Kostenlosen Ratgeber zur Verteidigung gegen
Abmahnung als 28 Seiten PDF-Dokument
Achtung: Der Beitrag kann die rechtliche Beratung im Einzelfall nicht ersetzen!
Was ist ein AV-Vertrag bzw. Auftragsdatenverarbeitung nach der DSGVO bzw. BDSG und wann besteht eine Pflicht für einen AV-Vertrag und wann nicht? Mit dieser Frage beschäftigen sich nahezu alle Vereine und Unternehmen spätestens seit dem die DSGVO in Kraft trat, wir versuchen Ihnen das Thema in nachfolgendem Artikel zu erläutern und verweisen auf Muster sowie weitere Hilfen zur Bearbeitung insbesondere auf die Datenbank zu AV-Verträgen unter https://av-vertrag.org
Die Auftragsverarbeitung ist ein Vertragsverhältnis zwischen einem datenschutzrechtlich Verantwortlichen und einem weisungsabhängigen, in der Regel externen Dienstleister, in dem sich der Dienstleister zur Verarbeitung personenbezogener Daten verpflichtet.
Die Auftragsverarbeitung ermöglicht eine Auslagerung von Datenverarbeitungsprozessen an externe Dienstleister. Diese üben eine Hilfstätigkeit aus und verarbeiten personenbezogene Daten im Auftrag des Verantwortlichen. Aufgrund dessen ist die Auftragsverarbeitung von hoher praktischer Relevanz und sowohl in weiten Teilen der Privatwirtschaft als auch in der öffentlichen Verwaltung verbreitet.
Die Anwendungsfelder der Auftragsverarbeitung sind vielfältig. Als typische Beispiele kommen in Betracht die Erledigung von Massenarbeiten (z.B. Versand von Informationsbroschüren, Beitragsrechnungen und generell Drucksachen) und die grundsätzliche Datenerfassung und Datenumsetzung. Damit ermöglicht die Auftragsverarbeitung das Outsourcen von Datenverarbeitungsprozessen, die innerhalb des eigenen Unternehmens aufgrund mangelnder Expertise oder Kapazitäten nur unter erheblichem Aufwand möglich wären, etwa die Verarbeitung über Kundendaten, die an ein Callcenter ausgelagert werden. Als weiteres klassisches Feld der Auftragsverarbeitung kommt zudem der Aufbau von Backup-Kapazitäten in Betracht, gleich ob mittels Cloud-Computing oder Serverkapazitäten. Im Bereich der Datenarchivierung und der Vernichtung von Datenträgern spielt die Auftragsverarbeitung ebenfalls eine Rolle. Auch beim Einsatz von „Google Analytics“ liegt ein Fall der Auftragsverarbeitung vor, bei dem die das Tool nutzende Website als Auftragsverarbeiter von Google fungiert.
Vorteile der Auftragsverarbeitung sind unter anderem Kosteneinsparungen, eine hohe Flexibilität durch die Unabhängigkeit von Personalengpässen und internen IT-Fragen und eine höhere Qualität durch den Einsatz von Unternehmen, die sich auf Datenverarbeitungsprozesse spezialisiert haben. Nachteile sind der damit verbundene Kontrollverlust des Verantwortlichen, der die Herrschaft über die Daten verliert und sich Haftungs- und Schadensrisiken aussetzt, wenn sich der Auftragsverarbeiter nicht an die gesetzlichen und vertraglichen Vorgaben hält.
Nichtsdestotrotz ermöglicht die Auftragsverarbeitung – nicht zuletzt wegen ihrer Privilegierung gegenüber der Datenweitergabe an einen anderen Verantwortlichen – ein attraktives Instrument zur Auslagerung von Datenverarbeitungsprozessen, dessen Risiken durch Vertrag und Gesetz auf ein angemessenes Niveau gesenkt werden können.
Zentrale Vorschrift der Auftragsverarbeitung ist Art. 28 DSGVO. Das BDSG und die LDSG enthalten größtenteils keine Regelungen zur Auftragsverarbeitung mehr.
Die Datenverarbeitung ist gegenüber anderen Datenverarbeitungen privilegiert, als die Weitergabe der Daten an einen Auftragsverarbeiter ohne das Vorliegen eines Zulässigkeitstatbestands nach Art. 6 ff. DSGVO möglich ist. Ohne diese Privilegierung wäre die Auslagerung von Datenschutzprozessen erheblichen Rechtsunsicherheiten ausgeliefert. So käme als Erlaubnistatbestand die Einwilligung (Art. 6 I 1 lit. a DSGVO) in Betracht, jedoch mit der für den Verantwortlichen negativen Konsequenz, dass die Einwilligung jederzeit widerrufbar ist.
Der Erlaubnistatbestand der Interessenabwägung (Art. 6 I 1 lit. f DSGVO) würde dagegen bedeuten, dass der Verantwortliche offenlegen und beweisen muss, warum er die Datenverarbeitungen nicht selbst vornimmt, sondern an einen Dritten auslagert. Demgegenüber ermöglicht die Auftragsverarbeitung die Auslagerung der Datenverarbeitung auf Grundlage eines Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter.
Art. 28 I DSGVO definiert die Auftragsverarbeitung als die Verarbeitung personenbezogener Daten durch einen Dienstleister (sog. Auftragsverarbeiter) im Auftrag eines Verantwortlichen. Zentrale Konsequenz dieser Regelung ist, dass der Verantwortliche weiterhin für die Datenverarbeitung verantwortlich bleibt, d.h. er bestimmt über die Zwecke und Mittel der Datenverarbeitung und muss die Einhaltung der datenschutzrechtlichen Vorschriften sicherstellen (Art. 4 Nr. 7 DSGVO). Daran ändert sich durch die Einschaltung eines Auftragsverarbeiters nichts.
Auftragsverarbeiter ist gem. Art. 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Zentrales Merkmal ist die Weisungsgebundenheit, die in Art. 29 DSGVO geregelt ist. Eine Auftragsverarbeitung liegt danach nur dann vor, wenn der Auftragsverarbeiter die Daten auf nach Anweisungen des Verantwortlichen verarbeitet. Fehlt es daran, ist der eingeschaltete Dienstleister selbst Verantwortliche iSd. Art. 4 Nr. 7 DSGVO und muss sich auf einen Erlaubnistatbestand nach Art. 6 ff. DSGVO berufen können, um die Datenverarbeitung zu legitimieren.
Wann eine Auftragsverarbeitung vorliegt, kann aufgrund der Vielfältigkeit der möglichen Erscheinungsformen nicht pauschal beantwortet werden. Abzugrenzen ist die Auftragsverarbeitung insbesondere von der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO und der bloßen Übermittlung personenbezogener Daten an einen anderen Verantwortlichen.
In beiden Fällen ist der jeweilige andere als Verantwortlicher der Datenverarbeitung anzusehen, sodass die Privilegierung der Auftragsverarbeitung fortfällt. Auch bedarf es dann einer separaten Rechtsgrundlage für die Verarbeitung, ein Vertrag, der wie der AV-Vertrag die Verarbeitung legitimiert, genügt nicht.
Ob eine Auftragsverarbeitung vorliegt, erfordert eine Gesamtbetrachtung aller Umstände des Einzelfalls, die insbesondere die Weisungsgebundenheit des Verarbeitenden in den Blick zu nehmen hat. Je stärker diese ausgeprägt ist, desto eher ist von einer Auftragsverarbeitung auszugehen. Je freier und ungebundener der Verarbeitende in der Gestaltung der Verarbeitung ist, also die Hoheit über die Daten übernimmt, desto eher ist er als eigener Verantwortlicher anzusehen.
Ausschlaggebend kann auch sein, ob der Verarbeitende die Daten selbst erhebt oder nur zur Verfügung gestellt bekommt, ob er im Außenverhältnis gegenüber den betroffenen Personen Entscheidungsbefugnisse hat oder ob er mit der Verarbeitung eigene Zwecke verfolgt. Wenn der Verantwortliche und der Verarbeitende gemeinsam die Zwecke und Mittel der Verarbeitung festlegen, liegt eher eine gemeinsame Verantwortlichkeit als eine Auftragsverarbeitung vor.
In folgenden Bereichen liegt eine Auftragsverarbeitung in der Regel nicht vor. Stattdessen besteht eine eigene Verantwortlichkeit des eingesetzten Dienstleisters oder gemeinsame Verantwortlichkeit:
Ebenfalls nicht als Auftragsverarbeiter anzusehen sind Dienstleistungen, die zwar die Möglichkeit haben, in Datenbestände des Verantwortlichen einzusehen, dies jedoch nicht zur ihren Hauptleistungspflichten gehört. Es stellt sich um Nebenleistungen, bei denen kein AV-Vertrag erforderlich ist. Beispiele sind Sicherheitsdienste und Reinigungsunternehmen.
Zentrale Voraussetzung für die Auftragsverarbeitung ist das Vorliegen eines Vertrages zur Auftragsverarbeitung (sog. AV-Vertrag). Dieser stellt die rechtliche Grundlage des Verhältnisses von Verantwortlichem zu Auftragsverarbeiter dar und konstituiert insbesondere die Weisungsrechte des Verantwortlichen.
Die Vertragspartner können sowohl individuelle Regelungen treffen als auch auf Standardvertragsklauseln zurückgreifen, die von der Europäischen Kommission oder von den Aufsichtsbehörden zur Verfügung gestellt werden (vgl. Art. 28 VII, VIII DSGVO).
Art. 28 DSGVO gilt grundsätzlich für alle Formen der Auftragsverarbeitung in allen Rechtsgebieten. Allerdings ist es den nationalen Gesetzgebern aufgrund von Öffnungsklauseln möglich, in bestimmten, besonders sensiblen Bereichen spezifischere Regelungen zu treffen, die Zulässigkeit des AV-Vertrags einschränken können.
Relevant ist beispielsweise die Verarbeitung von Daten, die Verschwiegenheitspflichten unterliegen (vgl. § 203 StGB), so die Verarbeitung von Steuerdaten (§ 30 AO), Sozialdaten (§ 80 SGB X) oder Patientendaten. In allen anderen Bereichen ist der Abschluss eines AV-Vertrags grundsätzlich zulässig, wobei die auferlegten Pflichten je nach Art und Umfang der Daten und der Verarbeitungen in ihrer Schärfe variieren können.
Aus Art. 28 I DSGVO folgt, dass der Verantwortliche den Auftragsverarbeiter sorgfältig auswählen muss. Dieser muss Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den datenschutzrechtlichen Regelungen erfolgt. Maßgebende Kriterien sind somit insbesondere das Fachwissen und die Zuverlässigkeit des Auftragsverarbeiters.
Für den Verantwortlichen besteht darin ein gewisser Nachteil, denn in der Regel wird er sich einen externen Dienstleister als Auftragsverarbeiter suchen, wenn er nicht die Kapazitäten oder das Fachwissen hat, die Datenverarbeitungen durchzuführen. Es besteht somit ein Informationsgefällt zwischen dem Verantwortlichen und seinen potenziellen Vertragspartner.
Aufgrund dessen sieht Art. 28 V DSGVO eine gewisse Erleichterung für den Verantwortlichen vor, der sich bei der Auswahl des Auftragsverarbeiters auf genehmigte Verhaltensregeln (Art. 40 DSGVO) oder eines genehmigten Zertifizierungsverfahrens (Art. 42 DSGVO) durch einen Auftragsverarbeiter als entscheidenden Faktor der Auswahl verlassen kann.
Da der AV-Vertrag in gewissem Sinn die Rechtsgrundlage der Datenverarbeitung darstellt und damit quasi einen Erlaubnistatbestand iSd. Art. 6 ff. DSGVO bildet und diese ersetzt, ist sein Inhalt nicht der Vertragsfreiheit von Verantwortlichem und Auftragsverarbeiter ausgesetzt. Der AV-Vertrag soll die Rechtmäßigkeit der Datenverarbeitung durch den Auftragsverarbeiter sicherstellen, der dann keines weiteren Erlaubnistatbestands braucht.
Es bestehen strenge Anforderungen an die Wirksamkeit eines AV-Vertrages und damit an die Auftragsverarbeitung selbst. Konkretisiert sind diese Anforderungen insbesondere in Art. 28 III DSGVO. In einer Übersicht stellen sie sich wie folgt dar, der AV-Vertrag muss Regelungen bezüglich folgender Punkte machen:
Diese Punkte werden im Folgenden in Pflichten des Auftragsverarbeiters konkretisiert, wobei die Auflistung keinen abschließenden Charakter hat, wie aus dem Wort „insbesondere“ folgt:
Von Bedeutung ist also, dass der Verantwortliche als derjenige, der den Anforderungen der DSGVO genügen muss, die Datenverarbeitung durch den Auftragsverarbeiter in regelmäßigen Abständen kontrolliert. Durch die Einschaltung des externen Dienstleisters entledigt er sich gerade nicht aller Verpflichtungen, sondern trägt für deren Einhaltung im Außenverhältnis die Verantwortung. Als Kontrollmöglichkeiten kommen in Betracht Kontrollen vor Ort, die Einholung eines Sachverständigengutachtens oder eines Berichts des eigenen Datenschutzbeauftragten. Art und Umfang der Kontrollen lässt die DSGVO offen. Maßgebend sind der Umfang der Verarbeitung, das Gefährdungspotenzial der betroffenen Personen und sie Sensibilität der Daten.
Zentrales Merkmal des AV-Vertrags und damit auch der Auftragsverarbeitung selbst, ist die Weisungsgebundenheit des Auftragsverarbeiters gegenüber dem Verantwortlichen. Sie ist die Grundlage für die Pflichten, die der Auftragsverarbeiter zu erfüllen hat, und der Grund, weswegen der Verantwortliche trotz Weitergabe der Daten an einen Dritten weiterhin Verantwortlicher bleibt.
Es besteht aufgrund des AV-Vertrags somit ein Innenverhältnis zwischen Auftragsverarbeiter und Verantwortlichem, das das Außenverhältnis nicht berührt. Dieses Innenverhältnis muss dafür sorgen, dass der Auftragsverarbeiter keinen Spielraum bezüglich des Zwecks der Datenverarbeitung hat. Wenn in einem konkreten Fall keine Weisung vorliegt, muss der Auftragsverarbeiter auf eine solche bestehen, da er sich sonst zum eigenen Verantwortlichen aufschwingt.
Über diese Mindestinhalte hinaus, kann der AV-Vertrag weitere Regelungen treffen, die im Verhältnis von Verantwortlichem und Auftragsverarbeiter von Bedeutung sind. Möglich sind Vereinbarungen über Vertragsstrafen, Möglichkeiten der Kündigung und den Gerichtsstand. Zurückbehaltungsrechte hinsichtlich der Daten sind auszuschließen, da sie dem Weisungsrecht entgegenlaufen.
Der Auftragsverarbeiter ist zwar grundsätzlich berechtigt, zur Vertragserfüllung im Verhältnis zum Verantwortlichen Subunternehmer als eigene Auftragsverarbeiter einzusetzen. Dies steht jedoch unter dem Vorbehalt der vorherigen schriftlichen Genehmigung des Verantwortlichen (Art. 28 II DSGVO).
Liegt eine solche Genehmigung vor, muss der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung des Subunternehmers informieren. Der Verantwortliche hat dann die Möglichkeit, Einspruch gegen derartige Maßnahmen zu erheben. Damit der Auftragsverarbeiter seine eigenen Vertragspflichten nicht verletzt, muss sein Vertrag mit dem Subunternehmer den gleichen Inhalt haben wie sein Vertrag mit dem Verantwortlichen.
Besonderes Augenmerk bedarf die Auftragsverarbeitung mit Dienstleistern im Ausland.
Ohne Probleme möglich ist die Einschaltung von Auftragsverarbeitern aus anderen Mitgliedstaaten der EU oder des Europäischen Wirtschaftsraums (EWR). Bei diesen Staaten handelt es sich nicht um Drittländer, sodass die Einhaltung der allgemeinen Anforderungen an die Auftragsverarbeitung genügt.
Sollen die Daten hingegen an einen Auftragsverarbeiter in ein Drittland übermittelt werden, ist dies gem. Art. 44 DSGVO nur unter den zusätzlichen Voraussetzungen der Art. 44 ff. DSGVO möglich. Dabei kommt es insbesondere darauf an , dass das Drittland ein der DSGVO vergleichbares Schutzniveau für die betroffene Person aufweist.
Verstößt der Auftragsverarbeiter gegen den AV-Vertrag, indem er Weisungen des Verantwortlichen in rechtswidriger Weise überschreitet, gilt er gem. Art. 28 X DSGVO in Bezug auf diese Verarbeitung selbst als Verantwortlicher. Die Folge ist, dass diese Verarbeitung nicht mehr dem eigentlich Verantwortlichen zugerechnet werden kann und dass der Verarbeitende nun selbst als Haftungssubjekt im Außenverhältnis in Betracht kommt.
Liegt schon gar kein AV-Vertrag vor oder genügt dieser nicht den Anforderungen des Art. 28 DSGVO, liegt ein Verstoß gegen die DSGVO vor, der gem. Art. 83, 84 DSGVO bußgeldbewehrt ist und mit weiteren Sanktionen geahndet werden kann. Die Höhe beträgt dabei gem. Art. 83 Abs. 6 DSGVO bis zu 20. Mio. Euro oder bis zu 4 % des jährlichen Gesamtumsatzes, falls es sich bei dem Verantwortlichen um ein Unternehmen handelt. Daneben kommen Schadensersatz- und Unterlassungsansprüche der betroffenen Person gegen den Verantwortlichen in Betracht (Art. 82 DSGVO).
Darüber hinaus kann die betroffene Person den Auftragsverarbeiter nach Art. 82 I DSGVO auch den Auftragsverarbeiter in Anspruch nehmen.
Die DSGVO hat die unter der alten Rechtslage bestehende alleinige Verantwortlichkeit des Verantwortlichen im Fall der Auftragsverarbeitung auf die Schultern von Verantwortlichem und Auftragsverarbeiter aufgeteilt. So muss der Auftragsverarbeiter mittels hinreichender Garantien Gewähr dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Vorgaben der DSGO eingehalten werden (Art. 28 I DSGVO). Nach außen haftbar bleibt jedoch weiterhin nur der Verantwortlichen, wobei auch der Auftragsverarbeiter gem. Art. 28 X, 82 I DSGVO gegenüber der betroffenen Person als Anspruchsgegner in Betracht kommt.
Neu ist zudem, dass der Auftragsverarbeiter Subunternehmer nicht ohne schriftliche vorherige Genehmigung des Verantwortlichen einsetzen darf und der Verantwortliche bei vorliegender Genehmigung gegen Änderungen Einspruch einlegen kann (Art. 28 II DSGVO).
Zudem besteht keine Pflicht mehr, AV-Verträge schriftlich abzuschließen. Nach Art. 28 IX DSGVO genügt nunmehr die elektronische Form. Dafür genügt jedes dauerhaft der Wiedergabe fähige, elektronische Dokument.
AV-Verträge, die vor Inkrafttreten der DSGVO geschlossen worden sind, genießen keinen Bestandsschutz. Insofern ist eine Anpassung an die Vorgaben der DSGVO erforderlich. Der Anpassungsbedarf ist jedoch gering und erschöpft sich hauptsächlich in der Änderung von Begrifflichkeiten („Auftragsverarbeitung“ statt „Auftragsdatenverarbeitung“) und Verweisen auf das alte Recht soweit keine Änderungen der Dienste bzw. Dienstleister in dem jeweiligen Unternehmen oder Verein erfolgt ist, in Bezug auf den Datenschutz gilt der PDCA-Zyklus (plan, do, check, act) nach dem regelmäßig der Datenschutz eines Unternehmens oder Vereins insbesondere die technisch organisatorischen Maßnahmen (TOMs) weche Teil eines AV-Vertrages sind auf deren Aktualität hin zu überprüfen und anzupassen sind.
Im Folgenden finden sich Verlinkungen zu einigen Mustern zu AV-Verträgen:
https://www.lda.bayern.de/media/formulierungshilfe_av.pdf
https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Muster/Muster_Auftragsverarbeitung.html
https://datenschutz.hessen.de/infothek/hinweise-und-muster-zur-ds-gvo
Nach Art. 28 III 1 DSGVO kann eine Auftragsverarbeitung auch dann wirksam vereinbart werden, wenn zwar kein Vertrag vorliegt, dafür aber ein „anderes Rechtsinstrument nach dem Unionsrecht oder dem Recht der Mitgliedstaaten“. In Betracht kommen beispielsweise Rechtsverordnungen.
TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871
AID24 Rechtsanwaltskanzlei
in Erfurt, Jena, Wiesbaden und Frankfurt am Main