fällen beim Dienstleister.

 

Was sind wichtige Bestandteile eines AV-Vertrages?


Um Auftragsverarbeitungsverträge DSGVO-konform abzuschließen, sind folgende Aspekte gemäß Art. 28 Abs. 3 DSGVO vertraglich zu regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Rechte und Pflichten des Verantwortlichen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung zur Vertraulichkeit der zur Verarbeitung befugten Person
  • Sicherstellung von technischen und organisatorischen Maßnahmen durch den Auftragsverarbeiter
  • Anforderungen an die Hinzuziehung von Subunternehmern
  • Unterstützung des Verantwortlichen bei Anfragen und Ansprüchen Betroffener
  • Unterstützung des Verantwortlichen bei der Sicherheit der Verarbeitung
  • Unterstützung des Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen und der Datenschutz-Folgenabschätzung
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen unverzüglich zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
  • Regelung wie der Nachweis der Einhaltung der genannten Pflichten erfolgt


Verantwortlichkeit und Haftung beim Auftragsverarbeitungsvertrag


Im Unterschied zum alten Auftragsdatenverarbeitungsvertrag haften nach der neuen Rechtslage der Auftragsverarbeiter und der Verantwortliche für den Auftrag gemeinsam bei Verstößen gegen datenschutzrechtliche Vorschriften. Dabei beschränkt sich allerdings die Haftung des Auftragsverarbeiters auf mögliche Verstöße gegen Weisungen des für den Auftrag Verantwortlichen. Nach wie vor können sich beide Parteien exkulpieren. Der für den Auftrag Verantwortliche bleibt der erste Ansprechpartner, wenn Betroffene Datenschutz Verstöße rügen und angreifen.