Wann brauche ich einen Auftragsverarbeitungsvertrag?
Überall dort, wo personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet werden, muss ein Auftragsverarbeitungsvertag (AVV) geschlossen werden. Doch was bedeutet das in der Praxis?
 |
| Wann genau ein Auftragsverarbeitungsvertrag? |
Was genau ist Auftragsverarbeitung?
Die Rechtsfigur der Auftragsverarbeitung knüpft an die
Arbeitsteilung an. In der heutigen Welt erledigt kaum ein Unternehmen alles
selbst. Vielmehr werden Dritte mit bestimmten Aufgaben beauftragt, die über
mehr Know How oder Ressourcen verfügen. So kann sich jeder darauf
spezialisieren, was er am besten kann.
Diese gesellschaftliche Realität gilt selbstverständlich
auch (vielleicht könnte man sogar sagen: ganz besonders) im Zusammenhang mit
der Verarbeitung personenbezogener Daten. Hier verarbeitet der sog. Auftragsverarbeiter
personenbezogene Daten, der auch der Verantwortliche selbst verarbeiten
könnte. Der Verantwortliche macht es nur eben oft aus Effizienzgründen nicht
selbst.
Die EU-DSGVO möchte sich dieser Realität nicht verschließen.
Vielmehr versucht sie, den Unternehmen, die Daten verarbeiten möchten und einen
anderen damit beauftragen, diese Effizienzvorteile zu sichern. Damit wir die
Auftragsverarbeitung besser verstehen können, lohnt es sich, hier etwas weiter
auszuholen.
Ein wichtiger Grundsatz der EU-DSGVO ist nämlich, dass jede
Verarbeitung personenbezogener Daten eine Rechtsgrundlage erfordert - auch die
Datenverarbeitung durch den Auftragsverarbeiter. Eigentlich wäre demnach die
Auftragsverarbeitung selbst auf eine Rechtsgrundlage nach Art. 6 EU-DSGVO zu stützen.
Auf eine solche Rechtsgrundlage kann der Auftragsverarbeiter sich aber nicht
immer berufen. Zum Beispiel kann es vorkommen, dass ein berechtigtes Interesse
nach Art. 6 Abs. 1 lit. f
EU-DSGVO, das beim Verantwortlichen vorliegt, in der Person des
Auftragsverarbeiters nicht gegeben ist.
Genau für solche Situationen macht die EU-DSGVO eine
Ausnahme. Der Auftragsverarbeiter kann die Datenverarbeitung auf die
Rechtsgrundlage des Verantwortlichen stützen. Dieser Grundsatz, der so explizit
zugegebenermaßen gar nicht in der EU-DSGVO steht, sondern in ihre Wertungen
hineingelesen wird, heißt Privilegierung der Auftragsverarbeitung. Die
Privilegierung passt auch gut zur Beobachtung, dass hinsichtlich der
Datenverarbeitung der Auftragsverarbeiter so etwas wie der "verlängerte
Arm" des Verantwortlichen ist.
Zur Begründung lässt sich anführen, dass die EU-DSGVO über Art. 28 Einfluss auf das Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter nimmt. Sie macht detaillierte Vorgaben und sagt sinngemäß, dass in der gesamten Verarbeitungskette der Datenschutz gesichert sein muss (dazu später mehr).
Was sind Beispiele für Situationen, in denen ein AVV erforderlich ist?
Damit brauchen Sie zum Beispiel in folgenden Fällen
beispielsweise einen AVV (s. dazu und auch allgemein zur Auftragsverarbeitung
das lesenswerte DSK
- Kurzpapier 13):
-
Datenverarbeitung für die Lohn- und
Gehaltsabrechnung durch externe Rechenzentren,
-
Outsourcing personenbezogener Datenverarbeitung
im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des
CloudBetreibers erforderlich ist,
-
Werbeadressenverarbeitung in einem Lettershop.
Wann liegt keine Auftragsverarbeitung vor, sondern eine gemeinsame Verantwortlichkeit?
Wenn "zwei oder mehr Verantwortliche gemeinsam die
Zwecke der und die Mittel zur Verarbeitung" festlegen, sind sie nach Art. 26 Abs. 1 EU-DSGVO
gemeinsam Verantwortliche. Das bedeutet, dass - im Unterschied zur
Auftragsverarbeitung - beide an der Datenverarbeitung Beteiligten die Daten für
eigene Geschäftszwecke nutzen.
Wo sie die Daten für ihre eigenen Zwecke nutzen, sind die
(gemeinsam) Verantwortlichen nicht weisungsgebunden und sie wurden auch nicht
von jemandem beauftragt. Weil das Verhältnis zwischen den gemeinsam
Verantwortlichen nicht so reguliert ist, wie das Verhältnis zwischen
Verantwortlichem und Auftragsverarbeiter, wird hier auch keine Privilegierung
vorgenommen.
Wichtig für die Praxis: Es ist allerdings ein Vertrag
über die gemeinsame Verantwortlichkeit zu schließen, in dem festgelegt
wird, welcher gemeinsam Verantwortliche welche Verpflichtung aus der EU-DSGVO
erfüllt (Art. 26 EU-DSGVO).
Der EuGH legt die gemeinsame Verantwortlichkeit weit aus. Im
Urteil zu Facebook-Fanpages
führte er aus, es müsse nicht zwangsläufig eine gleichwertige
Verantwortlichkeit vorliegen. Diese Linie baute er weiter aus, indem er im
sog. Fashion ID - Urteil auch
Webseitenbetreiber für gemeinsam verantwortlich erklärte, die einen Gefällt mir
- Button auf ihrer Webseite integriert haben. Entscheidend sei lediglich, dass
der Webseitenbetreiber die Möglichkeit eröffnet, dass überhaupt eine
Datenübertragung stattfindet.
Die DSK (Deutsche Datenschutzkonferenz) vertritt in Kurzpapier 16 aber die Auffassung, dass jedenfalls ein gewisser tatsächlicher Einfluss vorhanden ist.
Was muss im Auftragsverarbeitungsvertrag geregelt sein?
Doch nun zurück zum Auftragsverarbeitungsvertrag. Wir können
hier nur eine Übersicht darüber geben, was zu regeln ist, ohne Anspruch auf
Vollständigkeit. Wir helfen gerne im Einzelfall bei der Prüfung eines AVV;
kontaktieren Sie uns einfach.
Nach Art. 28 EU-DSGVO ist folgendes zu regeln:
- Vertragsgegenstand
Gegenstand, Umfang und Dauer der Datenverarbeitung sind zu bestimmen - Art und Zweck der Verarbeitung
Definiert, wie (Art) und warum (Zweck) personenbezogene Daten verarbeitet werden sollen. - Kategorien personenbezogener Daten
Listet die Kategorien personenbezogener Daten und Gruppen betroffener Personen auf. - Weisungsbefugnis
Die Datenverarbeitung hat auf dokumentierte Weisung des Verantwortlichen zu erfolgen. - Verpflichtungen auf die Vertraulichkeit
Mitarbeiter des Verarbeiters müssen Vertraulichkeitsvereinbarungen unterzeichnen. - Sicherheitsmaßnahmen
Der Verarbeiter muss nach Artikel 32 DSGVO notwendige technische/organisatorische Maßnahmen ergreifen. - Unterauftragsverhältnisse
Für das Einbinden von Unter-Auftragsverarbeitern sollen strenge Anforderungen gelten. - Betroffenenrechte
Unterstützt den Verantwortlichen bei der Erfüllung von Anfragen zu Betroffenenrechten. - Compliance-Hilfe
Hilft dem Verantwortlichen bei der Einhaltung der Sicherheits- und Datenschutzpflichten. - Datenlöschung/-rückgabe
Regelt die Datenlöschung oder -rückgabe nach Beendigung der Verarbeitungstätigkeiten. - Nachweispflichten
Der Verarbeiter stellt Informationen für Compliance-Nachweise bereit und ermöglicht Audits.
Was passiert, wenn ich keinen Auftragsverarbeitungsvertrag abschließe?
Dann können die Aufsichtsbehörden, wenn Sie eigentlich einen
AVV hätten schließen müssen, ein Bußgeld gegen Sie verhängen. Die maximale Höhe
dieses Bußgelds beträgt bei einem Verstoß gegen Art. 28 EU-DSGVO gem. Art. 83 Abs. 4 lit. a EU-DSGVO
bis zu 10 Mio. Euro, oder 2 % des Jahresumsatzes Ihres Unternehmens - je nach
dem, was davon höher ist. Natürlich wird das maximale Bußgeld gemäß den EDSA
- Guidelines ggf. auf ein für Sie bezahlbares Maß herabgesetzt. Dennoch
bleibt es dabei, dass die Bußgelder empfindlich sein können.
Neben Bußgeldern trägt das Unternehmen ohne einen AV-Vertrag
ein erhöhtes Haftungsrisiko. Bei Datenschutzvorfällen ("Datenpannen")
oder Verletzungen der EU-DSGVO können Betroffene unter gewissen Voraussetzungen
Schadensersatzansprüche geltend machen. Diese Ansprüche können sich nicht nur
gegen den Auftragsverarbeiter, sondern auch gegen den Verantwortlichen richten
(Art. 82. Abs. 4 EU-DSGVO).
Ist kein AV-Vertrag vorhanden, kann dies als Organisationsverschulden gewertet
werden, was die Haftung des Verantwortlichen begründen kann. Weiterhin kann im Schadensfall
sogar unter Umständen die Durchsetzung von Regressansprüchen gegen den Auftragsverarbeiter
nach Art. 28 Abs. 4 S. 2
EU-DSGVO erschwert sein.
Das könnte Sie auch interessieren:
- 12.10.2021: Kostenlose Muster der EU für Datenschutzverträge
