Auftrags(daten)verarbeitung

Aktuelles Recht und Änderungen durch die DS-GVO

Die sog. Auftragsdatenverarbeitung nimmt im Datenschutzrecht eine Sonderstellung ein. Nach der aktuellen Rechtslage ist normalerweise eine Übermittlung von personenbezogenen Daten an einen Dritten nur zulässig, sofern dafür eine Rechtsgrundlage besteht. Eine verantwortliche Stelle kann sich von ihren datenschutzrechtlichen Pflichten grundsätzlich nicht dadurch lösen, indem sie einen anderen mit der Verarbeitung beauftragt. Insbesondere bedarf die Übermittlung von personenbezogenen Daten an Dritte gem. § 4 Abs. 1 BDSG grundsätzlich einer Rechtsgrundlage. Hiervon macht § 11 BDSG eine praktisch bedeutsame Ausnahme. Dieser regelt die Verarbeitung von personenbezogenen Daten nach Weisung des Verantwortlichen, sog. Auftragsdatenverarbeitung. Liegt eine Auftragsdatenverarbeitung vor, so bestimmt § 3 Abs. 8 BDSG, dass es sich bei dem Aufragsdatenverarbeiter, etwa einem Cloud-Dienstleister, nicht um einen Dritten im Sinne des BDSG handelt. Somit liegt dann konsequenterweise auch keine Übermittlung von Daten vor, da diese eine Bekanntgabe personenbezogener Daten an Dritte voraussetzt.

In welcher Gestalt das Auftragsverhältnis begründet wird, ist unerheblich. Typischerweise handelt es sich in der Praxis um Dienstverträge, Werkverträge oder um Geschäftsbesorgungsverträge. Als Beispiele lassen sich hier u.a. ein Vertrag über die Erbringung von Rechenzentrumsdienstleistungen, aber auch ein Vertrag über die ordnungsgemäße Vernichtung von Akten anführen. Dass der Dienstleister auch in diesen Fällen ein finanzielles Eigeninteresse an der Erbringung der Dienstleistung hat, schließt das Vorliegen einer Auftragsdatenverarbeitung nicht aus.

I. Verarbeitung nach Weisung 

Voraussetzung für die Anwendung von § 11 BDSG ist, dass eine Verarbeitung nach Weisung des Verantwortlichen erfolgt. Der Verarbeiter darf insofern nur eine Hilfsfunktion innehaben und muss an die konkreten Weisungen der verantwortlichen Stelle gebunden sein. Er darf keine eigenständige Entscheidungsbefugnis über die Art der Verarbeitung haben. Nicht anwendbar ist § 11 BDSG deshalb bei der sog. Funktionsübertragung, d.h. wenn die Verarbeitung über die Wahrnehmung einer Hilfsfunktion hinausgeht und im Wesentlichen unabhängig erfolgt. Hierunter fällt etwa eine Übermittlung von personenbezogenen Daten an einen Steuerberater, damit dieser die Gehaltsabrechnung vornimmt. Liegt eine Funktionsübertragung vor, bedarf es für die Übermittlung der personenbezogenen Daten einer Rechtsgrundlage, bspw § 32 BDSG, wenn die Übermittlung zur Durchführung eines Arbeitsverhältnisses erforderlich ist.  In diesem Fall ist der Verarbeiter nämlich Dritter im Sinne des BDSG. Maßgeblich für die Abgrenzung zwischen Auftragsverarbeitung und Funktionsübertragung sind die Umstände und Gegebenheiten des Einzelfalls. Da die Grenzen insofern recht fließend sein können, sollte im Zweifel immer ein ADV-Vertrag abgeschlossen werden, um im Fall der Fälle in den Genuß der Privilegierung nach § 11 BDSG zu kommen.

II. Inhaltliche Voraussetzungen

Diese Privilegierung ist allerdings an besondere Voraussetzungen gebunden. Allgemein gilt zunächst, dass der Auftragsdatenverarbeiter unter Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen ist. Da der Auftraggeber nach bisherigem Recht alleine verantwortlich für die Datenverarbeitung bleibt, muss er prüfen, ob der Auftragsdatenverarbeiter die Gewähr dafür bietet, dass die datenschutzrechtlichen und IT-Sicherheits-Standards, die die verantwortliche Stelle einzuhalten hat, dort ebenfalls eingehalten werden. Dies ist zudem auch bei der Vertragsgestaltung zu berücksichtigen. § 11 Abs. 2 BDSG macht insofern Vorgaben dafür, welche Inhalte im Vertrag festzulegen sind:

Der zu Grunde liegende Vertrag muss schriftlich abgeschlossen werden und insbesondere folgende Angaben enthalten:

Die vorstehenden Konkretisierungen ergeben sich aus § 11 Abs. 2 BDSG und sind aus Auftraggebersicht bereits deshalb entscheidend, da er sicherstellen muss, dass der Auftragnehmer insbesondere datenschutzrechtliche Zulässigkeits- oder Ge- bzw. Verbotsnormen einhält. Es handelt sich um die gesetzlichen Mindestanforderungen an die vertragliche Vereinabrung über die Auftragsdatenverarbeitung.

Der Auftraggeber hat sich zudem gem. § 11 Abs. 2 S. 4 BDSG vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis dieser Kontrollen ist zu dokumentieren. Es reicht daher regelmäßig nicht aus, wenn der Auftraggeber auf die Aussagen des Auftragnehmers vertraut, sondern er muss sich selbst ein Bild von den Verhältnissen beim Auftragnehmer machen.

Der Auftragnehmer ist demgegenüber verpflichtet, sich an die Weisungen des Auftraggebers zu halten. Er darf die ihm übermittelten Daten ohne ausdrückliche Erlaubnis des Auftraggebers nicht abweichend von dessen Weisungen und den niedergelegten Bedingungen des Auftrags verarbeiten. Aus diesem Grund sollten Weisungen möglichst schriftlich erteilt werden, damit diese beweissicher dokumentiert sind. Allerdings sind mangels gesetzlicher Formvorgabe auch mündliche Weisungen möglich und verbindlich.

Zu den Pflichten des Auftragnehmers gehören außerdem

Weiter gilt die Privilegierung nicht für Auftragsdatenverarbeiter in Staaten außerhalb des Anwendungsbereichs des BDSG und des Europäischen Datenschutzrechts.

Praxisrelevanz besitzt auch der nachträglich eingefügt § 11 Abs. 5 BDSG, der Wartungs- und Prüfungsarbeiten an Datenverarbeitungsanlagen einer Auftragsdatenverarbeitung gleichstellt. Auch bei solchen vertraglichen Leistungen von Firmen, die außerhalb der verantwortlichen Stelle stehen, sollte daher ein Vertrag über die Auftragsdatenverarbeitung abgeschlossen werden, bevor etwa Zugriffe via Teamviewer oder ähnlichem zugelassen werden.

Wird der Auftrag weisungsgemäß durchgeführt, haftet der Auftraggeber, da er Verantwortlicher für die Datenverarbeitung bleibt. Eine Ausnahme besteht aber dann, wenn der Auftragnehmer rechtswidrig gehandelt hat.

III. Auftragsverarbeitung in der DS-GVO

Mit Wirksamwerden der DS-GVO am 25.05.2018 erhält die vorstehend skizzierte Verarbeitung von personenbezogenen Daten nach Weisung des Verantwortlichen einen neuen - kürzeren - Namen: Auftragsverarbeitung.

Es bleibt aber dabei, dass der Auftragsverarbeiter grundsätzlich nicht selbst verantwortliche Stelle ist, wenn er personenbezogene Daten weisungsabhängig verarbeitet. Zudem dürfte er auch weiterhin - auch wenn eine entsprechende Klarstellung in der DS-GVO fehlt - nicht als "Dritter" anzusehen sein und damit weiterhin eine Übermittlung an einen Auftragsverarbeiter nicht dem Verbot mit Erlaubnisvorbehalt unterliegen.

Die Neuregelung der Auftragsverarbeitung in Art. 28, 29 DS-GVO enthält Altbekanntes aus dem BDSG, aber auch einige Neuerungen, die für die Praxis von erheblicher Bedeutung sind und regelmäßig zwingend zu einer Anpassung der abgeschlossenen Verträge über die Datenverarbeitung im Auftrag führen. Insbesondere für die Auftragsverarbeiter ergeben sich Änderungen. Insbesondere muss der Auftragsverarbeiter ein Datenschutzmanagementsystem im Sinne von Art. 32 Abs. 1 DS-GVO vorhalten und ein Verzeichnis der Verarbeitungstätigkeiten erstellen, Art. 30 Abs. 2  DS-GVO. Wichtigste Neuerung dürfte sein, dass der Auftragsverarbeiter unter der DS-GVO nun auch haftungsrechtlich verantwortlich ist, Art. 82 Abs. 2 DS-GVO. Seine Haftung bezieht sich dabei aber auf eine Verletzung der ihn spezifisch treffenden Pflichten. In formeller Hinsicht sieht die DS-GVO vor, dass die Weisungen des Auftraggebers zukünftig dokumentiert werden müssen.