Wer als Dienstleister weisungsgebunden personenbezogene Daten eines Auftraggebers bzw. Verantwortlichen verarbeitet (z. B. Cloud-Dienste, Newsletter-Tools, externe Lohnbuchhaltung oder IT-Wartung), wird datenschutzrechtlich als Auftragsverarbeiter nach Art. 4 Nr. 12, Art. 28 DSGVO tätig. In diesen Fällen muss zwingend ein Vertrag zur Auftragsverarbeitung (AVV) geschlossen werden – auch wenn dies für viele als lästiger Papierkram erscheint.

Leidiges Thema: Liegen alle AVV vor?

Einmal abgeschlossen, dümpelt der AVV nicht selten in einem hoffentlich zentralen Vertragsverzeichnis herum. Im schlimmsten Fall muss der AVV auf Anfrage (des Datenschutzbeauftragten, der Revision oder spätestens der Aufsichtsbehörde) erst mühsam gesucht werden. Schon hier wird eine erste organisatorische Pflicht des Auftragsverarbeiters deutlich: die Einrichtung eines funktionierenden Vertragsmanagements zur Erfüllung der eigenen Nachweis- und Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).

Stellen Sie deshalb sicher, dass sämtliche AVV im Ernstfall schnell vorgelegt werden können. Liegen in den relevanten Fällen keine AVV vor, ist dies nachzuholen. Altverträge, die noch auf § 11 BDSG-alt beruhen, sollten erneuert werden. Binden Sie zur Bewertung bzw. zur Unterstützung auch immer den Datenschutzbeauftragten ein – hierfür ist dieser (auch) da.

Doppelrolle beachten

Beachten Sie des Weiteren auch immer die eigene Rolle:

  1. Unternehmen, deren Geschäftsmodell datenschutzrechtlich als Auftragsverarbeitung bewertet wird (z. B. Newsletter-Tool-Anbieter), müssen mit ihren jeweiligen Auftraggebern (Kunden, die das Newsletter-Tool nutzen) entsprechend wirksame AVV („nach oben“) schließen. Dass am Ende ein ordnungsgemäßer Vertrag vorliegt, dürfte auch im Interesse des Auftraggebers sein. Auch dieser muss einen den Anforderungen der DSGVO entsprechenden AVV mit Ihnen nachweisen können.
  1. Unternehmen, die eigene Verarbeitungsprozesse outsourcen, z. B. die Personalverwaltung mit einem cloudbasierten externen HR-Tool vornehmen, müssen in der dann vorliegenden Rolle als Verantwortlicher mit dem Anbieter des HR-Tools einen AVV schließen. In diesem Vertragsverhältnis treten Sie nun als Verantwortlicher auf, der HR-Tool-Anbieter als Ihr Auftragsverarbeiter. Dieses Verhältnis ist gesondert zu Ihrem Geschäftsmodell und der dortigen Konstellation zu betrachten. Doch auch hier muss ein AVV (nun „nach unten“) vorliegen.

Es bietet sich daher an, das Vertragsmanagement so zu gestalten, dass Sie sowohl eine Auflistung der AVV haben, in denen Sie selbst Auftragsverarbeiter sind (oben Fall 1) als auch derjenigen Fälle, in denen Sie als Verantwortlicher eigene Auftragsverarbeiter beauftragen (oben Fall 2).

Empfehlung: Lesen Sie die AVV

Nicht selten ergeben sich aus dem jeweiligen AVV jedoch konkrete, weitere Pflichten für den Auftragsverarbeiter, die neben dem eigentlichen Auftrag anfallen können und deren Einhaltung mit Vertragsschluss zugesagt wird – so die Theorie. Die Praxis zeichnet oft ein anderes Bild. Ein Bild, in denen die vertraglich zugesagten Pflichten oft nicht mit Leben gefüllt werden, schlicht, weil sie nicht bekannt sind oder der hieraus abzuleitende Prozess nicht existiert oder nicht funktioniert.

Auftragsverarbeiter haben aber sicherzustellen, dass die entsprechenden Prozesse auch in der Praxis wirksam umgesetzt werden (können). Lesen Sie hierfür Ihre AVV und prüfen Sie, welche Folgen hieraus entstehen. Binden Sie auch die Rechtsabteilung oder den Datenschutzbeauftragten rechtzeitig ein, damit dieser die AVV auf rechtliche Abweichungen oder Nachteile prüfen kann.

Pflichten aus dem AVV

Welchen Pflichten ein Auftragsverarbeiter nachzukommen hat, ist vornehmlich in Art. 28 Abs. 3 DSGVO geregelt:

  1. Verarbeitung nur auf dokumentierte Weisung (lit. a)
  2. Vertraulichkeit gewährleisten (lit. b)
  3. Geeignete TOM umsetzen (lit. c, Art. 32)
  4. Unterauftragsverarbeiter nur mit Genehmigung einsetzen (lit. d, Abs. 2–4)
  5. Unterstützungspflichten (lit. e–f)
  6. Löschung oder Rückgabe von Daten nach Auftragsende (lit. g)
  7. Nachweise und Kontrollen ermöglichen (lit. h)

Mit Blick auf zu errichtende Prozesse sind insbesondere die Punkte 4 bis 7 zu berücksichtigen, bzgl. derer nachfolgend besonders auf die Pflichten eingegangen wird, in denen der Auftragsverarbeiter einen klaren, funktionellen Prozess haben muss.

Empfohlenes Vorgehen

1. Information über Unterauftragsverarbeiter

Auftragsverarbeiter haben die Pflicht, eigene Auftragsverarbeiter (diese sind aus Sicht Ihrer Auftraggeber sog. „Unterauftragsverarbeiter“) an den Auftraggeber zu melden. Auch hier müssen Sie beachten, dass je nach vorliegendem AVV ein unterschiedliches Vorgehen vereinbart worden sein kann: entweder in Form der vorherigen gesonderten Zustimmung (Auftraggeber muss erst sein ausdrückliches „Go“ in Form eines „Opt-in“ geben) oder mittels der allgemeinen schriftlichen Genehmigung (Auftraggeber muss lediglich informiert werden und kann innerhalb einer Frist Einspruch erheben, also „Opt-out“), vgl. Art. 28 Abs. 2 DSGVO.

Aus praktischen Gründen sollten Auftragsverarbeiter eher die zweite Variante vertraglich festhalten. Anderenfalls müsste jeder Wechsel eines Unterauftragverarbeiters jedem Auftraggeber gesondert mitgeteilt und auf das „Go“ jedes Auftraggebers gewartet werden. Je nach geschlossenem AVV wird dem Auftragsverarbeiter auch vorgegeben, den geplanten Wechsels z. B. zwei Wochen vorher anzukündigen. Auch hier müssen Sie Ihre AVV kennen, um den jeweiligen Auftraggeber rechtzeitig zu informieren. Bei verschiedenen AVV mit verschiedenen Fristen, entstehen so schnell praktische Probleme.

Erhebt der Auftraggeber innerhalb der vertraglich vereinbarten Zeit keinen Einspruch, gilt der neue Unterauftragsverarbeiter als genehmigt. Für die Mitteilung an den Auftraggeber, hat der Auftragsverarbeiter einen Prozess zu etablieren, der alle Auftraggeber rechtzeitig informiert.

Bitte beachten Sie zudem, dass auch die AVV mit Ihren eigenen Auftragsverarbeitern das gleiche rechtliche Niveau wie der AVV mit dem Auftraggeber erfüllen müssen (Art. 28 Abs. 4 S. 1 DSGVO).

2. Unterstützung bei der Beantwortung von Betroffenenanfragen

Die DSGVO sieht vor, dass Betroffenenanfragen stets vom datenschutzrechtlich Verantwortlichen erfüllt werden müssen. Erhalten Sie in Ihrer Rolle als Auftragsverarbeiter eine Betroffenenanfrage, die eigentlich an einen Ihrer Auftraggeber gerichtet ist, dürfen Sie die Betroffenenanfrage selbst nicht umsetzen, auch wenn z. B. die begehrte Löschung für Sie als „Datennäherem“ leicht umsetzbar wäre. Auftragsverarbeiter müssen eine das Auftragsverhältnis betreffende Betroffenenanfrage an den Verantwortlichen weiterleiten und auf weitere Instruktionen warten. Als „Herr über die Daten“ darf nur der Verantwortliche entscheiden, ob und wie dem Betroffenenrecht nachgekommen wird. Als Auftragsverarbeiter haben Sie nur die Unterstützungspflicht, die entsprechende Weisung des Verantwortlichen umzusetzen. Für die Weiterleitung bzw. Information des Verantwortlichen ist ebenfalls ein Prozess zu schaffen, damit dieser unverzüglich informiert wird.

Zudem sind Beschäftigte mit entsprechender Vertragsverantwortung oder Kontakt zu Personen (z. B. Service-Hotline, öffentlich genannten E-Mail-Postfächern, Beschwerdemanagement) zu schulen. Schlagwörter wie, „Auskunft“, „will wissen, welche Daten gespeichert sind“, „Art. 15 DSGVO“, „Löschung“ oder „DSGVO-Anfrage“ sind in jedem Fall ernst zu nehmen, als Betroffenenanfrage zu identifizieren und mit einer potenziellen Pflicht aus dem AVV (hier: Unterstützung bei Betroffenenanfragen) abzugleichen. Am Ende muss man sich fragen: „Habe ich als Auftragsverarbeiter bei dem vorliegenden Sachverhalt eine rechtlich zugesagte Pflicht aus dem AVV zu erfüllen?“

3. Meldung von Datenschutzverletzungen

Stellen Sie zudem sicher, dass Datenpannen, die das Auftragsverhältnis betreffen, unverzüglich (und gemäß der ggf. zusätzlich im AVV festgehaltenen Vorgaben) an den Auftraggeber gemeldet werden. Hier gilt Art. 33 Abs. 2 DSGVO:

„Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.“

Auch hier ist der Grundsatz zu beachten, dass der Verantwortliche nach der DSGVO diejenige Stelle ist, die über eine Meldung nach Artt. 33, 34 DSGVO zu entscheiden hat. Durch die unverzügliche Information, die über geeignete Kanäle an den Auftraggeber gelangen muss und die möglichst die Inhalte nennt, die Art. 33 Abs. 3 DSGVO vorsieht, kommen Sie Ihrer Pflicht aus dem AVV nach.

4. DSFA und vorherige Konsultation

Berücksichtigen Sie ebenfalls, dass Ihre Auftraggeber die Zuarbeit bei Datenschutz-Folgenabschätzungen (DSFA) und vorherigen Konsultationen nach Art. 36 DSGVO verlangen können (Im Fall von Art. 36 DSGVO muss die Aufsichtsbehörde konsultiert werden, wenn eine DSFA zeigt, dass trotz Maßnahmen ein hohes Risiko verbleibt.). Da entsprechende Sachverhalte neben zeitlichen Ressourcen auch personelle Bereitschaft verlangen, sollten bereits vorab Vorbereitungen getroffen werden. Stellen Sie Ihren Auftraggebern z. B. ein System zur Verarbeitung von Gesundheitsdaten zur Verfügung, empfiehlt es sich, das System zusammen mit Ihrem Datenschutzbeauftragten rechtzeitig datenschutzrechtlich zu prüfen und die Ergebnisse in einer eigenen „DSFA“ festzuhalten. Auch wenn wiederum nur der Verantwortliche für eine DSFA-Durchführung verantwortlich ist, könnte eine durch Sie vorbereitete „DSFA-light“ nicht nur eine vorzeigbare Service-Idee sein, sondern Ihnen auch das weitere Vorgehen erleichtern, wenn sich Auftraggeber mit der Bitte um Unterstützung bei Ihrer DSFA bei Ihnen melden. Haben Sie dann schon etwas in der obligatorischen Schublade, ist dies für alle Beteiligten von großem Vorteil.

Wichtig, auch für das eigene Portemonnaie

Zusammenfassend müssen die Ihnen zugewiesenen Aufgabenbereiche schlicht funktionieren, damit die datenschutzrechtlichen Vorgaben ordnungsgemäß erfüllt werden können und Sie nicht vertragsbrüchig werden. Ihr Auftraggeber muss sich auf Sie verlassen können, weshalb es essenziell ist, dass Sie intern Prozesse und Verantwortlichkeiten festlegen, damit insbesondere die oben erwähnten Unterstützungen erfolgreich sind.

Bitte beachten Sie auch, dass es bei Vertrags- bzw. Pflichtverletzungen dem Vertragspartner ein Leichtes ist, geeignete Maßnahmen zu ergreifen (u. a. Prüfung von Schadensersatzansprüchen, Kündigung der Zusammenarbeit) und auch die datenschutzrechtlichen Aufsichtsbehörden Bußgelder verhängen können. Verstöße gegen die Vorgaben aus Art. 28 DSGVO können sanktioniert werden (bis zu 10 Mio. Euro oder bis zu 2 % weltweiten Jahresumsatzes, vgl. Art. 83 Abs. 4 lit. a DSGVO). An dieser Stelle sollte möglichst kein Risiko eingegangen werden. Prüfen Sie deshalb frühzeitig (zusammen mit Ihrem Datenschutzbeauftragten), ob Sie Ihren Pflichten als Auftragsverarbeiter aktuell nachkommen (können).

| | | , ,