Dass Unternehmen sich um den Datenschutz kümmern müssen, ist spätestens in den letzten 5 Jahren seit Einführung der DSGVO (Datenschutzgrundverordnung) immer deutlicher geworden. Die Handhabung erfolgt unterschiedlich. Die einen kümmern sich sehr gewissenhaft, andere erledigen nur das Notwendigste und der Rest hat weiterhin kein Interesse in irgendeiner Form aktiv zu werden. Aufgrund von unterschiedlichen Datenpannen bei Unternehmen zeigt sich immer häufiger, dass letzteres keine wirklich gute Alternative ist. Der jüngste Hackerangriff auf das Unternehmen Verivox und der Festplattenverlust bei SAP zeigen deutlich, dass es sich heutzutage lohnt, nicht nur Unternehmensdaten vor Diebstahl oder Fremdzugriffen zu schützen.

Welche Punkte Sie bei der Umsetzung des Datenschutzes in Ihrem Unternehmen beachten müssen, haben wir mehrfach erläutert und Ihnen die Basics aufgeführt. In unserer Tätigkeit als Datenschutz-Unternehmen ist uns im Laufe der Betreuung von Kunden aus verschiedenen Branchen aufgefallen, dass vor allem die Datenverarbeitung im Auftrag (Auftragsverarbeitung) oftmals eine Herausforderung darstellt.

Was ist eine Auftragsverarbeitung?

Als Unternehmen verarbeiten Sie personenbezogene Daten. Dies sind beispielsweise die Daten Ihrer Mitarbeiter oder Ihrer Kunden. Jedoch üben Sie nicht immer alle Tätigkeiten, die Sie zur Erfüllung Ihres Auftrags oder Ihrer Dienstleistung benötigen, selbst aus. Gelegentlich kommt es vor, dass Sie hierfür Unterstützung von anderen Dienstleistern in Anspruch nehmen. Sie lagern somit die entsprechende Tätigkeit aus.

Beispiele für eine Auftragsverarbeitung

Der Klassiker schlechthin ist der Newsletter. Die wenigsten Unternehmen versenden heutzutage noch Newsletter per E-Mail, in der die E-Mail-Adressen Ihrer Kunden einfach ins BCC („blind carbon copy“ – Blindkopie) gesetzt werden. Ein derartiges Verfahren hat, neben dem Datenpannen-Potential, noch weitere Herausforderungen: ab einer gewissen Anzahl von E-Mail-Adressen wird die E-Mail-Adresse des Senders gerne zur Spam-Adresse deklariert und auch das erforderliche Opt-Out lässt sich nur schwer umsetzen. Einen Newsletter datenschutzkonform zu versenden, ist nicht einfach - auch wenn eine eigenständige Umsetzung per Webserver durchaus möglich ist. Aus diesem Grund kommen vermehrt externe Anbieter zum Einsatz. Die Anzahl der Anbieter in Deutschland und der EU ist seither gewachsen. Damit der Newsletter versendet werden kann, benötigt die Software Ihres Dienstleisters zumindest die E-Mail-Adressen der Empfänger. Diese Weitergabe von personenbezogenen Daten an Ihren Newsletter Dienstleister nennt sich Auftragsverarbeitung.

Gleiches geschieht mit Mitarbeiterdaten, die Sie einem Lohnbüro zur Erstellung der Lohnbuchhaltung übermitteln – mit Ausnahme des Steuerberaters. Ebenfalls stellt das Webhosting Ihrer Webseite eine Auftragsverarbeitung dar. Auch die Weitergabe von Kunden- oder Mitarbeiteradressen an eine Druckerei zum Versand von Druckerzeugnissen ist eine klassische Verarbeitung von personenbezogenen Daten im Auftrag.

Was ist wichtig für Sie als Unternehmen?

Geben Sie als Unternehmen personenbezogene Daten an einen externen Dienstleister, bleiben Sie weiterhin für diese Daten verantwortlich. Dies bedeutet, dass Sie sicherstellen müssen, dass die Daten ausschließlich zu dem Zweck, zu dem Sie diese Ihrem Dienstleister überlassen, verarbeitet werden. Ihr Dienstleister arbeitet somit ausschließlich weisungsgebunden mit den ihm anvertrauten Daten. Im Rahmen der Verarbeitung im Auftrag ist die Nutzung zu eigenen Zwecken ausgeschlossen.

Geben Sie die Daten an jemand externen, müssten Sie trotzdem sicherstellen, dass die Daten weiterhin geschützt bleiben. Diese Kontrolle erfolgt über den Abschluss eines Vertrags zur Auftragsverarbeitung (AV-Vertrag). Hierbei ist zu beachten, dass die Verpflichtung zum Abschluss eines AV-Vertrages beidseitig besteht, was 2019 der Bußgeldbescheid in Höhe von 5.000,- Euro gegen die Kolibri Image zeigte.

Artikel 28 DSGVO (Auftragsverarbeiter)

Im Art. 28 DSGVO werden die rechtlichen Vorgaben zur Auftragsverarbeitung genannt. Es wird festgelegt, dass …

• der Dienstleister geeignete technische und organisatorische Maßnahmen (TOM) zum Schutz der Daten zu ergreifen hat, die Verarbeitung im Einklang mit der DSGVO stehen und dass die Rechte und Freiheiten der betroffenen Personen gewahrt werden müssen (Absatz 1).
  
  
• dass der Auftragsverarbeiter sich weitere Unterauftragsverarbeiter genehmigen lassen muss oder, im Falle einer allgemeinen Genehmigung, den Auftraggeber (Verantwortlichen = Sie) informieren muss, sollte es zu einem Wechsel oder der Hinzuziehung eines neuen Unterauftragnehmers kommen, sodass Sie als Verantwortlicher Einspruch erheben können (Absatz 2).
  

  Kommt es zu einer derartigen Unterbeauftragung, muss der Auftragnehmer dafür Sorge tragen, dass wiederum jegliche Pflichten, die ihm im Rahmen der Auftragsverarbeitung auferlegt wurden, ebenfalls für seinen Unterauftragnehmer (Subunternehmer) gelten. Hierbei ist besonders auf die Einhaltung der TOM und die Vorgaben der DSGVO zu achten. Werden die Datenschutzpflichten seitens des Subunternehmers nicht erfüllt, so haftet der erste Auftragnehmer gegenüber dem Verantwortlichen (Absatz 4).  

  Zum Nachweis der Einhaltung der rechtlichen Vorgaben, kann sowohl der Auftragnehmer als auch dessen Subunternehmer beispielsweise geeignete Garantien (gem. Art. 40 DSGVO) oder ein genehmigtes Zertifizierungsverfahren (gem. Art. 42 DSGVO) hinzuziehen (Absatz 5).

• unabhängig eines individuellen Vertrages, die vertragliche Regelung ebenfalls mittels Standardvertragsklauseln erfolgen kann (Absätze 6 – 8) und der Vertragsschluss schriftlich, optional auch im elektronischen Format, erfolgen muss (Absatz 9).
  
  
• ein Auftragsverarbeiter, der gegen die DSGVO und Weisungsgebundenheit verstößt und die Zwecke und Mittel der Verarbeitung selbst bestimmt, als Verantwortlicher gilt (Absatz 10).

Der Absatz 9 gibt vor, dass der Vertrag schriftlich (bzw. elektronisch) erfolgen muss. Die Inhalte und rechtlichen Vorgaben des AV-Vertrages lassen sich dem Absatz 3 des Artikel 28 DSGVO entnehmen. Dieser fordert die Festlegung von

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• die Art der personenbezogenen Daten
• die Kategorien betroffener Personen und
• die Pflichten und Rechte des Verantwortlichen

Zudem werden die aus der Verarbeitung hervorgehenden Pflichten des Auftragnehmers genannt:

a) Dass die Verarbeitung nur in dokumentierter Weise (auch beim Transfer in ein Drittland) erfolgt, sofern keine rechtliche Verpflichtung zur Verarbeitung der Daten vorliegt, die sofern kein Verbot vorliegt – dem Verantwortlichen mittzuteilen ist.

b) Dass die Mitarbeiter des Auftragnehmers, die die Daten verarbeiten, auf Vertraulichkeit verpflichtet sind.

c) Dass die Sicherheit der Verarbeitung in Form von technisch-organisatorischen Maßnahmen (gem. Art. 32 DSGVO) gewährleistet wird.

d) Dass sich der Auftragnehmer an die Vorgaben aus den Absätzen 2 und 4 hält, sofern er Subunternehmer beauftragt.

e) Dass der Auftragnehmer den Verantwortlichen zu unterstützen hat, sobald ein Betroffener seine Rechte wahrnehmen möchte.

f) Dass der Auftragnehmer den Verantwortlichen sowohl bei der Umsetzung der TOM als auch im Falle einer Datenpanne unterstützt (Art. 32 – 36 DSGVO).

g) Die Rückgabe oder Löschung der Daten seitens des Dienstleisters, sofern keine rechtlichen Hemmnisse vorliegen.

h) Dass der Auftragsverarbeiter dem Verantwortlichen jegliche Nachweise zur Einhaltung der Vorgaben bereitstellt und eine Überprüfung ermöglicht.

Zudem hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu informieren, sofern er der Ansicht ist, eine erteilte Weisung verstößt gegen die Vorgaben der DSGVO.

Letztlich gibt der Artikel 28 DSGVO genau vor, wie die Verarbeitung im Auftrag zu erfolgen hat. Um es auf den Punkt zu bringen: datenschutzkonform und entsprechend der Vorgaben der Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz (BDSG).

AV-Vertrag (Vertrag zur Auftragsverarbeitung)

Jegliche Zusätze und Ergänzungen, die man oftmals in AV-Verträgen findet, sind der deutschen Vertragsfreiheit geschuldet, deckt der Artikel 28 DSGVO doch alle Vorgaben bei der Verarbeitung von personenbezogenen Daten im Auftrag ab.

Zwischenzeitlich gibt es, neben den EU-Standardvertragsklauseln, von den deutschen Datenschutzbehörden der einzelnen Bundesländer die unterschiedlichsten Muster, die auf mehreren Seiten die vertraglichen Vorgaben auflisten. Entgegen den Standardvertragsklauseln, die seitens der EU erstellt wurden, war es in Deutschland bisher leider nicht möglich, dass sich die Behörden auf eine einheitliche Mustervorlage einigen, die von allen anerkannt wird. Hinzu kommen Verträge, die eigens für diesen Zweck von Juristen erstellt werden, was durchaus lukrativ zu sein scheint.

Diese Vorgehensweise macht es nicht nur Verantwortlichen, sondern auch den unterstützenden Datenschutzbeauftragten stellenweise sehr schwer, das Thema „Verarbeitung im Auftrag“ unkompliziert zu lösen. Weichen Inhalte, Formulierungen oder gar Zusätze von bekannten Verträgen ab, ist immer eine vollständige Prüfung des Vertrages erforderlich. Mittels dieser muss sichergestellt werden, dass sowohl alle Vorgaben des Art. 28 DSGVO berücksichtigt sind als auch keine unangenehmen Zusätze, wie beispielsweise übertriebene Haftungs- oder Schadensersatzansprüche, im Vertrag ergänzt werden. Hier würde ein einheitliches Muster zum Abgleich für die Beteiligten sehr viel Aufwand sparen.

Der Shortcut AV-Vertrag oder was wäre, wenn?

Hinzu kommt die (fiktive) Frage: aus welchem Grund muss ein AV-Vertrag so viele Seiten umfassen? Geht man, ebenfalls fiktiv, davon aus, dass sowohl der Verantwortliche als auch der Auftragnehmer den Datenschutz in ihren Unternehmen „leben“ und die Vorgaben zum Schutz von personenbezogenen Daten kennen und umsetzen, wäre die Auftragsverarbeitung recht einfach zu lösen. Selbstverständlich genügt die Angabe

„Der Auftragsverarbeiter und der Verantwortliche sind sich vertraglich einig, dass sich die Beteiligten an die Pflichten und Vorschriften, die aus Art. 28 DSGVO einhergehen, halten.“

nicht ganz … oder doch?

So seltsam es klingt: im Zuge der Vertragsfreiheit könnte diese Angabe bereits ausreichen. Doch mit diesem Satz sind ein paar Basisinformationen, die ein AV-Vertrag auch gem. Art. 28 DSGVO umfassen sollte, nicht wirklich geregelt, wodurch die finale Rechtsgültigkeit des Vertrages vermutlich scheitern würde.

So fehlt beispielsweise die Information, wer Verantwortlicher und wer Dienstleister ist und welche Tätigkeit im Rahmen der Auftragsverarbeitung überhaupt erfolgt. Aus diesem Grund sind ein paar weitere verpflichtende Angaben erforderlich. Jedoch ließen sich die Inhalte eines AV-Vertrags tatsächlich auf das absolute Minimum reduzieren und der Vertrag könnte wie folgt aussehen:

Bild: Fiktives Muster eines Kurz-AV-Vertrages (Vollständigkeit der Inhalte ohne Gewähr!)

Hinweis:

Bei dem oben angezeigten Muster handelt es sich um eine auf die wesentlichen Pflichtangaben des Art. 28 DSGVO reduzierte Version eines AV-Vertrages. Da wir als Datenschutzbeauftragte rechtlich keine grundsätzliche Vertragsgestaltung durchführen, erheben wir mit dem Muster keinen Anspruch auf Vollständigkeit oder Richtigkeit der Inhalte.

Das Beispiel oben soll tatsächlich nur unterstreichen, dass die vertraglichen Inhalte eines AV-Vertrages bei weitem nicht so komplex sein müssen, wie sie oftmals zwischen Unternehmen hin- und her gereicht und ausdiskutiert werden. Sind beiden Parteien die jeweiligen datenschutzrechtlichen Verpflichtungen bekannt, ist es dem Grunde nach nicht erforderlich, diese in ausschweifenden Verträgen nochmals detailliert auszuführen.

Auch zusätzliche Haftungsregelungen, die, nach unserer Erfahrung, in AV-Verträgen gerne verschärft oder sehr überzogen ergänzt werden, sind bereits über die DSGVO geregelt. Und sind wir mal ehrlich und realistisch: kommt es tatsächlich zu einer Datenpanne, die keiner mangelnden Umsetzung der DSGVO geschuldet ist, wie z. B. eine Cyber-Attacke oder menschliches Versagen, gibt es andere Herausforderungen, die gelöst werden müssen. Der Schaden stellt den Betroffenen monetär bereits vor große Probleme, ohne dass es überzogener Sanktionen im AV-Vertrag bedarf.

Fazit

Wie bereits erwähnt, wäre es für alle Beteiligten schön, wenn es seitens der deutschen Aufsichtsbehörden ein verständliches, einheitliches Muster gäbe, welches auch von kleinen Unternehmen verwendet werden kann. Denn auch diese sind zum Abschluss von AV-Verträgen verpflichtet, haben jedoch oftmals keinen Juristen oder Datenschutzbeauftragten zur Seite, der hierbei unterstützt. Die Umsetzung würde sich einfacher gestalten und das Thema Datenschutz in diesem Bereich zumindest einen Teil seines Schreckens verlieren.

Neben den klassischen Tätigkeiten, die der Datenschutz umfasst, zudem auch AV-Verträge gehören, unterstützen wir auch kleinere Unternehmen bei der Umsetzung. Gerne gehen wir mit Ihnen in einem Workshop oder bei einem unserer Seminare die Themen durch, die Sie als Verantwortlicher umsetzen müssen. Hierbei stehen auch die Punkte im Vordergrund, die Sie von außen angreifbar machen, wie beispielsweise die Prüfung Ihrer Webseite. Unser Team ist breitflächig aufgestellt und unsere Erfahrung deckt die unterschiedlichsten Branchen ab. Wir freuen uns über eine Kontaktaufnahme von Ihnen.