Vereinbarung der Auftragsverarbeitung: Wann braucht man sie und was muss geregelt werden?

Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) haben sich auch die Anforderungen an die Vereinbarungen über Auftragsdatenverarbeitungsprozesse verändert.

Die Anwälte unserer Kanzlei für IT-Recht zeigen Ihnen in diesem Beitrag auf, wann eine sog. Auftragsverarbeitung vorliegt, wann eine Vereinbarung über eine Auftragsverarbeitung erforderlich ist und welchen Inhalt diese haben sollte.

Was heißt Auftragsverarbeitung?

Die Datenschutzgrundverordnung (DSGVO) sieht wie auch das Bundesdatenschutzgesetz (BDSG) das sog. Verbot mit Erlaubnisvorbehalt vor, d.h. jede Datenverarbeitung ist rechtswidrig, wenn keine entsprechende Legitimationsgrundlage vorliegt.

Die Legitimationstatbestände sind u.a. in Art. 6 Abs. 1, S. 1 DSGVO geregelt. Ein solcher Tatbestand kann z.B. die Datenverarbeitung zur Erfüllung eines Vertrages, zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrung berechtigter Interessen sein, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Die DSGVO subsumiert die sog. Auftragsverarbeitung (früher Auftragsdatenverarbeitung) auf Grundlage einer Vereinbarung unter den letztgenannten Fall, die Wahrung berechtigter Interessen.

Konkret liegt eine Auftragsverarbeitung dann vor, wenn ein Dritter (Auftragsverarbeiter) personenbezogene Daten eines datenschutzrechtlich Verantwortlichen verarbeitet, dieser also rechtmäßig erhobene Daten an einen Dritten weitergibt.

Da der Auftragsverarbeiter selbst keinen Vertrag mit dem Betroffenen hat, muss die Sicherheit der Daten dennoch gewährleistet werden. Aus diesem Grund muss zwischen dem Verantwortlichen und dem Auftragsverarbeiter zwingend die Weisungsabhängigkeit des Auftragnehmers (Auftragsverarbeiters) hergestellt werden, was durch die Vereinbarung der Auftragsverarbeitung gelingt, sodass der Verantwortliche die Kontrolle über die erhaltenen Daten nicht aus der Hand gibt.

Wer darf Auftragsverarbeiter sein?

Damit gewährleistet ist, dass die Vorschriften der DSGVO auch durch den Auftragsverabeiter eingehalten werden, darf der datenschutzrechtlich Verantwortliche nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet (vgl. Art. 28 Abs. 1 DSGVO).

Diese Auswahlkriterien beziehen sich vor allem auf die Zuverlässigkeit, das Fachwissen und die Ressourcen des Auftragsverarbeiters. Diese technischen und organisatorischen Maßnahmen muss der Verantwortliche vor Vertragsschluss hinreichend prüfen und die Prüfungsergebnisse dokumentieren. Die DSGVO geht an dieser Stelle sogar noch weiter, denn der Verantwortliche muss die technischen und organisatorischen Maßnahmen des Auftragsverarbeiters nicht nur vor Vertragsschluss prüfen, sondern auch fortlaufend in regelmäßigen Abständen und dies entsprechend dokumentieren. Sollte der Verantwortliche feststellen, dass der Auftragsverarbeiter die Anforderungen an die DSGVO nicht mehr erfüllt, ist er verpflichtet, die Zusammenarbeit mit dem Auftragsverarbeiter zu beenden. Sollte er dies trotz Kenntnis nicht tun, stellt dies eine Pflichtverletzung dar, die von der Aufsichtsbehörde mit einer Geldbuße geahndet werden kann.

Was muss in einer Vereinbarung zur Auftragsverarbeitung geregelt werden?

Der Mindestinhalt einer Vereinbarung zur Auftragsverarbeitung ist in Art. 28 Abs. 3 DSGVO geregelt.

Im Wesentlichen muss die Vereinbarung zur Auftragsverarbeitung den Auftragsverarbeiter in Bezug auf den Verantwortlichen vertraglich binden und den Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festlegen.

1. Datenverarbeitung nur entsprechend der Weisungen des Verantwortlichen

Personenbezogene Daten dürfen vom Auftragsverarbeiter nur auf dokumentierte Weisung des Verantwortlichen verarbeitet werden. Nur ausnahmsweise darf hiervon abgewichen werden, so etwa, wenn der Auftragsverarbeiter gesetzlich zur Datenverarbeitung verpflichtet ist.

2. Verpflichtung zur Vertraulichkeit

Weiterhin müssen sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheit unterliegen. Letzteres gilt etwa für Steuerberater und Rechtsanwälte.

3. Verarbeitungssicherheit

Zudem müssen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Hierbei haben die Beteiligten im ersten Schritt die Risiken sowohl in Bezug auf die Schwere als auch die Eintrittswahrscheinlichkeit eines drohenden Schadens zu ermitteln und im zweiten Schritt sind die entsprechenden geeigneten technischen und organisatorischen Maßnahmen zu treffen.

4. Genehmigungsvorbehalt bezüglich Subunternehmer

Weiterhin stellt die DSGVO die Auftragsverarbeitung durch Subunternehmer unter einen Genehmigungsvorbehalt, d.h. der Auftragsverarbeiter darf ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen keine weiteren Auftragsverabeiter in Anspruch nehmen.

5. Unterstützung bei Anfragen Betroffener

Außerdem muss die Vereinbarung der Auftragsverarbeitung den Auftragsverarbeiter dazu verpflichteten, den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anfragen Betroffener nachzukommen.

6. Zusammenarbeit mit Aufsichtsbehörde

Auch haben der Verantwortliche und der Auftragsverarbeiter bei Anfragen der zuständigen Aufsichtsbehörde zusammen zu arbeiten. Dies regelt Art. 31 der DSGVO. Hierbei ist die Zusammenarbeit verpflichtend und ein Verstoß hiergegen kann von der Aufsichtsbehörde mit einem Bußgeld geahndet werden.

7. Löschung und Rückgabe bei Beendigung der Zusammenarbeit

Weiterhin muss der Auftragsverarbeiter dazu verpflichtet werden, nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten zu löschen oder an den Verantwortlichen zurückzugeben. Dies betrifft auch etwaige Kopien oder Datensicherungen.

8. Informationspflicht

Der Auftragsverarbeiter hat den Verantwortlichen außerdem unverzüglich darüber zu informieren, falls er der Auffassung ist, dass eine Weisung des Verantwortlichen gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Europäischen Union oder der Mitgliedstaaten verstößt. Dies gilt insbesondere deshalb, da der Auftragsverarbeiter bei der Ausführung rechtswidriger Weisungen des Verantwortlichen selbst dem Betroffenen gegenüber haftet.

Gibt es ein Formerfordernis für eine Vereinbarung zur Auftragsverarbeitung?

Als Form für den Abschluss einer Vereinbarung zur Auftragsverarbeitung gibt Art. 28 Abs. 9 DSGVO die Schriftform oder ein elektronisches Format vor. Dies entspricht der in § 126 b BGB genannten Textform. Entscheidend ist hierbei, dass das ausgewählte Format sicherstellen muss, dass nachträgliche Änderungen technisch ausgeschlossen werden. Somit lässt sich eine Vereinbarung zur Auftragsverarbeitung z.B. über eine schreibgeschützte PDF-Datei, nicht aber über einfache E-Mails schließen.

Unsere spezialisierten Anwälte und Fachanwälte vertreten Sie bundesweit in allen Belangen des IT-Rechts und des Datenschutzrechts.