Auftragsverarbeiter

Was ist ein Auftragsverarbeiter?

Der Artikel 4 der DSGVO spricht vom Auftragsverarbeiter als eine natürliche oder juristische Person, eine Behörde, Einrichtung oder andere Stelle. Diese natürliche oder juristische Person verarbeitet im Auftrag eines Verantwortlichen personenbezogene Daten. Der Fokus liegt hier auf der Verarbeitung im Auftrag, welches aus meiner Sicht das wichtigste Kriterium im Rahmen der Auftragsverarbeitung ist. Im Artikel 28 der DSGVO wird dann weiter genauer auf Rechte und Pflichten und die Besonderheiten eines Auftragsverbeitungsverhältnis eingegangen.

Auftragsverarbeitung – Was ist in der Praxis zu beachten?

Die Rechte der Betroffenen

Auftragsverarbeiter sind Empfänger von personenbezogenen Daten. Dadurch entstehen beim Verantwortlichen, der die Daten zur Auftragsverarbeitung weitergibt, Informationspflichten gegenüber Betroffenen, deren Daten weitergegeben werden. Die Betroffenen können möglicherweise auch Rechte gegenüber dem Verantwortlichen und dem Auftragsverarbeiter wahrnehmen. Darauf sollten Sie vorbereitet sein.

Die Pflichten der Verantwortlichen und Auftragsverarbeiter

Auftragsverarbeiter sollten von anderen Empfängern personenbezogener Daten unterschieden werden, denn bei der Weitergabe von Daten im Rahmen der Auftragsverarbeitung besteht die die Pflicht zum Abschluss eines Auftragsverarbeitungsvertrages. Außerdem muss der Verantwortliche den Auftragsverarbeiters bei der Erstauswahl prüfen und danach regelmäßig überwachen. Wichtig ist dabei, dass der Verantwortliche sicherstellt, dass die Empfänger die personenbezogenen Daten nach den gesetzlichen Vorschriften und nur im Sinne des Verantwortlichen nutzt. Das technische Schutzniveau muss angemessen sein, d.h. die Schutzmaßnahmen müssen zur Bedeutung der personenbezogenen Daten passen.

Ein Verantwortlicher kann gleichzeitig Auftragsverarbeiter beauftragen und von Verantwortlichen als Auftragsverarbeiter eingesetzt werden. Es ist sehr wichtig eine gute Dokumentation über die eingegangen Auftragsverarbeitungsverhältnisse vorzuhalten und auch mögliche Unterauftragsverarbeitungsverhältnisse zu klären. Grundsätzlich können Auftragsverarbeiter zur Verarbeitung aller personenbezogenen Daten, die der Verantwortliche rechtmäßig verarbeitet, eingesetzt werden. Jedoch gibt es gerade bei Auftragsverarbeitern aus dem Nicht-EU-Ausland diverse Fallstricke, die beachtet werden müssen.

Wie erkenne ich einen Auftragsverarbeiter und welche Empfänger von personenbezogenen Daten gibt es noch?

Welche Kriterien kennzeichnen Auftragsverarbeiter?

Manchmal ist es nicht ganz einfach zu entscheiden, ob ein Empfänger die Kriterien eines Auftragsverarbeiters erfüllt und dementsprechend ein Auftragsverarbeitungsvertrag geschlossen werden muss. Es empfiehlt sich die Prüfung stets individuell vorzunehmen, aber ein paar Kriterien sprechen für eine Auftragsverarbeitung:

1. Der Empfänger hat keinen eigenen Zweck, der die Verarbeitung der personenbezogenen Daten rechtfertigt. Er erhält die personenbezogenen Daten nur, um damit einen Auftrag für den Verantwortlichen zu bearbeiten

Beispiel: Der Verantwortliche übertragt Adressdaten an eine Druckerei, damit diese als Auftragsverarbeiter Weihnachtspostkarten druckt. (Die Tatsache, dass die Druckerei eine Rechnung an den Verantwortlichen stellen möchte, ist übrigens kein eigener Zweck an den personenbezogenen Daten).

2. Der Empfänger handelt weisungsgebunden, d.h. der Verantwortliche nimmt Einfluss auf die Art und den Umfang der Verarbeitung und erteilt Weisung zu Sicherheitsanforderungen in Bezug auf die personenbezogenen Daten. Der Empfänger hingegen kann nicht frei über die Art und den Umfang der Nutzung entscheiden.

Typische Auftragsverarbeiter sind IT Supporter*innen, Marketingagenturen, aber auch Diensteanbieter*innen und Hoster wie z.B. Google, Microsoft oder 1und1.

Welche Empfängertypen gibt es noch und wie unterscheiden sie sich von Auftragsverarbeitern?

1. Datenverarbeitung zwischen (unterschiedlichen) Verantwortlichen: Die Datenweitergabe zwischen Verantwortlichen ist in vielen Fällen der normale Anwendungsfall. Hier erfolgt die Weitergabe der personenbezogenen Daten zwischen gleichberechtigten Partnern, die jeweils eine eigene Rechtsgrundlage für die Verarbeitung haben. Der Verantwortliche muss hier keine Prüfung des Empfängers durchführen, sondern nur die Rechtgrundlage für die Weitergabe geprüft und dokumentiert haben. Beide Parteien entscheiden hier unabhängig voneinander über die Verarbeitung der personenbezogenen Daten.

Beispiele: Steuerberater*innen, Banken, Krankenkassen. Dieser Punkt wurde früher auch als Funktionsübertragung bezeichnet, die DSGVO kennt diesen Begriff aber nicht mehr.

2. Datenverarbeitung von gemeinsam Verantwortlichen: Die DSGVO spricht im Artikel 26 von gemeinsam Verantwortlichen. Anderes als bei der Auftragsverarbeitung existiert keine einseitige Weisungsbefugnis. Beide Parteien entscheiden gemeinsam über Zweck und Mittel der Verarbeitung. Statt einem Auftragsverarbeitungsvertrag wird in diesem Fall eine Vereinbarung erforderlich, die das Verhältnis und die Rechte und Pflichten untereinander und zu den Betroffenen regelt. In Abgrenzung zur Datenweitergabe zwischen Verantwortlichen sind die beiden Parteien nicht unabhängig.

Beispiele: In der Praxis kommt dieser Fall z.B. bei gemeinsam genutzten und verwalteten IT-Ressourcen vor. Ebenfalls sind Unternehmensgruppen häufig hier einzustufen, wenn die IT-Systeme von mehreren Tochtergesellschaften genutzt werden oder Mitarbeiter in Personalunion für mehrere Firmen arbeiten. Es kann aber z.B. aus Gründen der Haftung sinnvoll sein, hier Gestaltungsspielräume zu nutzen, um Auftragsverarbeitungsverhältnisse zu definieren.

Fazit

Die ursprüngliche Idee hinter Auftragsverarbeitungsverhältnissen scheint es zu sein, dass Verantwortliche für personenbezogenen Daten, die sie durch andere im Auftrag verarbeiten lassen, weiterhin die Verantwortung tragen. Hierdurch sollen eigene hohe erforderliche Schutzstandards des Verantwortlichen nicht mittels Outsourcing an einen Auftragsverarbeiter unterlaufen werden. In der Praxis sehen die Datenschutzbehörden aber oft eine Auftragsverarbeitung schon bei bloßem Zugriff auf fremde personenbezogen Daten gegeben, wie es z.B. im IT-Support vorkommt. Dieser Punkt bietet häufig Anlass zu Diskussion und ist auch aus meiner Sicht noch nicht abschließend geklärt.

*Das Angebot richtet sich an Unternehmen, Selbständige und Freiberufler*innen in Deutschland und nicht an Verbraucher*innen. Alle angegebenen Preise sind zuzüglich der jeweils gültigen Umsatzsteuer. Es gelten detaillierte Vertragsbedingungen, die wir Ihnen mit unserem Angebot zusenden.

Der Inhalt dieses Beitrags wurde von uns sorgfältig aus öffentlichen Quellen und bekannten Einschätzungen zusammengestellt. Es sollten keine Entscheidungen allein auf Basis der Informationen in diesem Text getroffen werden. Er stellt auch keine Rechtsberatung dar und kann eine individuelle Beratung durch eine Rechtsanwältin oder einen Rechtsanwalt nicht ersetzen.