Ein Unternehmen, das personenbezogene Daten an andere Unternehmen zur Speicherung, Verarbeitung oder sonstigen Nutzung weitergibt, braucht einen Auftragsverarbeitungsvertrags (AVV, AV-Vertrag) mit dem beauftragten Verarbeiter. Geregelt wird das Konstrukt über die EU-Datenschutz-Grundverordnung (EU-DSGVO). Der AV-Vertrag hat das Ziel, dass das auftraggebende Unternehmen Verarbeitung beim Auftragnehmenden weiterhin kontrolliert, um die eigentlichen Pflichten gegenüber den betroffenen Personen einhalten zu können.
Personenbezogene Daten: Alle Daten mit einer direkten Verknüpfung zu einer Person, wie Name, Adresse, E-Mail-Adresse, Telefonnummer, Kontodaten/Kreditkarteninformationen, Geburtsdatum, Nutzername (wenn mit dem tatsächlichen Namen oder der E-Mail-Adresse verknüpft), IP-Adresse sowie alle anderen Daten, über die sich eine Person identifizieren lässt.
Wann dürfen personenbezogene Daten weitergegeben werden?
Wer personenbezogene Daten erhält, darf sie nicht an Dritte weitergeben. Erst muss geprüft werden, ob eine Weitergabe dem Zweck des Datenverarbeitungsverfahrens und den Anforderungen an die Rechtmäßigkeit aus Artikel 6 DSGVO gerecht wird.
Jegliche Verarbeitungstätigkeit bedarf einer Rechtfertigung in Form einer gesetzlichen Grundlage oder Einwilligung der betroffenen Person. Artikel 28 DSGVO regelt die gängigste Form der Auftragsverarbeitung, das heißt die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter (auch Auftragnehmer genannt).
Nach Artikel 28 DSGVO ist der Auftragnehmer Erfüllungsgehilfe des Auftraggebers und damit weisungsgebunden. Die betroffene Person, deren Daten verarbeitet werden, empfängt quasi Leistungen des Auftragsverarbeiters, als hätte sie der Auftraggeber erbracht. Sinngemäß tritt der Auftragsverarbeiter nach außen als „verlängerter Arm“ des Verantwortlichen auf. Der Sachverhalt muss vertraglich festgehalten werden.
Personenbezogene Daten im Kontext des Hostings
Aufgrund des Aufgabenfeldes und der Services, die Adacor für Kunden erbringt, ist eine Auftragsverarbeitung im Sinne der DSGVO schnell anzunehmen. Denn wir betreiben die technische Infrastruktur für die Webseiten, Marketingsites und andere Plattformen unserer Kunden. Zwar haben wir als Unternehmen, das Server und virtuelle Maschinen hostet, in der Regel nicht den eigentlichen Auftrag, personenbezogene Daten zu verarbeiten, aber aufgrund der technischen Gegebenheiten könnten die Systemverantwortlichen darauf zugreifen. Diese Eventualität führt dazu, dass die mögliche Verarbeitung von Daten die Notwendigkeit begründet, das Szenario zu regeln.
Die Pflichten des Auftragsverarbeiters
Die Pflichten der Verantwortlichen und Auftragsverarbeitenden im Rahmen einer Datenverarbeitung sind in den Artikeln 28 bis 36 DSGVO festgehalten. Dies ist ein nicht abschließender Auszug der gesetzlichen Pflichten bezogen auf den Auftragsverarbeiter:
- Die Daten dürfen nur entsprechend der Weisungen des Auftraggebers verarbeitet werden.
- Die Vertraulichkeit muss gewahrt und die Verschwiegenheitspflicht eingehalten werden.
- Beide Parteien unterstützen die Einhaltung der datenschutzrechtlichen Pflichten, insbesondere die Bearbeitung von Anfragen betroffener Nutzer.
- Es müssen geeignete Maßnahmen ergriffen werden, um die Datensicherheit zu erhalten.
- Bei einer Datenschutzverletzung muss der Verantwortliche den Vorfall innerhalb einer Frist der Aufsichtsbehörde und der betroffenen Person melden. Der Auftragsverarbeiter hat ihn zu unterstützen.
- Der Auftragsverarbeiter ist angehalten, ein Verzeichnis zu führen, welches über die Verarbeitungsvorgänge Auskunft gibt, die er für seine Auftraggeber durchführt.
Der Auftragsverarbeitungsvertrag im Detail
Gemäß Artikel 28 Absatz 3 DSGVO ist ein AV-Vertrag Pflicht, sobald eine Auftragsverarbeitung vorliegt. Nach Absatz 4 hat der Vertrag Schriftformerfordernis. Das das heißt, er muss in irgendeiner Art und Weise unterschrieben werden. Dies kann auch in elektronischer Form erfolgen. Dienstleister wie Adacor, Google oder Amazon AWS bieten für ihre Kunden von sich aus AV-Verträge an.
Artikel 28 Absatz 3 DSGVO beschreibt die inhaltlichen Mindestanforderungen an den AV-Vertrag. Dazu zählen folgende Angaben:
- Art der personenbezogenen Daten
- Vertragsgegenstand
- Dauer der Datenspeicherung und -verarbeitung
- Umfang der Weisungsbefugnisse gegenüber dem Auftragsverarbeiter
- Rechte und Pflichten des Auftraggebers und -nehmers
- Löschung der Daten bei Auftragsende
- Möglichkeit, Informationen zu erhalten und Daten zu überprüfen
- Regelung technischer und organisatorischer Maßnahmen (sogenannter TOM), die der Auftragnehmer bei der Datenverarbeitung einhalten muss
Es empfiehlt sich, die vorgegebenen Klauseln des Auftragsverarbeitungsvertrages im Sinne der geplanten Auslagerung der Verarbeitung so zu gestalten, dass sie den Anforderungen der Verarbeitung rechtlich genügen. Adacor hat beispielsweise viele Kunden, deren Projekte zwar technisch individuell gestaltet sind, sich aber in der konkreten Verarbeitung personenbezogener Daten nur selten unterscheiden.
Die Handhabung der Auftragsverarbeitung bei Adacor
Das Geschäftsmodell von Adacor ist so ausgelegt, dass die Vertraulichkeit der Daten jederzeit gewährleistet ist. Die IT-Fachkräfte des Cloud Solution Providers betreiben die Systeme sicher und zuverlässig, mit dem Ziel, die Servertätigkeit jederzeit aufrechtzuerhalten. Sie sehen im Rahmen der jeweils beschriebenen Verarbeitungsprozesse nur die technischen Daten ein, die für den Betrieb notwendig sind. Es sei denn, das auftraggebende Unternehmen benötigt ein anderes Vorgehen. Das könnte beispielsweise dann sein, wenn eine Datenbank in einem bestimmten Format benötigt wird und Adacor mit der Realisierung beauftragt wird. Grundsätzlich wissen die Administrierenden nicht, welche persönlichen Daten der Auftraggeber auf den Systemen (Servern, virtuellen Maschinen, …) verarbeitet. Aus diesem Grund wird mit jedem Kundenunternehmen eine Art Rahmen-Auftragsverarbeitungsvertrag abgeschlossen. Dieser regelt diese Themen einheitlich für alle technischen Projekte ähnlicher Art. Bei Bedarf (bei Projektspezifika) können die Regelungen um individuelle Einzel-Auftragsverarbeitungsverträge ergänzt werden.
Gleichzeitig macht Adacor regelmäßig die Erfahrung, dass Kundenunternehmen bestimmte gesetzliche Vorgaben oder Compliance-Anforderungen beachten müssen und deshalb den AV-Vertrag inhaltlich selbst vorgeben möchten. Auf diese Bedürfnisse geht der Managed Cloud Solution Provider gerne ein. Entsprechende Vertragswerke werden lediglich danach geprüft, ob sie den eigenen Anforderungen entsprechen. Am Ende steht immer ein Ergebnis, das den Bedürfnissen aller Beteiligten gerecht wird.
Rechtsfolgen und Konsequenzen der Auftragsverarbeitung
Grundsätzlich ist der Auftraggeber der Verantwortliche und der erste Ansprechpartner für die Personen, deren Daten verarbeitet werden. Er ist zuständig, dass der Datenschutz während des Verarbeitungsprozesses eingehalten wird. Zu beachten ist, dass auch der Auftragsverarbeiter in die Haftung genommen werden kann (Artikel 82 DSGVO). Seine Haftung beschränkt sich nach Absatz 2 auf Verstöße gegen die vom Auftraggeber auferlegten Pflichten.
Dem Auftraggeber obliegt nach Artikel 28 Absatz 1 DSGVO die Vorgabe, den Auftragsverarbeiter ordnungsgemäß auszusuchen und zu überwachen. Der ausgewählte Anbieter muss die Einhaltung der Anforderungen der DSGVO ausreichend gewährleisten können. Zu diesem Zweck hat sich der Auftraggeber ausreichende Auditrechte einzuräumen. Welche Prüfmaßnahmen konkret und in welchen Abständen stattfinden müssen, ist abhängig von der Ausgestaltung der Auftragsverarbeitung. Adacor bietet Kundenunternehmen jährlich auf Anfrage die Beantwortung konkreter Fragenkataloge an sowie einen halben Tag zur Besichtigung vor Ort.
Massive Folgen bei fehlendem Auftragsverarbeitungsvertrag
Artikel 82 Absatz 1 DSGVO sieht eine gemeinsame Haftung bei Vertragsbrüchen für Auftraggeber und Auftragnehmer vor. Nach Artikel 83 Absatz 4 DSGVO sind Strafen von bis zu 10 Millionen Euro oder bis zu 2 Prozent des vergangenen Jahresumsatzes möglich. Massivere Verstöße können mit Strafen von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes belegt werden (Artikel 83 Absatz 5 DSGVO). Unter Umständen können die betroffenen Personen, deren Daten verarbeitet werden, Schadensersatzansprüche geltend machen.
Abgestraft wurden in der Vergangenheit Auftraggeber, denen unter anderem folgende Verstöße nachzuweisen waren:
- Fehlen eines AV-Vertrages, obwohl er erforderlich war.
- Mangelhafte AV-Verträge, in denen unzulässige Klauseln enthalten waren.
Weitere häufige Themen
Oft werden im Rahmen der Auftragsverarbeitung folgende Punkte stiefmütterlich behandelt. Relevant ist jedoch, dass …
- … der Vertragsabschluss vor dem Start der Auftragsverarbeitung erfolgt,
- … der Auftraggeber regelmäßig zu prüfen hat, ob der Auftragnehmer im Sinne der Verarbeitung seine datenschutzrechtlichen Vorgaben einhält und
- … die Frage nach Subunternehmen geklärt ist. Artikel 28 DSGVO schreibt vor, dass die Einbindung von neuen Unterauftragnehmern nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen zulässig sein sollte.
Fazit: Die Anforderungen an einen AV-Vertrag kennen und leben
Unternehmen benötigen einen Auftragsverarbeitungsvertrag mit dem beauftragten Verarbeiter, wenn sie personenbezogene Daten an andere Unternehmen zur Speicherung, Verarbeitung oder sonstigen Nutzung weitergeben. Die gesetzlichen Regelungen dazu finden sich in der DSGVO. Unternehmen sind gut beraten, sich intensiv mit den Vorgaben auseinanderzusetzen. Andernfalls drohen empfindliche Strafen, die bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes betragen können. Als Verantwortlicher bei der Auftragsverarbeitung sollte ein Unternehmen darauf achten, dass es die Kontrolle behält, die Daten vor Zugriffen Fremder geschützt sind und Unterauftragnehmerschaften ordentlich geregelt werden. Ein AV-Vertrag als Basis für den Umgang mit personenbezogenen Daten im Geschäftskontext bietet den Nutzern Rechtssicherheit und das Wissen, dass ihre Daten bestmöglich geschützt sind. Die beteiligten Unternehmen profitieren von den geklärten Rechtsverhältnissen und vermeiden möglicherweise existenzbedrohende Strafen.
Haben Sie Fragen zum Auftragsverarbeitungsvertrag bei Adacor? Dann kontaktieren Sie gerne unsere Experten unter kontakt@adacor.com.