Auftragsverarbeitungsvertrag gemäß Artikel 28 der DSGVO

Ein Auftragsverarbeitungsvertrag gemäß Artikel 28 der DSGVO ist abzuschließen, wann immer ein datenschutzrechtlich Verantwortlicher plant,  personenbezogene Daten von einer anderen Firma i. S. v. Artikel 4 Nummer 8 der DSGVO verarbeiten zu lassen. So sollte sich der Verantwortliche also vor Abschluss des Vertrages bzw. vor Beginn der Verarbeitung mehrere wichtige Fragen zur Eignung dieses Dienstleisters stellen. Eine essentielle Frage dabei ist, ob der potentielle Auftragsverarbeiter die Bereitschaft zum Abschluss eines solchen Vertrages zeigt. Zudem sollte die Kontrollüberlegung angestellt werden, ob tatsächlich eine Auftragsverarbeitung vorliegt oder eine gemeinsame Verantwortung.

Vorliegen einer Auftragsverarbeitung

Wann immer eine weisungsgebundene Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen i. S. v. Artikel 4 Nummer 8 der DSGVO vorliegt (weiterführende Erklärungen finden Sie hier), ist ein Vertrag gemäß Artikel 28 der DSGVO abzuschließen.

Inhaltliche Anforderungen am Auftragsverarbeitungsvertrag gemäß Artikel 28 der DSGVO

Der Inhalt eines Auftragsverarbeitungsvertrages – auch kurz AVV, AV-Vertrag genannt – liegt auf der weisungsgebundenen Verarbeitung der Daten im ausschließlichen Interesse des Verantwortlichen. Das heißt, es sind Regeln und Vereinbarungen zu folgenden gesetzlich zwingend in Artikel 28 der DSGVO vorgegebenen Vertragsbestandteilen festzulegen:

Gegenstand der Verarbeitung

Hierbei ist anzugeben, was der Gegenstand der Verarbeitung personenbezogener Daten ist und was der Auftragsverarbeiter mit den Daten machen soll. So kann es sich beispielsweise um die Erbringung von (Fern-)Wartungsarbeiten, den Newsletter-Versand oder die Bereitstellung einer Webhosting-Plattform handeln.

Dauer der Verarbeitung

Weiter ist anzugeben, wie lange die Daten verarbeitet werden sollen. Folglich ist auch festzulegen, wann sie zu löschen sind. Den Beginn stellt für gewöhnlich das Unterschreiben des Vertrages dar. Vorher dürfen die Daten nicht verarbeitet werden, auch nicht zu Testzwecken. In den überwiegenden Fällen werden unbefristete Auftragsverarbeitungsverträge abgeschlossen. Meist sind die Auftragsverarbeitungsverträge an die Dauer des Hauptvertrages, in dem die Leistung und Gegenleistung festgelegt werden (z. B. Softwarepflege-, Webhosting-Vertrag o. A.) gekoppelt und enden automatisch, wenn der Hauptvertrag endet.

Art und Zweck der Verarbeitung

Oftmals verwechseln die Vertragsparteien dies mit dem Gegenstand der Verarbeitung. Um die Art und den Zweck vom Gegenstand zu unterscheiden, hilft es, die Tätigkeit der Datenverarbeitung in einzelne Vorgänge aufzuspalten. Die Art der Verarbeitung kann sein: das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, der Abgleich der Vorgänge sein (siehe Artikel 4 Nummer 2 der  DSGVO). Der Zweck der Verarbeitung ist im Falle eines Webhostings beispielsweise, die Web-Inhalte den Nutzern bereitzustellen, die Sicherheit und Verfügbarkeit des digitalen Auftritts sicherzustellen und hierzu im Rahmen der IT-Sicherheit IP-Adressen zu verarbeiten (siehe ErwG. 49), die Plattform an den Kunden anzupassen und eventuelle Probleme zu beheben etc. Im Fall eines Lettershops ist der Zweck der Verarbeitung die gelieferten Adressdaten zusammen mit der gelieferten Briefvorlage auszudrucken und zum Postversand zu bringen.

Art der personenbezogenen Daten

Bei der Art der personenbezogenen Daten handelt es sich um die Kategorien personenbezogener Daten, die verarbeitet werden. Dies können beispielsweise Adress-, Gesundheits-, Bestelldaten, Arbeitszeiten, Bankverbindungen, Bewegungsprofile, Videoaufnahmen etc. sein.

Kategorien betroffener Personen

An dem Punkt „Kategorie der betroffenen Personen“ muss angegeben werden, von welchen Personenkreisen personenbezogene Daten verarbeitet werden. Dies können Beschäftigte, Kunden, Patienten, Ansprechpartner bei Dienstleistern, Lieferanten, Behörden etc. sein.

Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters

Neben den oben genannten Angaben sind auch die Rechte des Verantwortlichen und die Pflichten des Auftragsverarbeiters festzulegen, insbesondere die Weisungsrechte und Kontrollbefugnisse.

Verarbeitung der Daten nur auf dokumentierte Weisung des Verantwortlichen

Dies ist unter anderem ein wichtiger Punkt, um feststellen zu können, ob es sich um eine Auftragsverarbeitung i. S. v. Artikel 4 Nummer 8 der DSGVO handelt. Es bedeutet, dass Daten nur für den jeweiligen Zweck, der Inhalt der Weisung des Verantwortlichen ist, verarbeitet werden dürfen und nicht für eigene Zwecke des Auftragsverarbeiters. Es ist dem Auftragsverarbeiter generell nicht gestattet, die personenbezogenen Daten für eigene Ziele zu verarbeiten, wie z. B. für Statistiken oder Werbemaßnahmen (solche Konstellationen würden weitere Dokumente wie Einwilligungen der betroffenen Personen fordern, wenn nicht sogar einen Vertrag gemäß Artikel 26 der DSGVO nach sich ziehen).

Gewährleistung der Vertraulichkeit der Verarbeitung

Es ist vertraglich festzulegen, dass der Auftragsverarbeiter nur Personen bei der Erfüllung seines Auftrages einsetzt, die zur Vertraulichkeit verpflichtet wurden (früher „Datengeheimnis“ genannt) oder einer angemessenen gesetzlichen Verschwiegenheitspflicht (Berufsgeheimnis, z. B. bei Rechtsanwälten, Ärzten, Steuerberatern gemäß § 203 StGB) unterliegen. Idealerweise sollte dies nachweisbar und somit in schriftlicher Form geschehen. Die Fallgruppe der gesetzlichen Verschwiegenheit spielt bei der Auftragsverarbeitung keine große praktische Rolle, da die entsprechenden Personengruppen in den seltensten Fällen als Auftragsverarbeiter tätig werden und da ihre Tätigkeit meist nicht als Auftragsverarbeitung eingeordnet wird. Wichtiger ist der Fall, dass Berufsgeheimnisträger Auftragsverarbeiter einsetzen. Das dürfen sie seit einer Änderung des Strafgesetzbuches 2017. Allerdings müssen die Berufsgeheimnisträger dann die „sonstigen mitwirkenden Personen“ auf die Wahrung des Berufsgeheimnisses nach § 203 StGB verpflichten, wenn er gleichwohl Daten, die dem Geheimnis unterliegen, dem Auftragsverarbeiter offenlegt. Die Verpflichtung kann separat oder im Auftragsverarbeitungsvertrag erfolgen.

Implementierung erforderlicher Maßnahmen gemäß Artikel 32 der DSGVO

Als Verantwortlicher muss man überprüfen, ob der Auftragsverarbeiter für die Verarbeitung geeignete und dem Risiko angemessene technische und organisatorische Maßnahmen (kurz: TOM) implementiert hat. Die TOM sind eine zwingende Anlage zum Auftragsverarbeitungsvertrag. Eine weiterführende Hilfestellung bietet unser Artikel Technische und organisatorische Maßnahmen.

Unterauftragsverarbeitung

Der Verantwortliche muss mit dem Auftragsverarbeiter abstimmen, ob dieser die Auftragsverarbeitung vollständig selbst erbringen muss oder sich ganz oder teilweise der Hilfe weiterer Personen oder Unternehmen bedienen darf, also Unteraufträge an Unterauftragsverarbeiter vergeben darf. Dies kann im Auftragsverarbeitungsvertrag generell ausgeschlossen, für bestimmte Unterauftragsverarbeiter erlaubt oder bei Erfüllung bestimmter Kriterien generell erlaubt werden. Bei der generellen Erlaubnis muss dem Verantwortlichen die Möglichkeit gegeben werden, bei triftigem Grund eine Einbeziehung eines bestimmten Unterauftragsverarbeiters ablehnen zu können. Demzufolge muss er vor Beginn der Verarbeitung personenbezogener Daten vom Auftragsverarbeiter eine Information über die geplante Unterauftragsverarbeitung erhalten. Diese Information sollte in einem angemessenen Zeitraum im Voraus an den Verantwortlichen gehen.

Unterstützung bei der Einhaltung der Pflichten bei Anfragen betroffener Person gemäß Kapitel III der DSGVO

Wenn eine Person ihre Rechte gemäß Kapitel III der DSGVO, z. B. auf Auskunft, Widerspruch oder Löschung wahrnehmen möchte, wendet sie sich möglicherweise direkt an einen Auftragsverarbeiter. Wenn ein Auftragsverarbeiter unmittelbar die Anfrage erhält, darf er die Anfrage nicht ohne Weisung des Verantwortlichen (siehe Art. 28 Abs. 3 S. 1 lit. a) DSGVO) bearbeiten. Er hat diese Anfrage unverzüglich an den Verantwortlichen weiterzuleiten. Dass und wie der Auftragsverarbeiter den Verantwortlichen zu unterstützen hat, ist also ebenfalls im Auftragsverarbeitungsvertrag festzulegen.

Unterstützung für den Verantwortlichen bei der Einhaltung der Pflichten gemäß Artikel 32 – 36 der DSGVO

Ein Verantwortlicher benötigt zur Erfüllung seiner Pflichten aus der DSGVO bei Datenschutzvorfällen und einer möglicherweise durchzuführenden Datenschutz-Folgenabschätzung – siehe Blog-Beitrag zu diesem Thema hier –  Informationen vom Auftragsverarbeiter. Hierbei hat der Auftragsverarbeiter unterstützend mitzuwirken.  Wenn die Datenverarbeitung beim Auftragsverarbeiter erfolgt, passieren etwaige Datenschutzvorfälle, insbesondere in Form der Verletzung der Vertraulichkeit oder der Verfügbarkeit der Daten beim Auftragsverarbeiter. Dieser hat dann umgehend den Verantwortlichen darüber zu informieren, damit der Verantwortliche entscheiden kann, ob er den Vorfall binnen 72 Stunden bei der Aufsichtsbehörde anzeigen oder in schweren Fällen auch die betroffenen Personen unmittelbar informieren muss. Mehr zum Thema „Meldung eines Datenschutzvorfalles“ sind hier zu finden.

Löschung oder Rückgabe aller personenbezogenen Daten des Verantwortlichen nach Abschluss der Erbringung der Verarbeitungsleistungen

Sobald ein Auftragsverarbeiter eine Verarbeitungsleistung erbracht hat, steht es dem Verantwortlichen frei, zu wählen, ob er die personenbezogenen Daten löschen lassen möchte oder ob sie ihm zurückzugeben sind. Die Entscheidung liegt nicht beim Auftragsverarbeiter. Zur Klarheit ist dies im Auftragsverarbeitungsvertrag entsprechend festzuhalten. Es ist auch festzulegen, wann die Daten zu löschen sind.

Nachweis der Einhaltung der niedergelegten Pflichten sowie Ermöglichung von Überprüfungen und Inspektionen

Ein Auftragsverarbeiter muss es dem Verantwortlichen ermöglichen, zu überprüfen, ob alle Pflichten zum Schutz personenbezogener Daten eingehalten werden. Hierzu gehört es, dass der Verantwortliche eine vom ihm beauftragte Person Überprüfungen und Inspektionen vor Ort durchführen lassen kann. Durch das Outsourcing darf die Kontrollmöglichkeit der Datenschutzaufsicht nicht beschnitten werden; folglich sind auch deren Kontrollrechte beim Auftragsverarbeiter vertraglich abzusichern.

Zusätzliche Fragestellungen

Zusätzlich zur Prüfung des Auftragsverarbeitungsvertrages sollten ein Verantwortlicher auch kontrollieren, ob der Auftragsverarbeiter hinreichende Garantien für die datenschutzkonforme Verarbeitung bieten kann. Dies ist insbesondere dann problematisch, wenn der Auftragsverarbeiter selbst Niederlassungen oder seine Muttergesellschaft in Drittländern (Staaten außerhalb der EU) hat oder Unterauftragsverarbeiter aus Drittländern beauftragen will – mehr zu dieser Thematik gibt es im Blog-Beitrag von Rechtsanwalt David Seiler hier.

Fazit

Ein Auftragsverarbeitungsvertrag, der nicht den Anforderungen der DSGVO entspricht, kann gegebenenfalls ein Bußgeld von bis zu 10 Millionen Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bei Prüfung durch die Datenschutzaufsichtsbehörde nach sich ziehen, siehe Art. 83 Abs. 4 lit. a) der DSGVO. Wenn Sie sich bei dieser Thematik unsicher sind, helfen wir Ihnen gern, Ihren Pflichten zum Datenschutz nachzukommen. Kontaktieren Sie uns – wir erstellen gern ein Angebot für Sie.