Auftragsverarbeitung

Übermittlung personenbezogener Daten unbedingt rechtlich absichern

Die meisten Unternehmen verarbeiten Daten mit Personenbezug nicht nur selbst, sondern reichen diese auch an externe Partner weiter. Solche Partner sind vor allem Outsourcing-Anbieter, die z.B. Unterstützung bei Lohnbuchhaltung oder Personalbeschaffung leisten. Viele Betriebe ziehen es vor, derartige Aufgaben an Spezialisten zu übertragen, um dadurch Rechtssicherheit zu erlangen und Kosten einzusparen.

Sobald eine Übermittlung personenbezogener Daten an den externen Partner stattfindet, wird dessen Leistung aus Sicht des Datenschutzes zumeist als Auftragsverarbeitung eingestuft. Die Verarbeitung von Daten im Auftrag ist in der Gesetzgebung akribisch geregelt und gilt als komplex. Es existieren mehrere Stolpersteine, die schon so manches Unternehmen teuer zu stehen gekommen sind.

Auftragsdatenverarbeitung vs Auftragsverarbeitung

Mit Einführung der DSGVO wurde der Begriff Auftragsdatenverarbeitung von der Auftragsverarbeitung abgelöst. Ebenso der frühere Auftragsdatenverarbeiter vom Auftragsverarbeiter. Nicht nur die Begrifflichkeiten sind in der DSGVO neu geregelt, sondern auch einige der anzuwendenden Vorschriften bei der Verarbeitung von personenbezogenen Daten im Auftrag.

Was ist Auftragsverarbeitung?

Nach dem Gesetz liegt eine Auftragsverarbeitung vor, wenn eine weisungsgebundene Datenverarbeitung durch Externe erfolgt, die Verantwortung für die ordnungsgemäße Datenverarbeitung jedoch weiterhin beim Auftraggeber verbleibt.

Die Verarbeitung von personenbezogenen Daten im Auftrag ist im geschäftlichen Alltag häufiger verbreitet, als im Allgemeinen angenommen wird. Zur besseren Veranschaulichung haben wir verschiedene Beispiele rund um die Auftragsverarbeitung zusammengetragen.

  • Kundenservice: Im Kundenservice ist Outsourcing stark verbreitet, viele Unternehmen betreuen ihre Kunden nicht selbst. Wenn beispielsweise Reparaturen innerhalb der Garantiezeit anstehen, werden externe Service-Partner eingeschaltet, die zugleich personenbezogene Daten übermittelt bekommen.
  • Personalbeschaffung: In zahlreichen Branchen ist es nicht ungewöhnlich, dass sich Unternehmen gezielt Fachkräfte bei Arbeitsvermittlern oder Zeitarbeitsfirmen leihen. Auch hier werden sensible Daten regelmäßig im Auftrag übermittelt.

Eine der großen Kernfragen bei der Herstellung von Datensicherheit im Unternehmen dreht sich darum, ob und mit welchen Partnern eine Auftragsverarbeitung erfolgt. Die Praxis zeigt, dass die Situation in vielen Unternehmen falsch eingeschätzt wird. Oft wird vermutet, dass entsprechende Vertragsverhältnis gar nicht existieren. Doch nach einer gründlichen Prüfung, beispielsweise durch einen externen Datenschutzbeauftragten, werden meist gleich mehrere solcher Verhältnisse aufgedeckt.

Im Übrigen gibt es auch Grenzfälle, in denen nicht unbedingt auf den ersten Blick zu erkennen ist, ob eine Auftragsverarbeitung stattfindet. Dies trifft ganz besonders für das Konzernumfeld zu, wenn beispielsweise Tochterunternehmen gezielt Daten untereinander austauschen. In solchen Fällen bedarf es einer genauen Prüfung, um letztlich genau sagen zu können, ob eine Auftragsverarbeitung vorliegt.

Welche Pflichten bestehen bei der Auftragsverarbeitung?

Sowohl für das Unternehmen als auch den externen Dienstleister ist es erforderlich, sich vertraglich abzusichern. Leider kommt es in der Praxis noch immer vor, dass eine Zusammenarbeit und somit auch der Austausch personenbezogener Daten erfolgt, obwohl kein Vertragsverhältnis besteht. Solch eine Vorgehensweise bedeutet einen erheblichen Verstoß gegen die in Europa gültigen Datenschutzbestimmungen.

Seit Einführung der DSGVO können Aufsichtsbehörden gezielte Sanktionen gegen den Verantwortlichen und den Auftragsverarbeiter verhängen. Seit dem 25.05.2018 hat der Gesetzgeber den rechtlichen Rahmen erheblich verschärft und die maximale Höhe für Bußgelder heraufgesetzt. Seither können Fehler, die mit der auftragsmäßigen Verarbeitung personenbezogener Daten in Verbindung stehen, nach Art. 83 DSGVO mit einer Geldstrafe von bis zu 4 Prozent des weltweit erzielten Jahresumsatzes des Unternehmens verhängt werden.

In der Vergangenheit haben die Aufsichtsbehörden zahlreiche Kontrollen durchgeführt und dabei regelmäßig Unternehmen aufgespürt, die ihren Pflichten nicht vollständig nachkamen. Entsprechend häuften sich bereits vor Einführung der DSGVO die verhängten Bußgelder, was im Grunde nicht sein musste und im Hinblick auf die mittlerweile noch strengere Gesetzgebung in jedem Fall vermieden werden sollte.

Auftragsverarbeitungsvertrag (AAV) und seine Bestandteile

Bei der Schließung eines Vertrags über die Auftragsverarbeitung ist es erforderlich, sämtliche Details zu berücksichtigen, die gem. Art. 28 DSGVO im Vertrag zu regeln sind. Zusammengefasst handelt es sich dabei um die folgenden Punkte:

  • Gegenstand und Dauer der Verarbeitung.
  • Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten. Art der Daten und Kreis der Betroffenen.
  • Garantie der technischen und organisatorischen Maßnahmen.
  • Berichtigung, Löschung und Sperrung von Daten.
  • Etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen.
  • Kontrollrechte des Auftraggebers und entsprechende Duldungs- und Mitwirkungspflichten des Auftragnehmers.
  • Verpflichtung der Mitarbeiter des Auftragnehmers zur Vertraulichkeit.
  • Mitwirken bei Datenschutz-Folgenabschätzungen und Meldepflichten.
  • Mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen.
  • Zusammenwirken bei Anfragen und Ansprüchen von betroffenen Personen
  • Ausmaß der Weisungsbefugnisse, welche sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält.
  • Rückgabe von Datenträgern sowie Löschung gespeicherter Daten nach Auftragsbeendigung.

Hinweis: Im Internet werden diverse Musterverträge zur Auftragsverarbeitung als Download bereitgestellt. Teilweise sogar von renommierten Stellen, wie beispielsweise den Landesbeauftragen für Datenschutz der einzelnen Länder. Allerdings wird keine Haftungsübernahme angeboten, weshalb Unternehmen diese AV-Verträge niemals ohne vorherige Prüfung übernehmen sollten. Im Rahmen unserer Datenschutzberatung leisten wir bei solchen Fragestellungen gerne Unterstützung.

Was kann ein externer Datenschutzbeauftragter tun?

Zur Herstellung einer angemessenen Datensicherheit im Unternehmen prüft der Datenschutzbeauftragte, ob Vertragsverhältnisse über die Auftragsverarbeitung bestehen und ob sie den Anforderungen des Datenschutzes gerecht werden. Andernfalls wird er nachbessern, indem Verträge angepasst oder neu geschlossen werden. Anschließend überwacht er alle relevanten Geschäftsprozesse, damit auf Änderungen umgehend reagiert werden kann.

Sie wissen nicht, ob Ihr Unternehmen den Anforderungen und Pflichten an die Auftragsverarbeitung gerecht wird? Dann nehmen Sie jetzt Kontakt auf, wir helfen gerne weiter.

Fragen & Antworten zum Thema

Wer arbeitet den Auftragsverarbeitungsvertrag aus?

Häufig wird der Vertrag direkt vom Auftragsverarbeiter bereitgestellt. Vor allem bei standardisierten Leistungen, wie z.B. Webhosting, ist diese Lösung verbreitet. Ob Sie solch einen Vertrag mit gutem Gewissen unterschreiben können, hängt von den genauen Vertragsinhalten ab. Oft ist dies möglich, manchmal kann es sich aber empfehlen, auf individuell abgestimmte Vertragsinhalte hinzuwirken.

Was ist in der Praxis außerdem wichtig?

Eine zuverlässige Dokumentation ist unverzichtbar. Im Verzeichnis der Verarbeitungstätigkeiten ist festzuhalten, an welche externen Stellen personenbezogene Daten weitergegeben werden. Zudem ist eine Archivierung der Verträge notwendig, um diese im Bedarfsfall kontrollieren und vorlegen zu können.

Was müssen Auftragsverarbeiter berücksichtigen?

Auftragsverarbeiter führen mehrere Verzeichnisse der Verarbeitungstätigkeiten. Neben dem „eigenen“ Verzeichnis wird ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitungen geführt.

Wie kann ein externer Datenschutzbeauftragter bei der Auftragsverarbeitung helfen?

Zur Herstellung einer angemessenen Datensicherheit im Unternehmen prüft der Datenschutzbeauftragte, ob Vertragsverhältnisse über die Auftragsverarbeitung bestehen. Falls nicht, wird er auf die vertragliche Absicherung hinwirken.

Er prüft außerdem, und ob bestehende Verträge den Anforderungen des Datenschutzes gerecht werden. Andernfalls wird der DSB nachbessern, indem Verträge angepasst oder neu geschlossen werden. Anschließend überwacht er alle relevanten Geschäftsprozesse, damit auf Änderungen umgehend reagiert werden kann.

Sie wissen nicht, ob Ihr Unternehmen den Anforderungen und Pflichten an die Auftragsverarbeitung gerecht wird? Dann nehmen Sie jetzt Kontakt auf, wir helfen gerne weiter.