Der Auftragsverarbeitungsvertrag

easyContracts AuftragsverarbeitungsvertrageasyContracts Auftragsverarbeitungsvertrag

Eine der vielbeachteten Neuerungen der DSGVO ist der Auftragsverarbeitungsvertrag, der vor der DSGVO noch Auftragsdatenverarbeitungsvertrag hieß. Aufgrund unzähliger Fragen soll hier einmal erklärt werden, wozu man den braucht und vor allem, warum es den überhaupt gibt. Denn offenbar wird er vielfach als Formalie abgetan. Besser kann man den Auftragsverarbeitungsvertrag verstehen, wenn man weiß, warum er vom Gesetz vorgesehen ist. Dann wird auch deutlich, warum das drinsteht, was drinsteht.

von Dr. jur. Ronald Kandelhard, Rechtsanwalt, Fachanwalt für Handels- und Gesellschaftsrecht

 

Warum braucht man den eigentlich?

Darum vorab: Wie allgemein ist eine Datenverarbeitung grundsätzlich verboten. Das heißt, wer Daten erhält, darf diese an sich nicht an Dritte weiter geben, es sei denn, der Betroffene hat konkret seine Einwilligung zur Weitergabe der Daten an diesen Anbieter erteilt. Damit wird es nachträglich aber fast unmöglich, einen Beauftragten zu wechseln. Wer etwa statt Matomo künftig Google Analytics oder ein neues SaaS Tool aufgrund einer Einwilligung einsetzen will, müsste von allen Betroffenen dazu eine neue Einwilligung einholen (und auch erhalten).

Weil das wenigstens unpraktisch ist und der ökonomischen Realität nicht entspricht, gibt es das Institut der Auftragsverarbeitung. Schließt man einen Auftragsverarbeitungsvertrag, ist die Weitergabe an diesen Dritten erlaubt, weil man einen solchen Vertrag geschlossen hat. Und warum ist das so? Weil in dem Auftragsverarbeitungsvertrag drin steht, dass der Auftragsverarbeiter zum „verlängerten Arm“ des Auftraggebers wird und nur für diesen und nach dessen Weisung die Daten verarbeitet.

Deshalb braucht Ihr einen Auftragsverarbeitungsvertrag, wenn Ihr Dritte mit der Verarbeitung Eurer Daten beauftragt oder wenn Dritte Auftraggeber Euch mit der Verarbeitung ihrer Daten beauftragen.

1. Definition

Auftragsdatenverarbeitung liegt immer dann vor,

  • wenn eigene Daten an andere Unternehmen, natürliche oder juristische Personen, Behörden oder sonstige Stellen weiter gegeben werden,
  • um sie dort zu speichern oder sonst zu verarbeiten oder, wenn Dritten der Zugriff auf die eigene Datenverarbeitung gegeben wird und
  • das weitergebende Unternehmen allein über die Zwecke und die Reichweite der Verarbeitung entscheidet.

Eine Auftragsverarbeitung nach Art. 28 DSGVO ist also nur gegeben, wenn ein Dienstleister beauftragt wird, Daten nach Weisung des Auftraggebers zu verarbeiten und die Verantwortung für die Daten deshalb bei dem Auftraggeber verbleibt.

2. Weitergabe an Dritte, die nicht Auftragsverarbeitung ist

a) keine Bindung an Weisungen

Fehlt das Element der Weisung, bleibt die Verantwortung für die Daten nicht bei dem Auftraggeber. So werden IT-Hardwarewartungsunternehmen oder Logistiker nicht mit einer Datenverarbeitung beauftragt. Sie verarbeiten die Daten vielmehr nur im eigenen Interesse.

b) Mischfall Wartung

Mischfälle sind möglich bei der Wartung von Software oder Webseiten. Hier war nach dem vorherigen deutschen Recht in § 11 Abs. 5 BDSG vorgesehen: „wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann“, liegt auch eine Auftragsverarbeitung vor. § 11 Abs. 5 BDSG gilt jedoch nicht mehr. Von daher ist eine Wartung, die sich nur auf technische Aspekte bezieht, keine Auftragsverarbeitung mehr.

Anders ist das natürlich, wenn auch eine Pflege von Daten Teil des Auftrages ist, Daten etwa migriert oder neu strukturiert werden sollen. Weil die Abgrenzung schwierig und auch die Rechtslage noch nicht eindeutig geklärt ist, empfiehlt es sich, vorsichtshalber einen Auftragsverarbeitungsvertrag mit dem Wartungsunternehmen zu schließen. Vielfach wird ohnehin derzeit von Auftraggebern immer ein Auftragsverarbeitungsvertrag gefordert, auch wenn keine Auftragsverarbeitung vorliegt.

c) Fachleistungen

Keine Auftragsdatenverarbeitung ist auch die Inanspruchnahme fremder Fachleistungen wie Inkasso, Rechtsanwalt, Steuerberater (anders, reine Buchhaltung). Dies gilt vor allem für klassische Freiberufler, primär auch solche, die zur Berufsverschwiegenheit verpflichtet. Diese sind zudem auch nicht im engeren Sinne weisungsgebunden.

In diesen Fällen ist keine Auftragsverarbeitung gegeben, vielmehr handelt es sich bei dieser Weitergabe von Daten (für eigene Zwecke des dritten Unternehmens) um eine normale Datenverarbeitung (die eben auch die Weitergabe der Daten an Dritte umfasst). Diese bedarf also einfach einer Erlaubnisnorm, muss sich also auf einen der Gründe des Art.6 Abs.1 DSGVO zurück führen lassen (häufigster Fall wird die Verarbeitung von Vertragsdaten sein, aber es kommen auch berechtigte Interessen oder eine Einwilligung in Betracht).

d) Zwischenergebnis zum Auftragsverarbeitungsvertrag

Auftragsdatenverarbeitung ist also nur gegeben, wenn sich der Auftrag auf eine Arbeit grade mit den Daten nach Weisung des Auftraggebers bezieht.

Es kann sich aber für den Fall von Abgrenzungsproblemen empfehlen, wenigstens vorsorglich zusätzlich noch einen Auftragsverarbeitungsvertrag zu schließen.

3. Abgrenzung des Auftragsverarbeitungsvertrages

Abzugrenzen ist der Auftragsverarbeitungsvertrag in zweierlei Hinsicht:

  • von der eigenen Datenverarbeitung, also, wenn nur eigene Angestellte die Daten verarbeiten, das ist noch eigene Datenverarbeitung und nicht Datenverarbeitung durch Dritte (wie man eigene Mitarbeiter zu den Anforderungen der DSGVO verpflichtet, findet sich hier mit entsprechenden Mustern);
  • von der gemeinsamen Verantwortung für die Datenverarbeitung gem. Art. 26 DSGVO, bei der komplette Funktionen an Dritte ausgelagert werden und diese eigene Entscheidungskompetenzen für die Daten haben (Bsp. Stellung der Personalabteilung durch die Konzernmutter)

4. Ergebnis für Websites und Online-Unternehmen

Typische Fälle einer Auftragsverarbeitung für Websites und Online-Unternehmen sind also:

  • Mail (Newsletter) Anbieter
  • Hoster
  • Cloud Anbieter
  • SaaS Anbieter
  • Agentur macht Werbung
  • Buchhaltung
  • Tracking Software – Beispiel Google Analytics
  • Einsatz virtueller Assistenten (je nach Auftragsumfang)

5. Rechtsfolge

a) unmittelbare Rechtsfolge

Unmittelbar hat das Vorliegen einer Auftragsdatenverarbeitung zur Folge, dass gem. Art. 28 Abs. 3 DSGVO ein Vertrag zur Auftragsverarbeitung erforderlich ist. Die Inhalte können dort nachgelesen werden.

b) sich ergebende Anforderung

Weitere Rechtsfolge ist aber, dass der Auftraggeber gem. Art. 28 Abs. 1 DSGVO den Auftragsverarbeiter ordnungsgemäß auszusuchen und zu überwachen hat. Es darf nur jemand ausgesucht werden, der hinreichende Gewähr für die Einhaltung der Anforderungen der DSGVO bietet.

c) wichtige Konsequenz

Ganz wichtig ist zu verstehen, dass die Auftragsdatenverarbeitung die wesentliche Rechtsfolge hat, dass durch die Auftragsdatenverarbeitung keine Weitergabe von Daten an einen Dritten mehr vorliegt. Man braucht dafür also nicht noch mal einen der Gründe aus Art. 6 DSGVO (insbesondere Vertragsdaten, Einwilligung oder berechtigtes Interesse), sondern kann im Rahmen der eigenen Erlaubnis aus Art. 6 DSGVO die Daten weiter geben.

Insofern gibt es teilweise ein Wahlrecht, man kann entweder den Nutzer in die Weitergabe der Daten an einen Dritten einwilligen lassen oder kann einen Vertrag zur Auftragsdatenverarbeitung mit dem Dritten schließen.

5. Neuerungen durch die DSGVO

Im Grundsatz bringt die DSGVO wenig Neues

  • der Auftragsverarbeiter muss jetzt auch ein Verarbeitungsverzeichnis führen
  • der Auftragsverarbeiter muss Weisungen vom Auftraggeber protokollieren
  • Schriftform ist nicht mehr erforderlich.

Wie bei allen Datenschutz-Themen gilt aber auch hier, dass die Durchsetzung der Anforderungen jetzt verstärkt und mit mehr und teureren Konsequenzen zu erwarten ist.

6. Der Vertrag

Erforderlich ist also immer ein Vertrag zur Auftragsverarbeitung. Dieser wird von vielen Dienstleistern – zB Google – bereits angeboten. Bei englischsprachigen Dienstleistern nach data processing agreement suchen. Eine umfangreiche Übersicht über angebotene Verträge und wo sie zu finden sind für viele Dienstleister findet sich hier.

Ansonsten gibt es einige Muster im Netz. Auch easyContracts.de bietet ein solches Muster speziell für

  • virtuelle Assistenten
  • Webdesigner
  • IT-Leistungen
  • Wartung von Websites
  • Hosting
  • Programmierleistungen
  • SaaS

an.

Jetzt Kaufen

Die Schwierigkeit bei allen Mustern liegt immer darin, dass die einzelnen betroffenen Daten und der Umfang der Verarbeitung bestimmt und in den Vertrag eingefügt werden müssen. Bei easyContracts findet Ihr dazu auch eine Anleitung.

Bedenkt schließlich, anders als bei vielen anderen Verträgen oder Mustern, sind Muster hier ausnahmsweise einigermaßen unproblematisch, da es bei der Auftragsdatenverarbeitung vor allem darum geht, gesetzliche Vorgaben einzuhalten und nicht, einen „guten“ Vertrag zu entwerfen. Den Text musst Du an den gekennzeichneten Stellen bearbeiten:

7. Besondere technische und organisatorische Maßnahmen

In allen Verträgen müssen noch technische und organisatorische Maßnahmen (TOM) eingesetzt werden. Damit Ihr einen besseren Überblick bekommt, welche Schutzmaßnahmen im Anhang noch genannt werden können, hier mal eine mögliche Liste der technischen und organisatorischen Schutzmaßnahmen (TOM). Je größer Dein Unternehmen, desto eher sind solche Maßnahmen erforderlich. Weitergehende Hilfe zu den TOM speziell für Webdesigner und allgemein eine gute Anleitung haben wir für Dich verlinkt.

Kleinere Unternehmen können sich auf die Nennung von Passwortschutz, Zutrittskontrolle und Verschlüsselung beschränken, müssen also nicht umfangreiche Eintragungen machen (es gab aber auch schon Fälle, in denen größere Auftraggeber die Maßnahmen als zu gering zurück gewiesen haben).

Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Zutrittskontrolle

Folgende Maßnahmen verhindern, dass unbefugte Personen Zutritt zu Datenverarbeitungsanlagen haben:

Zutrittskontrollsystem, Ausweisleser (Magnet-/Chipkarte)

Türsicherungen (elektrische Türöffner, Zahlenschloss, etc.)

Sicherheitstüren / -fenster

Gitter vor Fenstern/Türen

Zaunanlagen

Schlüsselverwaltung/Dokumentation der Schlüsselvergabe

Werkschutz, Pförtner

Alarmanlage

Videoüberwachung

Spezielle Schutzvorkehrungen des Serverraums

Spezielle Schutzvorkehrungen für die Aufbewahrung von Backups und anderen Datenträgern

Nicht-reversible Vernichtung von Datenträgern

Mitarbeiter- und Berechtigungsausweise

Sperrbereiche

Besucherregelung (z.B. Abholung am Empfang, Dokumentation von Besuchszeiten,

     Besucherausweis, Begleitung nach dem Besuch bis zum Ausgang)

Andere Maßnahmen: [Bitte ergänzen]

Zugangskontrolle

Folgende Maßnahmen verhindern, dass unbefugte Dritte Zugang zu Datenverarbeitungsanlagen haben:

Persönlicher und individueller Login bei Anmeldung am System/Netzwerk

Autorisierungsprozess für Zugangsberechtigungen

Begrenzung der befugten Benutzer

Single Sign-On

BIOS-Passwörter

Kennwortverfahren (Angabe von Kennwortparametern hinsichtlich Komplexität und

Aktualisierungsintervall)

Elektronische Dokumentation von Passwörtern und Schutz dieser Dokumentation vor

unbefugtem Zugriff

Personalisierte Chipkarten, Token, PIN-/TAN, etc.

Protokollierung des Zugangs

Zusätzlicher Login für bestimmte Anwendungen

Automatische Sperrung der Clients nach Zeitablauf ohne Useraktivität

Firewall

Andere Maßnahmen: [Bitte ergänzen]

Zugriffskontrolle

Folgende Maßnahmen stellen sicher, dass unbefugte Dritte keinen Zugriff auf Daten haben:

Verwaltung und Dokumentation von differenzierten Berechtigungen

Abschluss von Verträgen zur Auftragsverarbeitung für die externe Pflege, Wartung und

Reparatur von Datenverarbeitungsanlagen, sofern bei der Fernwartung die Verarbeitung von Daten Gegenstand der Leistung des Auftragnehmers ist.

Auswertungen/Protokollierungen von Datenverarbeitungen

Autorisierungsprozess für Berechtigungen

Genehmigungsroutinen

Profile/Rollen

Verschlüsselung von Datenträgern

Maßnahmen zur Verhinderung unbefugten Überspielens von Daten auf mobile

Datenträger (z.B. Kopierschutz, Sperrung von USB-Ports, Data Loss Prevention System/DLP)

Mobile Device Management (MDM)

Vier-Augen-Prinzip

Funktionstrennung (Segregation of Duties)

Fachkundige Akten- und Datenträgervernichtung gemäß DIN 66399

Nicht-reversible Löschung von Datenträgern

Sichtschutzfolien für mobile Datenverarbeitungsanlagen

Andere Maßnahmen: [Bitte ergänzen]

Trennungskontrolle

Folgende stellen sicher, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:

Speicherung der Datensätze in physikalisch getrennten Datenbanken

Verarbeitung auf mindestens logisch getrennten Systemen

Zugriffsberechtigungen nach funktioneller Zuständigkeit

Getrennte Datenverarbeitung durch differenzierende Zugriffsregelungen

Mandantenfähigkeit von IT-Systemen

Verwendung von Testdaten

Trennung von Entwicklungs- und Produktionsumgebung

Andere Maßnahmen: [Bitte ergänzen]

Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)

Die Verarbeitung von Daten erfolgt so, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.

[Bitte das Verfahren zur Pseudonymisierung kurz und verständlich darstellen]

Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

Weitergabekontrolle

Es ist sichergestellt, dass Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert, entfernt oder sonst verarbeitet werden können und überprüft werden kann, welche Personen oder Stellen Zugriff auf Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:

Verschlüsselung von E-Mail oder E-Mail-Anhängen

Verschlüsselung von Datenträgern

Gesicherter File Transfer oder sonstiger Datentransport

Physikalische Transportsicherung

Verpackungs- und Versandvorschriften

Qualifizierte elektronische Signatur

Verschlüsseltes WLAN

Fernwartungskonzept (z.B. Verschlüsselung, Ereignisauslösung durch Auftraggeber,

Challenge-Response, Rückrufautomatik, Einmal-Passwort)

Mobile Device Management (MDM)

Data Loss Prevention System (DLP)

Regelung zum Umgang mit mobilen Datenträgern (z.B. Laptop, USB-Stick, Mobiltelefon)

Protokollierung von Datenübertragung oder Datentransport

Protokollierung von lesenden Zugriffen

Protokollierung des Kopierens, Veränderns oder Entfernens von Daten

Andere Maßnahmen: [Bitte ergänzen]

Eingabekontrolle

Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat:

Zugriffsrechte

Systemseitige Protokollierungen

Dokumenten Management System (DMS) / Enterprise Content Management System (ECMS)

mit Änderungshistorie

Sicherheits-/Protokollierungssoftware

Funktionelle Verantwortlichkeiten, organisatorisch festgelegte Zuständigkeiten

Vieraugenprinzip

Data Loss Prevention System (DLP)

Andere Maßnahmen: [Bitte ergänzen]

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Durch folgende Maßnahmen ist sichergestellt, dass Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind:

Sicherheitskonzept für Software- und IT-Anwendungen

Backup Verfahren

Aufbewahrungsprozess für Backups (z.B. brandgeschützter Safe, getrennter Brandabschnitt)

Gewährleistung der Datenspeicherung im gesicherten Netzwerk

Bedarfsgerechtes Einspielen von Sicherheits-Updates

Spiegeln von Festplatten

Unterbrechungsfreie Stromversorgung (USV)

Geeignete Archivierungsräumlichkeiten für Papierdokumente

Brand- und/oder Löschwasserschutz des Serverraums

Brand- und/oder Löschwasserschutz der Archivierungsräumlichkeiten

Klimatisierter Serverraum

Virenschutz

Firewall

Notfallplan

Erfolgreiche Notfallübungen

Redundante, örtlich getrennte Datenaufbewahrung (Offsite Storage)

Andere Maßnahmen: [Bitte ausführen]

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

Datenschutz-Management

Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:

Datenschutzleitbild des Anbieters

Datenschutz-Richtlinie des Anbieters

Richtlinien/Anweisungen zur Gewährleistung von technisch-organisatorischen Maßnahmen

zur Datensicherheit (z.B.: UHB der Sparkasse)

Benennung eines Datenschutzbeauftragten

Verpflichtung der Mitarbeiter auf die Vertraulichkeit

Hinreichende Schulungen der Mitarbeiter im Datenschutz

Führen eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Durchführung von Datenschutzfolgenabschätzungen, soweit erforderlich (Art. 35 DSGVO)

Externe Prüfung oder Auditierung

Andere Maßnahmen: [Bitte ausführen]

Management bei Datenschutzverletzungen

Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:

Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den

Aufsichtsbehörden (Art. 33 DSGVO)

Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber

betroffenen Personen (Art. 34 DSGVO)

Andere Maßnahmen: [Bitte ausführen]

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)

Datenschutzfreundliche Voreinstellungen sind sowohl bei den standardisierten Voreinstellungen von Systemen und Apps als auch bei der Einrichtung der Verarbeitungen zu berücksichtigen. In dieser Phase werden Funktionen und Rechte konkret konfiguriert, wird im Hinblick auf Datenminimierung die Zulässigkeit bzw. Unzulässigkeit bestimmter Eingaben oder Eingabemöglichkeiten festgelegt und über die Verfügbarkeit von Nutzungsfunktionen entschieden. Ebenso werden die Art und der Umfang des Personenbezugs bzw. der Anonymisierung (z. B. bei Selektions-, Export- und Auswertungsfunktionen, die festgelegt und voreingestellt oder frei gestaltbar zur Verfügung gestellt werden) oder die Verfügbarkeit bestimmter Verarbeitungen, Funktionen oder Protokollierungen.

[Bitte Beispiele benennen]

Auftragskontrolle

Durch folgende Maßnahmen ist sichergestellt, dass Daten nur nach Weisungen des Auftraggebers verarbeitet werden:

Vereinbarung zur Auftragsverarbeitung mit Regelungen zu den Rechten und Pflichten

der Parteien

Prozess zur Erteilung und/oder Befolgung von Weisungen

Bestimmung von Ansprechpartnern und/oder verantwortlichen Mitarbeitern

Kontrolle/Überprüfung weisungsgebundener Auftragsdurchführung

Schulungen/Einweisung aller zugriffsberechtigten Mitarbeiter beim Anbieter

Unabhängige Auditierung der Weisungsgebundenheit

Verpflichtung der Beschäftigten auf die Vertraulichkeit

Vereinbarung von Vertragsstrafen für Verstöße gegen Weisungen

formalisiertes Auftragsmanagement

dokumentiertes Verfahren zur Auswahl von Unterauftragnehmern

standardisiertes Vertragsmanagement zur Kontrolle von Unterauftragnehmern

Andere Maßnahmen: [Bitte ergänzen]

 

 

Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und
Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von
Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7
automatisierte Lösungen für rechtliche Probleme von Unternehmen.

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.