Auftragsdatenverarbeitung: Was zu beachten ist

Die wachsende Digitalisierung und Nutzung von Cloud-Diensten führt dazu, dass immer mehr Daten von internen und externen Dienstleistern verarbeitet werden. Die Auftragsdatenverarbeitung ist ein wichtiger Aspekt des Datenschutzrechts und betrifft zahlreiche Unternehmen, die auf die Dienste von IT-Firmen, Hosting-Anbietern oder Cloud-Diensten angewiesen sind. Um die rechtlichen Anforderungen und Regelungen einzuhalten, ist es wichtig zu wissen, welche Schritte und Vorkehrungen im Rahmen einer Auftragsdatenverarbeitung erforderlich sind.

Einleitung: Was ist Auftragsdatenverarbeitung?

Die Auftragsdatenverarbeitung (ADV) bezieht sich auf die Verarbeitung personenbezogener Daten durch einen externen Dienstleister im Auftrag eines Verantwortlichen. Das deutsche Datenschutzrecht fordert, dass diese Art der Datenverarbeitung vertraglich geregelt wird, um die Einhaltung der datenschutzrechtlichen Vorgaben sicherzustellen. Das bedeutet, dass der externe Auftragnehmer (Auftragsverarbeiter) die Daten gemäß den Weisungen des Auftraggebers (Verantwortlichen) verarbeitet und speichert.

Aktuelle rechtliche Grundlagen

Die rechtlichen Grundlagen zur Auftragsdatenverarbeitung haben sich durch die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG-neu) verändert. Die Anforderungen sind in verschiedenen Regelungen vereinheitlicht und angepasst worden, um sie in ganz Europa gültig und einheitlich umzusetzen.

Die wichtigsten rechtlichen Grundlagen sind:

• Artikel 28 DSGVO – Auftragsverarbeiter
• Artikel 29 DSGVO – Verarbeitung von personenbezogenen Daten unter der Leitung des Verantwortlichen oder des Auftragsverarbeiters
• § 11 BDSG-neu – Besondere Anforderungen an die Auftragsverarbeitung
• § 62 BDSG-neu – Ordnungswidrigkeiten im Zusammenhang mit Auftragsverarbeitern

Durch die Einführung der DSGVO und die Anpassungen im BDSG-neu sind die folgenden wichtigen Änderungen in Kraft getreten:

• Verbindliche Regelungen für die gesamte EU
• Verschärfung der Anforderungen an Auftragsverarbeitungsverträge
• Erhöhte Sorgfaltspflichten des Auftraggebers bei der Auswahl des Auftragsverarbeiters
• Auftragsverarbeiter haftet bei Datenschutzverstößen
• Erhöhte Informationspflichten für beide Parteien und direkte Anforderungen an den Auftragsverarbeiter

Wann ist ein Auftragsverarbeitungsvertrag erforderlich?

Ein Auftragsverarbeitungsvertrag ist gemäß Artikel 28 Absatz 3 DSGVO erforderlich, wenn ein Verantwortlicher personenbezogene Daten von einem externen Auftragsverarbeiter verarbeiten lässt. Dabei ist es unerheblich, ob dieser Dienst vergütet wird oder nicht. Die Regelungen gelten auch dann, wenn nur ein Teil der Datenverarbeitung ausgelagert wird.

Nach der DSGVO sind folgende Beispiele möglicher Dienstleistungen, bei denen ein Auftragsverarbeitungsvertrag erforderlich ist:

• IT-Dienstleister, die Wartung und Support von IT-Systemen anbieten
• Hosting-Anbieter und Cloud-Dienste
• Callcenter
• Personaldienstleister
• Marketingagenturen
• Buchhaltungsdienstleister

Inhalt und Form des Auftragsverarbeitungsvertrags

Die DSGVO sieht in Artikel 28 Absatz 3 und 4 eine Reihe von Inhalten vor, die in einem Auftragsverarbeitungsvertrag enthalten sein müssen. Dazu gehören insbesondere:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Die Art der personenbezogenen Daten
• Die Kategorien der betroffenen Personen
• Die Rechte und Pflichten des Verantwortlichen
• Die Weisungsbefugnis des Verantwortlichen gegenüber dem Auftragsverarbeiter

Darüber hinaus sollten auch die folgenden Elemente im Vertrag berücksichtigt werden:

• Festlegung der technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten (TOMs)
• Verpflichtung des Auftragsverarbeiters, die Vertraulichkeit der Daten zu wahren
• Regelungen zur Kooperation mit der zuständigen Datenschutzaufsichtsbehörde
• Informationspflichten gegenüber dem Verantwortlichen bei Datenschutzverstößen
• Regelungen zur Unterauftragsvergabe und deren Zustimmung durch den Verantwortlichen
• Überprüfung der vom Auftragsverarbeiter getroffenen Maßnahmen zur Datensicherheit
• Verpflichtung des Auftragsverarbeiters, bei Beendigung des Vertragsverhältnisses alle Daten zu löschen oder an den Verantwortlichen zurückzugeben

Ein ADV-Vertrag kann schriftlich oder in elektronischer Form abgeschlossen werden. Eine mündliche Vereinbarung ist jedoch nicht zulässig.

Auswahl des richtigen Auftragsverarbeiters

Der Verantwortliche hat nach Artikel 28 Absatz 1 DSGVO eine Sorgfaltspflicht bei der Auswahl des Auftragsverarbeiters und sollte daher folgende Aspekte berücksichtigen:

• Erfahrung und Reputation des Auftragsverarbeiters
• Technische und organisatorische Maßnahmen zum Datenschutz und zur Datensicherheit
• Transparenz und Kommunikation zwischen dem Verantwortlichen und dem Auftragsverarbeiter
• Beachtung der datenschutzrechtlichen Anforderungen im Vertrag
• Unterstützung bei der Umsetzung der Betroffenenrechte
• Unterstützung bei der Durchführung einer Datenschutz-Folgenabschätzung

Haftung und Sanktionen bei Verstößen

Anders als bei der Auftragsdatenverarbeitung nach dem alten BDSG (bis Mai 2018) besteht nach der DSGVO auch eine direkte Haftung des Auftragsverarbeiters. Artikel 82 DSGVO sieht vor, dass sowohl der Verantwortliche als auch der Auftragsverarbeiter für den entstandenen Schaden gegenüber dem Betroffenen haften.

Die DSGVO legt in Artikel 83 auch die Sanktionen bei Verstößen gegen den Datenschutz fest. Diese können in Abhängigkeit von der Schwere des Verstoßes bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen. Dabei haftet der Auftragsverarbeiter nur für die der ihm zuzuordnenden Verstöße, etwa wenn er vertraglichen oder gesetzlichen Datenschutzanforderungen nicht nachkommt.

FAQs zur Auftragsdatenverarbeitung

Ist eine Auftragsdatenverarbeitung auch ohne personenbezogene Daten möglich?

Nein, die Auftragsdatenverarbeitung bezieht sich ausschließlich auf die Verarbeitung personenbezogener Daten. Wenn es sich bei den verarbeiteten Daten nicht um personenbezogene Daten handelt, kommt keine Auftragsverarbeitung im Sinne der DSGVO zur Anwendung.

Wie finde ich heraus, ob mein Unternehmen von den Regelungen zur Auftragsdatenverarbeitung betroffen ist?

Überprüfen Sie, ob Ihr Unternehmen personenbezogene Daten auslagert. Wenn dies der Fall ist, müssen Sie prüfen, ob der externe Dienstleister als Auftragsverarbeiter im Sinne der DSGVO einzustufen ist. Dies ist dann der Fall, wenn er die Datenverarbeitung nach den Weisungen des Verantwortlichen (Ihr Unternehmen) ausführt und keine eigenständige Zweckbestimmung hat.

Welche Rolle spielen Unterauftragsverarbeiter bei der Auftragsdatenverarbeitung?

Ein Auftragsverarbeiter kann weitere Unterauftragsverarbeiter hinzuziehen, um bestimmte Datenverarbeitungsleistungen zu erbringen. In diesem Fall ist der ursprüngliche Auftragsverarbeiter für die Auswahl und Überwachung der Unterauftragsverarbeiter verantwortlich. Die Zustimmung des Verantwortlichen ist bei der Unterauftragsvergabe in der Regel erforderlich. Im Auftragsverarbeitungsvertrag sollte geregelt sein, wie die Unterauftragsverarbeitung und die Unterrichtung des Verantwortlichen erfolgen.

Wie oft sollte der Auftragsverarbeitungsvertrag überprüft werden?

Es gibt keine gesetzliche Regelung, die vorschreibt, wie oft der Vertrag überprüft werden muss. Allerdings ist es ratsam, den Vertrag in regelmäßigen Abständen (z. B. jährlich) zu überprüfen, um sicherzustellen, dass er immer den aktuellen rechtlichen und technischen Anforderungen entspricht. Zudem sollte jede Änderung der Datenverarbeitung oder der beteiligten Parteien Anlass für eine Überprüfung geben.

Was passiert, wenn kein Auftragsverarbeitungsvertrag abgeschlossen wird?

Eine fehlende oder unzureichende vertragliche Regelung zur Auftragsdatenverarbeitung kann als Verstoß gegen die DSGVO gewertet werden. Dies kann zu empfindlichen Sanktionen für den Verantwortlichen führen. Zudem besteht ein erhöhtes Haftungsrisiko bei Datenschutzverstößen.

Fazit

Die Auftragsdatenverarbeitung ist ein essentieller Bestandteil des Datenschutzrechts und betrifft zahlreiche Unternehmen, die personenbezogene Daten an externe Dienstleister weitergeben. Um die Einhaltung der datenschutzrechtlichen Anforderungen sicherzustellen, ist es wichtig, die rechtlichen Grundlagen zu kennen und deren Umsetzung in einem wirksamen Auftragsverarbeitungsvertrag zu regeln. Die Auswahl des richtigen Auftragsverarbeiters und die Beachtung der datenschutzrechtlichen Vorgaben spielen dabei eine entscheidende Rolle. Unternehmen sollten sich mit den gesetzlichen Regelungen und Anforderungen vertraut machen und bei Unsicherheiten die Unterstützung von datenschutzrechtlichen Experten in Anspruch nehmen.