Der Vertrag zur Auftragsdatenverarbeitung

Die Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragnehmer (z.B. ein Cloud Rechenzentrum) gemäß den Weisungen der verantwortlichen Stelle (Sie als Unternehmer) auf Grundlage eines schriftlichen Vertrags. Artikel 28 ff. DSGVO regelt die Auftragsverarbeitung detailliert.

Eigentlich ganz einfach, Sie stimmen mir zu? Nein? Dann lassen Sie mich einige Mythen rund um die Auftragsverarbeitung für Sie klären.

Auftraggeber und Auftragsverarbeiter sind gemeinsam Verantwortliche ?!

Falsch! Verantwortlicher ist gem. Artikel 4 Nr. 7 DSGVO derjenige, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Im Gegensatz dazu ist der Auftragsverarbeiter die Person (oder Stelle), die personenbezogene Daten im Auftrag des Verantwortlichen (also Ihnen als Unternehmer) verarbeitet. Das heißt, der Auftragsverarbeiter handelt ausschließlich auf Weisung des Auftraggebers. Bezüglich des Zwecks der Verarbeitung trifft der Auftragsverarbeiter keine eigenen Entscheidungen. Beide Parteien schließen einen Vertag (AVV) darüber ab, wie die Verarbeitung zu handhaben ist.

Im Unterschied dazu wird das arbeitsteilige Zusammenwirken durch eine gemeinsame Verantwortlichkeit nach Artikel 26 DSGVO begründet. Die gemeinsam Verantwortlichen sind dann Verantwortliche im Sinne von Artikel 4, Nr. 7 DSGVO. Sie sind verpflichtet, die auf den jeweils Verantwortlichen zutreffenden Pflichten zu erfüllen. Hierüber muss nach Artikel 26 DSGVO eine Vereinbarung zur Verteilung der Pflichten abgeschlossen werden.

Auftragsverarbeiter dürfen keine nachgelagerten Subunternehmen beauftragen ?!

Falsch! Selbstverständlich dürfen weitere Subunternehmer vom Auftragsverarbeiter eingesetzt werden. Allerdings muss sich der Auftragsverarbeiter vom ursprünglichen Auftraggeber (dem Verantwortlichen) die vorherige, schriftliche (in Papier oder elektronisch) Genehmigung einholen. Sind später Änderungen bei den eingesetzten Subunternehmen durch den Auftragsverarbeiter beabsichtigt, muss er dies dem Verantwortlichen vorher mitteilen. Dieser hat das Recht, der Änderung zuzustimmen oder abzulehnen. Der Vertrag zwischen dem Auftragsverarbeiter und seinem Subunternehmer muss mindestens die gleichen vertraglichen Verpflichtungen enthalten, die Auftragsverarbeiter mit dem Verantwortlichen abgeschlossen hat. Eine Verschärfung ist erlaubt, sofern sie den ursprünglichen AVV nicht beeinträchtigt.

An die Auswahl des Auftragsverarbeiters werden keine Anforderungen gestellt ?!

Nicht nur falsch, sondern (sorry) grottenfalsch! Die Auswahl des Auftragverarbeiters durch den Verantwortlichen ist gemäß Artikel 28 DSGVO ist sorgfältig vorzunehmen. Weiterhin muss sich der Verantwortliche vor der Auftragsverarbeitung über die beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen (TOMs) zum Schutz der betroffenen personenbezogenen Daten überzeugen. Der Auftragsverarbeiter muss dem Verantwortlichen ausreichende Garantien für eine datenschutzkonforme Auftragsverarbeitung vorlegen. An dieser Stelle kommen Zertifizierungen ins Spiel. Sicher haben Sie schon einmal von der Norm ISO/IEC 27001 oder einem BSI Grundschutz Testat gehört. Hier finden Sie dazu eine kurze Beschreibung auf den Seiten des Bundesamts Sicherheit in der Informationstechnik. Der Auftragsverarbeiter kann seine Datenverarbeitungsprozesse von akkreditierten Prüfungsgesellschaften, aber auch der zuständigen Aufsichtsbehörde zertifizieren lassen. Eine solche Zertifizierung ist meistens drei Jahre gültig, wird veröffentlicht und muss nach Ablauf rebzertifiziert werden. Werden die hohen Maßstäbe an den Auftragsverarbeiter nicht überprüft oder eingehalten, kann dies hohe finanzielle Folgen in Form eines Bußgelds nach sich ziehen.

Keine Haftung für Auftragsverarbeiter ?!

Sorry, auch dies ist falsch! Entsteht einer betroffenen Person, deren personenbezogene Daten im Rahmen einer Auftragsverarbeitung verarbeitet werden, ein materieller oder immaterieller Schaden (z.B. durch den Verstoß gegen die DSGVO), so hat sie nach Artikel 82, Abs. 1 DSGVO Anspruch auf Schadenersatz. Mit Wirksamwerden der DSGVO richtet sich der Schadenersatzanspruch auch gegen den Auftragsverarbeiter. Die Grundsätze der gesamtschuldnerischen Haftung für Auftraggeber und Auftragnehmer kommen hier zur Anwendung. Dem Betroffenen soll dadurch eine effektive Durchsetzung seiner Ansprüche gewährleistet werden. Eine vertragliche Haftungsbeschränkung des Auftragnehmers kann im AVV ausgeschlossen werden. Fragen Sie sich als Unternehmer bitte vor der Unterschrift, ob Sie dies im AVV zulassen wollen!

Auftragsverarbeiter müssen aus der EU stammen ?!

Falsch! Die DSGVO ist zwar eine europäische Vorschrift, dennoch kann die Verarbeitung personenbezogener Daten in Drittstaaten erfolgen. Allerdings muss sichergestellt sein, dass sich der Datenschutz dieses Drittlands auf einem angemessenem Niveau bewegt. Dies kann durch entweder Angemessenheitbeschlüsse der EU-Kommission geschehen (z.B. bei der Schweiz oder Israel) oder durch die Verwendung von sogenannten Standardvertragsklauseln (siehe Artikel 46, Abs. 2 lit. c DSGVO).

Haben Sie weitere Fragen zu Auftragsdatenverarbeitungsverträgen? Ich helfe Ihnen.