Ein Auftragsverarbeiter ist laut Art. 4 Nr. 8 DSGVO „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“ Der Verantwortliche für den Datenschutz lagert also Teilprozesse, die er sonst selbst vornehmen müsste und bei denen personenbezogene Daten verarbeitet werden, an einen externen Dienstleister aus. Diese gelten zwar nicht als Dritte im Sinne von Art. 4 Nr. 10 DSGVO, sind jedoch i.d.R. Empfänger von Daten (Art. 4 Nr. 9 DSGVO). Deshalb müssen betroffene Personen nach Art. 13 DSGVO stets darauf hingewiesen werden, wenn eine Datenübermittlung an einen Auftragsverarbeiter erfolgt.
Konkrete Regelungen, die ein Vertrag zwischen Verantwortlichem und Auftragsverarbeiter enthalten sollte, finden sich in Art. 28 DSGVO: Der Auftragsverarbeiter darf die Daten demnach nur entsprechend der Weisungen des Verantwortlichen verarbeiten, hat keine eigene Entscheidungsbefugnis und darf die Daten auch nicht für eigene Zwecke verarbeiten. Es handelt sich immer um ein Über-/Unterordnungsverhältnis und nicht um eine gemeinsame Verantwortlichkeit zwischen mehreren Beteiligten.
In der Praxis kommt Auftragsverarbeitung oft vor, um eigene Kosten und Ressourcen zu sparen: zum Beispiel durch Outsourcing des Rechenzentrums, der Backup-Speicherung und anderer Archivierungen, bei der Datenvernichtung, der externen Verarbeitung von Werbeadressen oder in einem Call-Center oder bei der Erstellung von Lohnabrechnungen. Außer wenn ein Steuerberater sich um die Lohnabrechnungen kümmert – diese können aufgrund ihrer besonderen Stellung als Berufsgeheimnisträger niemals weisungsgebunden sein. Dies gilt immer bei Inanspruchnahme fremder Fachdienstleistungen, so z. B. bei einem Rechtsanwalt, Inkassobüros mit Forderungsübertragung, Insolvenzverwaltern oder Sachverständige zur Begutachtung eines Autoschadens. Auch wenn man die Daten von Schulungsteilnehmern an einen externen Trainer, Schulungsveranstalter oder an das Tagungshotel übermittelt, Postdienste für den Brief- oder Pakettransport beauftragt oder Vermieter Daten von Mietern an beauftragte Handwerker weitergeben, liegt keine Auftragsverarbeitung vor. Die Datenverarbeitung muss immer auch den Kern der Dienstleistung darstellen, damit eine Auftragsverarbeitung vorliegt.
Zwischen dem Verantwortlichen und dem Auftragsverarbeiter sollte grundsätzlich immer ein Vertrag geschlossen werden, in dem verständlich der Auftrag, der Zweck und die Dauer der Datenverarbeitung konkretisiert werden. Der Kreis der Betroffenen ist so konkret wie möglich zu fassen, ebenso Art und Umfang der Datenverarbeitung (nach Möglichkeit auch die einzelnen Verarbeitungsschritte). Wichtig ist auch abzugrenzen, was vom Vertrag explizit nicht umfasst ist. Auch die Datenarten sind zu benennen, insbesondere bei der Verarbeitung besonderer Arten personenbezogener Daten (Artikel 9, Artikel 10) so konkret wie möglich. Der Vertrag sollte zudem konkret regeln, welche technischen und organisatorischen Maßnahmen (Art. 32 DSGVO) vom Auftragnehmer eingehalten werden oder zumindest welche Mindestkriterien einzuhalten sind. Auch wenn für den Auftragnehmer selbst die Vorgaben der DSGVO gelten, sind im Vertrag noch einmal gesondert bestimmte Anforderungen zur Wahrung der Vertraulichkeit aufzunehmen (vgl. Art. 28 Abs. 3 lit. b) DSGVO). In den Vertrag sollten noch Dutzende weitere Punkte aufgenommen werden – dabei gibt es viele feine Details zu beachten. Lassen Sie Ihre Auftragsverarbeitungs-Verträge vor dem Unterzeichnen daher unbedingt von Ihrem Datenschutzbeauftragten gegenlesen. Gern können Sie sich dazu auch an uns wenden.
Als Verantwortlicher darf man nur solche Auftragsverarbeiter auswählen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Jeder Auftragsverarbeiter muss daher ein Verzeichnis führen (vgl. Art. 30 DSGVO), wie genau er im Auftrag eines Verantwortlichen tätig ist und welche Daten von ihm er verarbeitet. Er ist verpflichtet, mit der Aufsichtsbehörde auf Anfrage zusammenzuarbeiten. Er muss Risikoanalysen der Datenanwendungen durchführen und den Verantwortlichen bei Erfüllung seiner Pflichten nach der DSGVO unterstützen. Der Auftragsverarbeiter ist hingegen gesetzlich nicht verpflichtet, selbst Anfragen von betroffenen Personen für den Verantwortlichen zu beantworten.
In einen Auftragsverarbeitungsvertrag müssen als Unterauftragnehmer nur diejenigen aufgenommen werden, die wirklich konkret Daten für den Auftraggeber verarbeiten – nicht der E-Mail-Provider, der Telefonanbieter, die Videokonferenz-Plattform, nicht das CRM (Customer-Relationship-Management-System) und auch nicht der Wirtschaftsprüfer oder Steuerberater. All diese sind keine (Unter-)Auftragsverarbeiter. Normalerweise steht in Auftragsverarbeitungsverträgen, dass jeder Unterauftragnehmer vom Auftraggeber genehmigt werden muss. Daraus kann theoretisch ein Haftungsrisiko für den Auftraggeber entstehen. Und für Änderungen eines Dienstleisters müssen sich Auftragsverarbeiter jedes Mal eine Zustimmung des Auftraggebers einholen oder diesen informieren und ein Einspruchsrecht einräumen.
Schließlich müssen Auftragsverarbeiter nach Auftragsbeendigung gewährleisten, dass keine personenbezogenen Daten mehr beim Auftragnehmer verbleiben, soweit keine gesetzlichen Aufbewahrungspflichten des Auftragnehmers bestehen. Hierzu bedarf es entsprechender Regelungen im Vertrag. Das Oberlandesgericht Dresden sieht Auftraggeber neuerdings auch noch (mittelbar) in der Pflicht, Auftragsverarbeiter zu überwachen und nach Vertragsbeendigung sicherzustellen, dass dieser „die ihm zur Verfügung gestellten Daten tatsächlich löscht und hierüber eine aussagekräftige Bescheinigung ausstellt“. Von daher sollte in den Vertrag, oder bei laufenden Verträgen auch später ein definierter Prozess fürs Offboarding vereinbart werden.