Wenn Unternehmen oder Selbstständige Cloudspeicher nutzen, Akten schreddern lassen oder den Versand ihres Newsletters outsourcen, benötigen sie einen korrekten, DSGVO-konformen Auftragsverarbeitungsvertrag. Sonst drohen empfindliche Bußgelder durch die Datenschutzbehörden.
Auftragsverarbeitung: Dienstleistung unter Verarbeitung personenbezogener Daten
Personenbezogene Daten sind streng geschützt. Viele der datenschutzrechtlichen Vorschriften stehen in der Datenschutz-Grundverordnung (DSGVO). Sie regelt auch, wie Verträge mit Dienstleistern aussehen müssen, wenn der Auftrag die Verarbeitung personenbezogener Informationen umfasst. Die Vorschriften gelten zum Beispiel dann, wenn der Dienstleister Einblick in Kundenadressen, Kontonummern oder Nutzungsprofile von Website-Besuchern bekommt.
Die DSGVO spricht in diesem Fall von Auftragsverarbeitung und schreibt dafür sogenannte Auftragsverarbeitungsverträge vor. Praktische Beispiele sind die Nutzung eines Cloud-Dienstes, einer Projekt-Plattform, eines Lohnabrechnungsdienstleisters, Newsletter-Providers oder Aktenvernichtungsservices. Erfüllt der dazu abgeschlossene Vertrag nicht die DSGVO-Anforderungen, drohen sowohl dem Auftraggeber als auch dem Dienstleister empfindliche Bußgelder und Schadenersatzforderungen.
Auftragsverarbeitung und Auftragsvereinbarungsvertrag: Das sagt die DSGVO
Als Auftragsverarbeiter zählt, wer „personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ (Art. 4 Nr. 8 DSGVO). Den Auftraggeber nennt die Verordnung „Verantwortlicher“: er haftet für den Schutz der personenbezogenen Daten, die an den Auftragsverarbeiter übermittelt werden.
Auftragsverarbeitung setzt stets eine Weisungsbefugnis des Auftraggebers voraus (Art. 29 DSGVO). Wenn der Dienstleister selbst entscheiden kann, wie er die personenbezogenen Daten verarbeitet, also beispielsweise wie er sie auswertet oder wozu er sie nutzt, dann ist er kein Auftragsverarbeiter im Sinne der DSGVO.
Das ist keineswegs nur ein theoretischer Unterschied. Die Abgrenzung wirkt sich direkt auf die datenschutzrechtliche Grundlage der Zusammenarbeit aus. Der Grund: Wie stets bei personenbezogenen Daten müssen die Personen, um deren Daten es geht, entweder ausdrücklich in die Verarbeitung einwilligen, oder die Verarbeitung muss sich direkt aus einem Gesetz ergeben. Außerdem können sie deren Löschung verlangen und haben Anspruch auf Auskunft über die Speicherung. In datenschutzrechtlicher Hinsicht kann bei Datenverarbeitung durch Dienstleister entweder der Auftraggeber oder der Auftragnehmer Ansprechpartner sein, je nachdem ob eine Auftragsverarbeitung vorliegt oder nicht.
Fall 1: Auftragsverarbeitung
Auftragsverarbeiter übernehmen in gewissem Sinn die Berechtigung zur Datenverarbeitung von ihrem Auftraggeber. Einige Beispiele:
- Der Arbeitgeber ist gesetzlich zur Lohn- und Gehaltsabrechnung verpflichtet und muss dazu die Arbeitszeiten, Kontonummern etc. seiner Mitarbeiter verarbeiten. Deshalb benötigt er dazu keine gesonderte Einwilligung. Beauftragt er einen speziellen Abrechnungsdienstleister mit der Lohnabrechnung, ermöglicht das Gesetz auch die Datenverarbeitung durch diesen Dienstleister, sofern ein korrekter Auftragsverarbeitungsvertrag abgeschlossen wurde.
- Damit ein Online-Shop seinen Kunden und Website-Besuchern Werbe-E-Mails schicken darf, benötigt er deren Einwilligung. Liegt diese vor und deckt sie auch die Auftragsverarbeitung durch andere Unternehmen ab, kann der Shop-Betreiber den Versand samt Verarbeitung von Namen und E-Mail-Adressen einem externen Dienstleister übertragen.
- Eine selbstständige IT-Expertin, die die Datenbanken eines Unternehmens administriert und dabei die dort gespeicherten personenbezogenen Daten einsehen kann, zählt ebenfalls als Auftragsverarbeiterin. Deshalb muss sie nicht selbst die Einwilligung der Personen einholen, deren Daten in der Datenbank gespeichert sind, wenn die Auftragsverarbeitungsvereinbarung sie dazu berechtigt.
- Weitere Beispiele sind ein Cloudspeicher-Provider, ein Tracking-Dienstleister, der das Online-Verhalten der Besucher auswertet oder ein Anbieter, der Telefonsupport für andere Unternehmen leistet.
- Auftragsverarbeiter gibt es auch offline. Dazu gehören beispielsweise mobile Anbieter von Aktenvernichtung, sofern in den Dokumenten personenbezogene Informationen stehen.
Datenschutzrechtlich zulässig ist die Auftragsverarbeitung in all diesen Fällen nur dann, wenn ein korrekter Auftragsverarbeitungsvertrag abgeschlossen wurde. Natürlich müssen auch die anderen Vorgaben der DSGVO beachtet werden. Vor allem muss der Auftraggeber zur Speicherung und Übertragung der Daten berechtigt sein.
Bei Auftragsverarbeitung ist der Auftraggeber verantwortlich: Er ist deshalb auch Ansprechpartner für Personen, die ihre Daten gelöscht haben wollen oder Auskunft zu deren Verwendung fordern.
Fall 2: der Dienstleister als eigenständiger „Verantwortlicher“
Verarbeitet der Dienstleister die Daten die Daten dagegen nicht strikt nach Weisung des Auftraggebers, sondern kann zumindest im Rahmen des Auftrags selbst entscheiden, welche der ihm überlassenen Personendaten er in welcher Form nutzt, dann ist er ein eigenständiger „Verantwortlicher“ im Sinne der DSGVO und kein Auftragsverarbeiter.
Deshalb wird für die Dienstleistung samt Übermittlung der Daten eine eigene datenschutzrechtliche Grundlage benötigt. Sie kann auch in diesem Fall entweder in einer Einwilligung der entsprechenden Personen oder in einer gesetzlichen Regelung bestehen. Beides muss sich dann jedoch auf den Dienstleister beziehen, nicht (nur) auf den Auftraggeber.
- Überträgt der Arbeitgeber die Lohn- und Gehaltsabrechnung seinem Steuerberater, ist anders als bei Rechenzentren und Abrechnungsdienstleistern kein Auftragsverarbeitungsvertrag erforderlich. Steuerberatern erlaubt das Gesetz die Verarbeitung personenbezogener Daten generell ( 11 StBerG).
- Entsprechende gesetzliche Grundlagen gelten zum Beispiel auch für Ärzte, Wirtschaftsprüfer und für Banken.
- Dagegen muss in der Regel eine zusätzliche Einwilligung der Kunden vorliegen, wenn ein Online-Shop seine Nutzungsdaten einschließlich Website-Nutzung, Bestellhistorie, Retouren, Zahlungspräferenzen etc. einem externen Marketingberater überlässt, damit dieser neue Konzepte zur Erhöhung der Konversionsrate erarbeitet.
- Auch eine von einem Unternehmen beauftragte Gutachterin oder ein als Mentor für Nachwuchskräfte beauftragter freier Coach zählen datenschutzrechtlich selbst als Verantwortliche für die Verarbeitung personenbezogener Daten, die vom Auftraggeber bereitgestellt werden. Gleichzeitig ist der Auftraggeber Verantwortlicher für die Übermittlung der Daten.
Als eigenständiger Verantwortlicher ist der Dienstleister oder Auftragnehmer selbst Anlaufstelle, wenn Betroffene Auskunft zu ihren Daten haben wollen oder deren Löschung fordern. Er kann sie nicht einfach an den Auftraggeber verweisen.
Die Anforderungen der DSGVO an einen Auftragsverarbeitungsvertrag
Vorschriften für die Zusammenarbeit zwischen einem Unternehmen und einem Auftragsverarbeiter sowie Regelungen zum Auftragsverarbeitungsvertrag stehen in Art. 28 DSGVO. Damit ergeben sich unter anderem folgende Vorgaben:
- Ein gültiger Auftragsverarbeitungsvertrag muss bei Beginn der Dienstleistung
- Der Vertrag muss eindeutig festhalten, welche personenbezogenen Daten wie lange, auf welche Art und zu welchem Zweck verarbeitet werden.
- Der Auftraggeber muss gemäß Vertrag weisungsbefugt in Bezug auf die Verarbeitung personenbezogener Daten sein.
- Verstöße gegen die Pflichten aus Art. 28 DSGVO müssen als schwere Vertragsverletzung definiert sein.
- Der Auftraggeber als Verantwortlicher muss die Einhaltung der Vereinbarung regelmäßig überprüfen. Das Recht auf Überprüfung der Einhaltung von Datenschutzmaßnahmen sollte vertraglich zugesichert sein.
- Der Auftragsverarbeiter muss sich im Vertrag dazu verpflichten, dass er alle personenbezogenen Daten löscht, sobald diese für seine Dienstleistung nicht mehr benötigt werden oder die Rechtslage dies erfordert.
- Der Dienstleister muss sich vertraglich zusichern, dass er die personenbezogenen Daten nur auf die dokumentierte Art nutzt, sie nicht entgegen der DSGVO in ein Drittland übermittelt und zu ihrer Verarbeitung nur Mitarbeiter einsetzt, die zur Vertraulichkeit verpflichtet wurden.
- Der Auftragsverarbeiter muss ein ausreichendes Sicherheitsniveau gemäß 32 DSGVO garantieren. Dazu gehören unter anderem Verschlüsselung, Schutz vor unbefugten Zugriffen und vor Sicherheitsverletzungen, ein regelmäßiger Backup und ein Konzept zur Datensicherheit. (Eine Zertifizierung gemäß ISO 27001 ist für sich genommen nicht ausreichend, da sie aus datenschutzrechtlicher Sicht nur Teilaspekte betrifft. Ähnliches gilt beispielsweise für den Code of Conduct der deutschen Wirtschaftsauskunfteien als „genehmigte Verhaltensregel“.)
- Der Auftragsverarbeiter muss zusichern, dass er den Auftraggeber über mögliche eigene Dienstleister informiert, soweit sie mit den übermittelten personenbezogenen Daten zu tun haben. Außerdem muss er sie auf die gleichen Datenschutzvorgaben verpflichtet, die für ihn selbst gelten. Der Vertrag sollte die Einbindung solcher Unterauftragnehmer an die Zustimmung des Auftraggebers knüpfen.
- Außerdem muss der Auftragnehmer im Vertrag zusagen, dass er den Auftraggeber bei Auskunfts- und Löschanträgen von Betroffen, beim Erstellen der vorgeschriebenen Datenschutz-Folgeabschätzungen sowie bei den Pflichtmeldungen an die Aufsichtsbehörden nach einer Datenschutzverletzung in vollem Umfang unterstützt und bei möglichen Überprüfungen und Inspektionen kooperiert.
Kein DSGVO-konformer Auftragsverarbeitungsvertrag? Das kann teuer werden
Unternehmen und Selbstständige, die Daten von Kunden, Mitarbeitern oder anderen Personen zum Beispiel in Cloud-Speicher ablegen, mit einem Analytics-Programm auswerten oder einem Programmierer zur Verfügung stellen, ohne einen DSGVO-konformen Auftragsverarbeitungsvertrag abzuschließen, verstoßen gegen das Gesetz.
Für diesen Fall sieht die DSGVO drastische Bußgelder vor: bis zu 10.000 Euro oder bis zu 2 Prozent vom weltweiten Jahresumsatz sind möglich. Die Aufsichtsbehörden verhängen regelmäßig hohe Bußgelder, wenn es um DSGVO-Verstöße geht.
Kostenlose Vertragsmuster für Auftragsverarbeitung findet man viele. Vier Beispiele:
- Direkt von der EU stammen die Standardvertragsklauseln Auftragsverarbeitung.
- Der Landesdatenschutzbeauftragte von Baden-Württemberg bietet ebenfalls einen Muster-Auftragsverarbeitungsvertrag
- Eine weitere Mustervereinbarung zur Auftragsverarbeitung findet man beim Bundesdatenschutzbeauftragen.
- Der IT-Branchenverband Bitkom kombiniert seine Mustervertragsanlage Auftragsverarbeitung mit ausführlichen „begleitenden Hinweisen“.
Selbstverständlich genügt es nicht, solche Musterverträge unbesehen zu übernehmen: Sie müssen genau auf die eigene Situation hin angepasst werden.
