Auftragsverarbeiter

Nach Artikel 28 DS-GVO müssen Unternehmen die gesetzkonforme Verarbeitung von personenbezogenen Daten auch dann sicher stellen, wenn diese durch Dritte, zum Beispiel den E-Mail-Dienstleister, im Auftrag verarbeitet werden. Ein Auftragsverarbeiter ist in diesem Zusammenhang ein Auftragnehmer der auf Grundlage der Weisung des Auftraggebers Daten verarbeitet.

Artikel 4 Nr. 8 der DS-GVO definiert den Auftragsverarbeiter wie folgt:

der „Auftragsverarbeiter“ (ist) eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“

Auftagsverarbeitungsvertrag ist Pflicht

Mit Auftragsverarbeitern muss der Verantwortliche Auftraggeber einen Auftragsverarbeitungsvertrag schließen, in dem der Auftragnehmer ein angemessenes Datenschutzniveau garantiert. Art. 28 Nr. 2 DS-GVO definiert, was in so einem Vertrag drin stehen muss.

Der Sinn dabei ist, das ein angemessenes Datenschutzniveau über die gesamte Kette der Datenverarbeitung gewährleistet ist. Im Falle einer geforderten Datenlöschung durch einen Betroffenen auf Grundlage von Artikel 17 DS-GVO muss der Auftraggeber den Auftragsverarbeiter über den Löschwunsch informieren und sich dessen Umsetzung bestätigen lassen. Auftragsverarbeiter sind ebenso meldepflichtig, wenn in ihrem Zuständigkeitsbereich ein Datenschutzvorfall endeckt wurde.

Ein Auftragnehmer ist dabei immer für die ihm weisungsgebundenen Auftragsverarbeiter verantwortlich.

Wer ist Auftragsverarbeiter und wer nicht?

In der Praxis ist es nicht immer leicht zu entscheiden, ob ein Auftragnehmer ein Auftragsverarbeiter ist oder nicht. Folgende Leitfragen helfen einen Auftragsverarbeiter zu identifizieren:

• Liegt ein Verfahren vor, in dem Daten durch einen Dritten (Auftragnehmer) verarbeitet werden?
  • Auftragsverarbeitung ist möglich
  • Beispiel: E-Mail-Dienst über einen Dienstanbieter wie posteo.de
• Bestimmt der Auftragnehmer über den Zweck der Verarbeitung?
  • wenn nein, dann Auftragsverarbeitung möglich.
  • Beispiel: ein Steuerberater der die Einkommenssteuererklärung im Auftrag erstellt hat durch seine Beratungskompetenz hohen Handlungsspielraum, bestimmt über den Zweck der Verarbeitung und ist daher kein Auftragsverarbeiter sondern selbst Verantwortlicher.
• Entscheidet der Auftragnehmer über wesentliche Mittel der Verarbeitung?
  • Wenn nein, dann ist er ein Auftragsverarbeiter
  • Beispiel: Ein Inkasso-Büro verarbeitet zwar personenbezogene Daten im Auftrag eines Auftraggebers, um Schulden einzutreiben. Dennoch bestimmt das Inkasso-Büro über den Zweck der Verarbeitung und entscheidet über die Mittel (Brief, Gericht etc.) wie die Schulden eingetrieben werden. Es ist somit kein Auftragsverarbeiter

Ein entsprechendes Prüfschema und weitere Hintergrundinformationen sind auf der Website der Gesellschaft für Datenschutz und Datensicherheit e. V. als Praxishilfe Nr. 12 veröffentlicht.

Beispiele für Auftragsverabeiter

Die deutsche Datenschutzkonferenz hat einige Beispiele bereitgestellt. Auftragsverarbeiter sind demnach zum Beispiel:

• DV-technische Arbeiten für die Lohn-und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren
• Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist,
• Werbeadressenverarbeitung in einem Lettershop,
• Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume dort,
• Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B.Betreuung von Kontaktformularen oder Nutzeranfragen),
• Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten,
• Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen,
• Datenträgerentsorgung durch Dienstleister,
• Prüfung oder Wartung (z. B. Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann
• Zentralisierung bestimmter „SharedServices-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen (jedenfalls sofern kein Fall gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO vorliegt)

Keine Auftragsverarbeiter sind demnach zum Beispiel folgende Dienstleistungen:

• Dienstleistungen von Berufsgeheimnisträgern (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer)
• Inkassobüros mit Forderungsübertragung,
• Bankinstituts für den Geldtransfer,
• Postdienstes für den Brieftransport,
• Anbeiter von Internetanschlüssen wie z. B die Telekom

Bei einer Verarbeitung durch gemeinsam Verantwortliche sieht die Datenschutzkonferenz keine Auftragsverarbeitung für folgende Fälle:

• klinische Arzneimittelstudien, wenn mehrere Mitwirkende (z.B.Sponsor, Studienzentren) jeweils in Teilbereichen Entscheidungen über die Verarbeitung treffen
• gemeinsame Verwaltung bestimmter Datenka-tegorien (z.B. „Stammdaten“) für bestimmte gleichlaufende Geschäftszwecke mehrerer Konzernunternehmen, z. B. bei der Nutzung von SAP einem Konzern

Alle obigen Beispiele lassen sich beliebig ergänzen.

Was ist nun zu tun?

Wichtig ist, dass Sie

1. identifizieren ob für ein Verfahren in Ihrem Unternehmen ein Auftragsverarbeitung vorliegt
2. in Falle einer Auftragsverarbeitung diese vertraglich regeln

Für die Verträge gibt es viele Beispiel im Internet. Ich empfehle die Version der Gesellschaft für Datenschutz und Datensicherheit e. V., die in der Praxishilfe Nr. 4 veröffentlicht wurde.

Alternativ bietet das DS-GVO-Toolkit einen angepassten Auftragsverarbeitungsvertrag auf Basis der Handreichung der Gesellschaft für Datenschutz und Datensicherheit e. V.

Standardverträge

Viele IT-Serviceanbieter haben bereits vorausgefüllte und teilweise bereits unterschriebene Auftragsverarbeitungsverträge ins Internet gestellt. Diese müssen dann nur noch gegengezeichnet und abgelegt werden.

Hier eine ständig erweiterter Auswahl bereitgestellter Auftragsverarbeitungsverträge bzw. Hinweise dazu:

• 1und1
• All-Inkl
• Fastbill
• Google
• HostEurope
• MailChimp
• Strato

Weitere folgen…

Fragen? Wollen Sie die Datenschutzgrundverordnung schnell und effizient umsetzen? Nutzen Sie das DS-GVO-Toolkit dazu!