23. September 2019

Voraussetzungen und Haftungsfragen im Rahmen der Auftragsverarbeitung

Zahlreiche Unternehmen beauftragen andere Dienstleister mit Vorgängen, die die Verarbeitung von personenbezogenen Daten beinhalten. Wichtige Beispiele sind Cloud-Dienste oder der Newsletterversand. Werden diese Daten dabei im Auftrag und streng nach Weisung des ersten Unternehmens verarbeitet, liegt eine Auftragsverarbeitung gemäß Artikel 28 der Datenschutz-Grundverordnung (DSGVO) vor. Im Bundesdatenschutzgesetz hieß dieser Vorgang noch „Auftragsdatenverarbeitung“. Grundsätzlich entbindet das Institut der Auftragsverarbeitung den Auftraggeber („verantwortliches Unternehmen/ Verantwortlicher“) nicht von der Pflicht auf die Einhaltung der DSGVO zu achten, da die Datenverarbeitung gerade im Interesse des Auftraggebers erfolgt. Dennoch folgen aus der Auftragsverarbeitung Besonderheiten im Rahmen der Einhaltung der DSGVO. Insbesondere bezüglich der vertraglichen Regelung der Auftragsverarbeitung als auch bezüglich entsprechender Haftungsfragen, sollten daher sowohl Auftragsverarbeiter als auch verantwortliche Unternehmen ein besonderes Augenmerk auf die neuen Regelungen legen.

Hintergrund: Die Regelung der Auftragsverarbeitung in der DSGVO

Die Auftragsverarbeitung unterscheidet sich von anderen Formen der Datenverarbeitung durch mehrere Unternehmen, insbesondere durch die strenge Weisungsgebundenheit, der der Auftragsverarbeiter gegenüber dem verantwortlichen Unternehmen unterliegt. So zeichnet sich die gemeinsame Verantwortlichkeit (Artikel 26 DSGVO) dadurch aus, dass beide beteiligten Unternehmen den Zweck der Datenverarbeitung gemeinsam festlegen. Demgegenüber werden bei der Auftragsverarbeitung Zweck und Mittel der Verarbeitung allein vom verantwortlichen Unternehmen festgelegt. Keine Auftragsverarbeitung liegt in der Regel bei Beauftragung von Berufsgeheimnisträgern, wie Rechtsanwälten oder Steuerberatern vor, da diese mit eigenem Entscheidungsspielraum und insoweit nicht weisungsgebunden agieren. Insoweit handelt es sich allerdings auch nicht um eine gemeinsame Verantwortlichkeit gemäß Artikel 26 DSGVO, sondern um eine dritte Möglichkeit der Datenverarbeitung durch zwei Stellen, in der -hier- beide Beteiligten allein und nebeneinander für die Datenverarbeitung in ihrer jeweiligen Sphäre verantwortlich sind.

Die DSGVO verlangt in Artikel 28 Abs.3, dass die Auftragsverarbeitung in einem Vertrag niedergelegt wird, der neben weiteren Mindestinhalten, wie der Art der verarbeiteten Daten und dem Verarbeitungszweck, insbesondere auch die Weisungsgebundenheit des Auftragsverarbeiters erkennen lässt. Ohne einen solchen Vertrag oder mit einem Vertrag, der die in Artikel 28 Abs.3 vorgegebene Inhalte nicht aufweist, erfolgt die Verarbeitung von Daten durch Auftragsverarbeiter ohne Rechtsgrundlage und ist damit bußgeldbewehrt.

Mindestinhalt eines Auftragsverarbeitungsvertrages:

– Erkennbarkeit der Weisungsgebundenheit

– Kategorie der verarbeiteten Daten

– Verarbeitungszweck, Dauer und Mittel

– Vertraulichkeitsvereinbarung

– Verpflichtung des Auftragsverarbeiters die Vorgaben der Artikel 32ff. DSGVO einzuhalten

– Verpflichtung des Auftragsverarbeiters keine weiteren Auftragsverarbeiter oder sonstige Dritte ohne vorherige Genehmigung des Verantwortlichen einzubeziehen

– Pflicht zur Kooperation gegenüber Aufsichtsbehörden und Betroffenen

Rechte und Pflichten im Rahmen der Auftragsverarbeitung

a) Beauftragendes Unternehmen

Das beauftragende Unternehmen hat vor allem dafür einzustehen, dass es nur solche Unternehmen mit der Verarbeitung von Daten beauftragt, die die technischen und organisatorischen Garantien für eine DSGVO-konforme Datenverarbeitung gewährleisten. (Artikel 28 Abs.1 DSGVO). Zudem müssen beauftragende Unternehmen regelmäßig überprüfen, ob ihre Auftragsverarbeiter DSGVO-konform arbeiten. Unternehmen ist hier zweierlei zu empfehlen, eine interne und eine externe Kontrolle. Die interne Kontrolle sollte zunächst in einer übersichtlichen Zusammenstellung aller bisherigen Auftragsverarbeitungen bestehen. Sodann sollte in einem zweiten Schritt überprüft werden, ob diese Auftragsverarbeitungen den Anforderungen von Artikel 28 DSGVO entsprechen. Möglichkeiten um eine sorgsame Auswahl der Auftragsverarbeiter nachzuweisen und damit Bußgeldern zu entgehen, ist es Zertifizierungen nach Artikel 42 DSGVO zu verlangen, die der Auftragsverarbeiter im Rahmen eines Datenschutzaudits erlangt hat oder genehmigte Verhaltensregeln gemäß Artikel 40 DSGVO zur Grundlage des Auftragsverarbeitungsvertrages zu machen.

b) Rechte und Pflichten des Auftragsverarbeiters

Eine der wesentlichen Neuerungen der DSGVO besteht im Erfordernis der Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten für Auftragsverarbeiter (Artikel 30 DSGVO), auch wenn dieses nicht so umfangreicht sein muss, wie dasjenige, das Verantwortliche zu führen haben. Auch andere Pflichten, welche grundsätzlich nur den Verantwortlichen treffen, werden durch die DSGVO auf den Auftragsverarbeiter ausgedehnt. Dazu gehört etwa die Pflicht mit den Aufsichtsbehörden zusammenzuarbeiten (Artikel 31 DSGVO). Außerdem müssen Auftragsverarbeiter einen eigenen Vertreter in der EU zu Bennen, wenn sie Daten mit Bezug zu EU-Bürgern verarbeiten, ohne einen Sitz in der EU zu haben (Artikel 27 DSGVO). Weiterhin müssen Auftragsverarbeiter im Falle der Übertragung von Daten in Nicht-EU-Länder selbst darauf achten, dass die Voraussetzungen für die Übertragung von Daten in ein Nicht-EU-Land erfüllt sind (Artikel 44 DSGVO). Außerdem müssen Auftragsverarbeiter dafür Sorge tragen, dass die technischen und organisatorischen Maßnahmen für eine sichere Datenverarbeitung gewährleistet sind (Artikel 31 DSGVO). Insgesamt bringt die DSGVO damit deutlich zum Ausdruck, dass Auftragsverarbeiter für die Einhaltung der Vorgaben der DSGVO mitverantwortlich sind. Dies stellt eine wesentliche Neuerung gegenüber der Rechtslage vor Inkrafttreten der DSGVO dar.

Haftung

Während damit die grundsätzliche Haftung der Auftragsverarbeiter aus einer Gesamtschau der DSGVO hervorgeht, ist die Frage nach der Haftungsverteilung in Artikel 82 etwas unübersichtlich geregelt. Dabei ist nach zwei Ebenen der Haftung zu unterscheiden.

Auf der ersten Ebene geht es dabei um die Haftung für Verstöße gegen die DSGVO, etwa die Verarbeitung von Daten ohne Einwilligung oder sonstige Rechtsgrundlage, gegenüber dem Betroffenen selbst. Diesem gegenüber haften Verantwortlicher und Auftragsverarbeiter „gesamtschuldnerisch“ für materielle und immaterielle Schäden auf Schadensersatz. Das heißt genau genommen, dass sich der Betroffene aussuchen kann, von wem er einen etwaigen Schaden ersetzt verlangt, er kann also in voller Höhe gegen einen der Beteiligten vorgehen, unabhängig davon, welcher der Beteiligten für den Schaden verantwortlich ist.

Auf der zweiten Ebene, die das Innenverhältnis zwischen Auftragsverarbeiter und Verantwortlichem betrifft, kommt es dann darauf an, wer den Schaden in welchem Umfang verursacht hat. Insoweit ist eine detaillierte Regelung der Auftragsverarbeitung in dem o.g. Vertrag unerlässlich. Mit einer solchen Regelung kann der Verantwortliche nämlich zum Beispiel nachweisen, dass der Auftragsverarbeiter von Weisungen abgewichen ist und daher für den Schaden allein aufkommen muss, wenn dem Verantwortlichen zugleich der Nachweis gelingt, auch in sonst keinerlei Weise für den Schaden verantwortlich zu sein. Andersherum kann auch der Auftragsverarbeiter nachweisen, dass er sich genau an die Weisungen gehalten hat und auch in sonst keinerlei Hinsicht für den Schaden verantwortlich ist.

Auftragsverarbeiter und Verantwortlicher haben daher in ihrer jeweiligen Sphäre genau auf eine Dokumentation aller relevanten Vorgänge zu achten, um sich im Innenverhältnis der Haftung entziehen zu können.

Wichtig ist, dass neben dieser Haftungspflicht gegenüber dem Betroffenen zusätzlich die Möglichkeit der Verhängung von Bußgeldern durch die Aufsichtsbehörde gegenüber Verantwortlichem und Auftragsverarbeiter besteht, je nachdem wer seine Pflichten aus der DSGVO verletzt hat.

Privilegierung der Auftragsverarbeitung

Die DSGVO regelt grundsätzlich, dass für die Weitergabe von Daten an Dritte, d.h. vor allem an andere Unternehmen, eine gesonderte Rechtsgrundlage erforderlich ist, also z.B. ein überwiegendes Interesse des übertragenden Unternehmens oder eine Einwilligung des Betroffenen. Für den Fall der Auftragsverarbeitung trifft die DSGVO keine Sonderregelung, sodass man davon ausgehen könnte, dass auch für die Weitergabe von Daten vom verantwortlichen Unternehmen an den Auftragsverarbeiter nach dem Grundkonzept der DSGVO eine gesonderte Einwilligung des Betroffenen neben dem Auftragsverarbeitervertrag erforderlich ist.

Am 1. April 2019 veröffentliche das Bayerische Landesamt für Datenschutz allerdings eine Orientierungshilfe, in der eine Einigkeit der deutschen Aufsichtsbehörden bezüglich der Auslegung der DSGVO hinsichtlich dieser Fragestellung beschrieben wird.

Danach reicht die Rechtsgrundlage, gegenüber dem verantwortlichen Unternehmen als Voraussetzung für die Weitergabe der Daten an den Auftragsverarbeiter aus. Die Datenschutzbehörden sprechen in ihrer Stellungnahme davon, dass die Einheit der beiden Stellen „fingiert“ werde. Das heißt der Auftragsverarbeiter wird als Teil des Verantwortlichen und eben nicht als „dritte Stelle“ eingeordnet. Die Einwilligung gegenüber dem verantwortlichen Unternehmen wirkt damit wie eine Einwilligung gegenüber dem Auftragsverarbeiter.

Nicht zu verwechseln ist das (fehlende) Erfordernis einer gesonderten Rechtsgrundlage für die Weitergabe von Daten an den Auftragsverarbeiter jedoch mit der unbedingten Erforderlichkeit des Abschlusses eines Auftragsverarbeitervertrages zwischen Verantwortlichem und Auftragsverarbeiter. Gerade das Vorliegen eines solchen Vertrages, macht eine gesonderte Einwilligung des Betroffenen für die Weitergabe der Daten an den Auftragsverarbeiter entbehrlich.

Voraussetzungen für eine rechtmäßige Auftragsverarbeitung:

– Auftragsverarbeitungsvertrag gemäß Artikel 28 Abs.3 DSGVO

– Rechtsgrundlage für die Verarbeitung durch das verantwortliche Unternehmen

Wenn die generellen Voraussetzungen der Übertragung von Daten in Nicht-EU-Länder erfüllt sind (also v.a. eine Sicherheit dafür besteht, dass die Daten in diesem Land gemäß dem Schutzniveau der DSGVO verarbeitet werden, vgl. Art. 44 DSGVO) gilt die Privilegierung der Auftragsverarbeitung sogar dann, wenn der Auftragsverarbeiter in einem solchen Nicht-EU-Land sitzt.

Fazit

Die DSGVO hat die Voraussetzungen der Auftragsverarbeitung und etwaige Haftungsfragen explizit geregelt. Beauftragenden Unternehmen und Auftragsverarbeitern ist gleichermaßen zu raten bei Abschluss des Auftragsverarbeitervertrages sorgsam vorzugehen und alle anschließenden Vorgänge genau zu dokumentieren, um einer etwaigen Haftung und Bußgeldern zu entgehen. Für den Abschluss und die Prüfung entsprechender Auftragsverarbeitungsverträge stehen wir Ihnen gerne zur Verfügung!

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!