Auftragsverarbeitung durch Dienstleister (AVV) - was Sie beachten müssen

Der vom Hamburgischen Beauftragten für Datenschutz und Informationssicherheit verhängte Bußgeldbescheid über 5.000 Euro wegen einer Verarbeitung von Daten im Auftrag ohne entsprechende Vereinbarung zeigt einmal mehr, dass die Datenschutzaufsichtsbehörden es nun Ernst meinen. Allen voran Datenverarbeitungen im Auftrag ohne entsprechende Auftragsverarbeitungsvereinbarungen (AVV) scheinen bußgeldbewehrt zu sein. Dies ist ein Grund mehr, sich mit dieser Thematik zu beschäftigen.

Sie werden in Ihrem Unternehmen irgendwann an den Punkt kommen, an dem ein bestimmter Verarbeitungsprozess von personenbezogenen Daten nicht mehr zu ihrer Kerngeschäftstätigkeit gehört. Als Kaufmann vergegenwärtigen Sie sich in dieser Situation der Begriffe "Opportunitätskosten" und "komparative Kostenvorteile" und beauftragten für diese Tätigkeiten lieber Dritte, als sie durch eigenes Personal durchführen zu lassen. Da können einige Beauftragungen zusammenkommen, wie meine persönliche TOP 10 der Auftragsverarbeitungsverhältnisse zeigt:

  1. Betrieb / Hosting der eigenen Internetseite
  2. Nutzung von Auswertungswerkzeugen wie Google Analytics
  3. Betrieb / Hosting von E-Maildiensten
  4. Lohn- und Gehaltsabrechnung über Dritte (keine reine Tätigkeit als Steuerberater)
  5. Nutzung von Lettershops / Werbeagenturen zur personalisierten Ansprache
  6. Abrechnung von Forderungen über externe Dienstleister (Inkassobüros ohne Forderungsübertragung)
  7. Datenübertragung und -sicherung durch Cloud-Dienste
  8. Entsorgungsunternehmen für besondere Kategorien personenbezogener Daten
  9. Auslagerung des Callcenters an einen Dienstleister
  10. Supportverträge mit Herstellern / Vertrieben von Systemen mit personenbezogener Datenhaltung (z. B. Röntgengeräte)

Die Kostenvorteile werden jedoch teuer erkauft: Es kommt bei einer Auftragsverarbeitung von Daten regelmäßig zu einem Herrschaftverlust und Kontrollverlust über die personenbezogenen Daten, verbunden mit entstehenden Haftungs-, Kosten- und Rechtsrisiken. Um diese entstehenden Nachteile so gering wie möglich zu halten, sind Voraussetzungen zu erfüllen, bevor die personenbezogenen Daten den Besitzer wechseln. Allen voran müssen Auftragsverarbeitungsverhältnisse (nicht erst seit dem 25. Mai 2018) datenschutzvertraglich geregelt sein.

Dies bedeutet, dass eine Auftragsverarbeitungsvereinbarung zwischen dem Auftraggeber und dem Auftragnehmer (dem Auftragsverarbeiter) vereinbart werden muss - und zwar vor der eigentlichen Verarbeitung personenbezogener Daten durch den Auftragnehmer. Diese Vereinbarung hat den Zweck, dass der Verantwortliche Garantien erhält, dass der Auftragnehmer die Verarbeitung der personenbezogenen Daten im Auftrag im Einklang mit den datenschutzrechtlichen Bestimmungen durchführen wird.

Eine solche Auftragsverarbeitungsvereinbarung (AVV) muss folgende Punkte beinhalten:

  1. Was ist der Gegenstand und die Dauer des Auftrags?
  2. In welchem Umfang und zu welchem Zweck werden welchen Arten und Kategorien von Daten verarbeitet?
  3. Wie werden Betroffenenrechte gewährleistet?
  4. Welche Rechte und Pflichten hat der Auftraggeber?
  5. Welche Weisungsbefugnisse hat der Auftraggeber gegenüber dem Auftragnehmer?
  6. Welche Kontrollrechte hat der Auftraggebers und welche entsprechenden Duldungs- und Mitwirkungspflichten hat der Auftragnehmers?
  7. Welche Pflichten hat der Auftragnehmers?
  8. Gibt es eine Berechtigung zur Begründung von Unterauftragsverhältnissen?
  9. Wie ist sichergestellt, dass Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Vorschriften oder gegen die im Auftrag getroffenen Festlegungen mitgeteilt werden?
  10. Werden überlassene Datenträger zurückgegeben und wird die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags sichergestellt?
  11. Welche technisch-organisatorischen Maßnahmen hat der Auftragnehmer umgesetzt?

Der Verantwortliche ist - mit dem Entwurf einer solchen Vereinbarung in der Hand - nun in der Pflicht, die Ordnungsmäßigkeit der avisierten Auftragsverarbeitung zu überprüfen. Dies geht entweder durch Prüfung der durch den Auftragnehmer bereitgestellten Unterlagen oder - bei Verarbeitungen, mit denen ein hohes Risiko für die Rechte und Freiheiten der Betroffenen verbunden ist - durch eine Vor-Ort-Prüfung beim Dienstleister.... Ja, richtig, vor-Ort. Eine solche Prüfung sollten Sie strukturiert durchführen und vollständig dokumentieren. Dazu zwingt Sie allen voran Art. 5 Abs. 2 EU-DSGVO (Rechenschaftspflicht). Beachten Sie bitte, dass eine solche Überprüfung regelmäßig erfolgen muss. In welchem Umfang Ihnen das Ihr Auftragsverarbeiter gestattet und was das für Sie dann kostet, steht in Punkt sechs der oben dargestellten Struktur einer Auftragsverarbeitungsvereinbarung.

Jetzt drängt sich natürlich die Frage nach einem MUSTER auf. Bei Google ganz oben als Suchbegriff ist die Kombination von "auftragsverarbeitungsvertrag" und "muster". Dazu merke ich an, dass dieselbe Kombination auch beim Suchbegriff "ehevertrag" oder "bewerbungsschreiben" beliebt ist. Ich persönlich würde jedoch für einen Ehevertrag oder ein Bewerbungsschreiben nie ein Muster verwenden. Aus diesem Grund verzichte ich darauf, ein Muster hier bereitzustellen. Wenn Sie woanders danach suchen, werden Sie jedoch schnell fündig.

Sie haben Fragen? Wenden Sie sich gerne an mich.

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz und Informationssicherheit
Aachen