Auftragsverarbeitung 2020: So vermeiden Sie hohe Bußgelder

 

Die Auftragsverarbeitung (AV), ehemals Auftragsdatenverarbeitung (ADV), bildet einen zentralen Bestandteil des Datenschutzes – Auftragsverarbeiter werden in Unternehmen jeder Größe und Branche eingesetzt. Jene durch den Verantwortlichen bestimmten Auftragsverarbeiter verpflichten sich zur Verarbeitung personenbezogenen Daten gemäß der Europäischen Datenschutz-Grundverordnung (EU-DSGVO).

Inwieweit und in welcher Qualität Auftragsverarbeiter ihren Pflichten nachkommen, müssen Datenschutzverantwortliche eines Unternehmens überprüfen, ansonsten riskieren Verantwortliche Bußgelder.

 

Was ist eine Auftragsverarbeitung?

Auftragsverarbeitung, das Auslagern von Datenverarbeitungsprozessen durch den Auftraggeber auf externe Dienstleister, ist ein häufiges Mittel zur Kostensenkung und der Nutzung von externem Know How. Wichtig ist zunächst, dass ein Unternehmen, welches einen Dritten beauftragt personenbezogene Daten im Auftrag des Unternehmens zu verarbeiten, nach Art. 28 DSGVO zwingend einen Vertrag mit dem Auftragnehmer schließen muss. Dieser Vertrag muss inhaltlich den Vorgaben des Art. 28 Abs. 3 DSGVO genügen.

Schnell kommt es bei der Einschätzung, ob eine Auftragsverarbeitung vorliegt, zu Missverständnissen und der Auftraggeber läuft Gefahr, gemäß Art. 83 DSGVO mit hohen Geldbußen durch die Datenschutzbehörden belegt zu werden. Ganz zu Schweigen von Imageschäden in der Öffentlichkeitswahrnehmung. Eine sorgfältige Prüfung durch einen Berater für Datenschutz oder einen Datenschutzbeauftragten hilft, diese Risiken zu minimieren und die notwendigen Regelungen umzusetzen.

Wenn Ihr Dienstleister nicht weisungsgebunden handelt, dann ist es oft ein Indiz dafür, dass keine Auftragsverarbeitung vorliegt. Das ist zum Beispiel der Fall bei Sachverständigen, Steuerberatern, Anwälten, Ärzten oder Notaren.

Beispiele für eine Auftragsverarbeitung

Outsourcing der IT-Infrastruktur

Cloudlösungen und webbasierte Anwendungen

Marketingaktionen

(z.B. Kundenumfragen und Newsletterversand)

Call Center

Für Kundensupport oder Kundengewinnung

Datenentsorgung

Papier- und Aktenvernichtung, Vernichtung von Datenträgern

Lohn- und Gehaltsabrechnung

Externe Dienstleister (Achtung: Kein Steuerberater)

 

Was sind personenbezogene Daten?

Der Begriff der personenbezogenen Daten ist das Eingangstor zur Anwendung der Datenschutz-Grundverordnung und wird in Art. 4 Abs. 1 Nr. 1 DSGVO definiert. Danach sind dies alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Eine abschließende Zusammenfassung lässt sich kaum bewältigen. Im Folgenden jedoch eine Liste entsprechender Werte, die einen ersten Eindruck davon verleihen soll, was alles unter personenbezogene Daten fällt:

  • allgemeine Personendaten (Name, Geburtsdatum und Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer usf.)
  • Kennnummern (Sozialversicherungsnummer, Steueridentifikationsnummer, Nummer bei der Krankenversicherung, Personalausweisnummer, Matrikelnummer usf.)
  • Bankdaten (Kontonummern, Kreditinformationen, Kontostände usf.)
  • Online-Daten (IP-Adresse, Standortdaten usf.)
  • Physische Merkmale (Geschlecht, Haut-, Haar- und Augenfarbe, Statur, Kleidergröße usf.)
  • Besitzmerkmale (Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen, Zulassungsdaten usf.)
  • Kundendaten (Bestellungen, Adressdaten, Kontodaten usf.)
  • Werturteile (Schul- und Arbeitszeugnisse usf.)
Einwilligung Datenschutz
 

Technische und Organisatorische Maßnahmen

Im Gegensatz zur früheren Rechtslage legt die DSGVO dem Verantwortlichen und dem Auftragsverarbeiter (nicht mehr Auftragsdatenverarbeiter) mehr Pflichten auf, vgl Art. 28 DSGVO.

Noch stärker als früher sind die Beteiligten gehalten, die Frage zu klären, ob die geplante Auftragsverarbeitung überhaupt sicher ist. Denn wer dieser zentralen Ausgangsfrage keine Bedeutung beimisst, wird die Rechtmäßigkeit der Verarbeitung nicht gewährleisten können und riskiert mitunter deutliche höhere Bußgelder.

Es sollten Maßnahmen vereinbart werden, welche mindestens die folgenden Punkte absichert:

  • die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
TOM DSGVO

Bei der Beurteilung des angemessenen Schutzniveaus vom Auftragnehmer sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung – verbunden sind.

Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der technischen und organisatorischen Maßnahmen nachzuweisen.

 

Wann muss ein AV-Vertrag grundsätzlich abgeschlossen werden?

Die Auslegung des Auftragsverarbeitungsbegriffs orientiert sich allein an der DSGVO. Verantwortlicher ist demnach, wer über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO). Als Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO wird hingegen tätig, wer personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Bei der Prüfung des Vorliegens einer Auftragsverarbeitung kann dabei vor allem auf die von der Artikel-29-Datenschutzgruppe auf Basis der Definitionen der DSRL entwickelten Leitlinien des Arbeitspapiers 169 zu den Begriffen „für die Verarbeitung Verantwortlichen“ und „Auftragsverarbeiter“ abgestellt werden.

Die Auslegung muss danach anhand der faktischen bzw. funktionellen tatsächlichen Verhältnisse erfolgen. Allein die formelle Einordnung einer Tätigkeit als Auftragsverarbeitung und der Abschluss eines entsprechenden Auftragsverarbeitungsvertrags zur Auftragsverarbeitung durch die beteiligten Parteien, führt nicht zur Annahme einer Auftragsverarbeitung.

Vielmehr ist die tatsächliche Ausgestaltung des Verhältnisses und das Wesen der vertraglichen Beziehung maßgeblich für die datenschutzrechtliche Einordnung. Die Rolle als Auftragsverarbeiter ergibt sich letztlich nicht lediglich aus seiner Eigenschaft als Akteur, der personenbezogene Daten verarbeitet, sondern aus seiner konkreten Tätigkeit in einem spezifischen Kontext und in Bezug auf spezifische Daten- oder Vorgangsreihen. Bei dieser Einordnung kann etwa die Entscheidung über die Zwecke und Mittel der Verarbeitung, die Ausführlichkeit der erteilten Weisungen, die Überwachung der Erbringung der Dienstleistung, die Außenwirkung gegenüber den betroffenen Personen, die Fachkompetenz und der den involvierten Parteien überlassene Entscheidungsspielraum zur Einordnung herangezogen werden.

Gleichwohl ist stets auch eine Abgrenzung zur gemeinsamen Verantwortlichkeit zu prüfen.

 

Inhalte Auftragsverarbeitungs-Vertrag

Ja, es dürfen also personenbezogene Daten übertragen werden, aber nur mit Einhaltung der oben genannten Datenschutz-Vorgaben und Umsetzung der notwendigen technischen und organisatorischen Maßnahmen. Die folgenden Inhalte sollten mindestens Bestandteil der Auftragsverarbeitung sein:

  • Gegenstand & Dauer des Auftrags
  • Umfang, Art & Zweck der Datennutzung und -verarbeitung
  • Technische & organisatorische Maßnahmen
  • Berechtigung, Löschung, Sperrung der personenbezogenen Daten
  • Kontrollrechte des Auftraggebers
  • Berechtigung zu Unterauftragsverhältnissen
  • Pflichten des Auftragnehmers
  • Meldepflicht bei Vertragsverstößen
  • Umfang der Weisungsbefugnisse
  • Haftung der Parteien

Autor

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN