Das IT-Recht umfasst viele komplexe Fragestellungen, insbesondere im Zusammenhang mit Datenschutz und Auftragsverarbeitungsverträgen. Mit steigenden Anforderungen an die digitale Vernetzung und zunehmender Verwendung von personenbezogenen Daten hat der Gesetzgeber auch die Vorschriften über den Umgang mit diesen Daten stärker reguliert. Eine zentrale Rolle spielen dabei die sogenannten Auftragsverarbeiter, also solche Dienstleister, die im Auftrag von anderen Unternehmen personenbezogene Daten verarbeiten. In diesem Blog-Beitrag wollen wir Ihnen einen umfassenden Überblick über die Rechte und Pflichten von Auftragsverarbeitern geben und Ihnen zeigen, worauf Sie bei der Zusammenarbeit mit einem Auftragsverarbeiter achten sollten.
Einleitung: Was ist ein Auftragsverarbeiter?
Ein Auftragsverarbeiter ist ein Unternehmen, das im Auftrag eines sogenannten Verantwortlichen personenbezogene Daten verarbeitet. Als Verantwortlicher gilt dabei derjenige, der über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Häufig handelt es sich bei Auftragsverarbeitern um IT-Dienstleister, Hosting-Anbieter oder andere Unternehmen, die in irgendeiner Weise mit personenbezogenen Daten in Berührung kommen und diese im Auftrag des Verantwortlichen verarbeiten.
Die Begriffe „Auftragsverarbeiter“ und „Verantwortlicher“ sowie deren Rechte und Pflichten haben ihre Grundlage in der EU-Datenschutz-Grundverordnung (DSGVO), die seit dem 25. Mai 2018 in allen Mitgliedsstaaten der Europäischen Union gilt. Gerade im IT-Recht hat die DSGVO zu zahlreichen Änderungen geführt, die auch für Auftragsverarbeiter und die mit ihnen geschlossenen Verträge, also die Auftragsverarbeitungsverträge, gelten. Die DSGVO stellt an beide Parteien, also den Verantwortlichen und den Auftragsverarbeiter, hohe Anforderungen in Bezug auf Datenschutz und Datensicherheit.
In der Praxis ergeben sich jedoch oftmals Unsicherheiten und Streitigkeiten darüber, welche Rechte und Pflichten aus der DSGVO konkret für Auftragsverarbeiter erwachsen. Im Folgenden wollen wir diese Fragestellungen umfassend beleuchten und dabei unter anderem auch die Haftungsrisiken für Auftragsverarbeiter betrachten.
Rechte und Pflichten des Auftragsverarbeiters im IT-Recht
Die DSGVO stellt hohe Anforderungen und regelt deren Rechte und Pflichten im IT-Recht umfassend. Die folgenden Ausführungen sollen dabei helfen, diese Aspekte besser zu verstehen und eventuell bestehende Unklarheiten zu beseitigen.
Pflicht zur Verschwiegenheit und zum Datenschutz
Zu den zentralen Pflichten eines Auftragsverarbeiters gehört die Verschwiegenheit hinsichtlich der im Auftrag verarbeiteten personenbezogenen Daten. Auftragsverarbeiter und ihre Mitarbeiter dürfen diese Daten ohne ausdrückliche Weisung des Verantwortlichen nicht an Dritte weitergeben oder für andere Zwecke verwenden. Diese Pflicht zur Verschwiegenheit besteht parallel zur allgemeinen datenschutzrechtlichen Zweckbindung, wonach personenbezogene Daten nur für den jeweils erlaubten Verarbeitungszweck verwendet werden dürfen.
Zudem muss er alle technischen und organisatorischen Maßnahmen treffen, die erforderlich sind, um einen angemessenen Datenschutz und eine angemessene Datensicherheit zu gewährleisten. Dies umfasst unter anderem die Verschlüsselung von personenbezogenen Daten, den Schutz vor unbefugtem Zugriff sowie regelmäßige Sicherheitsupdates.
Weisungsgebundenheit des Auftragsverarbeiters
Ein Auftragsverarbeiter ist in seiner Tätigkeit grundsätzlich an die Weisungen des Verantwortlichen gebunden. Dies bedeutet, dass er die personenbezogenen Daten ausschließlich nach den Vorgaben des Verantwortlichen verarbeiten darf. Der Vertrag zwischen Verantwortlichem und Auftragsverarbeiter, auch Auftragsverarbeitungsvertrag (AVV) genannt, sollte daher klar und eindeutig regeln, welche Weisungen der Verarbeitung zugrunde liegen und wie deren Umsetzung durch den Auftragsverarbeiter zu kontrollieren ist.
Auskunfts-, Berichtigungs- und Löschungspflicht
Ein Auftragsverarbeiter hat auf Weisung des Verantwortlichen oder aufgrund gesetzlicher Vorschriften für betroffene Personen (also jene, deren personenbezogene Daten dargestellt werden) bestimmte Rechte umzusetzen.
Dazu zählen unter anderem:
- das Recht auf Auskunft über die gespeicherten personenbezogenen Daten,
- das Recht auf Berichtigung unrichtiger personenbezogener Daten,
- das Recht auf Löschung der personenbezogenen Daten, sofern keine gesetzlichen Gründe dagegensprechen, und
- das Recht auf Einschränkung der Verarbeitung der personenbezogenen Daten.
Er hat dafür Sorge zu tragen, dass diese Rechte innerhalb der gesetzlich vorgesehenen Fristen umgesetzt werden können.
Meldepflicht bei Datenschutzverletzungen
Im Falle einer Datenschutzverletzung, also eines unbefugten Zugriffs auf personenbezogene Daten oder einer anderen Verletzung von Datenschutzvorschriften, hat der Auftragsverarbeiter den Verantwortlichen unverzüglich darüber zu informieren. Für den Verantwortlichen besteht dann unter Umständen eine Meldepflicht gegenüber der zuständigen Datenschutzbehörde und/oder den betroffenen Personen. Der Auftragsverarbeiter sollte daher sicherstellen, dass solche Vorfälle umgehend erkannt und entsprechend gemeldet werden können.
Unterstützungspflichten und Zusammenarbeit mit dem Verantwortlichen
Er ist verpflichtet, den Verantwortlichen bei der Umsetzung der datenschutzrechtlichen Vorgaben zu unterstützen. Dies betrifft insbesondere die Beratung und Hilfe bei der Durchführung einer Datenschutz-Folgenabschätzung oder bei Konsultationen der Datenschutzbehörde. Zudem hat der Auftragsverarbeiter sicherzustellen, dass er dem Verantwortlichen alle erforderlichen Informationen zur Verfügung stellt, damit dieser seiner Rechenschaftspflicht gegenüber der Datenschutzbehörde nachkommen kann.
Dokumentationspflichten des Auftragsverarbeiters
Er ist verpflichtet, die Einhaltung der datenschutzrechtlichen Vorgaben und der getroffenen vertraglichen Vereinbarungen zu dokumentieren. Dies betrifft unter anderem die Einhaltung der technischen und organisatorischen Maßnahmen zum Datenschutz, die getroffenen Vereinbarungen über die Weisungsgebundenheit und die Umsetzung der Betroffenenrechte. Die Dokumentation sollte jederzeit dem Verantwortlichen und gegebenenfalls der Datenschutzbehörde vorgelegt werden können.
Haftungsrisiken für Auftragsverarbeiter
Die DSGVO eine eigene Haftung vor, wenn diese eine Datenschutzverletzung verursachen oder schuldhaft gegen datenschutzrechtliche Vorgaben verstoßen. Die Haftung erstreckt sich dabei sowohl auf Schadensersatzansprüche der betroffenen Personen als auch auf mögliche Geldbußen der Datenschutzbehörde.
Um das Haftungsrisiko möglichst gering zu halten, sollten Auftragsverarbeiter sich daher umfassend über die datenschutzrechtlichen Anforderungen und ihre Verpflichtungen informieren und entsprechende Vorkehrungen treffen, um die Einhaltung dieser Vorgaben sicherzustellen. Darüber hinaus empfiehlt es sich, in den Auftragsverarbeitungsverträgen klare Regelungen zur Haftung im Falle von Verstößen und zur Versicherung solcher Haftungsrisiken zu treffen.
Vertragsrechtliche Regelungen im IT-Recht: Auftragsverarbeitungsvertrag
Ein wesentliches Element der Zusammenarbeit ist der Abschluss eines Auftragsverarbeitungsvertrages (AVV), der die rechtlichen Rahmenbedingungen der Zusammenarbeit festlegt. Im Folgenden geben wir Ihnen einen Überblick über die wesentlichen Inhalte eines solchen Vertrages und deren rechtliche Bedeutung.
Vertragliche Regelungen zur Auftragsverarbeitung
Der Auftragsverarbeitungsvertrag dient in erster Linie dazu, die Grundlagen der Zusammenarbeit zwischen Verantwortlichem und Auftragsverarbeiter zu konkretisieren und entsprechende rechtliche Sicherheit für beide Seiten zu schaffen. Im AVV sollten daher insbesondere die folgenden Aspekte geregelt sein:
- Gegenstand und Dauer der Auftragsverarbeitung,
- die Art der verarbeiteten personenbezogenen Daten und die betroffenen Personengruppen,
- der Verarbeitungszweck,
- die Weisungsgebundenheit des Auftragsverarbeiters,
- die technischen und organisatorischen Maßnahmen zum Datenschutz und zur Datensicherheit,
- die Meldung von Datenschutzverletzungen durch den Auftragsverarbeiter an den Verantwortlichen,
- die Unterstützungspflichten des Auftragsverarbeiters,
- die Regelung der Kontrollrechte des Verantwortlichen und der Zusammenarbeit mit der Datenschutzbehörde,
- die Regelung der Haftung im Falle von Datenschutzverletzungen und deren Versicherung,
- die Regelungen zur Unterauftragsvergabe an weitere Auftragsverarbeiter,
- die Regelungen zur Rückgabe oder Löschung der personenbezogenen Daten nach Beendigung des Vertrages.
Der Abschluss eines ordnungsgemäßen AVV stellt somit sicher, dass die Zusammenarbeit zwischen Verantwortlichem und Verarbeiter den Anforderungen der DSGVO entspricht und die rechtlichen Risiken für beide Seiten minimiert werden.
Rechtliche Anforderungen an die Unterauftragsvergabe
Wenn ein Auftragsverarbeiter die ihm übertragenen Leistungen ganz oder teilweise auf einen weiteren Auftragsverarbeiter, den sog. Subunternehmer oder Sub-Auftragsverarbeiter, übertragen möchte, bedarf es der Zustimmung des Verantwortlichen. Die Zustimmung kann dabei für bestimmte Sub-Auftragsverarbeiter im Voraus erteilt werden. Es empfiehlt sich jedoch, im Vertrag eine Liste der bereits zugelassenen Sub-Auftragsverarbeiter zu führen und diese im Zweifelsfall zu aktualisieren.
Wichtig ist dabei, dass er verpflichtet bleibt, sämtliche Pflichten aus dem AVV, insbesondere die Datenschutz- und Datensicherheitsanforderungen, auch gegenüber dem Sub-Auftragsverarbeiter durchzusetzen. Insofern sollte der Auftragsverarbeiter daher auch mit seinen Sub-Auftragsverarbeitern entsprechende rechtliche Regelungen treffen, um eine lückenlose Einhaltung der datenschutzrechtlichen Vorgaben sicherzustellen.
FAQs rund um das Thema Auftragsverarbeitung
Im Folgenden wollen wir noch einige häufig gestellte Fragen zum Thema Auftragsverarbeitung und IT-Recht beantworten, um Ihnen einen noch besseren Überblick über die rechtlichen Anforderungen und Herausforderungen in diesem Bereich zu geben.
Muss ein Auftragsverarbeiter immer ein IT-Unternehmen sein?
Nein, der Begriff ist nicht auf IT-Unternehmen beschränkt, sondern bezieht sich auf alle Unternehmen, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten. Dies können neben IT-Dienstleistern auch andere Dienstleister wie z. B. Callcenter, Marktforschungsinstitute oder Lohnabrechnungsdienstleister sein.
Was ist der Unterschied zwischen einem Auftragsverarbeiter und einem Joint Controller?
Ein Joint Controller (gemeinsam Verantwortlicher) ist ein Unternehmen, das gemeinsam mit einem anderen Unternehmen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. Im Unterschied dazu ist ein Auftragsverarbeiter weisungsgebunden und verarbeitet die personenbezogenen Daten ausschließlich aufgrund der Vorgaben des Verantwortlichen. Die datenschutzrechtliche Verantwortung liegt bei einem Joint Controller somit direkt bei beiden Unternehmen, während sie beim Auftragsverarbeiter nur sekundär besteht.
Gilt die DSGVO auch für Auftragsverarbeiter aus Drittstaaten?
Ja, die DSGVO gilt auch für Auftragsverarbeiter aus Drittstaaten, wenn diese personenbezogene Daten von Personen aus der EU verarbeiten. Dabei spielt es keine Rolle, ob die Verarbeitung innerhalb oder außerhalb der EU stattfindet oder ob der Auftragsverarbeiter selbst eine Niederlassung in der EU hat. Entscheidend ist vielmehr, dass sich die Verarbeitung auf Personen aus der EU bezieht, deren Daten durch den Verantwortlichen erhoben wurden.
Kann sich ein Auftragsverarbeiter durch Einwilligungserklärungen der betroffenen Personen von seiner Haftung freistellen?
Eine Haftungsfreistellung durch Einwilligungserklärungen der betroffenen Personen ist in der Praxis zwar denkbar, aber nicht ohne Weiteres möglich. Eine solche Einwilligungserklärung müsste grundsätzlich den Anforderungen der DSGVO genügen, insbesondere freiwillig, informiert und unmissverständlich erteilt werden. Darüber hinaus ist zu beachten, dass die Haftung des Auftragsverarbeiters gegenüber dem Verantwortlichen und der Datenschutzbehörde hiervon nicht berührt wird.
Fazit: Beachtung der Rechte und Pflichten des Auftragsverarbeiters ist essenziell
Der Bereich der Auftragsverarbeitung und die damit verbundenen Rechte und Pflichten sind im IT-Recht und insbesondere im Datenschutzrecht von großer Bedeutung. Um den hohen Anforderungen der DSGVO gerecht zu werden und Haftungsrisiken zu minimieren, sollten sowohl Verantwortliche als auch Auftragsverarbeiter sich umfassend über die rechtlichen Vorgaben informieren und diese in der täglichen Praxis konsequent umsetzen.
Ein wichtiger Baustein hierbei ist der Abschluss eines rechtssicheren Auftragsverarbeitungsvertrages, der die zentralen Aspekte der Zusammenarbeit und die datenschutzrechtlichen Verpflichtungen beider Parteien klar regelt. Zudem sollte der Auftragsverarbeiter seine Mitarbeiter regelmäßig im Hinblick auf Datenschutz und Datensicherheit schulen und entsprechende technische und organisatorische Maßnahmen vorhalten, um den Schutz der personenbezogenen Daten jederzeit sicherzustellen.
Als erfahrene Anwaltskanzlei im Bereich IT-Recht und Datenschutzrecht stehen wir Ihnen bei allen Fragen rund um das Thema Auftragsverarbeitung gerne zur Verfügung und unterstützen sowohl Verantwortliche als auch Auftragsverarbeiter dabei, ihre rechtlichen Risiken zu minimieren und die Anforderungen der DSGVO erfolgreich umzusetzen.
Unsere Rechtsanwälte stehen Ihnen bundesweit und im deutschsprachigen Ausland zur Verfügung.
Philipp Franz | Rechtsanwalt | Associate
Wolfgang Herfurtner | Rechtsanwalt | Geschäftsführer | Gesellschafter
Arthur Wilms | Rechtsanwalt | Associate
Aktuelle Beiträge aus dem Rechtsgebiet IT-Recht
Löschungsrecht: Rechte zur Löschung von Einträgen im Register
Erfahren Sie, wie Sie Ihr Löschungsrecht nutzen, um personenbezogene Daten gemäß der DSGVO aus Registern entfernen zu lassen.
Barrierefreiheitsstärkungsgesetz 2025: Pflichten für barrierefreie Websites im Überblick
Das Barrierefreiheitsstärkungsgesetz (BFSG) wurde in Deutschland erlassen, um die EU-Richtlinie 2019/882, den European Accessibility Act (EAA), in nationales Recht umzusetzen. Das Gesetz zielt darauf ab, die Barrierefreiheit von Produkten und Dienstleistungen zu verbessern, damit Menschen ... mehr
NIS-2-Richtlinie Umsetzung: Rechtliche Unterstützung für Unternehmen
NIS-2-Richtlinie Umsetzung: Die zunehmende Digitalisierung und Vernetzung stellen Unternehmen vor erhebliche Herausforderungen in der Cybersicherheit. Die NIS-2-Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates, die Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union ... mehr
Datenschutz E-Mail Marketing: Regelungen und Tipps
Datenschutz E-Mail Marketing – E-Mail-Marketing ist ein effektives Mittel, um Kunden zu erreichen und Geschäftsbeziehungen zu pflegen. Doch um rechtliche Fallstricke zu vermeiden, müssen Unternehmen datenschutzrechtliche Vorschriften einhalten. Welche Regelungen gelten für E-Mail-Marketing und wie ... mehr
Datenschutz Impact Assessment: Durchführung und Bedeutung
**Datenschutz Impact Assessment (DPIA)** – Die Datenschutz-Folgenabschätzung oder Data Protection Impact Assessment (DPIA) ist ein zentrales Instrument der Datenschutz-Grundverordnung (DSGVO) zur Bewertung und Minimierung von Risiken, die durch die Verarbeitung personenbezogener Daten entstehen können. Doch ... mehr