Die größten DSGVO-Mythen zur Auftragsdatenverarbeitung: Was stimmt?
Obwohl die DSGVO nun schon seit einiger Zeit gilt, ranken sich weiterhin hartnäckige Mythen um deren Anforderungen. Im Rahmen unserer Reihe „Mythen zur DSGVO“ beschäftigen wir uns heute mit dem Thema Auftragsverarbeitung. Wir wollen herausfinden, welche Annahmen es zu diesem Thema gibt und ob es sich dabei um die Wahrheit oder um Falschinformationen handelt.
Auftraggeber und Auftragsverarbeiter sind gemeinsam Verantwortliche!
Bereits der erste Mythos ist falsch. Zur Abgrenzung: Verantwortlicher ist gem. Art. 4 Nr. 7 DSGVO derjenige, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Auftragsverarbeiter hingegen ist diejenige Person oder Stelle, die (so Art. 4 Nr. 8 DSGVO) personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Das heißt, der Auftragsverarbeiter handelt ausschließlich auf Weisung des Auftraggebers und trifft vor allem bezüglich des Zwecks der Verarbeitung keine eigenen Entscheidungen. Auftraggeber und Auftragsverarbeiter schließen über ihre Zusammenarbeit einen Vertrag oder sonstiges Rechtsinstrument gemäß Art. 28 III DSGVO.
Ein arbeitsteiliges Zusammenwirken hingegen, bei dem der Zweck und die Mittel der Verarbeitung gemeinsam festgelegt werden, begründet eine gemeinsame Verantwortlichkeit im Sinne des Art. 26 DSGVO. Die gemeinsam Verantwortlichen sind stets auch Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO, d.h. sie sind verpflichtet, die einen Verantwortlichen treffenden Pflichten zu erfüllen. Hierüber muss gemäß Art. 26 DSGVO eine Vereinbarung zur Verteilung der Pflichten (Joint Controllership Agreement) getroffen werden.
Lesen Sie mehr zum Thema
Jede Datenübermittlung ist eine Auftragsverarbeitung!
Immer dann, wenn von der Übertragung einer Aufgabe auf eine andere, rechtliche Einheit (innerhalb oder außerhalb der Unternehmensgruppe) auch personenbezogene Daten betroffen sind, stellt sich die Frage, ob eine Auftragsverarbeitung vorliegt und somit die entsprechenden Anforderungen der DSGVO einzuhalten sind. Ist das wesentliche Element der Dienstleistung auf die Verarbeitung personenbezogener Daten für Zwecke des Auftraggebers gerichtet und besteht kein eigenes Interesse des Dienstleisters an den Daten, so liegt in der Regel eine Auftragsverarbeitung vor. Spielt die Datenverarbeitung hingegen nur eine untergeordnete Rolle bei der Aufgabenübertragung, kann die Situation unter Umständen anders zu bewerten sein. Im Übrigen kann es sich bei einer Datenübertragung oder -offenlegung gegenüber einer dritten Stelle auch um eine Datenübermittlung bzw. -offenlegung an diese Stelle als selbständig Verantwortliche handeln. Wann eine solche dritte Stelle als eigenständig Verantwortliche einzustufen ist und wann dagegen die dritte Stelle die Daten im Rahmen einer Auftragsverarbeitung verarbeitet, ist in jedem konkreten Einzelfall gemäß den diesbezüglich geltenden Abgrenzungskriterien festzustellen – sicherheitshalber unter Einbeziehung des für das jeweilige Unternehmen bestellten Datenschutzbeauftragten.
Auftragsverarbeiter dürfen keine Subunternehmen beauftragen!
Diese Annahme ist falsch. Subunternehmer dürfen für die Auftragsverarbeitung eingesetzt werden, allerdings nur unter gewissen Anforderungen. Will sich der Auftragsverarbeiter zur Erbringung der vereinbarten Dienstleistung Subunternehmer als weiterer Auftragsverarbeiter bedienen, so bedarf dies der vorherigen (schriftlichen oder elektronischen) Genehmigung durch den Verantwortlichen (Art. 28 Abs. 2 DSGVO). Später beabsichtigte Änderungen bei den eingesetzten Subunternehmen muss der Auftragsverarbeiter dem Auftraggeber als Verantwortlichen vorher mitteilen, wobei der Verantwortliche selbst entscheiden kann, ob er der Änderung zustimmt oder Einspruch erhebt. Der Vertrag zwischen dem Auftragsverarbeiter und dem Subunternehmer muss die gleichen vertraglichen Verpflichtungen enthalten, die der Auftragnehmer zugunsten des Auftraggebers übernommen hat.
Für den Vertrag über die Auftragsverarbeitung ist die Schriftform erforderlich!
Nach Art. 28 Abs. 9 DSGVO besteht die Verpflichtung, den Vertrag „schriftlich“ abzufassen. Dies führt durch die für den Laien verwirrenden Formvorschriften des BGB häufig zu der falschen Annahme, dass hiermit die Schriftform gemein ist. Das strenge Schriftformerfordernisse der §§ 126 f. BGB besagen, dass der Vertrag eigenständig zu unterschreiben oder durch eine elektronisch qualifizierte Signatur abzuschließen ist. Die Bezeichnung „schriftlich“ im Sinne der DSGVO bedeutet hingegen, dass der Vertrag auch im elektronischen Format (sog. Textform), d.h. ohne Unterschrift und Signatur, abgeschlossen werden kann. Dies wird auch durch den zweiten Halbsatz in Art. 28 Abs. 9 DSGVO explizit klargestellt.
An die Auswahl des Auftragsverarbeiters werden keine hohen Anforderungen gestellt!
Diese Annahme ist nicht nur falsch, sie kann auch schwerwiegende finanzielle Folgen haben, sowohl für den Verantwortlichen, als auch für den Auftragsverarbeiter. Gemäß Art. 28 DSGVO ist der Auftraggeber verpflichtet, den Auftragnehmer sorgfältig auszuwählen und er hat sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zum Schutz der betroffenen personenbezogenen Daten zu überzeugen. Der Auftragsverarbeiter hingegen muss dem Verantwortlichen hinreichende Garantien für eine datenschutzkonforme Auftragsverarbeitung anbieten. Zertifizierungen spielen dabei eine immer größere Rolle und sind für lukrative Aufträge nicht mehr wegzudenken. So z.B. über die Einhaltung von in der Informationssicherheit eingesetzten Maßnahmenkatalogen wie ISO/IEC DIS 29151 oder ISO/IEC 27001. Der Auftragsverarbeiter kann seine Datenverarbeitungsvorgänge von einer akkreditierten Zulassungsstelle und einer Aufsichtsbehörde zertifizieren lassen, um gegenüber seinem Auftraggeber den Nachweis für die Einhaltung seiner Pflichten nach DS-GVO zu erbringen. Eine Zertifizierung ist höchstens drei Jahre gültig und wird veröffentlicht. Neben dem Einsatz von Maßnahmenkatelogen sollten beim Technikeinsatz generell parallel auch die Grundsätze zu Datenschutz durch Technikgestaltung („Privacy-by-design“) und datenschutzfreundlicher Voreinstellungen („Privacy-by-default“) gem. Art.25 DSGVO beachtet und umgesetzt werden, sofern möglich.
Auftragsverarbeiter haben nach der DSGVO mehr Pflichten!
Dieser Mythos ist ausnahmsweise einmal wahr. Der Auftragsverarbeiter unterliegt künftig mehr Pflichten und muss selbst die Grundsätze der DSGVO einhalten. War der Auftraggeber nach dem BDSG ausschließlich für die Datenverarbeitung verantwortlich, so ist nunmehr auch der Auftragsverarbeiter mit in die Verantwortung für die Verarbeitung der Daten genommen worden. Er hat die Pflicht, technische und organisatorische Maßnahmen zu ergreifen und (in der Regel) einen betrieblichen Datenschutzbeauftragten zu bestellen.
Verstößt ein Auftragsverarbeiter gegen die Pflicht zur weisungsgebundenen Verarbeitung, indem er die Daten des Auftraggebers verordnungswidrig für eigene Zwecke oder Zwecke Dritter verarbeitet, gilt er nach Art. 28 Abs. 10 DSGVO insoweit selbst als Verantwortlicher – mit allen rechtlichen Folgen, z.B. auch der Pflicht zur Erfüllung der Betroffenenrechte.
Des Weiteren besteht für Auftragsverarbeiter die neue Pflicht, künftig auch ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO für alle Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung zu führen. Das Verzeichnis muss der Aufsichtsbehörde auf Anfrage nach Art. 30 Abs. 4 DSGVO, z. B. bei Kontrollen, zur Verfügung gestellt werden. Nach Art. 33 Abs. 2 DSGVO muss ein Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten nach Bekanntwerden unverzüglich dem Verantwortlichen melden.
Auftragsverarbeiter haften nicht!
Falsch. Entsteht einer Person, deren personenbezogene Daten im Rahmen einer Auftragsverarbeitung verarbeitet werden, wegen Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden, so hat sie nach Art. 82 Abs. 1 DSGVO Anspruch auf Schadenersatz. Neu ist, dass sich der Schadenersatzanspruch als direkter Anspruch auch gegen den Auftragsverarbeiter richtet. Hinzu kommt die Anwendung der Grundsätze der gesamtschuldnerischen Haftung für Auftraggeber und Auftragnehmer. Dadurch soll dem Betroffenen die effektive Durchsetzung seiner Ansprüche gewährleistet werden. Allerdings ist eine vertragliche Haftungsbeschränkung des Auftragnehmers denkbar.
Beschränkt wird die Haftung des Auftragsverarbeiters im Gegensatz zum gemeinsam Verantwortlichen jedoch auf Verstöße gegen spezifisch ihn betreffende Pflichten aus der DSGVO oder bei Handeln gegen rechtmäßig erteilte Weisungen des Verantwortlichen bzw. bei Handeln unter Nichtbeachtung dieser (Art. 82 Abs. 2 S. 2 DSGVO).
Auftragsverarbeiter müssen aus der EU stammen!
Auch wenn es sich bei der DSGVO um eine europarechtliche Vorschrift handelt, bedeutet dies nicht, dass die Verlagerung der Datenverarbeitung und die damit einhergehende Übermittlung von personenbezogenen Daten in sog. Drittstaaten (wozu auch die rein passive Offenlegung bzw. Zugänglichmachung zählt) verboten ist. Bei einer Verarbeitung außerhalb der Europäischen Union muss allerdings sichergestellt sein, dass auch bei einer Verarbeitung in diesen Drittstaaten ein angemessenes Datenschutzniveau herrscht. Gemäß Art. 45 DSGVO kann dies durch Angemessenheitsbeschlüsse der EU-Kommission geschehen, wie z.B. bei der Schweiz oder Israel. Aber auch durch die Verwendung von durch die EU-Kommission festgelegten Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) kann beim datenempfangenden Unternehmen ein angemessenes Datenschutzniveau hergestellt werden.