Auftragsverarbei
tung nach DSGVO
Verarbeitung von personenbezogenen Daten durch externe Dienstleister als Auftragsverarbeitung
In der zunehmend digitalen Wirtschaftswelt ist es für Unternehmen beinahe schon zum Standard geworden, zur Verarbeitung personenbezogener Daten auf externe Dienstleister zurückzugreifen. Nach der EU Datenschutz Grundverordnung (DSGVO) stellt die Inanspruchnahme externer Dienstleister zur Verarbeitung personenbezogener Daten vielfach eine Auftragsverarbeitung dar, die besonderen rechtlichen Anforderungen unterliegt. Der Begriff der Auftragsverarbeitung ist als solcher nicht direkt in der DSGVO definiert, wohl aber der Begriff des Auftragsverarbeiters. Ein Auftragsverarbeiter ist nach der DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Verantwortlicher ist dabei die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Außerdem darf ein Auftragsverarbeiter grundsätzlich nur auf Weisung des Verantwortlichen personenbezogene Daten verarbeiten. Somit ist die Auftragsverarbeitung die weisungsgebundene Verarbeitung von personenbezogenen Daten vom Auftragnehmer (Auftragsverarbeiter) für den Auftraggeber (Verantwortlicher). Es kommt entscheidend darauf an, ob der Auftragnehmer auch tatsächlich weisungsgebunden für den Auftraggeber tätig ist. Der Auftraggeber muss über die Einzelheiten der Verarbeitung entscheiden. Folglich ist ein Auftragsverarbeitungsverhältnis zumindest dann nicht gegeben, wenn der Auftragnehmer die personenbezogenen Daten zu eigenen Zwecken verarbeitet. Typische Beispiele für eine Auftragsverarbeitung finden sich etwa in Fällen des IT Outsourcing oder bei der Auslagerung von Geschäftsprozessen, bei Cloud-Computing-Services, Application-Service-Providing (ASP), Software-as-a-Service (SaaS) oder Website- und E-Mail-Providern. Um die rechtlichen Anforderungen an die Verarbeitung von personenbezogenen Daten durch externe Dienstleister zu bestimmen, ist stets zu prüfen, ob eine Auftragsverarbeitung im rechtlichen Sinne nach der DSGVO vorliegt. Allein die vertragliche Bezeichnung als Auftragsverarbeitung durch die Beteiligten ist nicht ausreichend.
Zulässigkeit der Auftragsverarbeitung nach der DSGVO und Standardklauseln
Im Fall der Auftragsverarbeitung bedarf es in der Regel keiner zusätzlichen Rechtsgrundlage, um die auftragsgemäße Verarbeitung der personenbezogenen Daten zu rechtfertigen. Insofern stützt sich auch der Auftragsverarbeiter ebenso wie der Verantwortliche selbst auf die Rechtsgrundlage, auf deren Grundlage die betroffenen personenbezogenen Daten verarbeitet werden dürfen. Ist die Datenverarbeitung zulässig, wenn der Verantwortliche sie selbst vornehmen würde, dann darf grundsätzlich auch der Auftragsverarbeiter die personenbezogenen Daten entsprechend verarbeiten. Ausnahmen von dieser Regel können sich insbesondere in Fällen mit internationalem Bezug ergeben. Soll etwa ein Datentransfer in ein nicht zur Europäischen Union gehörendes Land (Drittland) erfolgen, haben Verantwortlicher und Auftragsverarbeiter je nach betroffenem Drittland weitergehende Pflichten und Anforderungen zu erfüllen. Für einige Drittländer hat die EU Kommission Angemessenheitsentscheidungen getroffen. Diese legen für die jeweils fest, unter welchen gegebenenfalls zusätzlichen Voraussetzungen eine Datenübermittlung in das betroffene Drittland zulässig ist. Angemessenheitsbeschlüsse bestehen etwa für die Schweiz, für das Vereinigte Königreich, die USA, Kanada, Japan und einige weitere Drittländer. Liegt zu einem Drittland kein Angemessenheitsbeschluss der EU Kommission vor, erlaubt die DSGVO die Datenübermittlung in das Drittland nur bei Einhaltung zusätzlicher strenger Anforderungen. Verantwortlicher und Auftragsverarbeiter müssen in solchen Fällen geeignete Garantien vorsehen und sicherstellen, dass den betroffenen Personen Rechtsansprüche und geeignete Rechtsbehelfe zur Verfügung stehen.
Rechtliche Anforderungen an einen Auftragsverarbeitungsvertrag
Die DSGVO sieht vor, dass in Fällen von Auftragsverarbeitung ein konkreter Rahmen zwischen den Beteiligten festzulegen ist, um den Umfang und die Art und Weise der Datenverarbeitung rechtlich auszugestalten. Deshalb schließen der Verantwortliche und der Auftragsverarbeiter in der Regel einen Auftragsverarbeitungsvertrag. In solchen Auftragsverarbeitungsvereinbarungen müssen insbesondere der Gegenstand und die Dauer der Verarbeitung von Daten, die Art und der Zweck der Verarbeitung, die Art der zu verarbeitenden personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt werden. Die DSGVO stellt eine Reihe weiterer konkreter rechtlicher Anforderungen auf, denen ein Auftragsverarbeitungsvertrag genügen muss. Dazu gehört unter anderem auch die Pflicht der Vertragsparteien, geeignete technische und organisatorische Maßnahmen zu treffen, mit denen ein angemessenes Schutzniveau in Bezug auf die zu verarbeitenden Daten erreicht werden kann. Welche konkreten technischen und organisatorischen Maßnahmen letztlich zur Herstellung eines adäquaten Schutzniveaus geeignet sind, hängt jeweils von den Besonderheiten des Einzelfalls, von der Art und Quantität der personenbezogenen Daten und vom Zweck ihrer Verarbeitung sowie den beteiligten Unternehmen ab.
Zuständiger Anwalt für die Beratung zu Auftragsverarbeitung nach DSGVO und zur Erstellung von Auftragsverarbeitungsvereinbarungen in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg LL.M. (London) Er wird hierbei von Rechtsanwalt Anton Schröder unterstützt.