Auftragsverarbeitung

Begriff

Auftragsverarbeiter ist eine natürliche oder juristische Person, eine Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, Artikel 4 Nummer 8 Datenschutz-Grundverordnung (DSGVO).

Der Auftragsverarbeiter ist nicht »Dritter« im Sinne der Datenschutz-Grundverordnung (Artikel 4 Nummer 10). Allerdings fällt der Auftragsverarbeiter unter den Begriff »Empfänger« nach Artikel 4 Nummer 9 DSGVO. Daher sind betroffene Personen zum Beispiel bei der Erhebung von Daten auch darüber zu informieren, dass diese an einen Auftragsverarbeiter übermittelt werden (Artikel 13 Absatz 1 Buchstabe e, Artikel 14 Absatz Buchstabe e DSGVO).

Abgrenzung zu anderen Verarbeitungssituationen

Die Auftragsverarbeitung ist insbesondere von folgenden anderen Verarbeitungssituationen abzugrenzen:

• Gemeinsame Verantwortlichkeit nach Artikel 26 Datenschutz-Grundverordnung:
  Wenn zwei oder mehr Verantwortliche den Zweck und die Mittel einer Verarbeitung personenbezogener Daten gemeinsam festlegen, sind sie auch gemeinsam Verantwortliche. Für die Abgrenzung zur Auftragsverarbeitung ist daher vor allem von Bedeutung, dass beide Personen/sonstige Stellen die grundlegenden Entscheidungen über die Verarbeitung der Daten gemeinsam treffen, also kein Weisungsverhältnis besteht.
  Die gemeinsame Verantwortlichkeit nach Artikel 26 DSGVO setzt keine Datenherrschaft bzw. Kontrolle oder Gleichwertigkeit aller Beteiligter voraus, sondern erfasst grundsätzlich auch stark asymmetrische Konstellationen, wie etwa den Einsatz von Softwarewerkzeugen oder Cloudplattformen.
• Funktionsübertragung bzw. getrennte Verantwortlichkeit:
  Mit Funktionsübertragung ist die klassische Übertragung von Aufgaben von einer Person oder Stelle auf eine andere Person oder Stelle gemeint. Sie ist dadurch gekennzeichnet, dass der Empfänger der Daten die Zwecke und die Mittel der Weiterverarbeitung der ihm gegebenenfalls übermittelten personenbezogene Daten selbst festlegt, insbesondere die Daten zur Erfüllung eigener Aufgaben nutzt. In diesen Fällen verarbeitet der Empfänger der Daten diese nicht im Auftrag und auf Weisung des Verantwortlichen. Einen typischen Fall stellt die Beauftragung von Expertinnen und Experten dar, die gerade wegen ihrer besonderen Kenntnisse oder Fähigkeiten eingeschaltet werden, und deren Verarbeitungen der Erstverantwortliche insoweit nicht konkret anweisen kann (zum Beispiel Rechtsanwältinnen und Rechtsanwälte, Steuer- und andere Beraterinnen und Berater). In diesen Fällen liegt keine Auftragsverarbeitung vor. Für die Übermittlung der Daten und die Weiterverarbeitung durch den Empfänger bedarf es insoweit einer eigenständigen Rechtsgrundlage.

Speziell: Wartung und Prüfung von IT-Systemen

Die Frage, ob es sich um eine Auftragsverarbeitung handelt oder nicht, taucht oftmals im Zusammenhang mit Verträgen zur Wartung und Prüfung von IT-Systemen auf.

Ausgangspunkt der Beurteilung, ob Fernwartungsverträge eine Verarbeitung im Auftrag nach Artikel 28 DSGVO darstellen, ist der weite Verarbeitungsbegriff, der der Datenschutz-Grundverordnung zugrunde liegt. Zu einer Verarbeitung nach Artikel 4 Nummer 2 DSGVO zählen insbesondere das Anpassen oder Verändern personenbezogener Daten, deren Auslesen, Abfragen, Verwenden oder vor allem auch Offenlegen durch Verbreitung oder einer anderen Art der Bereitstellung.

Aufgrund des weiten Begriffs der »Verarbeitung« ist davon auszugehen, dass nur bei einer reinen technischen Wartung ohne Zugriff auf personenbezogene Daten keine Auftragsdatenverarbeitung vorliegt und Artikel 28 DSGVO nicht zu beachten ist. Besteht bei der Wartung oder Prüfung der IT-Systeme dagegen für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten (zum Beispiel bei der Prüfung von Speicher-Dumps oder Support-Arbeiten in Systemen des Auftraggebers usw.), so handelt es sich um eine Form bzw. Teiltätigkeit einer Auftragsverarbeitung und die Anforderungen des Artikels 28 DSGVO sind umzusetzen.

Die Datenschutz-Grundverordnung regelt die Auftragsverarbeitung insbesondere in den Artikeln 28 und 29. Die Öffnungsklauseln der DSGVO ermöglichen dem deutschen und dem sächsischen Gesetzgeber, durch eine Rechtsvorschrift allgemeine Bedingungen für die Rechtmäßigkeit der Verarbeitung aufzustellen. Daher sind Regelungen, die das »Ob« der Auftragsverarbeitung bestimmen, also die Frage betreffen, ob bzw. unter welchen Voraussetzungen in bestimmten Fällen eine Auftragsverarbeitung zulässig ist, auch weiterhin zulässig (zum Beispiel § 80 SGB X). Die Frage, wann von einer Auftragsverarbeitung ausgegangen werden muss und das »Wie« der Auftragsverarbeitung, also die spezifischen Anforderungen an die Ausgestaltung der Auftragsverarbeitung, ist in den Artikeln 28 und 29 DSGVO abschließend geregelt.

• Der Mindestinhalt eines Vertrages zur Auftragsverarbeitung wird in Artikel 28 bestimmt.
• Ein Vertrag zur Auftragsverarbeitung kann nicht nur schriftlich, sondern auch in einem elektronischen Format geschlossen werden.
• Weisungen des Verantwortlichen an den Auftragsverarbeiter sind zu dokumentieren.
• Der Auftragsverarbeiter hat ein eigenes Verzeichnis von Verarbeitungstätigkeiten zu erstellen.
• Will der Auftragsverarbeiter Subunternehmen als weitere Auftragsverarbeiter zur Erbringung der vereinbarten Dienstleistung einsetzen, so bedarf dies der vorherigen (schriftlichen oder elektronischen) Genehmigung durch den Verantwortlichen. Spätere Änderungen bei den eingesetzten Subunternehmen muss der Auftragsverarbeiter vorher mitteilen, wobei der Verantwortliche Einspruch gegen die geplante Einbeziehung des neuen Subunternehmens einlegen kann.
• Der Spielraum bei der Kontrolle des Auftragsverarbeiters durch den Verantwortlichen ist vergleichsweise groß. So ist zum Beispiel nicht zwingend eine Vorort-Kontrolle erforderlich, soweit auf Zertifizierungen zurückgegriffen werden kann.
• Auftragsverarbeiter haben Dokumentationspflichten und gegenüber dem Verantwortlichen eine Unterstützungsfunktion.
• Aufsichtsbehörden können Sanktionen direkt gegenüber dem Auftragsverarbeiter verhängen.
• Verantwortlicher und Auftragsverarbeiter können bei Datenschutzverstößen gegenüber betroffenen Personen gesamtschuldnerisch auf Schadenersatz haftbar sein. Der Auftragsverarbeiter kann daher von betroffenen Personen direkt in Anspruch genommen werden.
• Eine allgemeine Pflicht zur Meldung eines Auftragsverarbeiters aus dem nichtöffentlichen Bereich an die zuständige Kontroll- bzw. Aufsichtsbehörde gibt es nicht.

Artikel 28 Datenschutz-Grundverordnung enthält keine ausdrückliche Befugnis zur Auftragsverarbeitung, sondern nur spezifische Bestimmungen, die bei einer Auftragsverarbeitung einzuhalten sind. Es kann jedoch davon ausgegangen werden, dass die Verarbeitung personenbezogener Daten durch den Verantwortlichen und den Auftragsverarbeiter ein einheitlicher Vorgang der Datenverarbeitung ist. Wenn der Verantwortliche eine Befugnis zur Datenverarbeitung hat, dann kann er die Verarbeitung grundsätzlich auch auf einen Auftragsverarbeiter übertragen, soweit die Voraussetzungen erfüllt sind; insbesondere muss die entsprechende Information der Betroffenen und der Abschluss eines entsprechenden Vertrags mit dem Auftragsverarbeiter bzw. ein anderes rechtliches Instrument vor Weitergabe der Daten an den Auftragsverarbeiter vorliegen. Im öffentlichen Bereich sind zudem spezialgesetzliche Vorschriften, verfassungsrechtliche Grenzen und Zuständigkeitsregelungen zu beachten. Ein Prüfschema, wie eine öffentliche Stelle die grundsätzliche Zulässigkeit einer Auftragsverarbeitung prüfen sollte, finden Sie nachfolgend.

Die Datenschutz-Grundverordnung verlangt zwingend, dass Grundlage einer Auftragsverarbeitung ein Vertrag oder ein anderes Rechtsinstrument ist.

Überwiegend werden Auftragsverarbeitungen auf Verträgen beruhen, etwa Dienst- oder Werkverträgen bzw. ergänzenden Auftragsverarbeitungsverträgen. Der Vertrag kann auch in einem elektronischen Format geschlossen werden (Artikel 28 Absatz 9 DSGVO).

Nach Artikel 28 Absatz 3 DSGVO sind in Auftragsverarbeitungsverträge bestimmte Mindestinhalte in den Vertrag aufzunehmen. Im Vertrag sind Festlegungen zu treffen

• zum Gegenstand der Verarbeitung (zum Beispiel Verweis auf die Leistungsvereinbarung des Vertrag; Darstellung der konkreten Aufgaben),
• zur Dauer der Verarbeitung (Beispiele: Laufzeit des Vertrages, Befristung, einmalige Ausführung),
• zum Zweck der Verarbeitung (zum Beispiel Verweis auf die Leistungsvereinbarung, Beschreibung des Zwecks),
• zur Art der Verarbeitung (zum Beispiel automatisierte Verarbeitung, Erheben, Erfassen, Ordnen),
• zur Art der verarbeiteten personenbezogenen Daten (zum Beispiel Adressdaten, Personenstammdaten, Telekommunikationsdaten, Daten aus öffentlichen Verzeichnissen),
• zu den Kategorien betroffener Personen (zum Beispiel Antragsteller/in, Beschäftigte, Ansprechpartner/in etc.),
• zu den Pflichten und Rechten des Verantwortlichen (zum Beispiel Ausgestaltung des Weisungsrechts oder der Kontrollmöglichkeiten, vgl. auch die nachfolgenden Regelungen).

Darüber hinaus hat der Vertrag dahingehend Regelungen zu enthalten, dass der Auftragsverarbeiter

• die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten darf, es sei denn, er ist durch andere Vorschriften zur Verarbeitung verpflichtet,
• gewährleistet, dass sich die Mitarbeiterinnen und Mitarbeiter, die die Daten verarbeiten, zur Vertraulichkeit verpflichten oder einer angemessenen gesetzlichen Verschwiegenheit unterliegen,
• technische und organisatorische Maßnahmen für die Sicherheit der Verarbeitung ergreift,
• die Bedingungen für die Inanspruchnahme eines weiteren Auftragsverarbeiters eingehalten werden,
• den Verantwortlichen bei der Erfüllung der diesem obliegenden Beantwortung von Anträgen zur Wahrnehmung von Betroffenenrechten unterstützt,
• den Verantwortlichen bei der Gewährleistung der Sicherheit der Verarbeitung sowie den Melde- und Benachrichtigungspflichten bei Datenschutzverstößen unterstützt,
• nach Erbringung der Verarbeitungsleistungen die personenbezogenen Daten löscht oder zurückgibt,
• dem Verantwortlichen alle erforderlichen Informationen zur Verfügung stellt und Überprüfungen zulässt.

Dokumente zum Download

• Prüfschema Zulässigkeit der Auftragsverarbeitung im öffentlichen Bereich (*.pdf, 0,15 MB)
• Formulierungshilfe für einen Auftragsdatenverarbeitungsvertrag nach Artikel 28 Absatz 3 DSGVO (*.docx, 41,27 KB)

Der Verantwortliche hat auch im Rahmen der Auftragsverarbeitung die allgemeinen, in der Datenschutz-Grundverordnung festgelegten Pflichten zu erfüllen (wie die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nach Artikel 5 Absatz 2 DSGVO oder die Festlegung technischer und organisatorischer Maßnahmen für die Sicherheit der Verarbeitung nach Artikel 32 DSGVO). Hinzu kommen insbesondere folgende spezielle Pflichten:

Auswahl des Auftragsverarbeiters

Der Verantwortliche darf nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichende Garantien dafür bieten, dass die Verarbeitung der personenbezogenen Daten im Einklang mit der Datenschutz-Grundverordnung erfolgt (Artikel 28 Absatz 1 DSGVO). Daher muss er den Auftragsverarbeiter sorgfältig auswählen. Fachwissen, Zuverlässigkeit und Ressourcen können Maßstäbe für die Auswahl sein. Als Nachweis ausreichender Garantien können genehmigte Verhaltensregeln, denen der Auftragsverarbeiter unterliegt, oder Zertifizierungen herangezogen werden.

• Kurzpapier: Zertifizierung nach Artikel 42 DSGVO (PDF-Datei auf der Website der Datenschutzkonferenz)

Die Datenschutz-Grundverordnung begründet an mehreren Stellen selbständige datenschutzrechtliche Pflichten des Auftragsverarbeiters. Zu nennen sind insbesondere

• die Pflicht zum Führen eines Verfahrensverzeichnisses (Artikel 30 Absatz 2 DSGVO),
• die Pflicht zur Zusammenarbeit mit der Datenschutzaufsicht (Artikel 31 DSGVO),
• das Ergreifen technischer und organisatorischer Maßnahmen der Datensicherheit (Artikel 32 Absatz 1 DSGVO),
• die Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten (Artikel 37 Absatz 1 DSGVO),
• die Beschränkungen für den Datentransfer in Drittländer (Artikel 44 DSGVO),
• die Pflicht den Verantwortlichen zu informieren, wenn Weisungen nach Ansicht des Auftragsverarbeiters gegen die Datenschutz-Grundverordnung oder andere Datenschutzbestimmungen verstoßen (Artikel 28 Absatz 3 Satz 3 DSGVO),
• die Pflicht zur Meldung von Datenschutzverstößen an den Verantwortlichen (Artikel 33 Absatz 2 DSGVO).

Möchte der Auftragsverarbeiter einen weiteren Auftragsverarbeiter in Anspruch nehmen, so darf er dies nur,

• mit schriftlicher Genehmigung des Verantwortlichen (Artikel 28 Absatz 2 DSGVO) und
• unter Vereinbarung der gleichen Datenschutzstandards, die zwischen dem Verantwortlichen und ihm gelten.

Wenn ein Auftragsverarbeiter Mittel und Zweck der Verarbeitung entgegen der Datenschutz-Grundverordnung selbst bestimmt, gilt er als Verantwortlicher mit allen daraus erwachsenden Rechten und Pflichten (Artikel 28 Absatz 10 DSGVO).

Artikel 82 Absatz 1 Datenschutz-Grundverordnung (DSGVO) bestimmt, dass eine betroffene Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen oder den Auftragsverarbeiter hat. Verantwortlicher und Auftragsverarbeiter haften für einen Schaden, für den sie mitverantwortlich sind, gegenüber der betroffenen Person in voller Höhe (Artikel 82 Absatz 4 DSGVO).

Im Innenverhältnis kann ein Ausgleich je nach der Höhe des Anteils an der Verantwortung für den verursachten Schaden geltend gemacht werden. Eine Haftung des Auftragsverarbeiters entfällt, wenn er

• den sich aus der Datenschutz-Grundverordnung ergebenden Pflichten nachgekommen ist (etwa ausreichend technisch und organisatorische Maßnahmen für die Datensicherheit ergriffen hat) und
• er entsprechend den rechtmäßig erteilten Weisungen des Verantwortlichen und nicht entgegen diesen Weisungen gehandelt hat.

Verantwortlicher oder Auftragsverarbeiter haften nicht, wenn sie nachweisen können, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind, Artikel 82 Absatz 3 DSGVO.