Florian Padberg
Datenschutzbeauftragter
Ein Vertrag zur Auftragsverarbeitung sollte nicht voreilig geschlossen werden. Zunächst ist zu prüfen, ob überhaupt eine Auftragsverarbeitung vorliegt und wie diese ausgestaltet ist. Dies gibt dann Hinweise was konkret im Auftragsverarbeitungsvertrag (AVV) zu regeln ist.
Es gibt unterschiedliche Formen wie ein AVV gesetzeskonform abgeschlossen werden kann. Allen ist jedoch gemeinsam, dass beide Seiten die Regelungen gut prüfen und eine faire Vereinbarung für beide Seiten anstreben sollten. Unter Zwang sollte ein AVV niemals eingegangen werden.
Auch wenn keine Auftragsverarbeitung vorliegt, befindet sich eine Dienstleistung nicht im „Datenschutz-leeren Raum“. Je nach konkreter Service-Konstellation kann eine einfache Geheimhaltungsvereinbarung ausreichen, oder es muss ein durchaus anspruchsvoller weil im Gegensatz zum AVV nur wenig geregelter Joint-Control-Vertrag geschlossen werden.
„Fehlender Auftragsverarbeitungsvertrag kostet Kleinunternehmen 5.000 EUR Bußgeld!“ Diese Schlagzeile hat Ende 2018 viele vor allem kleinere Unternehmen aufgeschreckt. Zum einen konnten sie oft gar nichts mit dem Begriff „Auftragsverarbeitung“ anfangen und haben dies eher mit den Prozessen einer normalen „Auftragsbearbeitung“ oder „-durchführung“ verwechselt. Zum anderen fiel es ihnen schwer zu unterscheiden, welche Dienstleistungen konkret zu den Auftragsverarbeitungen zählen und welche nicht. Um sich diesem Thema effektiv zu nähern, sollte man zunächst klären, was eine Auftragsverarbeitung im Sinne der DSGVO kennzeichnet.
Zur Beantwortung der Frage wann eine Auftragsverarbeitung vorliegt kann man sich im Wesentlichen die folgenden Fragen stellen:
Wenn Sie allen diesen Fragen zustimmen können, kann man von einer Auftragsverarbeitung ausgehen. Diese macht dann auch die spezifischen zusätzlichen Maßnahmen gemäß Artikel 28 der DSGVO erforderlich, insbesondere den Abschluss einer zusätzlichen Datenschutzvereinbarung (meist in Form eines sogenannten Auftragsverarbeitungsvertrags, kurz AVV).
Beispielhaft für klassische Auftragsverarbeitungen sind die Unterstützung durch einen IT-Dienstleister beim Betrieb der IT-Infrastruktur, das externe Hosting der Unternehmenswebsite oder die professionelle Vernichtung von Daten und Datenträgern durch ein spezialisiertes Entsorgungsunternehmen.
Es gibt aber auch weniger eindeutige Fälle wie etwa Vertriebsunterstützung-Agenturen, Drucker-Wartungs-Dienstleister oder Personalcoaches.
Hier kommt es auf die konkrete Ausgestaltung des Leistungsspektrums.
Guten Gewissens ausschließen kann man Steuerberater, Wirtschaftsprüfer, Ärzte, Rechtsanwälte oder Notare die bereits durch ihre Spezialgesetze ein Höchstmaß an Vertraulichkeit und Gewissenhaftigkeit im Umgang mit den Daten Auftraggebers garantieren müssen, hier erlegt der Datenschutz keine zusätzlichen Anforderungen auf.
Um hier sicher zu gehen und insbesondere für den Fall, dass man sich selbst als Auftragsverarbeiter identifiziert hat, sollte man sich spezialisierte Unterstützung mit Datenschutz-Expertise ins Haus holen, denn bei einer falsch bewerteten oder gar fehlerhaft aufgebauten Datenschutzvereinbarung drohen empfindliche Schadensersatz- und ggf. sogar Bußgeldrisiken.
Wie bereits erwähnt, ist nicht jeder Dienstleister, der Daten des Verantwortlichen verarbeitet – streng genommen tut dies ja jeder Dienstleister allein schon durch das Speichern und Nutzen der Kontaktdaten des Auftraggebers – auch ein Auftragsverarbeiter. Eine Vereinbarung zur Auftragsverarbeitung ist somit nur mit tatsächlichen Auftragsverarbeitern abzuschließen.
Doch auch bei der Art und Weise, wie eine solche Vereinbarung abgeschlossen werden kann, gibt es durchaus Unterschiede.
Der klassische Fall einer Auftragsverarbeitungsvereinbarung ist die Gegenzeichnung eines veritablen Vertrags zur Auftragsverarbeitung, der in seiner Struktur die wesentlichen Regelungs-Anforderungen des Artikel 28 DSGVO (Auftragsverarbeitung) und Bezüge zu weiteren wichtigen Teilnormen der DSGVO enthält – wie etwa den Artikeln 32 („Sicherheit der Verarbeitung“, also die TOMs), 33/34 (Thema Datenschutzpannen) oder 35/36 (Datenschutzfolgen-Abschätzung).
Zudem regelt der AVV weitere Unterstützungspflichten des Auftragnehmers (Hinweise, Betroffenenanfragen etc.) und etwaige Schadensersatzansprüche im Innenverhältnis zwischen Auftraggeber und Auftragnehmer.
Der Auftragsverarbeitungsvertrag ist daher stark strukturiert und beinhaltet nur wenige Freiheitsgrade, die aber beachtenswert sind um am Ende nicht in einer defensiven Position zu landen.
Die DSGVO sieht aber explizit vor, dass auch eine elektronische Vertragsschließung möglich ist. Daher setzen sich auch immer mehr „Klick-Lösungen“ durch, in denen ein bestehendes Template online nur noch bestätigt und meist eine digitale Kopie dieses geschlossenen Vertrags mit Zeitstempel bereitgestellt wird.
Eine weitere Spielart, die den administrativen Aufwand für beide Seiten zusätzlich verringern soll, ist die Integration der Regelungsinhalte in die Service-Terms des Dienstleisters.
In dieser Variante ist es also so, dass der Auftraggeber die Datenschutzvereinbarung bereits dadurch akzeptiert, dass der den Service entsprechend dem Dienstleistungsvertrag nutzt.
Dies ist insbesondere bei den großen Clouddienstleistern üblich, die Millionen von Kunden haben und dem entsprechend einen exorbitanten Verwaltungsaufwand mit einzelnen Vertragsschließungen hätten.
Allen den genannten Varianten ist gemeinsam, dass die Vorlage für den AVV üblicherweise vom Dienstleister stammt und eine intensivere inhaltliche Verhandlung darüber auch nicht vorgesehen ist.
Meist ist es nämlich der Dienstleister, der zahlenmäßig weit mehr solche Vertragsverhältnisse abschließen muss als der einzelne Auftraggeber, daher ist dieses Vorgehen auch verständlich. Es gibt aber – je nach „Verhandlungsmacht“ des Auftraggebers – natürlich auch Ausnahmen von dieser Regel.
Tut er sich schwer mit der Akzeptanz und ist ein Nachverhandeln nicht möglich, kann eine Konsequenz durchaus sein, dass eine Inanspruchnahme der Leistung nicht empfehlenswert ist.
Wichtig ist stets, dass trotz aller Ähnlichkeit der Verantwortliche alle seine AVVs, unabhängig von der Form, prüfen sollte, ob er die dort enthaltenen Regelungs-Ausgestaltungen akzeptieren kann.
Das zuvor Gesagte sowie der Umstand, dass insbesondere der Auftragsverarbeiter zahlreiche Verpflichtungen in einem solchen AVV eingeht, verdeutlichen um so mehr, dass diese Vereinbarung für ihn hoch-relevant ist und nicht oberflächlich zusammengeschrieben oder gar per Copy-Paste von anderer Stelle „entliehen“ werden darf.
Die Hinzuziehung eines Datenschutzexperten (ggf. auch eines spezialisierten Anwalts) ist dringend anzuraten.
Der AVV ist nicht die einzige relevante Datenschutzvereinbarung, über deren Abschluss man sich Gedanken machen muss.
Geheimhaltungsvereinbarung
Eine Selbstverständlichkeit sind Regelungen zur Geheimhaltung bei Dienstleistungen, bei denen personenbezogene Daten nicht im Zentrum der Dienstleistung stehen, sie aber durchaus genutzt (und damit „verarbeitet“) werden.
Beispielhaft seien hier Putzdienste oder Handwerker genannt, die durchaus mit solchen Daten in Berührung kommen können (Raumlisten mit Namen, Kontaktnummern zur Auftragsabstimmung etc.).
Da hier eben kein AVV abgeschlossen wird, ist vom Auftraggeber darauf zu achten, dass im Serviceauftrag ein geeigneter Passus zur Vertraulichkeit und zur Einhaltung der Regelungen des Datenschutzes enthalten ist.
Sollte dies nicht der Fall sein – nicht selten werden solche Aufträge ja auch mündlich „auf Zuruf“ erteilt und überhaupt nicht durch eine schriftliche Vereinbarung fixiert – bietet es sich an, zusätzlich eine einfache Vertraulichkeitsvereinbarung mit dem Anbieter abzuschließen. Dies wird jedoch oft übersehen.
Gemeinsame Verantwortung – Joint Control
Schließlich gibt es auch Konstellationen, in denen es zwar im Kern um die Verarbeitung von personenbezogenen Daten geht, es aber eben keine klare Trennung zwischen verantwortlichem Auftraggeber und streng weisungsgebundenem Auftragnehmer gibt. Dies ist insbesondere bei Kooperationen der Fall, in denen beide Vertragspartner eigene Zwecke in der gemeinschaftlichen Verarbeitung dieser Daten verfolgen, oder auch bei bestimmten Dienstleistungen wie etwa der Arbeitnehmerüberlassung (hier integrieren sowohl das verleihende wie auch das entleihende Unternehmen den Mitarbeiter umfassend in die eigene Unternehmensorganisation und verarbeiten dessen personenbezogene Daten als eigene Verantwortliche parallel).
Das Instrument der Wahl um die Datenschutz-seitigen Aspekte zu regeln, ist hier die sogenannte Gemeinsame Verantwortlichkeit („Joint Control“).
Da die jeweilige konkrete Situation sehr unterschiedlich sein kann, ist dieses Vertragswerk deutlich flexibler zu handhaben als ein AVV, die Gestaltung muss dem spezifischen Einzelfall folgen.
Grundsätzlich kann man festhalten, dass die Verarbeitung personenbezogener Daten außerhalb der eigenen Organisation gut ausgeplant und mit der richtigen Datenschutzvereinbarung unterfüttert werden muss.
Die Hinzunahme externer Expertise zum Aufbau der entsprechenden vertraglichen Strukturen ist dringend angeraten.
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!