Datenschutz
Auftragsverarbeitung nach DSGVO in der Praxis – Teil I: Pflichten von Verantwortlichen und Auftragsverarbeitern
Text: Peer Lambertz | Foto (Header): © StockPhotoPro – stock.adobe.com
Man könnte meinen, dass sich mit der DSGVO außer einer Namensänderung bei der „Auftrags(daten)verarbeitung“ (AV) nichts geändert hat. Dieser Schein trügt. In der Gesamtschau der AV-relevanten Regelungen gemäß DSGVO ergibt sich ein differenziertes Bild der Verpflichtungen, insbesondere aus Sicht des Auftragsverarbeiters.
Im nachfolgenden Beitrag werden die Pflichten von Verantwortlichem und Auftragsverarbeiter gemäß Art. 28 ff. DSGVO unter Rückgriff auf die bisherige Regelung in § 11 BDSG (alt) erläutert und in einer Checkliste kompakt zusammengefasst.
Auszug aus:
Datenschutz für Praktiker
Ausgabe September 2018
Jetzt Leser werden
INHALTE DES BEITRAGS
Pflichten des Verantwortlichen
Auftragsverarbeiter sorgfältig auswählen
Nachweise und Garantien des Auftragsverarbeiters prüfen
Schriftlichen Vertrag mit Auftragsverarbeiter abschließen
Neu: Standardverträge zur Auftragsdatenverarbeitung
Neu: elektronische Form möglich
Pflichten des Auftragsverarbeiters
Auftragsverarbeiter ist Normadressat
Verträge zur Auftragsverarbeitung abschließen
Nur auf Weisung verarbeiten (inkl. Prüfung und Dokumentation)
Nachweise und Garantien beibringen
Mit der Auftragsverarbeitung betraute Mitarbeiter zur Vertraulichkeit verpflichten
Den Verantwortlichen unterstützen
Verzeichnis von Verarbeitungstätigkeiten führen
Vor der Einschaltung weiterer Auftragsverarbeiter
Information über beabsichtigte Änderungen
Pflichten des Verantwortlichen
Wer personenbezogene Daten durch einen Dienstleister verarbeiten lässt, muss die Vorgaben zur Auftragsverarbeitung nach Art. 28 ff. DSGVO umsetzen.
Die Pflichten des Verantwortlichen entsprechen dabei im Grundsatz den bisherigen Pflichten nach § 11 BDSG (alt) – dazu nun im Einzelnen.
Auftragsverarbeiter sorgfältig auswählen
Der Verantwortliche muss seinen Auftragsverarbeiter auch nach der DSGVO sorgfältig auswählen. Dabei hat sich die Auswahl danach zu richten, ob der Auftragsverarbeiter hinreichende Garantien dafür bietet, die notwendigen technischen und organisatorischen Maßnahmen so auszugestalten, dass die Verarbeitung im Einklang mit den DSGVO-Vorgaben steht.
Zum Schutz von personenbezogenen Daten verlangt Art. 32 DSGVO die Umsetzung von technischen und organisatorischen Maßnahmen, insbesondere:
- Maßnahmen zur Pseudonymisierung und Verschlüsselung
- Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Systemen und Diensten
- Maßnahmen zur raschen Wiederherstellung von Daten und Zugängen (Stichwort: Notfallmanagement/Business Continuity Management)
- Verfahren zur Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen (Stichwort: IT-Sicherheitsmanagement)
Nachweise und Garantien des Auftragsverarbeiters prüfen
11 Abs. 2 BDSG (alt) postulierte noch eine ausdrückliche Prüfpflicht des Verantwortlichen. Eine solche findet sich expressis verbis nicht mehr in Art. 28 DSGVO. Allerdings ist der Verantwortliche aufgrund der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO grundsätzlich verpflichtet, die Einhaltung der DSGVO nachweisen zu können. Mit Blick auf eine AV kann dies nur gelingen, wenn der Verantwortliche vom Auftragsverarbeiter Nachweise und Garantien bzgl. der Umsetzung von technischen und organisatorischen Maßnahmen einfordert – und diese prüft.
Nach Art. 28 Abs. 5 DSGVO kommen zum Nachweis hinreichender Garantien insbesondere genehmigte Verhaltensregeln (Art. 40 DSGVO) sowie Zertifizierungen (Art. 42 DSGVO) in Betracht.
Eine Datenschutz-Zertifizierung nach Art. 42 DSGVO steht derzeit in Deutschland noch nicht zur Verfügung. Alternativ bzw. ergänzend zu den in der DSGVO genannten Bemessungsfaktoren finden sich in der Praxis häufig folgende Nachweise:
- (Verbindliche) Erklärung des Auftragsverarbeiters zur Umsetzung von technischen und organisatorischen Maßnahmen, ggf. per „Self-Assessment“ bestätigt
- Datenschutz-Siegel (z. B. für ein bestimmtes Produkt)
- ISO-27001-Zertifizierung (IT-Sicherheitsmanagement)
- Testate (Drittbestätigungen, z. B. von Wirtschaftsprüfern oder interner Revision)
Ob die vorgenannten oder andere Nachweise und Garantien eine ordnungsgemäße Umsetzung bestätigen, sollte immer auch davon abhängig gemacht werden, wie sensitiv die Daten sind bzw. welche Risiken mit der Verarbeitung für Betroffene einhergehen.
Schriftlichen Vertrag mit Auftragsverarbeiter abschließen
Mit dem Auftragsverarbeiter muss nach wie vor ein schriftlicher Vertrag mit gesetzlichen Pflichtinhalten geschlossen werden. Die Inhalte entsprechen dabei weitgehend den bisherigen Pflichtinhalten nach § 11 Abs. 2 BDSG (alt).
Im Einzelnen zählen dazu nach Art. 28 Abs. 3 DSGVO:
- Gegenstand und Zweck der AV
- Datenarten und Kategorien betroffener Personen der AV
- Weisungsgebundenheit des Auftragsverarbeiters und Informationspflicht im Hinblick auf Ausnahmen
- Vertraulichkeit des beim Auftragsverarbeiter eingesetzten Personals
- (Voraussichtliche) Dauer der AV
- Gewährleistung der Datensicherheit durch den Auftragsverarbeiter (s. o.)
- Einsatz von Unterauftragsverarbeitern
- Unterstützungspflicht des Auftragsverarbeiters bei Transparenz- und Nachweispflichten des Verantwortlichen
- Rückgabe oder Löschung von personenbezogenen Daten durch den Auftragsverarbeiter nach Leistungserbringung bzw. -abschluss
- Kontrollen beim Auftragsverarbeiter im Hinblick auf Einhaltung der DSGVO sowie sonstiger einschlägiger Datenschutzvorschriften
- Unterrichtungspflicht des Auftragsverarbeiters, sofern dieser eine Weisung des Verantwortlichen für unzulässig hält
Notwendiger Teil des Vertrags ist – wie bisher auch – die Regelung von technischen und organisatorischen Maßnahmen (s. o.). Dazu kann, zumindest teilweise, auf die aus dem BDSG (alt) bekannten Kontrollen zurückgegriffen werden (Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits-, Zweckbindungskontrolle).
Neu: Standardverträge zur Auftragsdatenverarbeitung
Die DSGVO sieht ausdrücklich die Möglichkeit vor, „offizielle“ Standardverträge zur Regelung der Auftragsverarbeitung zu nutzen, insbesondere:
- Zertifizierte Vertragsmuster zur Auftragsverarbeitung (Art. 28 Abs. 6 DSGVO)
- Standardverträge der Kommission zur Auftragsverarbeitung in der EU und in Drittländern (Art. 28 Abs. 6, 7 DSGVO)
- Standardverträge der Aufsichtsbehörden zur Auftragsverarbeitung in der EU (Art. 28 Abs. 6, 8 DSGVO)
Von den deutschen Aufsichtsbehörden bzw. der Deutschen Datenschutzkonferenz sind bisher noch keine „Standardverträge“ veröffentlicht worden. Allerdings bietet das Bayerische Landesamt für Datenschutzaufsicht eine Formulierungshilfe an, die unter https://www.lda.bayern.de/media/muster_adv.pdf heruntergeladen werden kann.
Daneben besteht aber selbstverständlich auch die Möglichkeit, individuelle – d. h. selbst erstellte – Vertragsmuster zu verwenden bzw. auf Vorlagen von Interessen- oder Berufsverbänden zurückzugreifen.
Neu: elektronische Form möglich
Für den Vertrag lässt Art. 28 Abs. 9 DSGVO auch die elektronische Form zu. Zur Wahrung der elektronischen Form dürfte dabei eine einfache elektronische Signatur genügen.
Zwar erfordert die elektronische Form nach § 126a BGB eine qualifizierte elektronische Signatur. Allerdings steht dem deutschen Gesetzgeber im Hinblick auf die Auftragsverarbeitung nach der DSGVO keine Regelungskompetenz zu, weshalb nationale Vorschriften DSGVO-konform auszulegen sind (andernfalls würde dies zu einer zusätzlichen, nationalen Hürde bei der DSGVO-Umsetzung führen).
Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter stand im BDSG (alt) im Hinblick auf die gesetzlichen Anforderungen im Schatten des Auftraggebers. Dieser musste den Vertrag schließen, Kontrollen durchführen, dokumentieren etc. Im Zuge der DSGVO findet sich der Auftragsverarbeiter nunmehr als gleichrangiger Normadressat der DSGVO-Anforderungen wieder.
Auftragsverarbeiter ist Normadressat
Die „gleichberechtigte“ Stellung des Auftragsverarbeiters zeigt sich zunächst in der Bußgeldandrohung für den Verantwortlichen und den Auftragsverarbeiter nach Art. 83 Abs. 4 DSGVO. Bei Verstoß gegen die Vorgaben aus Art. 28 ff. DSGVO droht ein Bußgeld in Höhe von bis zu 10 Millionen Euro bzw. 2 % des Jahresumsatzes. Ebenso „gleichberechtigt“ ist der Auftragsverarbeiter im Hinblick auf die gesamtschuldnerische Haftung mit dem Verantwortlichen gegenüber Betroffenen nach Art. 82 Abs. 1 DSGVO (im Hinblick sowohl auf materielle als auch auf immaterielle Schäden).
Nach Abs. 2 Satz 2 haftet der Auftragsverarbeiter allerdings nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten DSGVO-Pflichten nicht nachgekommen ist oder Anweisungen des Verantwortlichen nicht beachtet bzw. diesen zuwidergehandelt hat.
Verträge zur Auftragsverarbeitung abschließen
Nach der DSGVO müssen Auftragsverarbeiter ein vitales Interesse daran haben, einen ordnungsgemäßen AV-Vertrag abzuschließen. Neben einer unmittelbaren Bußgeldandrohung und Betroffenenklagen droht ansonsten auch die Gefahr, als Auftragsverarbeiter in die Rolle des Verantwortlichen zu rutschen (Art. 28 Abs. 10 DSGVO).
Für Auftragsverarbeiter ist es im Rahmen einer Zertifizierung nach Art. 42 DSGVO besonders interessant, AV-Muster zertifizieren zu lassen. Denn diese werden ausdrücklich als vertragliches Instrument zur AV-Regelung anerkannt (s. o.).
Nur auf Weisung verarbeiten (inkl. Prüfung und Dokumentation)
Nach Art. 28 Abs. 3 a) DSGVO darf der Auftragsverarbeiter personenbezogene Daten nur auf Weisung des Verantwortlichen verarbeiten. Dabei muss er Weisungen auf ihre Rechtmäßigkeit hin prüfen und den Verantwortlichen in Zweifelsfällen informieren (Art. 28 Abs. 3 Satz 2 DSGVO). Dies entspricht den Vorgaben des BDSG (alt). Neu ist allerdings die Verpflichtung für den Auftragsverarbeiter, die Weisungen auch zu dokumentieren. Dies gilt insbesondere für solche Verarbeitungsvorgänge, die in einem Drittland (d. h. außerhalb der EU bzw. des EWR) stattfinden sollen.
Nachweise und Garantien beibringen
Als Normadressat kann sich der Auftragsverarbeiter nicht mehr auf seinen Mitwirkungspflichten nach BDSG (alt) „ausruhen“. Um Bußgelder, evtl. Betroffenenansprüche und vertragliche Auseinandersetzungen zu vermeiden, muss der Auftragsverarbeiter vielmehr aus ureigenstem Interesse sicherstellen, dass er geeignete technische und organisatorische Maßnahmen implementiert hat und dies auch nachweisen kann (s. o.).
Mit der Auftragsverarbeitung betraute Mitarbeiter zur Vertraulichkeit verpflichten
Die aus dem BDSG (alt) bekannte Verpflichtung auf das Datengeheimnis findet sich in dieser Form nicht mehr in der DSGVO. Allerdings sind nach Art. 28 Abs. 3 b) DSGVO die im Rahmen der Auftragsverarbeitung eingesetzten Mitarbeiter beim Auftragsverarbeiter zur Vertraulichkeit zu verpflichten.
Den Verantwortlichen unterstützen
Nach Art. 28 Abs. 3 e) und f) DSGVO trifft den Auftragsverarbeiter die Pflicht, den Verantwortlichen im Rahmen der Ausübung von Betroffenenrechten und der Gewährleistung der Datensicherheit zu unterstützen. Es empfiehlt sich daher für den Auftragsverarbeiter, in der Zusammenarbeit mit dem Verantwortlichen entsprechende Prozesse, Kommunikationspläne, Verantwortlichkeiten etc. ausdrücklich abzustimmen. Dabei kann es ggf. auch erforderlich sein, bestimmte Unterstützungsleistungen gesondert zu vergüten.
Verzeichnis von Verarbeitungstätigkeiten führen
Nach Art. 30 Abs. 2 DSGVO muss der Auftragsverarbeiter ein Verzeichnis über seine Verarbeitungstätigkeiten führen, das folgende Informationen beinhaltet:
- Namen und Kontaktdaten zu Auftragsverarbeitern und für die Verarbeitung Verantwortlichen (ggf. jeweils inkl. Vertreter) sowie ggf. zum Datenschutzbeauftragten
- Kategorien der Verarbeitungen
- Übermittlung in Drittländer oder internationale Organisation (inkl. Name und Dokumentation geeigneter Garantien zur Einhaltung der DSGVO-Vorgaben)
- Sofern möglich: allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 30 Abs. 1 DSGVO
Das Verzeichnis ist schriftlich zu führen, was auch die elektronische Form einschließt. Das Verzeichnis ist auf Anforderung der Aufsichtsbehörde zur Verfügung zu stellen. Unternehmen und Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sind von der Dokumentationspflicht befreit, soweit die Verarbeitung kein Risiko für die Rechte und Freiheiten der Betroffenen birgt, die Verarbeitung nur gelegentlich erfolgt oder die Verarbeitung keine besonderen Datenkategorien umfasst.
Vor der Einschaltung weiterer Auftragsverarbeiter
Wenn weitere Auftragsverarbeiter eingebunden werden sollen, müssen diese im gleichen Umfang wie in der ursprünglichen Vereinbarung zwischen Verantwortlichem und Auftragsverarbeiter verpflichtet werden. In diesem Sinne haftet der Auftragsverarbeiter nach Art. 28 Abs. 4 Satz 2 DSGVO gegenüber dem Verantwortlichen für das Fehlverhalten der von ihm eingeschalteten Auftragsverarbeiter wie für sein eigenes.
Zu beachten ist, dass die Einschaltung von weiteren Auftragsverarbeitern nur zulässig ist, wenn eine vorherige gesonderte oder allgemeine schriftliche Genehmigung vorliegt.
Information über beabsichtigte Änderungen
Auch wenn der Auftragsverarbeiter eine allgemeine Genehmigung zur Einschaltung weiterer Auftragsverarbeiter hat, muss er den Verantwortlichen dennoch über jede Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter informieren (Art. 28 Abs. 2 Satz 2 DSGVO) – und zwar vor der Änderung!
Der Folgebeitrag in der Oktober-Ausgabe gibt Anwendungsbeispiele für die Auftragsdatenverarbeitung: „Auftragsverarbeitung nach DSGVO in der Praxis – Teil II: Anwendungsbeispiele“
Der Autor
Peer Lambertz
ist Berater und Rechtsanwalt. Er unterstützt Unternehmen bei der Identifikation und Umsetzung von Compliance-Anforderungen mit Schwerpunkt im Datenschutz und der IT-Sicherheit.