FAQ – Onboarding von Auftragsverarbeitern

1. Wann liegt eigentlich eine Auftragsverarbeitung vor?

Auftragsverarbeitung im Sinne des Datenschutzrechts bedeutet die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter im Auftrag des Verantwortlichen. Die Auftragsverarbeitung erleichtert dem Verantwortlichen die Arbeit durch arbeitsteiliges Handeln. Dabei wird dem Auftragsverarbeiter nicht die eigentliche Aufgabe übertragen, sondern nur eine Hilfstätigkeit. Für das Vorliegen einer Auftragsverarbeitung spricht es, wenn dem Auftragnehmer die Entscheidungsbefugnis über die Daten fehlt und der Auftragnehmer mit der Datenverarbeitung keine eigenen Geschäftszwecke verfolgt. Des Weiteren unterliegt der Auftragnehmer einem ausdrücklichen Nutzungsverbot in Bezug auf die zu verarbeitenden Daten. Außerdem steht der Auftragnehmer im Zusammenhang mit der Auftragsverarbeitung in keinerlei vertraglicher Beziehung zu den von der Datenverarbeitung betroffenen Personen.

2. Was sind typische Beispiele für eine Auftragsverarbeitung?

• Telefonmarketing und andere Callcenter-Leistungen soweit nicht vom Unternehmen selbst durchgeführt
• Aktenvernichtung, Vernichtung von Datenträgern
• Externe Datenhaltung, insbesondere beim teilweisen oder gesamten Outsourcing eines Rechenzentrums
• Werbeadressenverarbeitung in einem Lettershop
• Nutzung von Cloudsystemen zur Personal- oder Kundenverwaltung
• Externe Druckdienstleistung
• Manueller oder elektronischer Archivierungsservice

Keine Auftragsverarbeitung hingegen liegt vor bei:

• Rechtsanwälten
• Steuerberatern
• Wirtschaftsprüfern

Den oben aufgezählten Rechtsanwälten, Steuerberatern und Wirtschaftsprüfern liegt keine Auftragsverarbeitung vor, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen. Maßgeblich ist hierbei, dass diese Berufsfelder aufgrund ihres Berufsrechts stets weisungsunabhängig und eigenverantwortlich tätig sind und besondere Pflichten wie etwa die berufliche Verschwiegenheit zu beachten haben.

3. Welche Vor- und Nachteile bringt eine Auftragsverarbeitung mit sich?

Vorteile der Auftragsverarbeitung können beispielsweise sein:

• Kosteneinsparung durch Einsatz von externem Personal
• Erhöhung der Planungssicherheit während der Dauer des Vertrages mit dem Dienstleister
• Unabhängigkeit von Hard- und Softwareaufrüstungen bzw. -wechseln
• Unabhängigkeit von Personalqualifikationsproblemen und Personalengpässen
• Hohe Flexibilität
• Konzentration des Personaleinsatzes auf die eigentlichen Kernaufgaben
• Steigerung der Qualität der Datenverarbeitung (Verbesserung von Arbeitsprozessen)
• Effektiverer Datenschutz durch geschultes Personal
• Sicherstellung der Verfügbarkeit von Informationen und Diensten: 24 Stunden-Betrieb/365 Tage (Hochverfügbarkeit)

Demgegenüber stehen folgende Nachteile:

• Vertrauensverlust, wenn Dritte Zugang zu personenbezogenen Daten (besonderer Kategorien, wie Gesundheitsdaten, o.ä.) des Betroffenen erhalten
• Verlust über die Herrschaft der Verarbeitung der Daten
• Haftungsrisiken, wenn sich der Auftragsverarbeiter nicht an die Vorgaben hält
• Schadensrisiko (z. B. bei einer Löschung oder Beschädigung von Daten) aufgrund unsachgemäßer Datenverarbeitung durch einen Dienstleister
• Kontrollverlust

4. Was ist bei der Auswahl eines Auftragsverarbeiters zu beachten?

Bei der Auswahl eines Auftragsverarbeiters muss beachtet werden, dass der Auftragsverarbeiter hinreichende Garantien dafür bietet, dass die Datenverarbeitung im Einklang mit den rechtlichen Anforderungen, insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen, erfolgt (Art. 28 Abs. 1 DS-GVO). Des Weiteren muss der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um den Schutz der Rechte und Freiheiten der betroffenen Person zu gewährleisten. Der Verantwortliche muss den Auftragsverarbeiter anhand dieser Kriterien sorgfältig auswählen. Dem Verantwortlichen selbst ist es häufig aber nicht möglich, die Einhaltung der daten-schutzrechtlichen Anforderungen durch den Auftragsverarbeiter sicher zu beurteilen. Oftmals wird bei den technischen Kenntnissen und Fähigkeiten ein klares Gefälle zwischen dem Verantwortlichen und dem Auftragsverarbeiter bestehen. Einer der Gründe für eine Auftragsverarbeitung sind oft ja gerade die Spezialkenntnisse des externen Dienstleisters im Bereich der Datenverarbeitung. Hier kommt vor allem Art. 28 Abs. 5 DS-GVO dem Verantwortlichen entgegen. Befolgt der Auftragsverarbeiter genehmigte Verhaltensregeln (Art. 40 DS-GVO) oder unterzieht er sich einem genehmigten Zertifizierungsverfahren (Art. 42 DS-GVO), kann dies „als Faktor“ herangezogen werden, um die in Art. 28 Abs. 1 DS-GVO geforderte Geeignetheit des Auftragsverarbeiters nachzuweisen.

Es ist daher schon bei der Auswahl eines Auftragsverarbeiters wichtig, sich davon zu überzeugen, ob der Dienstleister geeignet ist. Noch wichtiger wird die sorgfältige Auswahl bei einem ausländischen Auftragsverarbeiter. Während die Auftragsverarbeitung innerhalb der EU beziehungsweise des EWR den gleichen Regeln folgt, die auch bei der Beauftragung eines inländischen Dienstleisters gelten, sind bei einer Auftragsverarbeitung in einem Drittland zusätzlich die Art. 44 ff. DS-GVO zu beachten. Art. 45 DS-GVO regelt eine Datenübermittlung für die Fälle, in denen ein Angemessenheitsbeschluss der EU-Kommission vorliegt. In diesem Fall gilt das gleiche Vertragskonstrukt wie bei einem inländischen Dienstleister. Liegt ein solcher Beschluss nicht vor, kommt eine Übermittlung von Daten auf Grundlage geeigneter Garantien gemäß Art. 46 DS-GVO in Betracht. Die aktuell gebräuchlichsten sind dabei die „binding corporate rules“ gemäß Art. 46 Abs. 2 b DS-GVO sowie der Abschluss von Standardvertragsklauseln gemäß Art. 46 Abs. 2 c DS-GVO. Die Erstellung von internen verbindlichen Datenschutzregeln (binding corporate rules) ist jedoch in der Regel mit einem sehr hohen Aufwand verbunden, da das Unternehmen Regeln zum Umgang mit personenbezogenen Daten auch in Drittländern festlegt und diese Regeln für alle Mitarbeiter rechtlich bindend sein müssen.

5. Muss ein Vertrag mit einem Auftragsverarbeiter abgeschlossen werden?

Ja, der Verantwortliche muss mit dem Auftragsverarbeiter gemäß Art. 28 Abs. 3 DS-GVO einen Vertrag über die weisungsgebundene Tätigkeit schließen. Dieser Vertrag kann schriftlich oder in einem elektronischen Format abgefasst sein. Hierfür können sowohl individuelle Regelungen getroffen, als auch von der EU-Kommission oder von der zuständigen Aufsichtsbehörde verabschiedete Standardvertragsklauseln verwendet werden.

6. Wie sieht ein solcher Vertrag zur Auftragsverarbeitung aus? Welche Punkte muss er beinhalten?

Der Mindestinhalt eines Vertrags zur Auftragsverarbeitung wird durch Art. 28 Abs. 3 DS-GVO bestimmt. Erforderlich ist eine genaue Beschreibung der geschuldeten Tätigkeit des Dienstleisters. Die jeweilige Datenverarbeitung durch den Dienstleister muss immer einem konkreten Auftrag eines Verantwortlichen zugeordnet werden können.

Die Antworten auf folgende Fragen müssen laut Art. 28 DS-GVO in einen AV-Vertrag aufgenommen werden:

• Wer ist der Verantwortliche für die Datenverarbeitung?
• Was ist der Gegenstand und die Dauer der Verarbeitung?
• Auf welche Art erfolgt die Verarbeitung und zu welchem Zweck findet sie statt?
• Welcher Art sind die personenbezogenen Daten und Kategorien betroffener Personen?
• Welchen Umfang haben die Weisungsbefugnisse?
• Inwieweit hat der Auftragsverarbeiter eine Informationspflicht, falls eine Weisung gegen das Datenschutzrecht verstößt?
• Welche Pflichten und Rechte hat der Verantwortliche?

Außerdem müssen folgende Informationen enthalten sein:

• Ein Nachweis über die Durchführung technischer und organisatorischer Maßnahmen (TOM) durch den Auftragsverarbeiter
• Eine Regelung bezüglich ausdrücklicher Zustimmung, allgemeiner Genehmigung oder Verbot zu dem Hinzuziehen von Subunternehmern
• Ein Hinweis, dass Subunternehmern dieselben vertraglichen Pflichten auferlegt werden
• Eine Regelung zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Beantwortung von Betroffenenanträgen nach Art. 12-22 DS-GVO sowie dessen Pflichten aus Art. 32-36 DS-GVO
• Löschung oder Herausgabe der Daten nach Wahl des Verantwortlichen nach Beendigung des Auftrags
• Informationen zum Nachweis der Einhaltung des Art. 28 DS-GVO durch den Auftragsverarbeiter sowie Unterstützungspflicht bei Überprüfungen oder Vor-Ort-Kontrollen durch den Verantwortlichen
• Eine Regelung zur Verpflichtung der zur Verarbeitung befugten Personen auf die Vertraulichkeit

Sollten Sie noch weitere Fragen zum Thema „Onboarding von Auftragsverarbeitern“ haben, oder weitere Infos wünschen, kontaktieren Sie uns gerne.

Zum Autor:

Tim Deipenbrock ist seit 2018 Berater für Datenschutz und Informationssicherheit der Firma migosens GmbH. Zu seinen Aufgaben gehören unter anderem die Beratung, Betreuung und Schulung von externen Mandaten – vom Kleinunternehmen bis zum Konzern – in den Themen Datenschutz und Informationssicherheit.