Auftragsdatenverarbeitung
betrifft mein Unternehmen nicht. Oder etwa doch?
Im Rahmen vieler Gespräche mit Unternehmensleitungen und während unserer Datenschutzaudits stellen wir regelmäßig fest, wie groß immer noch die Lücken und teilweise auch das Unverständnis zu dem Thema Datenschutz und Auftragsverarbeitung in Bezug auf das alte BDSG und das neue DSGVO bei betroffenen Personen ist.
Obwohl die Datenschutzgrundverordnung (DSGVO) nun schon seit einiger Zeit gilt, war das Thema bereits früher im alten BDSG bereits bekannt, und zwar unter dem Begriff „Auftragsdatenverarbeitung“. Seit 25.5.2018 spricht der Gesetzgeber nun von „Auftragsverarbeitung“ (AV). Beschrieben sind die Grundsätze zur Auftragsverarbeitung der Daten im Art. 28 DSGVO.
Was heißt das nun konkret?
Ein Auftragsverarbeiter ist derjenige Auftragnehmer, der personenbezogene Daten im Auftrag des Auftraggebers verarbeitet.
So zumindest steht es im Art. 4 Nr. 8 DSGVO. Das bedeutet, dass der Auftragsverarbeiter ausschließlich auf Weisung des Auftraggebers handelt und bezüglich des Zwecks der Auftragsverarbeitung keine eigenen Entscheidungen bezüglich der Daten trifft. Darüber wird nun vom Auftraggeber und Auftragsverarbeiter ein Auftragsverarbeitungs (AV)-Vertrag abgeschlossen, der ihre Zusammenarbeit beschreibt und die datenschutzrechtlichen Pflichten von beiden Parteien gemäss DSGVO regelt.
In diesem Zusammenhang können wir aus Datenschutzsicht allen Unternehmen nur empfehlen zu überprüfen, ob Auftragsverarbeitung vorliegt.
Wie lässt sich beurteilen ob eine Auftragsverarbeitung vorliegt?
Immer dann, wenn personenbezogene Daten von einem Unternehmen oder einer rechtlichen Einheit zu einer anderen Einheit im Rahmen einer Dienstleistung fließen kann es sich gemäss DSGVO um eine Auftragsverarbeitung der Daten handeln. Hat der Auftragsverarbeiter kein eigenes Interesse an den Daten, sondern handelt im Auftrag des Auftraggebers, dann handelt es sich in der Regel um Auftragsverarbeitung.
Spielt die Datenverarbeitung hingegen nur eine untergeordnete Rolle bei der Aufgabenübertragung, kann die Situation unter Umständen bezüglich der Auftragsverarbeitung anders zu bewerten sein.
Wenn hingegen zwei Parteien gemeinsam den Zweck und die Mittel der Auftragsverarbeitung der Daten festlegen, wird von gemeinsamer Verantwortlichkeit im Sinne des Art. 26 DSGVO gesprochen. Die gemeinsam Verantwortlichen sind verpflichtet, die einen Verantwortlichen betreffenden Pflichten bezüglich der Daten nach DSGVO zu erfüllen. In diesem Fall wird kein AV-Vertrag erstellt, sondern gemäß Art. 26 DSGVO eine sogenannte „Vereinbarung zur Verteilung der Pflichten“ (Joint Controllership Agreement).
Welches sind aber nun häufige Beispiele für Dienstleistungen, bei denen es ratsam ist, einen Auftragsverarbeitungs-Vertrag abzuschliessen?
- Installation, Pflege, Überprüfung oder Korrektur von Software durch externe IT-Dienstleister, auch bei Fernwartung von IT-Systemen per Remote-Zugriff
- Überprüfung, Reparatur oder Austausch von Hardware durch externe IT-Dienstleister
- Archivierung von Daten (Akten, Datenträger) durch externe Firmen
- Vernichtung von Daten in Form von Akten oder Datenträgern durch externe Dienstleister
- Daten bezüglich Lohn- und Gehaltsabrechnungen durch externe Buchhaltungsbüros (Hinweis: ob die Verarbeitung der Personaldaten durch Steuerberater einen Arbeitsverarbeitungs-Vertrag benötigen ist derzeit bei den Landesdatenschutzbehörden noch strittig und nicht abschließend geklärt)
- Auslagerung der Bürokommunikation (z. B. Textverarbeitung, E-Mail-Kommunikation)
- Cloud Computing durch externe Dienstleister
- Auslagerung von Daten die Dienstreisen-Planungen und Reisekostenabrechnungen betreffen
- Versand von Mitteilungsblättern, Informationsbroschüren, Beitragsrechnungen und sonstigen Drucksachen durch einen Dienstleister anhand einer zur Verfügung gestellten Adressliste
Wir empfehlen aus Datenschutzsicht allen Unternehmen mit derartigen Dienstleistern lückenlos Auftragsverarbeitungs-Verträge abzuschließen.
Bei fehlenden Verträgen kann es richtig teuer werden. Während nach dem alten BDSG von den zuständige Aufsichtsbehörden Bußgelder „nur“ bis zu 50.000 Euro verhängt werden konnten, sind nun nach der DSGVO wesentlich höhere Bußgelder möglich.
In welcher Form muss der Vertrag vorliegen?
Eine viel diskutierte Frage ist nun, ob ein Arbeitsverarbeitungs-Vertrag schriftlich oder auch elektronisch vorliegen kann. Hierzu sagt die DSGVO eindeutig in Art.28 Abs.9, dass der Vertrag auch in einem elektronischen Format abgefasst werden kann. Damit haben Verträge im elektronischen Format (sog. Textform) auch ohne Unterschrift und Signatur Gültigkeit.
Was aus unserer Erfahrung ebenfalls oft übersehen wird ist, dass gemäß Art. 28 DSGVO der Auftraggeber verpflichtet ist, den Auftragnehmer, für den abzuschließenden Vertrag, sorgfältig auszuwählen. Insbesondere soll er sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zum Schutz der betroffenen personenbezogenen Daten (TOM) überzeugen.
In vielen Fällen sind sich Auftragsverarbeiter nicht bewusst, dass auch sie ein Verzeichnis der Datenverarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO für alle Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten führen müssen. Das Verzeichnis muss der Aufsichtsbehörde auf Anfrage nach Art. 30 Abs. 4 DSGVO, z.B. bei Datenschutzkontrollen, zur Verfügung gestellt werden. Beim Bekanntwerden von Pannen der Daten muss ein Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten nach Art. 33 Abs. 2 DSGVO unverzüglich dem Verantwortlichen melden.
Wir empfehlen Ihnen genau zu prüfen, in welchem Land die Auftragsverarbeitung der Daten stattfindet.
Grundsätzlich verbietet die DSGVO eine Verarbeitung von personenbezogenen Daten in sog. Drittstaaten nicht. Bei einer Verarbeitung außerhalb der Europäischen Union muss allerdings sichergestellt sein, dass ein angemessenes Datenschutzniveau herrscht. Gemäß Art. 45 DSGVO kann dies durch Angemessenheitsbeschlüsse der EU-Kommission geschehen, wie z.B. bei der Schweiz oder Israel oder auch durch die Verwendung von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO), die durch die EU-Kommission festgelegt wurden.
Bei welchen Dienstleistungen ist nun nach der DSGVO kein Auftragsverarbeitungs-Vertrag nötig, weil im Kern keine Datenverarbeitung stattfindet oder fremde Fachleistungen in Anspruch genommen werden? Dies ist in der Regel der Fall bei Handwerkereinsätzen, Geldtransfer (Überweisung, Lastschrift usw.) durch Bankinstitute, Erbringung von Dienstleistungen für elektronische Zahlungen, Postdienste für den Brieftransport oder Paketdienste, Transport- oder Kurierdienste usw.
