Vorwort
Der siebte Teil unserer Selbsthilfeserie “Wie kriegen wir die Seiten voll?” dreht sich um das Thema Auftragsverarbeitunsvertrag (AVV).
Ziel der Serie ist es über das bloße Teilen von Informationen hinaus zu unterstützen, indem wir Ihnen auch das Werkzeug für die praktische Umsetzung datenschutzrechtlicher Verpflichtungen zur Verfügung stellen. Wissensbibliotheken zum Datenschutz gibt es wirklich schon genug.
Auch auf unseren Social Media Kanälen wird jede Woche ein neuer Teil gepostet.
Teil 7: Auftragsverarbeitungsverträge (AVV)
Die DSGVO definiert, wer Verantwortlicher ist, und erlegt ihm Pflichten zum Schutz personenbezogener Daten auf.
Verantwortliche sind diejenigen Vereine, Behörden, Unternehmen und sonstige Stellen, die über Zweck und Mittel der Verarbeitung entscheiden.
Was aber, wenn sie zwar diese Entscheidung treffen, aber die Verarbeitung nicht selbst durchführen können oder wollen? Eine Übermittlung der Daten an Dienstleister, die helfen könnten, stellt schließlich eine Verarbeitung im Sinne der DSGVO dar, für die man ja stets eine Rechtsgrundlage braucht – oder?
Disclaimer: Dieser Beitrag stellt keine Rechtsberatung dar und erhebt keinen Anspruch auf Vollständigkeit. Auslassungen, Verkürzungen und Vereinfachungen sind beabsichtigt. Für konkrete Fragen wenden Sie sich bitte an einen Rechtsanwalt oder Datenschutzbeauftragten.
Auftragsverarbeitung
Beim Betrieb einer Unternehmenswebsite z.B. fallen personenbezogene Daten an, mindestens für die Erstellung von Logfiles. Wenn der Verantwortliche die Seite bei einem Dienstleister hosten lässt, ist der Dienstleister auch derjenige, der die Daten verarbeitet. Der Verantwortliche entscheidet über Zweck und Mittel der Verarbeitung, verarbeitet aber nicht selbst.
Für diese und ähnlich gelagerte Situationen sieht die DSGVO die Konstruktion der Auftragsverarbeitung vor: Der Auftragsverarbeiter (im Beispiel der Hosting-Anbieter) verarbeitet die personenbezogenen Daten im Auftrag des Verantwortlichen, sozusagen als dessen verlängerter Arm. Er ist jedoch nicht selbst Verantwortlicher, denn Zweck und Mittel werden vom Verantwortlichen bestimmt. Der Verantwortliche darf nur mit sorgfältig ausgewählten Auftragsverarbeitern zusammenarbeiten. Er ist und bleibt verantwortlich und ist damit auch in der Haftung. Der Auftragsverarbeiter ist weisungsgebunden, muss sich somit an die Vorgaben des Verantwortlichen halten und wird dafür vom Gesetz privilegiert: Er benötigt keine eigene Rechtsgrundlage, weil er nicht selbst Verantwortlicher ist, sondern kann die Rechtsgrundlage nutzen, die der Verantwortliche für die Verarbeitung heranzieht.
In diesen Situationen ist ein Auftragsverarbeitungsvertrag zu schließen, und zwar zusätzlich zu dem Vertrag, der diesem zugrunde liegt. Im Beispiel ist der AVV zusätzlich zu dem Vertrag abzuschließen, mit dem sich Verantwortlicher und Hosting-Anbieter über das Zurverfügungstellen der Hosting-Dienstleistung gegen Geld geeinigt haben.
Der Auftragsverarbeiter hat einige Pflichten, die in diesem Vertrag geregelt werden müssen (Art. 28 Abs. 3 S. 2 DSGVO):
- Verarbeitung nur auf dokumentierte Weisung
- Mit der Verarbeitung betraute Personen im Unternehmen sind zur Vertraulichkeit verpflichtet oder unterliegen gesetzlicher Verschwiegenheitspflicht
- Umsetzung geeigneter TOM
- Einhaltung von Vorgaben bei Inanspruchnahme von Unterauftragsverarbeitern: Genehmigung des Verantwortlichen erforderlich, AVV zwischen Auftragsverarbeiter und Unterauftragsverarbeiter, der dieselben Datenschutzpflichten enthält, die auch den Auftragsverarbeiter gegenüber dem Verantwortlichen treffen
- Unterstützung des Verantwortlichen bei Betroffenenanfragen
- Unterstützung bei der Bearbeitung von Datenpannen und bei der Datenschutzfolgenabschätzung
- Löschung oder Rückgabe der personenbezogenen Daten nach Vertragsende
- Nachweis der Einhaltung dieser Pflichten gegenüber dem Verantwortlichen, der auch zur Durchführung von Audits berechtigt ist
Hinweis: Der AVV und alle Unter-AVV sind schriftlich zu schließen, wobei ein elektronisches Format ausreicht.
Hundertprozentige Sicherheit gibt es nicht, gerade im digitalen Umfeld. Es kann daher immer zu Fehlern, Datenpannen usw. kommen. Wichtig für Verantwortliche ist daher, dass sie dokumentieren können, wie sorgfältig sie ihren Auftragsverarbeiter ausgewählt haben. Wenn geeignete Garantien vorgelegt wurden und der Verantwortliche bei regelmäßigen Prüfungen festgestellt hat, dass sein Auftragsverarbeiter die ihm auferlegten Pflichten erfüllt, sinkt das Haftungsrisiko. Entsprechendes gilt für Auftragsverarbeiter im Verhältnis zu Unterauftragsverarbeitern.
Gemeinsame Verantwortlichkeit
Eine weitere Dreiparteienkonstruktion in der DSGVO: Die gemeinsame Verantwortlichkeit. Viele Verantwortliche haben Schwierigkeiten, diese von der Auftragsverarbeitung abzugrenzen. Daher im Folgenden eine kurze Hilfestellung:
Gemeinsam Verantwortliche sind beide Verantwortliche im Sinne der DSGVO. Wie wir wissen, macht die Entscheidung über Zweck und Mittel der Verarbeitung personenbezogener Daten den Verantwortlichen aus. Gemeinsam Verantwortliche bestimmen also gemeinsam über Zweck und Mittel der Verarbeitung. Das bedeutet nicht, dass es dieselben Zwecke und Mittel sein müssen, aber ein enger Zusammenhang ist erforderlich.
Die gemeinsam Verantwortlichen müssen in einem Vertrag regeln, wer welche der Pflichten übernimmt, die die DSGVO für Verantwortliche vorsieht:
Wer beantwortet Betroffenenanfragen, wer erfüllt die Informationspflichten, etc. Beide Verantwortliche haften gemeinschaftlich für den gesamten Schaden, der aus rechtswidrigen Verarbeitungen resultiert, soweit nicht einer von beiden nachweisen kann, dass es nicht sein Verschulden war.
Für die Verarbeitung personenbezogener Daten benötigen beide Verantwortliche jeweils eine eigene Rechtsgrundlage. Auch die Übermittlung von Daten zwischen den Verantwortlichen stellt eine Verarbeitungstätigkeit dar. Und wie immer müssen betroffene Personen umfassend informiert sein, etwa durch eine Datenschutzerklärung – das gilt auch für das „Wesentliche“ des Vertrags zwischen den gemeinsam Verantwortlichen. Demnach müssen sie den Betroffenen zusätzlich zu den üblichen Informationen auch die Kenntnisnahme davon ermöglichen, wie die Verantwortlichen zusammenwirken und welche Rolle sie jeweils gegenüber den Betroffenen einnehmen – Stichwort Betroffenenrechte.
Beispiel für eine gemeinsame Verantwortung ist der Betrieb eines Auftritts auf einer Social Media-Plattform. Der Verantwortliche (Accountbetreiber) ist verantwortlich für Datenverarbeitungen im Zusammenhang mit dem Account. Das betrifft etwa die Namen von Personen, die durch Likes mit dem Account interagieren, sowie den Inhalt privater Nachrichten und Kommentare. Der Anbieter der Plattform ist nicht lediglich ausführendes Organ des Accountbetreibers, sondern verarbeitet personenbezogene Daten für seine eigenen Zwecke. So kann er Informationen über die Reichweite des Accounts ermitteln und diese dem Accountbetreiber zur Verfügung stellen.
Fazit
Die Auftragsverarbeitung ist im Prinzip überall: Cloud-Dienste, Dienstleister für Lohnabrechnung oder Call Center. Wer einen Auftragsverarbeiter einsetzt, hat einiges zu beachten. Keinesfalls sollte man es bei dem bloßen Dienstleistungsvertrag belassen, sondern auch den Datenschutz im Blick haben.
Hilfreiche Links
Abgrenzungshilfe des Bayerischen Landesamtes für Datenschutzaufsicht Verantwortlicher – Auftragsverarbeiter
https://www.lda.bayern.de/media/veroeffentlichungen/Abgrenzungshilfe_Auftragsverarbeitung.pdf
Formulierungshilfe des BayLDA für einen AVV
https://www.lda.bayern.de/media/muster/formulierungshilfe_av.pdf
Leitlinien des Europäischen Datenschutzausschusses zu den Begriffen Verantwortlicher und Auftragsverarbeiter in der DSGVO
https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_de
Orientierungshilfe Gemeinsame Verantwortlichkeit des BayLDA
https://www.datenschutz-bayern.de/infothek/OH_Gemeinsame_Verantwortlichkeit.pdf
Alle Beiträge der Reihe:
Teil 1 Datenschutzerklärung
Teil 2 Verzeichnis der Verarbeitungstätigkeiten (VVT)
Teil 3 Videoüberwachung
Sonderbeitrag 1: KI-generierte Datenschutzunterlagen
Teil 4 Vorgehen bei Datenpannen
Teil 5 Einwilligung bietet keine ultimative Sicherheit
Teil 6 Cookie-Banner
Teil 7 Auftragsverarbeitungsvertrag (AVV)
Teil 8 Vorgehen bei Betroffenenanfragen
Teil 9 Datenschutzbeauftragter (DSB)