Auftragsverarbeitung nach der DS-GVO

Egal, ob große oder kleine Unternehmen, heutzutage kommt kaum ein Unternehmen um das Outsourcing von Geschäftsprozessen herum. Die Gründe hierfür sind vielfältig. Sie können von „uns fehlen die Ressourcen“ bis „wir möchten uns auf unsere Kernkompetenzen fokussieren“ reichen. Häufig wird es sich bei den ausgelagerten Aufgaben um eine Auftragsverarbeitung im Sinne von Art. 28 DS-GVO handeln, wenn mit dem Outsourcing eine Weitergabe von personenbezogenen Daten an die externen Dienstleistungsunternehmen einhergeht. Die Regelungen der DS-GVO sind dann zu beachten. Jedes Unternehmen sollte daher vor dem Outsourcing prüfen, ob eine Auftragsverarbeitung vorliegt und welche Punkte gegebenenfalls zu beachten sind. Mehr zu dem Thema „Auftragsverarbeitung“ erfahren Sie in diesem Blogartikel.

Eine Auftragsverarbeitung liegt im Wesentlichen dann vor, wenn ein Unternehmen („Auftragsverarbeiter“¹ vgl. Art. 4 Nr. 8 DS-GVO) personenbezogene Daten im Auftrag eines anderen Unternehmens („Verantwortlicher“, vgl. Art. 4 Nr. 7 DS-GVO) verarbeitet. Charakteristisch für die Auftragsverarbeitung ist, dass der Auftragsverarbeiter gegenüber dem Verantwortlichen bei der Datenverarbeitung weisungsgebunden ist, aber gleichzeitig nicht in die Organisationsstruktur des Verantwortlichen eingebunden, also rechtlich eigenständig, ist. Der Verantwortliche gibt Zweck und Mittel der Datenverarbeitung vor und bleibt weiterhin für die Datenverarbeitung verantwortlich. Der Auftragsverarbeiter wiederum agiert quasi als „verlängerter Arm“ des Verantwortlichen und führt dessen ausgelagerte Tätigkeiten aus. Mit der beauftragten Datenverarbeitung verfolgt der Auftragsverarbeiter in der Regel keinen eigenen Verarbeitungszweck. Die DS-GVO trägt dieser Form der arbeitsteiligen Zusammenarbeit durch die Auftragsverarbeitung in Art. 28 DS-GVO Rechnung. Grundsätzlich muss eine Einwilligung der Betroffenen oder eine gesetzliche Erlaubnisnorm vorliegen, wenn personenbezogene Daten an Dritte weitergegeben werden. Auftragsverarbeiter sind jedoch nach der DS-GVO keine „Dritten“, sodass aus der Sicht des Verantwortlichen keine gesonderte Erlaubnisnorm zur Weitergabe der Daten (abgesehen von Art. 28 DS-GVO) vorhanden sein muss. Auftragsverarbeiter und Verantwortlicher bilden nach außen gegenüber den Betroffenen eine rechtliche Einheit. Typische Auftragsverarbeitungen sind zum Beispiel das Hosten von Daten durch Cloud-Dienstleistungsunternehmen, die Datenträgerentsorgung oder Newsletter-/Callcenter-Dienstleistungen.
In der Praxis lässt sich jedoch gar nicht so leicht bestimmen, wann eine Auftragsverarbeitung nun konkret vorliegt und wann nicht. Dies hat zuletzt die Problematik um „Steuerberater“ und „Google Analytics“ gezeigt.

Denn der „Auftragsverarbeiter“ ist von dem „Verantwortlichen“ bzw. den „gemeinsam Verantwortlichen“ abzugrenzen. Der Verantwortliche bzw. die gemeinsam Verantwortlichen entscheiden allein oder gemeinsam mit anderen Verantwortlichen über Zweck und Mittel der Datenverarbeitung, siehe Art. 4 Nr. 7 DS-GVO, Art. 26 DS-GVO. Die Abgrenzung zum Auftragsverarbeiter erfolgt in der Regel über das Merkmal „weisungsgebunden“. Keine Auftragsverarbeiter sind daher beispielsweise Steuerberater oder Rechtsanwälte. Auch wenn diese beauftragt werden, agieren sie aufgrund ihrer besonderen beruflichen Tätigkeit weisungsfrei (vgl. zum Beispiel die speziellen Regelungen für Steuerberater in § 11 StBerG). Eine Auftragsverarbeitung soll nach Ansicht der Datenschutzaufsichtsbehörden auch nicht mehr bei dem Einsatz von Google Analytics vorliegen (siehe „Hinweise zum Einsatz von Google Analytics“). Begründet wird dies damit, dass Google vielmehr Mittel und Zweck der Datenverarbeitung vorgebe und nicht der Webseitenbetreibende. Die weitere Entwicklung in diesem Bereich bleibt abzuwarten.
In Zweifelsfällen bzw. als Hilfsmittel, wann eine Auftragsverarbeitung vorliegt, kann die „Auslegungshilfe“ des Bayerischen Landesamtes für Datenschutz herangezogen werden.

Wenn eine Auftragsverarbeitung vorliegt, muss der Verantwortliche mit dem Auftragsverarbeiter schriftlich – elektronische Form ist ausreichend - einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO abschließen. Art. 28 Abs. 3 DS-GVO gibt die Mindestinhalte für diesen Vertrag vor. Der Verantwortliche sollte vor der Datenverarbeitung auf den Abschluss des Auftragsverarbeitungsvertrags hinwirken. Tut er dies nicht, kann es zu Sanktionen (z. B. Verwarnungen, Bußgelder) durch die Aufsichtsbehörden kommen (siehe „Tätigkeitsbericht Datenschutz 2019 – Landesbeauftragte für den Datenschutz und das Recht auf Akteneinsicht Brandenburg“).
Mittlerweile verfügen Verantwortliche und Auftragsverarbeiter über Musterauftragsverarbeitungsverträge, die sie der jeweils anderen Partei zum Abschluss vorlegen. Hierbei ist zu beachten, dass die Mindestinhalte des Art. 28 Abs. 3 DS-GVO in dem Vertrag enthalten sein müssen. Insbesondere sollte ein Augenmerk darauf gelegt werden, dass die Auflistung der verarbeiteten personenbezogenen Daten, der betroffene Personenkreis und die Sicherheitsmaßnahmen des Auftragsverarbeiters zum Schutz der personenbezogenen Daten sowie der Zweck der konkreten Datenverarbeitung nicht zu pauschal beschrieben sind. Der Verantwortliche sollte sich von den technischen und organisatorischen Maßnahmen des Auftragsverarbeiters überzeugen bzw. in bestimmten Abständen überprüfen. Wie dies erfolgt bzw. in welchen Abständen, ist abhängig vom Einzelfall. Eine Rolle kann auch die Art der verarbeiteten personenbezogenen Daten spielen und welches Risiko mit der Datenverarbeitung unter Umständen einhergeht. In Bezug auf die Sicherheitsmaßnahmen des Auftragsverarbeiters können Zertifizierungen, wie zum Beispiel nach ISO 27001, hilfreich sein. Es ist jedoch zu berücksichtigen, welchen konkreten Geschäftsprozess bzw. Bereich die Zertifizierung des Auftragsverarbeiters umfasst. Der Verantwortliche sollte sich daher schon vor der Beauftragung von externen Dienstleistungsunternehmen mit den Sicherheitsmaßnahmen des Auftragsverarbeiters vertraut machen. Dies gilt insbesondere dann, wenn eine Datenverarbeitung außerhalb der Europäischen Union stattfindet. Es muss dann ein angemessenes Datenschutzniveau gewährleistet sein. 

Für den Auftragsverarbeiter wiederum kann in Bezug auf den Auftragsverarbeitungsvertrag relevant sein, ob dieser Regelungen zum Einsatz von Unterauftragsverarbeitern, vgl. Art. 28 Abs. 4 DS-GVO, enthält. Ein Unterauftragsverarbeitungsverhältnis liegt vor, wenn der Auftragsverarbeiter wiederum Auftragsverarbeiter einsetzt, um seine vertraglichen Verpflichtungen gegenüber dem Verantwortlichen ganz oder teilweise zu erfüllen. In den Auftragsverarbeitungsverträgen können diesbezüglich unterschiedliche Regelungen enthalten sein. Zum Beispiel kann dem Auftragsverarbeiter untersagt sein, weitere Auftragsverarbeiter einzusetzen oder ihm kann es mit vorheriger schriftlicher Genehmigung durch den Verantwortlichen erlaubt sein. Sofern der Auftragsverarbeiter Unterauftragsverarbeiter einsetzt, müssen diesen die gleichen Datenschutzpflichten auferlegt werden, welche in dem Auftragsverarbeitungsvertrag zwischen dem Auftragsverarbeiter und dem Verantwortlichen festgelegt worden sind. Wichtig zu wissen ist, dass der Auftragsverarbeiter gegenüber dem Verantwortlichen haftet, wenn der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nachkommt.

Der Auftragsverarbeiter ist unter anderem verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten in Bezug auf seine Auftragstätigkeiten zu führen, Art. 30 Abs. 2 DS-GVO. Die Mindestinhalte des Verzeichnisses ergeben sich aus Art. 30 Abs. 2 DS-GVO. In der Regel hat der Auftragsverarbeiter zwei Verzeichnisse von Verarbeitungstätigkeiten zu führen. Eines als Verantwortlicher nach Art. 30 Abs. 1 DS-GVO (zum Beispiel aufgrund der Verarbeitung von eigenen Beschäftigtendaten) und eines als Auftragsverarbeiter nach Art. 30 Abs. 2 DS-GVO. In Bezug auf die Haftung ist zu beachten, dass der Auftragsverarbeiter und der Verantwortliche gegenüber den von der Datenverarbeitung Betroffenen als Gesamtschuldner haften, Art. 82 DS-GVO. Das heißt, dass aber zum Beispiel auch nur der Auftragsverarbeiter im Falle einer Datenschutzverletzung im Rahmen der Auftragsverarbeitung von dem Betroffenen in Anspruch genommen werden kann. Der Auftragsverarbeiter müsste dann gegebenenfalls gegenüber dem Betroffenen vollumfänglich Schadensersatz leisten. Danach könnte der Auftragsverarbeiter den Verantwortlichen in Regress nehmen.

Insgesamt bietet es sich an, bei der Thematik „Auftragsverarbeitung“ strukturiert vorzugehen. Es könnte zum Beispiel eine Liste mit allen eingesetzten externen Dienstleistungsunternehmen erstellt und jeweils dokumentiert werden, 

• welchen Geschäftsprozess die Auslagerung betrifft,
• ob externe Dienstleistungsunternehmen im Auftrag hauptsächlich personenbezogene Daten verarbeiten inkl. der Gründe dafür und dagegen,
• ob demzufolge ein Auftragsverarbeitungsvertrag abzuschließen ist bzw. ob ein solcher abgeschlossen wurde,
• ob und wann gegebenenfalls Kontrollen zur Überprüfung der Sicherheitsmaßnahmen des Auftragsverarbeiters stattfinden inkl. der Gründe dafür und dagegen.

Es wäre sinnvoll, wenn jedes Unternehmen eine Übersicht über alle eingesetzten externen Dienstleistungsunternehmen inklusive des jeweilig vertraglichen Standes (Datenschutz) erstellen würde.

_{¹Aus Gründen der Lesbarkeit wurde im Text die männliche Form gewählt, nichtsdestoweniger beziehen sich die Angaben auf Angehörige aller Geschlechter.}