• Neueste Einträge

  • Kategorien

  • Blog-Übersicht
    • Auftragsverarbeitung 1

    Was bei der Wahl des passenden Auftragsverarbeitungsvertrags zu beachten ist

    4. Januar 2023
    Immer auf dem Laufenden bleiben
    und hier den Newsletter abonnieren.

    Nutzen Sie externe Dienstleister und kommen diese in Kontakt mit personenbezogenen Daten ihres Unternehmens? Oder ist Ihr Unternehmen selbst Dienstleister (Auftragsverarbeiter) und verarbeitet Daten von Kunden? Dann benötigen Sie vermutlich einen Auftragsverarbeitungsvertrag (AVV). Doch woher bekommen Sie einen AVV und wie stellen Sie sicher, dass das von Ihnen verwendeten Vertragsdokument ausreichend rechtssicher und an Ihre Bedürfnisse angepasst ist?

    Was ist Auftragsverarbeitung?

    Unternehmen lassen viele Arbeiten längst nicht mehr nur durch eigene Mitarbeiter erledigen, sondern lagern diese zu externen Dienstleister aus. Dies fällt besonders im IT-Bereich auf, wo der Betrieb von IT-Services zunehmend ausgelagert oder direkt als Standardservice von Cloudanbietern bezogen wird. In solchen Fällen kommen Mitarbeiter des Auftragnehmers im Rahmen der beauftragten Dienstleistungen in Kontakt mit personenbezogenen Daten, für die der Auftraggeber rechtlich verantwortlich ist (z. B. Daten von Mitarbeitern, Kunden oder Geschäftspartnern). Der Auftraggeber muss jetzt gewährleisten, dass die Verarbeitung der Daten – auch wenn diese sich in Händen seines Dienstleisters befinden – sowohl nach seinen Vorgaben (“Weisungen”), als auch in Übereinstimmung mit den geltenden Datenschutzgesetzen erfolgt.

    Bei der Auftragsverarbeitung geht es um Dienstleistungen, bei denen der Dienstleister (“Auftragsverarbeiter”) mit personenbezogenen Daten des Auftraggebers arbeitet (z. B. Datenpflege, Sekretariatsdienstleistungen) oder mit diesen nebenbei in Kontakt kommen kann (z. B. bei der Wartung und Pflege von IT-Systemen). Im Rahmen einer Auftragsverarbeitung arbeitet der Dienstleister streng nach den Vorgaben seines Auftraggebers. Nur der Auftraggeber bestimmt, mit welchen (Arbeits-)Mitteln, zu welchen Zwecken und in welchem Umfang die Dienstleistung zu erbringen ist. Diese Rahmenbedingungen können auch dann bereits erfüllt sein, wenn der Auftraggeber eine bestimmte Standarddienstleistung aus dem Angebot des Dienstleisters auswählt und beauftragt. Es muss nicht jeder Handgriff vom Auftraggeber vorbestimmt sein.

    Was ist nicht Auftragsverarbeitung?

    Nicht jede Dienstleistung im Zusammenhang mit personenbezogenen Daten muss aber eine Auftragsverarbeitung sein. So gehören die Leistungen von Steuerberatern, Wirtschaftsprüfern, Rechtsanwälten oder Betriebsärzten regelmäßig nicht dazu. In diesen Berufen kommen die Dienstleister zwar in Kontakt mit personenbezogenen Daten des Auftraggebers, allerdings bestimmen die Dienstleister hier völlig eigenständig, mit welchen Mitteln bzw. auf welchem Weg die vereinbarte Dienstleistung erbracht wird. Der Auftraggeber kann weder dem Betriebsarzt vorgeben, wie Arbeitstauglichkeitsuntersuchungen auszuführen sind, noch wird er den Wirtschaftsprüfer anweisen können, wie die Bücher zu prüfen sind.

    Auch Kaufgeschäfte oder Dienstleistungen, bei denen der Geschäftspartner nur in Kontakt mit personenbezogenen Daten der handelnden Personen kommt (in der Regel in Form von Kontaktdaten, als Teil der Rechnungs- oder Lieferadresse oder als Ansprechpartner für die Auftragsabwicklung) stellen keine Auftragsverarbeitung dar.

    Was ist ein Auftragsverarbeitungsvertrag (AVV)?

    Liegt eine Auftragsverarbeitung vor, so sind gemäß der gesetzlichen Vorgaben (Art. 28 DS-GVO) bestimmte vertragliche Vereinbarungen zu treffen, die dem Schutz der personenbezogenen Daten und deren Eigentümer (die betroffenen Personen) dienen sollen. Im AVV werden die Rechte und Pflichten der beteiligten Parteien zum Umgang mit den personenbezogenen Daten festgelegt. Welche Themen mindestens zu regeln und zu dokumentieren sind, hat der Gesetzgeber bestimmt (siehe nachfolgende Liste).

    Hierzu gehören:

    • Der Gegenstand und die Zwecke der Verarbeitung,
    • Art der Daten,
    • die betroffenen Personen,
    • die zu treffendes Schutzmaßnahmen (“technische und organisatorische Maßnahmen”),
    • der Umgang mit beteiligten weiteren Dienstleistern (Subunternehmer),
    • Informations- und Meldepflichten sowie die
    • Kontrollrechte des Auftraggebers und Nachweispflichten des Auftragsverarbeiters.

    Weisungsrechte

    Das Prinzip der Auftragsverarbeitung ist, dass der Auftraggeber über die Zwecke und Mittel der Verarbeitung bestimmt. Dazu werden dem Auftraggeber vertraglich Weisungsrechte zugestanden. Diese Weisungsrechte sind eine wesentliche Eigenschaft der Auftragsverarbeitung. Damit soll der Verantwortliche auch dann die Kontrolle über seine Daten behalten, wenn diese sich in der Zuständigkeit des Auftragsverarbeiters befinden. Solche Weisungen sind aber nicht beliebig. In der Regel sind die Möglichkeiten von Weisungen auf das angebotene Leistungs- und Serviceportfolio inklusive eventuell kostenpflichtiger Zusatzleistungen begrenzt.

    Wie kann die Einhaltung eines Auftragsverarbeitungsvertrages überprüft werden?

    Damit der Verantwortliche sich von der vertragsgemäßen Umsetzung angemessen überzeugen kann, werden ihm Prüf- und Kontrollrechte eingeräumt. Damit ist eine Grundlage geschaffen, mit der der Auftraggeber auch seinen gesetzlichen Rechenschaftspflichten nachkommen kann. Es ist die Idee dieses Modells „Auftragsverarbeitung“, den Auftragsverarbeiter vertraglich so weit zu binden, dass das verantwortliche Unternehmen weiterhin seiner rechtlichen Verantwortung für die Daten nachkommen und dies durch Vorlage des Vertrages und Durchführung dokumentierter Kontrollen nachweisen kann.

    Der Umfang von Prüf- und Kontrollrechten ist ein beliebter Diskussions- und Verhandlungsbereich beim Abschluss von AVVs. Während Auftraggeber sich gerne weitgehende Rechte wünschen, wollen Auftragsverarbeiter sich natürlich nur soweit unbedingt erforderlich kontrollieren lassen. Am Ende ist das eine Frage von eigenem Ermessen und Verhandlungsgeschick. Der Gesetzgeber hält sich bei der Beschreibung des Umfangs von Kontrollrechten weitgehend zurück.

    Wer ist bei Auftragsverarbeitung rechtlich verantwortlich?

    In einem AVV wird geregelt, wie die Vertragsparteien mit den Daten des Verantwortlichen umzugehen haben, sodass diese ununterbrochen datenschutzkonform behandelt werden. Ein besonderes Merkmal ist, dass der Auftraggeber (der datenschutzrechtlich “Verantwortliche”) auch dann rechtlich für seine Daten verantwortlich bleibt, wenn sich die Daten in den Händen des Auftragsverarbeiters befinden. Diese Tatsache wird von Auftraggebern gerne ignoriert. Man bezahle schließlich dafür … allerdings lässt sich die datenschutzrechtliche Verantwortlichkeit nicht gegen Einwurf von Münzen an Dritte übertragen. Übertragen werden kann lediglich die Arbeit im Sinn einer ordnungsgemäß durchgeführten Dienstleistung.

    Wann braucht man einen Auftragsverarbeitungsvertrag?

    Ob Sie mit Ihrem Dienstleister einen AVV abschließen müssen, kommt immer auf die individuelle Situation an.

    Grundsätzlich gilt: Je weisungsgebundener eine Dienstleistung ist, desto höher ist auch die Wahrscheinlichkeit, dass Sie für die Daten verantwortlich bleiben und ein AVV notwendig ist. Kann der Dienstleister jedoch ungebunden agieren, besteht eine höhere Wahrscheinlichkeit, dass er selbst für die übermittelten Daten verantwortlich ist. Frei nach dem Motto “Wer bestimmt, trägt die Verantwortung”.

    Auftragsverarbeitung 2
    Kurzpapier 13 – Informationen zur Auftragsverarbeitung

    Eine weitere Orientierung bietet eine Entscheidungshilfe des bayrischen Landesamtes für den Datenschutz (BayLDA).

    Sollten Sie nach dieser Hilfsmittel trotzdem zu keinem Ergebnis kommen, bleibt Ihnen noch die Möglichkeit, sich bei Ihrer zuständigen Datenschutzaufsichtsbehörde zu erkundigen. Auch ein externer Datenschutzdienstleister kann Ihnen bei dieser Überlegung weiterhelfen.

    Ein rechtssicheres Vertragsmuster finden?

    Es gibt verschiedene Möglichkeiten, einen AVV zu erstellen. Zum einen gibt es kostenlose Muster, die im Internet zum Download zur Verfügung stehen. Zum anderen kann man einen AVV auch von einem Fachanwalt erstellen lassen. Welche Option die richtige ist, hängt von den individuellen Anforderungen und Vorlieben ab. Beide Möglichkeiten haben sowohl Vor- als auch Nachteile.

    Vor- & Nachteile der kostenlosen Muster:

    Der Vorteil, der sofort auf der Hand liegt: Die Vertragsmuster, die Sie sich im Internet herunterladen können, sind meistens kostenlos. Sie müssen also kein Geld investieren und können das Vertragsmuster nach Ihren Bedürfnissen selbst anpassen.

    Diese Vertragsmuster sind oft nicht an individuelle Bedürfnisse angepasst (die je nach Branche oder Unternehmen jedoch stark variieren können). Mustervorlagen sind sehr generisch und sollen möglichst viele Dienstleistungsszenarien abdecken. Damit werden diese aber möglicherweise nicht jedem Szenario gleichermaßen gut gerecht.

    Beachten Sie, dass Muster nicht automatisch immer an die jeweils aktuelle Gesetzgebung angepasst sind. Eine Anpassung der Muster ohne Begleitung einer fachkundigen Person birgt weitere Risiken.

    Vor- & Nachteile des AVV vom Rechtsanwalt:

    Ein AVV hingegen, der von einem Fachanwalt oder (Ihrem) Datenschutzbeauftragten individuell für Ihre Bedürfnisse und passend zu Ihrer Dienstleistung erstellt wird, stellt sicher, dass alle erforderlichen Regelungen in gültiger Fassung enthalten sind.

    Die individuelle Erstellung eines AVVs ist nicht kostenlos, aber sicherlich rechtssicherer als die Anpassung von allgemeinen Vertragsmustern ohne fachkundige Unterstützung.

    Wenn Sie als Auftragsverarbeiter regelmäßig AVVs abschließen müssen, in der Regel ist das immer der gleiche AVV mit wechselnden Angaben zu den Vertragspartnern, dann lohnt sich in jedem Fall der Gang zum Experten. Am Ende reduzieren Sie dadurch ihre datenschutzrechtlichen Risiken signifikant.

    Fazit

    Ob Sie sich für ein kostenloses Muster oder einen AVV von einem Fachanwalt oder Ihrem Datenschutzbeauftragten entscheiden, hängt von verschiedenen Faktoren ab. Wer sichergehen möchte, dass der AVV rechtssicher ist und individuell an die Bedürfnisse angepasst ist, der sollte in Erwägung ziehen, einen AVV von einem Experten erstellen zu lassen.

    Wer hingegen auf Kosten achten muss, der kann ein kostenloses Muster als Basis nutzen. Es ist jedoch nicht zu vernachlässigen, dass kostenlose Muster nicht an Ihre individuellen Dienstleistungsszenarien angepasst sind. Eine Anpassung sollte von einer fachkundigen Person erfolgen, z. B. Ihrem Datenschutzbeauftragten.

    AVV-Muster im Internet

    Weitere Informationen sowie Muster-Aufragsverarbeitungsverträge finden Sie hier:

    https://www.bitkom.org/Bitkom/Publikationen/Begleitende-Hinweise-zu-der-Anlage-Auftragsverarbeitung.html

    https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo

    https://www.baden-wuerttemberg.datenschutz.de/praxishilfen/#auftragsverarbeitung

    https://www.lda.bayern.de/de/thema_auftragsverarbeitung.html

    Sie benötigen eine fachliche Beratung zu diesem Thema?

    Sie benötigen mehr als nur Starthilfe und wollen das Rad nicht neu erfinden? Wir unterstützen Sie aktiv und beraten Sie zu Erstellung und Umsetzung der von Ihnen benötigten Auftragsverarbeitungsverträge.

    Zögern Sie nicht, uns auch zu sämtlichen weiteren Datenschutzfragen direkt anzusprechen. Mit unseren Datenschutz-Audits erhalten Sie eine unabhängige fachliche Beurteilung.

    Vertrauen Sie auf unsere langjährige Erfahrung und vereinbaren Sie noch heute einen kostenfreien Informationstermin.

    Bildquellen:

    Newsletter

    Bleiben Sie immer auf dem Laufenden, was wir zum Daten- und Informationsschutz zu berichten haben

    Abonnieren Sie jetzt gleich unseren Newsletter.

    Zur Anmeldung