Auftragsverarbeitung: Prüfung von Auftragsverarbeiter durch Experten

Auftragsverarbeitung als Softwareunternehmen, soziale Einrichtung und datenschutzaffine Organisation regeln

Softwareunternehmen, soziale Einrichtungen und datenschutzaffine Organisationen nutzen professionelle Dienstleister dafür, sich bei bestimmten Aufgaben unterstützen zu lassen. Die Dienstleister erledigen diese häufig besser, schneller oder günstiger als sie selbst. Organisationen beauftragen z.B. häufig externe Softwareunternehmen oder IT-Dienstleister als Partner, um Administration und Support zu beziehen. Dabei achten sie insbesondere darauf, wie diese ihre Probleme lösen und was die Lösung kostet. Häufig vergessen sie jedoch, dass sie personenbezogene Daten an die Dienstleister übermitteln oder diese auf solche zugreifen können und, dass sie dies datenschutzrechtlich regeln müssen. Die Datenschutz-Grundverordnung (DS-GVO) bietet hierfür die Lösung mit der sogenannten Auftragsverarbeitung nach Art. 28 DS-GVO an, mit der Organisationen die Zusammenarbeit mit Auftragnehmern oder Auftraggebern datenschutzkonform regeln können.

Was ist eine Auftragsverarbeitung?

Die Auftragsverarbeitung ist eine alternative Rechtsgrundlage speziell für den Fall, dass ein Auftraggeber personenbezogene Daten durch einen Auftragnehmer weisungsabhängig verarbeiten lässt. Das bedeutet, dass der Auftraggeber die Daten an einen Auftragnehmer weitergibt, dieser darf diese Daten jedoch nur für diesen konkreten Zweck verwenden und für nichts Anderes. Damit Auftraggeber und Auftragnehmer diese Möglichkeit der DS-GVO nutzen können, müssen sie jedoch eine Vereinbarung mit gesetzlich vorgegebene Pflichtinhalten abschließen.

Praxisbeispiel: Wenn ein Unternehmen Adressdaten seiner Kunden an einen Lettershop weitergibt, um ein postalisches oder digitales Anschreiben in seinem Auftrag zu versenden, dann darf der Lettershop die erhaltenen Daten nur gemäß der Vereinbarung zur Auftragsverarbeitung verarbeiten. Er darf die Daten somit nicht für andere Kampagnen oder für andere Auftraggeber verwenden.

Weitere Beispiele für typische Auftragsverarbeitungen sind:

  • Externe Administration der eigenen IT, das Hosting oder Managed Services der Daten in einem Rechenzentrum,
  • Durchführung von Marketing-Kampagnen durch eine Agentur,
  • Nutzung eines Call-Centers,
  • Aktenvernichtung durch einen Dienstleister.

Was sind allgemeine Anforderungen an eine Auftragsverarbeitung?

  1. Gegenstand definieren – Worum geht es genau bei dem Produkt oder bei der Dienstleistung? Was leistet der Auftragnehmer für den Auftraggeber und welche personenbezogenen Daten soll er von wem verarbeiten?
  2. Angemessenes Schutzniveau – Plant ein Verantwortlicher (Auftraggeber) einen Auftragsverarbeiter (Auftragnehmer), damit zu beauftragen, dass dieser für ihn personenbezogene Daten verarbeitet, so darf er dies nur, wenn der Auftragnehmer datenschutzkonform mit den Daten umgeht und diese angemessen schützt. Der Gesetzgeber spricht von „hinreichend Garantien dafür, dass die Verarbeitung im Einklang dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet“.
  3. Vertragliche Vereinbarung – Die Zusammenarbeit ist durch eine vertragliche Vereinbarung zur Auftragsverarbeitung (im Folgenden: AVV) zu regeln. In der AVV dokumentieren die Vertragspartner, dass sie eng und weisungsgebunden zusammenarbeiten. Der Auftragnehmer ist als Erfüllungsgehilfe des Auftraggebers zu betrachten.
  4. Zweckgebundene Verarbeitung – Der Auftragnehmer darf die Daten des Auftraggebers nur für den in der AVV definierten Zweck verarbeiten und nicht für eigene Zwecke. Die AVV muss dies explizit ausschließen!
  5. Pflichtinhalte – Die Pflichtinhalte einer solchen vertraglichen Regelung enthält Artikel 28 Abs. 3 Satz 2 lit. a) – h) DS-GVO. Mehr dazu erfahren Sie weiter unten in unserem FAQ.

Wer definiert die Inhalte der Auftragsverarbeitung?

Auftraggeber oder Auftragnehmer verfolgen bei der Auftragsverarbeitung das gemeinsame Ziel zusammenarbeiten. Dennoch ergeben sich aus der jeweiligen Position unterschiedliche Interessen, wie die Parteien bestimmte Inhalte regeln. Übliche Streitpunkte sind Kostenregelungen oder wie umfassend der Auftraggeber den Auftragnehmer kontrollieren darf. Außerdem stellt sich eine ganz praktische Frage: Kommt die AVV des Auftraggebers oder die des Auftragnehmers zum Einsatz? Je nachdem, muss der Auftraggeber oder der Auftragnehmer die fremde AVV prüfen, während die eigene AVV natürlich bekannt ist und somit der Prüfaufwand entfällt.

Was ist der Vorteil des Auftragnehmers, wenn er die Inhalte der Auftragsverarbeitung definiert?

In der Praxis stellt der Auftragnehmer häufig seinen Vorschlag der AVV bereit, da er ein Interesse daran hat, dass die Vereinbarungen möglichst für alle Auftraggeber gleich bzw. sehr ähnlich sind. Zudem weiß der Dienstleister natürlich am besten, welche Daten er in welcher Form verarbeitet. Ein Vorteil für den Auftragnehmer besteht darin, dass er dem Prüfaufwand entgeht, wenn er seine eigene AVV durchsetzen kann, anstatt, dass er die des Auftraggebers prüfen und anpassen muss. Dies beschleunigt ggf. auch die Beauftragung, wenn anfragende Interessenten bereits bei ihren Anfragen den Vorschlag einer AVV erhalten.

Was ist der Vorteil des Auftraggebers, wenn er die Inhalte der Auftragsverarbeitung definiert?

Es gelingt jedoch nicht immer, dass sich der Auftragnehmer mit seiner AVV durchsetzt. Speziell mittlere und große Unternehmen beharren als Auftraggeber auf der eigenen AVV, da deren Rechtsabteilung diese erstellt hat und sie den eigenen Compliance-Regelungen standhalten muss. In diesem Fall profitiert der Auftraggeber durch den Vorteil, dass nicht er, sondern der Auftragsverarbeiter den Vorschlag prüfen muss.

Was müssen Auftraggeber und Auftragsverarbeiter beachten?

Als Auftraggeber bleiben Sie immer verantwortlich für die Datenverarbeitung. Das gilt auch dann, wenn Sie weitere Unterauftragnehmer beauftragen und diese Teile Ihrer Dienstleistung erbringen. Daher ist es besonders wichtig, dass Sie entlang der Beauftragungskette die Dienstleister überprüfen dürfen (Kontrollrecht!) und dass Sie jegliche Unterbeauftragung ebenso datenschutzrechtlich bewerten. Das beinhaltet, dass Sie die Dienstleister sorgfältig auswählen und speziell die Sicherheit der Verarbeitung (technische und organisatorische Maßnahmen, im Folgenden: TOM) überprüfen.

Als Auftragsverarbeiter (Auftragnehmer) möchten Sie, dass Ihre Auftraggeber Sie schnell und ohne großen Aufwand beauftragen. Dies unterstützen Sie dadurch, dass Sie bereits bei der Anfrage des Interessenten/des Kunden Ihren Vorschlag einer AVV zur Verfügung stellen. Inhaltlich sollte diese alles Erforderliche beinhalten und gleichzeitig Ihre Interessen als Dienstleister berücksichtigen (z.B. Kostenregelungen für Unterstützungsleistungen). Damit schaffen Sie Vertrauen und Sie beschleunigen Ihre Beauftragung.

FAQ externer Datenschutzbeauftragter

FAQ rund um das Thema Auftragsverarbeitung und Datenschutz

Was sind Pflichtinhalte einer Vereinbarung zur Auftragsverarbeitung?

Im Vertrag zur Auftragsverarbeitung ist zu regeln:

  • der Gegenstand, die Dauer und Art und Zweck der Verarbeitung,
  • die Art der personenbezogenen Daten,
  • die Kategorien der betroffenen Personen,
  • die Feststellung, dass der Auftragsverarbeiter keine weiteren Auftragsverarbeiter (Unterauftragnehmer) ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch nimmt,
  • die Rechte und Pflichten des Verantwortlichen,
  • die Pflicht des Auftragsverarbeiters den Verantwortlichen zu informieren, wenn er der Meinung ist, dass die Weisungen des Verantwortlichen gegen gesetzliche Datenschutzbestimmungen verstoßen.

Bezogen auf den Auftragsverarbeiter sieht der Vertrag insbesondere vor, dass dieser

  1. die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet;
  2. gewährleistet, dass die Personen, die zur Verarbeitung befugt sind, zur Vertraulichkeit oder anderen gesetzlichen Verschwiegenheiten verpflichtet sind;
  3. alle Maßnahmen zur Sicherheit der Verarbeitung ergreift (technische und organisatorische Maßnahmen);
  4. weitere Auftragsverarbeiter (Unterauftragnehmer) nur entsprechend den gleichen Bedingungen einer vertraglichen AVV beauftragt;
  5. den Verantwortlichen geeignet unterstützt bei dessen Pflicht zur Erfüllung von Betroffenenrechten;
  6. den Verantwortlichen unterstützt, damit dieser seine Pflicht zur Sicherheit der Verarbeitung, Umgang mit meldepflichtigen Datenschutzverletzungen, Datenschutz-Folgenabschätzungen, nachkommen kann;
  7. eine Regelung mit dem Verantwortlichen definiert, die nach Abschluss der Auftragsverarbeitung festlegt, ob und wie Daten gelöscht oder zurückgegeben werden;
  8. dem Verantwortlichen alle Informationen zum Nachweis der Pflichten als Auftragsverarbeiter zur Verfügung stellt und Prüfungen des Verantwortlichen ermöglicht und dazu beiträgt.

Was passiert, wenn man keine Vereinbarung zur Auftragsverarbeitung abschließt?

Auftraggeber und Auftragnehmer sind gesetzlich verpflichtet, Vereinbarungen zur Auftragsverarbeitung abzuschließen. Aufsichtsbehörden prüfen zwischenzeitlich aktiv in bestimmten Branchen, ob die Organisationen solche Vereinbarungen abgeschlossen haben. Ist das nicht der Fall, so kann die Aufsichtsbehörde dies durch ein Bußgeld sanktionieren. In einem Fall kostete das 5.000 €, weil eine solche Vereinbarung fehlte. Wenn Auftraggeber und Auftragnehmer keine solche Vereinbarungen abschließen, dann haften sie für den verursachten Schaden und die betroffene Person hat einen Anspruch auf Schadenersatz.

Was kostet es, eine Vereinbarung zur Auftragsverarbeitung zu erstellen oder zu prüfen?

Auch das hängt wieder vom konkreten Auftrag und davon ab, ob man Auftraggeber oder Auftragsverarbeiter ist. Als Auftraggeber prüfen Sie die Auftragsverarbeitung und die technisch organisatorischen Maßnahmen Ihres Auftragsverarbeiters. Je nachdem, ob diese sich an Branchenstandards orientieren und alles Erforderliche beinhalten, dauert die Prüfung nur wenige Stunden oder geht sogar noch schneller.

Wir haben bereits unzählige AVVs geprüft und verfügen über sehr viel Erfahrung, was die Prüfung erheblich beschleunigt. Wenn Sie als Auftragsverarbeiter noch keine TOM dokumentiert haben und diese noch erfassen und prüfen müssen, so ist dies deutlich aufwändiger. In diesem Fall kann dies je nach Komplexität mehrere Stunden bis eine geringe Anzahl von Beratungstagen dauern.

Sprechen Sie uns an und wir klären mit Ihnen den Auftrag und ermitteln die voraussichtlichen Kosten!

Was ist der Vorteil der Auftragsverarbeitung gegenüber der Einwilligung?

Warum nutzt man als Organisation die Auftragsverarbeitung und nicht eine der anderen Rechtsgrundlagen, wie z.B. die Einwilligung oder das Vertragsverhältnis? Der große Vorteil besteht darin, dass man mit der Auftragsverarbeitung die personenbezogenen Daten an einen Dienstleister weitergeben darf, ohne dass man die davon betroffenen Personen vorher um Erlaubnis fragen muss. Würde man stattdessen die Betroffenen um deren Einwilligung bitten, so wäre es möglich, dass einzelne Betroffene widersprechen, was deren gutes Recht ist. Das würde jedoch dazu führen, dass man von allen anderen Personen die Daten an den Dienstleister weitergeben dürfte, das dies für einzelne Personen jedoch nicht möglich wäre. Das würde die Zusammenarbeit mit Dienstleistern erheblich erschweren.

Wie können wir Ihr Softwareunternehmen oder Ihre soziale Einrichtung bei der Auftragsvergabe unterstützen?

Seit unserer Gründung als ENSECUR erstellten wir zahllose AVV für Auftragsverarbeiter oder prüften diese für Auftraggeber. Daher kennen wir nahezu alle Fallstricke und Anforderungen, auf die es ankommt. Nutzen Sie diese Expertise, damit Sie vertrauensvoll Ihren Dienstleister beauftragen können, oder als Auftragsverarbeiter wissen, auf was Sie sich bei einer bestimmten AVV einlassen.

Speziell Softwareunternehmen profitieren davon, dass wir diese seit 2010 immer und immer wieder zum Thema Auftragsverarbeitung unterstützen. Wir verfügen über einen umfassenden Erfahrungsschatz, der eine schnelle Beauftragung durch Ihren Interessenten/Kunden unterstützt, und den wir Ihnen gerne zur Verfügung stellen.

Abhängig von Ihrer Rolle im Auftragsverarbeitungsverhältnis erstellen oder prüfen wir gerne Ihre AVV oder die TOM.

Kontaktieren Sie das Team der ENSECUR, um ein für Ihre Organisation zugeschnittenes Angebot für die Erstellung oder Prüfung von Vereinbarungen zur Auftragsverarbeitung zu erhalten.

Kontaktieren Sie uns