Worauf es bei der Auftragsverarbeitung ankommt
Die Digitalisierung schreitet stetig voran, das Homeoffice etabliert sich und auch der Verkauf von Waren und Dienstleistungen ist ohne IT schon lange nicht mehr denkbar. Dabei werden Unmengen von personenbezogenen Daten erfasst und verarbeitet.
Der Datenschutz unterliegt bei allen diesen Erhebungen festgelegten Regeln. Aber was ist, wenn die Daten in irgendeiner Form durch einen Dienstleister weiterbearbeitet werden, z.B. um die Lohn- und Gehaltsbuchhaltung durchzuführen, einen Newsletter zu erstellen, E-Mails über einen Provider zu senden oder schlicht und ergreifend zur Aktenvernichtung?
Da dies nicht selten in einem Unternehmen vorkommt, möchte Datenschutzberater.NRW Ihnen heute einige wichtige Vorgehensweisen und Ratschläge zur sogenannten Auftragsdatenverarbeitung mit auf den Weg geben.
Die Auftragsdatenverarbeitung oder Auftragsverarbeitung
Personenbezogene Daten werden in allen Bereichen des Lebens verarbeitet. Vor allem kleine Unternehmen, Arztpraxen, Kanzleien, Händler, Vermieter und Vereine können nicht alle Prozesse der Datenverarbeitung im eigenen Rahmen durchführen. Daher beauftragen Sie jemanden damit, dies zu übernehmen. Aber sobald diese durch eine andere Firma, juristische Person, Behörde oder andere Einrichtung bearbeitet werden, liegt eine Auftragsdatenverarbeitung vor – insofern Sie die betroffene Stelle mit der Verarbeitung der Daten beauftragt haben. Es muss dann ein Vertrag zur Auftragsverarbeitung abgeschlossen werden (AV-Vertrag). Die Datenschutzgrundverordnung spricht dabei von der Auftragsverarbeitung und dem Auftragsverarbeitungsvertrag (AV-Vertrag).
Nicht immer ist dabei eindeutig, dass bei den Vorgängen Daten verarbeitet werden. Gibt ein Unternehmen alte Akten zur Vernichtung an einen Dienstleister weiter, dann wird dieser beauftragt, Daten zu vernichten. Der Dienstleister schaut sich die Daten nicht näher an und erfasst diese auch nicht, aber nach den Vorgaben der Datenschutzgrundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG) verarbeitet er diese.
Noch eindeutiger wird das zum Beispiel, wenn Sie Daten Ihrer Mitarbeiter, Kunden, Mitglieder oder Mandanten an eine externen Lohnbuchhaltungsservice weitergeben. Genauso geht es, wenn Sie Daten der Homepage (z.B. die IP-Adresse) zu Analysezwecken auswerten lassen oder einen Onlineshop über einen Hosting-Anbieter betreiben. Selbst wenn Sie einen Cloudlösung oder einen externen Server zur Speicherung Ihrer Daten nutzen, Sie brauchen für alle diese Beispiele einen AV-Vertrag. In der DSGVO wird dieser AV-Vertrag genannt, in anderen Literaturen auch AV. Wichtig ist immer: Die Daten werden in Ihrem Auftrag verarbeitet – Sie behalten die Weisungsbefugnis.
Was ist ein AV-Vertrag?
Der AV-Vertrag oder auch AV-Vertrag wird zwischen dem Verantwortlichen eines Unternehmens und dem Auftragsverarbeiter geschlossen. Er definiert welche Daten verarbeitet werden, zu welchem Zweck und in welchem Umfang. Zudem wird in dem Vertrag die Einhaltung des Datenschutzes festgehalten. In Art. 28 DSGVO wird genau definiert, was in dem AV-Vertrag berücksichtigt werden muss und welche Pflichten entsprechend entstehen.
Der AV-Vertrag wird als Ergänzung zum eigentlichen Dienstleistervertrag angelegt. Und sollte verschiedene Punkte enthalten:
- Gegenstand und Dauer, Art und Zeck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorie der Betroffenen
- Pflichte und Rechte des Verantwortlichen
- Plichten des Auftragsverarbeiters
- Umgang mit Anfragen betroffener Personen
- Nachweismöglichkeiten
- Vereinbarungen über Subunternehmer (weitere Auftragsverarbeiter)
- Informationspflichten
- Technisch-organisatorische Maßnahmen (TOM) die durch den Auftragsverarbeiter getroffen werden müssen
Unterschied Funktionsübertragung
Der Vollständigkeit halber soll hier auch noch die Funktionsübertragung aufgeführt werden. Anders als bei der Auftragsdatenverarbeitung, werden bei der Funktionsübertragung die Daten nicht mehr im Auftrag des Unternehmens verarbeitet. Eine Weisungsbefugnis liegt nicht vor, sondern der Anbieter verarbeitet die Daten in Eigenverantwortung und hat ein eigenes Interesse daran, die Daten zu verarbeiten (z.B. Inkassounternehmen). Es ist nicht immer leicht, diese beiden Arten der Datenverarbeitung zu unterscheiden, daher sollte man im Zweifel immer einen Fachmann hinzuziehen.
Auslandsdatenverarbeitung – Drittländer
Wenn die Daten durch einen Auftragsverarbeiter im Nicht-EU-Ausland oder in einem Land das nicht dem EWR (Europäischer Wirtschaftsraum) angehört bearbeitet werden, dann muss der Verantwortliche zusätzliche Vorgaben nach der DSGVO erfüllen. Bei einem solchen Land spricht man von einem Drittland. Eine Datenübermittlung muss dann bestimmte Voraussetzungen erfüllen (z.B. einen Angemessenheitsbeschluss der EU-Kommission für das entsprechende Land, das Unternehmen muss eine geeignete Garantie bieten usw.), um zulässig zu sein. Es gibt dabei bestimmte Ausnahmen, bei der die Übermittlung der Daten dann erlaubt sein kann.
Eine Übermittlung der Daten in ein Drittland ist immer genau zu prüfen und mit dem zuständigen Fachmann auf die DSGVO-Konformität geprüft werden. Diese Datenverarbeitung wird auch in den Verarbeitungsverzeichnissen dokumentiert.
Checkliste zur Auftragsverarbeitung
Es gibt bei der Nutzung der Auftragsdatenverarbeitung Unterschiedliches zu beachten. Wir haben Ihnen die wichtigsten Punkte noch einmal als Checkliste zusammengefasst:
- Auftraggeber ist immer der Verantwortliche eines Unternehmens
- Der Verantwortliche hat dafür Sorge zu tragen, dass die Datenschutzvorgaben eingehalten werden
- Der AV-Vertrag sollte ein Kontrollrecht durch den Auftraggeber beinhalten
- Eine Mitwirkungspflicht des Auftragsverarbeiters sollte ebenfalls enthalten sein
- Bevor die Auftragsdatenverarbeitung durchgeführt wird, sollte der Vertrag vereinbart und unterschrieben sein
- Alte Verträge auch auf die DSGVO-Vorgaben prüfen lassen
- Bestandteil des AV-Vertrags sollte sein: Beauftragt der Auftragsverarbeiter einen weiteren Auftragsverarbeiter (z.B. ein Subunternehmen) – Unterauftragsverhältnis – muss eine schriftliche
- Genehmigung erteilt werden
- Ein Einspruch gegen ein Unterauftragsverhältnis sollte möglich sein
- Achtung bei Auslandsdatenverarbeitung (nicht EU-Ausland oder Mitglied im EWR) – prüfen Sie genau welche Vorgaben eingehalten werden müssen
- Lassen Sie Ihre AV-Verträge durch einen Experten (z.B. externen Datenschutzbeauftragten) prüfen
- Stellen Sie sicher, dass der Auftragsverarbeiter den Datenschutz einhalten kann – prüfen Sie dies im angemessenen Maße und dokumentieren Sie dies
- Überprüfen Sie die notwendigen technisch-organisatorischen Maßnahmen des Auftragsverarbeiters
- Achten Sie darauf, dass die Daten nach Beendigung des Auftrags ordnungsgemäß (nach gesetzlichen Vorgaben) gelöscht oder zurückgegeben werden
Auftragsdatenverarbeitung spielt natürlich vor allem im digitalen Bereich eine große Rolle. Wer eine Homepage, einen Onlineshop oder ähnliches betreibt sollte zum Beispiel die Verträge mit dem Hosting-Dienst, Google Analytics oder auch dem Anbieter des Newsletters prüfen. Klar ist auch, dass man bei Cloud-Lösungen oder extern gelagerten Servern, Programmen zur Auftragserfassung o.ä. Daten verarbeitet und daher entsprechend die Auftragsdatenverarbeitung prüfen muss. Vergessen sollte man dabei aber nicht die analogen Tätigkeiten, in denen man personenbezogene Daten weitergibt. Sobald eine andere Firma, ein anderer Anbieter persönliche Daten nutzt (dazu gehören auch Löschen, Datenträgervernichtung, Shreddern, Buchhaltung, Gehaltsabrechnungen usw.), muss ein DSGVO-konformer ADV-Vertrag abgeschlossen werden.
Auftragsdatenverarbeitung und der Datenschutzbeauftragte
Egal ob Auslandsdatenverarbeitung oder Datenverarbeitung im Raum der EU, bei der Übermittlung der Daten an andere Anbieter gilt: das Unternehmen, dass die personenbezogenen Daten für seine Zwecke erhoben hat, trägt auch weiterhin die Verantwortung für den Datenschutz. Der Verantwortliche trägt also auch das Risiko bei der Übermittlung (anders als bei der genannten Funktionsübertragung).
Der (externe) Datenschutzbeauftragte sollte bei jeder neuen Entscheidung, eine Auftragsdatenverarbeitung im Unternehmen zu etablieren, eingebunden werden. Bestehende Verträge sollten, wenn nicht schon geschehen aber auch noch einmal geprüft werden und wenn diese nicht DSGVO-konform sind, natürlich angepasst werden.
Wie bei allen unterschiedlichen Vorgaben der EU-DS-GVO, sind auch hier die Dokumentation und die Einbindung in Verarbeitungsverzeichnisse (VVT), technisch-organisatorische Maßnahmen (TOM) und letztlich ins Datenschutzmanagementsystem, wichtige Elemente zur Vorlage bei der Aufsichtsbehörde.
Datenschutzberater.NRW hilft Ihnen, Ihre AV-Verträge im Zuge einer Datenschutzberatung zu beurteilen und ggf. auch auf den neusten Stand zu bringen. Außerdem beraten wir Sie gerne projektbezogen oder langfristig bei Ihrer Datenverarbeitung. Zu unserem Angebot gehören u.a.:
- Datenschutz-Erstberatung
- Datenschutz-Audit
- Externer Datenschutzbeauftragter (TÜV)
- IT-Audit
- IT-Sicherheit
- GoBD-Beratung
Unser Team besteht aus Fachleuten aus dem Bereich Datenschutz, IT und Buchhaltung und betreut erfolgreich Kunden im Bereich Köln, Bonn, Düsseldorf und ganz NRW.
Kontaktieren Sie uns einfach und wir erarbeiten gemeinsam mit Ihnen ein passendes Konzept für Ihr Unternehmen.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.