Eine der vielbeachteten Neuerungen der DSGVO ist der Auftragsverarbeitungsvertrag, der vor der DSGVO noch Auftragsdatenverarbeitungsvertrag hieß. Aufgrund unzähliger Fragen soll hier einmal erklärt werden, wozu man den braucht und vor allem, warum es den überhaupt gibt. Denn offenbar wird er vielfach als Formalie abgetan. Besser kann man den Auftragsverarbeitungsvertrag verstehen, wenn man weiß, warum er vom Gesetz vorgesehen ist. Dann wird auch deutlich, warum das drinsteht, was drinsteht.
von Dr. jur. Ronald Kandelhard, Rechtsanwalt, Fachanwalt für Handels- und Gesellschaftsrecht
Warum braucht man den eigentlich?
Darum vorab: Wie allgemein ist eine Datenverarbeitung grundsätzlich verboten. Das heißt, wer Daten erhält, darf diese an sich nicht an Dritte weiter geben, es sei denn, der Betroffene hat konkret seine Einwilligung zur Weitergabe der Daten an diesen Anbieter erteilt. Damit wird es nachträglich aber fast unmöglich, einen Beauftragten zu wechseln. Wer etwa statt Matomo künftig Google Analytics oder ein neues SaaS Tool aufgrund einer Einwilligung einsetzen will, müsste von allen Betroffenen dazu eine neue Einwilligung einholen (und auch erhalten).
Weil das wenigstens unpraktisch ist und der ökonomischen Realität nicht entspricht, gibt es das Institut der Auftragsverarbeitung. Schließt man einen Auftragsverarbeitungsvertrag, ist die Weitergabe an diesen Dritten erlaubt, weil man einen solchen Vertrag geschlossen hat. Und warum ist das so? Weil in dem Auftragsverarbeitungsvertrag drin steht, dass der Auftragsverarbeiter zum „verlängerten Arm“ des Auftraggebers wird und nur für diesen und nach dessen Weisung die Daten verarbeitet.
Deshalb braucht Ihr einen Auftragsverarbeitungsvertrag, wenn Ihr Dritte mit der Verarbeitung Eurer Daten beauftragt oder wenn Dritte Auftraggeber Euch mit der Verarbeitung ihrer Daten beauftragen.
1. Definition
Auftragsdatenverarbeitung liegt immer dann vor,
- wenn eigene Daten an andere Unternehmen, natürliche oder juristische Personen, Behörden oder sonstige Stellen weiter gegeben werden,
- um sie dort zu speichern oder sonst zu verarbeiten oder, wenn Dritten der Zugriff auf die eigene Datenverarbeitung gegeben wird und
- das weitergebende Unternehmen allein über die Zwecke und die Reichweite der Verarbeitung entscheidet.
Eine Auftragsverarbeitung nach Art. 28 DSGVO ist also nur gegeben, wenn ein Dienstleister beauftragt wird, Daten nach Weisung des Auftraggebers zu verarbeiten und die Verantwortung für die Daten deshalb bei dem Auftraggeber verbleibt.
2. Weitergabe an Dritte, die nicht Auftragsverarbeitung ist
a) keine Bindung an Weisungen
Fehlt das Element der Weisung, bleibt die Verantwortung für die Daten nicht bei dem Auftraggeber. So werden IT-Hardwarewartungsunternehmen oder Logistiker nicht mit einer Datenverarbeitung beauftragt. Sie verarbeiten die Daten vielmehr nur im eigenen Interesse.
b) Mischfall Wartung
Mischfälle sind möglich bei der Wartung von Software oder Webseiten. Hier war nach dem vorherigen deutschen Recht in § 11 Abs. 5 BDSG vorgesehen: „wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann“, liegt auch eine Auftragsverarbeitung vor. § 11 Abs. 5 BDSG gilt jedoch nicht mehr. Von daher ist eine Wartung, die sich nur auf technische Aspekte bezieht, keine Auftragsverarbeitung mehr.
Anders ist das natürlich, wenn auch eine Pflege von Daten Teil des Auftrages ist, Daten etwa migriert oder neu strukturiert werden sollen. Weil die Abgrenzung schwierig und auch die Rechtslage noch nicht eindeutig geklärt ist, empfiehlt es sich, vorsichtshalber einen Auftragsverarbeitungsvertrag mit dem Wartungsunternehmen zu schließen. Vielfach wird ohnehin derzeit von Auftraggebern immer ein Auftragsverarbeitungsvertrag gefordert, auch wenn keine Auftragsverarbeitung vorliegt.
c) Fachleistungen
Keine Auftragsdatenverarbeitung ist auch die Inanspruchnahme fremder Fachleistungen wie Inkasso, Rechtsanwalt, Steuerberater (anders, reine Buchhaltung). Dies gilt vor allem für klassische Freiberufler, primär auch solche, die zur Berufsverschwiegenheit verpflichtet. Diese sind zudem auch nicht im engeren Sinne weisungsgebunden.
In diesen Fällen ist keine Auftragsverarbeitung gegeben, vielmehr handelt es sich bei dieser Weitergabe von Daten (für eigene Zwecke des dritten Unternehmens) um eine normale Datenverarbeitung (die eben auch die Weitergabe der Daten an Dritte umfasst). Diese bedarf also einfach einer Erlaubnisnorm, muss sich also auf einen der Gründe des Art.6 Abs.1 DSGVO zurück führen lassen (häufigster Fall wird die Verarbeitung von Vertragsdaten sein, aber es kommen auch berechtigte Interessen oder eine Einwilligung in Betracht).
d) Zwischenergebnis zum Auftragsverarbeitungsvertrag
Auftragsdatenverarbeitung ist also nur gegeben, wenn sich der Auftrag auf eine Arbeit grade mit den Daten nach Weisung des Auftraggebers bezieht.
Es kann sich aber für den Fall von Abgrenzungsproblemen empfehlen, wenigstens vorsorglich zusätzlich noch einen Auftragsverarbeitungsvertrag zu schließen.
3. Abgrenzung des Auftragsverarbeitungsvertrages
Abzugrenzen ist der Auftragsverarbeitungsvertrag in zweierlei Hinsicht:
- von der eigenen Datenverarbeitung, also, wenn nur eigene Angestellte die Daten verarbeiten, das ist noch eigene Datenverarbeitung und nicht Datenverarbeitung durch Dritte (wie man eigene Mitarbeiter zu den Anforderungen der DSGVO verpflichtet, findet sich hier mit entsprechenden Mustern);
- von der gemeinsamen Verantwortung für die Datenverarbeitung gem. Art. 26 DSGVO, bei der komplette Funktionen an Dritte ausgelagert werden und diese eigene Entscheidungskompetenzen für die Daten haben (Bsp. Stellung der Personalabteilung durch die Konzernmutter)
4. Ergebnis für Websites und Online-Unternehmen
Typische Fälle einer Auftragsverarbeitung für Websites und Online-Unternehmen sind also:
- Mail (Newsletter) Anbieter
- Hoster
- Cloud Anbieter
- SaaS Anbieter
- Agentur macht Werbung
- Buchhaltung
- Tracking Software – Beispiel Google Analytics
- Einsatz virtueller Assistenten (je nach Auftragsumfang)
5. Rechtsfolge
a) unmittelbare Rechtsfolge
Unmittelbar hat das Vorliegen einer Auftragsdatenverarbeitung zur Folge, dass gem. Art. 28 Abs. 3 DSGVO ein Vertrag zur Auftragsverarbeitung erforderlich ist. Die Inhalte können dort nachgelesen werden.
b) sich ergebende Anforderung
Weitere Rechtsfolge ist aber, dass der Auftraggeber gem. Art. 28 Abs. 1 DSGVO den Auftragsverarbeiter ordnungsgemäß auszusuchen und zu überwachen hat. Es darf nur jemand ausgesucht werden, der hinreichende Gewähr für die Einhaltung der Anforderungen der DSGVO bietet.
c) wichtige Konsequenz
Ganz wichtig ist zu verstehen, dass die Auftragsdatenverarbeitung die wesentliche Rechtsfolge hat, dass durch die Auftragsdatenverarbeitung keine Weitergabe von Daten an einen Dritten mehr vorliegt. Man braucht dafür also nicht noch mal einen der Gründe aus Art. 6 DSGVO (insbesondere Vertragsdaten, Einwilligung oder berechtigtes Interesse), sondern kann im Rahmen der eigenen Erlaubnis aus Art. 6 DSGVO die Daten weiter geben.
Insofern gibt es teilweise ein Wahlrecht, man kann entweder den Nutzer in die Weitergabe der Daten an einen Dritten einwilligen lassen oder kann einen Vertrag zur Auftragsdatenverarbeitung mit dem Dritten schließen.
5. Neuerungen durch die DSGVO
Im Grundsatz bringt die DSGVO wenig Neues
- der Auftragsverarbeiter muss jetzt auch ein Verarbeitungsverzeichnis führen
- der Auftragsverarbeiter muss Weisungen vom Auftraggeber protokollieren
- Schriftform ist nicht mehr erforderlich.
Wie bei allen Datenschutz-Themen gilt aber auch hier, dass die Durchsetzung der Anforderungen jetzt verstärkt und mit mehr und teureren Konsequenzen zu erwarten ist.
6. Der Vertrag
Erforderlich ist also immer ein Vertrag zur Auftragsverarbeitung. Dieser wird von vielen Dienstleistern – zB Google – bereits angeboten. Bei englischsprachigen Dienstleistern nach data processing agreement suchen. Eine umfangreiche Übersicht über angebotene Verträge und wo sie zu finden sind für viele Dienstleister findet sich hier.
Ansonsten gibt es einige Muster im Netz. Auch easyContracts.de bietet ein solches Muster speziell für
- virtuelle Assistenten
- Webdesigner
- IT-Leistungen
- Wartung von Websites
- Hosting
- Programmierleistungen
- SaaS
an.
Die Schwierigkeit bei allen Mustern liegt immer darin, dass die einzelnen betroffenen Daten und der Umfang der Verarbeitung bestimmt und in den Vertrag eingefügt werden müssen. Bei easyContracts findet Ihr dazu auch eine Anleitung.
Bedenkt schließlich, anders als bei vielen anderen Verträgen oder Mustern, sind Muster hier ausnahmsweise einigermaßen unproblematisch, da es bei der Auftragsdatenverarbeitung vor allem darum geht, gesetzliche Vorgaben einzuhalten und nicht, einen „guten“ Vertrag zu entwerfen. Den Text musst Du an den gekennzeichneten Stellen bearbeiten:
7. Besondere technische und organisatorische Maßnahmen
In allen Verträgen müssen noch technische und organisatorische Maßnahmen (TOM) eingesetzt werden. Damit Ihr einen besseren Überblick bekommt, welche Schutzmaßnahmen im Anhang noch genannt werden können, hier mal eine mögliche Liste der technischen und organisatorischen Schutzmaßnahmen (TOM). Je größer Dein Unternehmen, desto eher sind solche Maßnahmen erforderlich. Weitergehende Hilfe zu den TOM speziell für Webdesigner und allgemein eine gute Anleitung haben wir für Dich verlinkt.
Kleinere Unternehmen können sich auf die Nennung von Passwortschutz, Zutrittskontrolle und Verschlüsselung beschränken, müssen also nicht umfangreiche Eintragungen machen (es gab aber auch schon Fälle, in denen größere Auftraggeber die Maßnahmen als zu gering zurück gewiesen haben).
Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Zutrittskontrolle
Folgende Maßnahmen verhindern, dass unbefugte Personen Zutritt zu Datenverarbeitungsanlagen haben:
☐ Zutrittskontrollsystem, Ausweisleser (Magnet-/Chipkarte)
☐ Türsicherungen (elektrische Türöffner, Zahlenschloss, etc.)
☐ Sicherheitstüren / -fenster
☐ Gitter vor Fenstern/Türen
☐ Zaunanlagen
☐ Schlüsselverwaltung/Dokumentation der Schlüsselvergabe
☐ Werkschutz, Pförtner
☐ Alarmanlage
☐ Videoüberwachung
☐ Spezielle Schutzvorkehrungen des Serverraums
☐ Spezielle Schutzvorkehrungen für die Aufbewahrung von Backups und anderen Datenträgern
☐ Nicht-reversible Vernichtung von Datenträgern
☐ Mitarbeiter- und Berechtigungsausweise
☐ Sperrbereiche
☐ Besucherregelung (z.B. Abholung am Empfang, Dokumentation von Besuchszeiten,
Besucherausweis, Begleitung nach dem Besuch bis zum Ausgang)
☐ Andere Maßnahmen: [Bitte ergänzen]
Zugangskontrolle
Folgende Maßnahmen verhindern, dass unbefugte Dritte Zugang zu Datenverarbeitungsanlagen haben:
☐ Persönlicher und individueller Login bei Anmeldung am System/Netzwerk
☐ Autorisierungsprozess für Zugangsberechtigungen
☐ Begrenzung der befugten Benutzer
☐ Single Sign-On
☐ BIOS-Passwörter
☐ Kennwortverfahren (Angabe von Kennwortparametern hinsichtlich Komplexität und
Aktualisierungsintervall)
☐ Elektronische Dokumentation von Passwörtern und Schutz dieser Dokumentation vor
unbefugtem Zugriff
☐ Personalisierte Chipkarten, Token, PIN-/TAN, etc.
☐ Protokollierung des Zugangs
☐ Zusätzlicher Login für bestimmte Anwendungen
☐ Automatische Sperrung der Clients nach Zeitablauf ohne Useraktivität
☐ Firewall
☐ Andere Maßnahmen: [Bitte ergänzen]
Zugriffskontrolle
Folgende Maßnahmen stellen sicher, dass unbefugte Dritte keinen Zugriff auf Daten haben:
☐ Verwaltung und Dokumentation von differenzierten Berechtigungen
☐ Abschluss von Verträgen zur Auftragsverarbeitung für die externe Pflege, Wartung und
Reparatur von Datenverarbeitungsanlagen, sofern bei der Fernwartung die Verarbeitung von Daten Gegenstand der Leistung des Auftragnehmers ist.
☐ Auswertungen/Protokollierungen von Datenverarbeitungen
☐ Autorisierungsprozess für Berechtigungen
☐ Genehmigungsroutinen
☐ Profile/Rollen
☐ Verschlüsselung von Datenträgern
☐ Maßnahmen zur Verhinderung unbefugten Überspielens von Daten auf mobile
Datenträger (z.B. Kopierschutz, Sperrung von USB-Ports, Data Loss Prevention System/DLP)
☐ Mobile Device Management (MDM)
☐ Vier-Augen-Prinzip
☐ Funktionstrennung (Segregation of Duties)
☐ Fachkundige Akten- und Datenträgervernichtung gemäß DIN 66399
☐ Nicht-reversible Löschung von Datenträgern
☐ Sichtschutzfolien für mobile Datenverarbeitungsanlagen
☐ Andere Maßnahmen: [Bitte ergänzen]
Trennungskontrolle
Folgende stellen sicher, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:
☐ Speicherung der Datensätze in physikalisch getrennten Datenbanken
☐ Verarbeitung auf mindestens logisch getrennten Systemen
☐ Zugriffsberechtigungen nach funktioneller Zuständigkeit
☐ Getrennte Datenverarbeitung durch differenzierende Zugriffsregelungen
☐ Mandantenfähigkeit von IT-Systemen
☐ Verwendung von Testdaten
☐ Trennung von Entwicklungs- und Produktionsumgebung
☐ Andere Maßnahmen: [Bitte ergänzen]
Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
Die Verarbeitung von Daten erfolgt so, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.
[Bitte das Verfahren zur Pseudonymisierung kurz und verständlich darstellen]
Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
Weitergabekontrolle
Es ist sichergestellt, dass Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert, entfernt oder sonst verarbeitet werden können und überprüft werden kann, welche Personen oder Stellen Zugriff auf Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:
☐ Verschlüsselung von E-Mail oder E-Mail-Anhängen
☐ Verschlüsselung von Datenträgern
☐ Gesicherter File Transfer oder sonstiger Datentransport
☐ Physikalische Transportsicherung
☐ Verpackungs- und Versandvorschriften
☐ Qualifizierte elektronische Signatur
☐ Verschlüsseltes WLAN
☐ Fernwartungskonzept (z.B. Verschlüsselung, Ereignisauslösung durch Auftraggeber,
Challenge-Response, Rückrufautomatik, Einmal-Passwort)
☐ Mobile Device Management (MDM)
☐ Data Loss Prevention System (DLP)
☐ Regelung zum Umgang mit mobilen Datenträgern (z.B. Laptop, USB-Stick, Mobiltelefon)
☐ Protokollierung von Datenübertragung oder Datentransport
☐ Protokollierung von lesenden Zugriffen
☐ Protokollierung des Kopierens, Veränderns oder Entfernens von Daten
☐ Andere Maßnahmen: [Bitte ergänzen]
Eingabekontrolle
Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat:
☐ Zugriffsrechte
☐ Systemseitige Protokollierungen
☐ Dokumenten Management System (DMS) / Enterprise Content Management System (ECMS)
mit Änderungshistorie
☐ Sicherheits-/Protokollierungssoftware
☐ Funktionelle Verantwortlichkeiten, organisatorisch festgelegte Zuständigkeiten
☐ Vieraugenprinzip
☐ Data Loss Prevention System (DLP)
☐ Andere Maßnahmen: [Bitte ergänzen]
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Durch folgende Maßnahmen ist sichergestellt, dass Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind:
☐ Sicherheitskonzept für Software- und IT-Anwendungen
☐ Backup Verfahren
☐ Aufbewahrungsprozess für Backups (z.B. brandgeschützter Safe, getrennter Brandabschnitt)
☐ Gewährleistung der Datenspeicherung im gesicherten Netzwerk
☐ Bedarfsgerechtes Einspielen von Sicherheits-Updates
☐ Spiegeln von Festplatten
☐ Unterbrechungsfreie Stromversorgung (USV)
☐ Geeignete Archivierungsräumlichkeiten für Papierdokumente
☐ Brand- und/oder Löschwasserschutz des Serverraums
☐ Brand- und/oder Löschwasserschutz der Archivierungsräumlichkeiten
☐ Klimatisierter Serverraum
☐ Virenschutz
☐ Firewall
☐ Notfallplan
☐ Erfolgreiche Notfallübungen
☐ Redundante, örtlich getrennte Datenaufbewahrung (Offsite Storage)
☐ Andere Maßnahmen: [Bitte ausführen]
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
Datenschutz-Management
Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:
☐ Datenschutzleitbild des Anbieters
☐ Datenschutz-Richtlinie des Anbieters
☐ Richtlinien/Anweisungen zur Gewährleistung von technisch-organisatorischen Maßnahmen
zur Datensicherheit (z.B.: UHB der Sparkasse)
☐ Benennung eines Datenschutzbeauftragten
☐ Verpflichtung der Mitarbeiter auf die Vertraulichkeit
☐ Hinreichende Schulungen der Mitarbeiter im Datenschutz
☐ Führen eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO)
☐ Durchführung von Datenschutzfolgenabschätzungen, soweit erforderlich (Art. 35 DSGVO)
☐ Externe Prüfung oder Auditierung
☐ Andere Maßnahmen: [Bitte ausführen]
Management bei Datenschutzverletzungen
Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:
☐ Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den
Aufsichtsbehörden (Art. 33 DSGVO)
☐ Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber
betroffenen Personen (Art. 34 DSGVO)
☐ Andere Maßnahmen: [Bitte ausführen]
Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)
Datenschutzfreundliche Voreinstellungen sind sowohl bei den standardisierten Voreinstellungen von Systemen und Apps als auch bei der Einrichtung der Verarbeitungen zu berücksichtigen. In dieser Phase werden Funktionen und Rechte konkret konfiguriert, wird im Hinblick auf Datenminimierung die Zulässigkeit bzw. Unzulässigkeit bestimmter Eingaben oder Eingabemöglichkeiten festgelegt und über die Verfügbarkeit von Nutzungsfunktionen entschieden. Ebenso werden die Art und der Umfang des Personenbezugs bzw. der Anonymisierung (z. B. bei Selektions-, Export- und Auswertungsfunktionen, die festgelegt und voreingestellt oder frei gestaltbar zur Verfügung gestellt werden) oder die Verfügbarkeit bestimmter Verarbeitungen, Funktionen oder Protokollierungen.
[Bitte Beispiele benennen]
Auftragskontrolle
Durch folgende Maßnahmen ist sichergestellt, dass Daten nur nach Weisungen des Auftraggebers verarbeitet werden:
☐ Vereinbarung zur Auftragsverarbeitung mit Regelungen zu den Rechten und Pflichten
der Parteien
☐ Prozess zur Erteilung und/oder Befolgung von Weisungen
☐ Bestimmung von Ansprechpartnern und/oder verantwortlichen Mitarbeitern
☐ Kontrolle/Überprüfung weisungsgebundener Auftragsdurchführung
☐ Schulungen/Einweisung aller zugriffsberechtigten Mitarbeiter beim Anbieter
☐ Unabhängige Auditierung der Weisungsgebundenheit
☐ Verpflichtung der Beschäftigten auf die Vertraulichkeit
☐ Vereinbarung von Vertragsstrafen für Verstöße gegen Weisungen
☐ formalisiertes Auftragsmanagement
☐ dokumentiertes Verfahren zur Auswahl von Unterauftragnehmern
☐ standardisiertes Vertragsmanagement zur Kontrolle von Unterauftragnehmern
☐ Andere Maßnahmen: [Bitte ergänzen]
Wie Du passende AGB Vorlagen findest, findest Du in diesem Blogbeitrag.
Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.