Nahezu jedes Unternehmen bedient sich zur Verarbeitung personenbezogener Daten externer Dienstleister bzw. Services. Zu denken ist etwa an E-Mail, Cloud Storage oder Webhosting Provider. Aber auch innerhalb von Unternehmensgruppen bzw. Konzernen findet regelmäßig eine Zentralisierung von Datenverarbeitungsvorgängen statt. In all diesen Fällen ist an eine Auftragsverarbeitung gemäß DSGVO zu denken. Nachfolgend erhalten Sie Antworten auf Fragen, die in der anwaltlichen Beratung regelmäßig gestellt werden.

Was ist eine Auftragsverarbeitung?

Von einer Auftragsverarbeitung (ehemals auch „Auftragsdatenverarbeitung“, kurz „ADV“ genannt) spricht man, wenn ein Dienstleister (sog. „Auftragsverarbeiter“; s. Definition unten) durch einen „Verantwortlichen“ (s. Definition unten) zur Verarbeitung personenbezogener Daten beauftragt wird. Die Verarbeitung hat gemäß den Weisungen des Verantwortlichen zu erfolgen. Plakativ könnte man auch sagen: Die Auftragsverarbeitung ist das weisungsgebundene Outsourcing der Verarbeitungstätigkeit des Verantwortlichen.

Der zwischen dem Auftragsverarbeiter und dem Verantwortlichen geschlossene Vertrag wird typischerweise „Auftragsverarbeitungsvertrag“ (kurz „AVV“; im engl. „DPA“) genannt. Beispiele von typischen Auftragsverarbeitungen sind unten aufgelistet.

Zweck der Auftragsverarbeitung?

Die Weitergabe von personenbezogenen Daten an Dritte außerhalb des Unternehmens bedarf grundsätzlich eines Erlaubnistatbestandes nach Art. 6 bzw. Art. 9 DSGVO, ist also standardmäßig verboten und wird erst durch eine solche Legitimation zulässig (sog. „Verbot mit Erlaubnisvorbehalt“). Im Fall der Auftragsverarbeitung nach Art. 28 f. DSGVO ist allerdings nach herrschender Meinung eine Legitimation hierfür nicht erforderlich. Der Auftragsverarbeiter wird danach nicht als Dritter angesehen, sondern „als verlängerter Arm“ des Verantwortlichen. Die Verarbeitungstätigkeit des Auftragsverarbeiters wird sozusagen einer internen Verarbeitungstätigkeit des Verantwortlichen gleichgestellt. Aber Achtung: Für die Verarbeitungstätigkeit an sich ist natürlich nach wie vor ein Erlaubnistatbestand nach Art. 6 bzw. Art. 9 DSGVO notwendig.

Wer ist Auftragsverarbeiter im Sinne der DSGVO?

Auftragsverarbeiter im Sinne der DSGVO ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Auftragsverarbeiter handelt somit auf Weisung des Verantwortlichen, auch wenn er durchaus noch gewisse Entscheidungsspielräume inne haben kann, sofern es sich nicht um wesentliche Aspekte der Verarbeitung handelt. Wesentliche Aspekte betreffen insbesondere den Umfang und Zweck der Verarbeitung. Unwesentliche Aspekte betreffen dagegen konkrete Punkte bzgl. der Durchführung der Verarbeitung wie z.B. die Wahl der Verschlüsselungsmethode, Serverhardware und -software etc.). Der Entscheidungsspielraum besteht jedoch nur insoweit es die Vereinbarung über die Auftragsverarbeitung zulässt.

Wer ist Verantwortlicher im Sinne der DSGVO?

Verantwortlicher im Sinne der DSGVO ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke (warum findet die Verarbeitung statt?) und Mittel (wie findet die Verarbeitung statt?) der Verarbeitung von personenbezogenen Daten entscheidet. Grundsätzlich können somit Einzelpersonen, Unternehmen, Behörden etc. Verantwortlicher im Sinne der DSGVO sein.

Kann jemand gleichzeitig Verantwortlicher und Auftragsverarbeiter sein?

Ja, das ist möglich. Zur Abgrenzung ist auf den konkreten Datenverarbeitungsvorgang abzustellen. So kann es sein, dass die gleiche Person bezüglich des einen Datenverarbeitungsvorganges Verantwortlicher und bezüglich eines anderen Datenverarbeitungsvorganges Auftragsverarbeiter ist.

Kann vertraglich festgelegt werden, wer Verantwortlicher und wer Auftragsverarbeiter ist?

Nein, das ist nicht möglich. Hintergrund dafür ist, dass sich die Parteien allein durch eine vertragliche Regelung nicht ihrer Verantwortung entziehen können sollen. Es kommt auf die tatsächlichen Umstände bzw. die oben dargestellten Kriterien an, wer als Verantwortlicher und wer als Auftragsverarbeiter zu qualifizieren ist. In einer Vereinbarung kann und sollte also insbesondere geregelt werden, wer die Entscheidungsbefugnis hinsichtlich Zweck und Mittel der Verarbeitung inne hat.

Beispiele für eine Auftragsverarbeitung?

Typische Beispiele für eine Auftragsverarbeitung sind:
– Website-Provider
– E-Mail-Provider
– Webspace/-storage Anbieter
– Cloud Computing Services
– IT-Dienstleister zur Fernwartung der IT-Infrastruktur
– IT-Outsourcing Partner
– Externe Partner zur Bereitstellung eines Kundensupports
– Zentralisierung von Datenverarbeitungsvorgängen innerhalb der Unternehmensgruppe/des Konzerns, z.B. ein zentralisierter, konzernweiter Kundensupport
– Elektronische Rechnungserstellung

Aber Achtung: Es kommt letztlich auf den Einzelfall an, ob es sich tatsächlich um eine Auftragsverarbeitung handelt oder nicht. Die Abgrenzung zum Verantwortlichen sowie zur gemeinsamen Verantwortlichkeit im Sinne der DSGVO kann mitunter schwierig sein (siehe oben).

Darf ein Auftragsverarbeiter die zu verarbeitenden Daten auch für eigene Zwecke verarbeiten?

Nein. Der Auftragsverarbeiter ist weder befugt, die Daten für eigene Zwecke zu verarbeiten, noch darf er sie Dritten (z.B. anderen Konzernunternehmen) zur Verfügung stellen. Er ist an die Weisungen des Verantwortlichen gebunden.

Benötigt der Auftragsverarbeiter eine eigene Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten?

Nein. Die Verarbeitungstätigkeit des Auftragsverarbeiters stützt sich auf der Rechtsgrundlage des Verantwortlichen nach Art. 6 bzw. Art. 9 DSGVO. Der Auftragsverarbeiter wird „als verlängerter Arm“ des Verantwortlichen im Sinne der DSGVO angesehen (siehe oben). Diese „Privilegierung“ greift jedoch nur dann, wenn auch sämtliche Voraussetzungen einer Auftragsverarbeitung nach Art. 28 f. DSGVO vorliegen. Liegt eine Auftragsverarbeitung tatsächlich nicht vor (etwa wenn die Datenverarbeitung nur ein „unvermeidliches Beiwerk“ im Rahmen der Erfüllung einer anderen Dienstleistung ist) oder verhält sich der Auftragsverarbeiter vertragswidrig, z.B. wenn er sich nicht an die Weisungen des Verantwortlichen hält oder die personenbezogenen Daten für eigene Zwecke verarbeitet, benötigen beide Seiten, d.h. Auftraggeber und Auftragnehmer, einen Erlaubnistatbestand nach Art. 6 bzw. Art. 9 DSGVO.

Ist eine Vereinbarung zwischen dem Auftragsverarbeiter und Verantwortlichen erforderlich?

Ja. Die DSGVO schreibt vor, dass die Verarbeitung auf Grundlage eines verbindlichen Rahmens zwischen Auftragsverarbeiter und Verantwortlichem erfolgt. Dieser verbindliche Rahmen wird in der Regel durch einen Vertrag (sog. Auftragsverarbeitungsvertrag; AVV) realisiert.

Welche Anforderungen werden an einen Auftragsverarbeitungsvertrag (AVV) gestellt?

Die DSGVO enthält eine Vielzahl an Vorgaben, welchen ein Auftragsverarbeitungsvertrag gerecht werden muss. In dem Auftragsverarbeitungsvertrag müssen insbesondere
– Gegenstand und Dauer der Verarbeitung,
– Art und Zweck der Verarbeitung,
– die Art der personenbezogenen Daten,
– die Kategorien betroffener Personen und
– die Pflichten und Rechte des Verantwortlichen
festgelegt sein. Daneben gibt es noch einige andere Anforderungen, welche insbesondere in Art. 28 DSGVO niedergeschrieben sind. Etwa müssen Regelungen über geeignete technische und organisatorische Maßnahmen (sog. TOMs) getroffen werden, mit denen ein angemessenes Schutzniveau erreicht wird. Der erforderliche Detailgrad dieser Regelungen hängt vom Einzelfall ab. Es muss dem Verantwortlichen möglich sein, die Angemessenheit der Maßnahmen im Hinblick auf das zu erreichende Schutzniveau zu bewerten.

Sie haben Fragen zur Auftragsverarbeitung oder zu anderen datenschutzrechtlichen Themen?

Als Rechtsanwalt und Informatiker mit Fokus auf das IT-Recht und Datenschutzrecht berate ich Sie gerne umfassend zu diesem Thema. Rufen Sie mich unter 0711 – 25 25 23 40 (bundesweite Beratung) an oder nutzen Sie gerne das Kontaktformular.

Möglicherweise interessante Beiträge für Sie?