EU-Datenschutz-Grundverordnung (DSGVO) umsetzen:

Seit dem 28. Mai 2018 hat sich der Datenschutz in der EU, deutlich verändert und wir klären hier auf, warum der Abschluss eines Auftragsverarbeitungsvertrag für Sie und uns mit Inkrafttreten der DS-DGVO notwendig ist. Dazu haben wir in den folgenden Kapiteln einmal die wichtigsten Punkte zum Thema „AV-Vertrag“ zusammen gestellt.

Was ist eine „Auftragsdatenverarbeitung“?

Als Auftragsdatenverarbeitung bezeichnet das Erheben, Verarbeiten oder Nutzen personenbezogener Daten durch einen Dienstleister (Auftragnehmer). Der Dienstleister ist an die Weisungen des Auftragsgebers gebunden. Die Grundlage für diese Zusammenarbeit ist ein schriftlicher Vertrag (AV-Vertrag). Maßgeblich für diese Auftragsdatenverarbeitung sind derzeit der § 11 BDSG und in Ansätzen der Artikel 17 der EU-Datenschutzrichtlinie. Der Artikel 28 DS-GVO regelt sie künftig jedoch wesentlich detaillierter in einem Vertrag zur Verarbeitung im Auftrag.

Warum eine Vereinbarung zur Auftragsdatenverarbeitung?

  1. Die Pflicht zur Vereinbarung von Verträgen zur Auftragsdatenverarbeitung (ADV-Vertrag) bleibt bestehen – das hat sich auch mit dem Inkrafttreten der DS-GVO nicht geändert.
  2. Für Sie als Auftraggeber (sprich Kunde) ändert sich eigentlich kaum etwas. Sie müssen in Ihrem eigenen Interesse lediglich darauf achten, dass Ihre bestehende ADV-Vertrag an die DSGVO angepasst wird bzw. um etwaige Ergänzungsvereinbarungen abschließen, und bereits jetzt bei jedem neu geschlossenen ADV-Vertrag, oder AV-Vertrag das gültige Datenschutzrecht – DS-GVO – berücksichtigen.
  3. Genügen Ihre geschlossenen AV-Verträge nicht den Anforderungen der DS-GVO, kann Sie das ein Bußgeld von 10 Millionen Euro oder 2 % Ihres gesamten Vorjahr-Umsatzes kosten – je nachdem welcher Betrag höher ist.
  4. Bei Einzelpesonen sollen Bußgelder bis 300.000 Euro verhängt werden können.

Für einen Auftragnehmer ändert sich dagegen schon wesentlich mehr: Der Auftragnehmer wird durch die DS-GVO in die Pflicht genommen, das dann europaweit geltende Datenschutzrecht – (sprich DS-GVO) ebenso einzuhalten wie Sie. Die DS-GVO ist bindend für alle Bürger und Unternehmen innerhalb des europäischen Wirtschaftsraums.

Was sind personenbezogene Daten?

Der Begriff „Personenbezogene Daten“ bezieht sich auf sämtliche Informationen in Verbindung mit einer Person, Dazu zählen auch Daten die „nebenbei“ oder „drum her rum“ gesammelt, erhoben oder verarbeitet werden, die zur Identifizierung einer Person, herangezogen werden könnten, oder Rückschlüsse auf eine Person geben könnten. Dazu zählen unterschiedliche Kategorien von Informationen, die weit über die bislang definierten Daten, wie Name, Anschrift, Telefon und E-Mail, hinaus gehen.

So sind auch Logfiles von Servern, die die IP-Adresse speichern, Daten zur Standorterkennung, und Kontakt oder Zahlungsinformationen gleichfalls von der DS-GVO betroffen.

Die neue Bezeichnung: Auftragsverarbeitung

Die Auftragsdatenverarbeitung, wie Sie sie vom Bundesdatenschutzgesetz (BDSG) her kennen, wird in Zukunft laut der DS-GVO umbenannt und der „daten“-Teil wird gestrichen.

  • Aus Auftragsdatenverarbeitung wird ao sofort Auftragsverarbeitung.
  • Dementsprechend heißt ein ADV-Vertrag künftig jetzt nur noch AV-Vertrag.
  • Als Auftraggeber werden Sie durch die DSGVO zum „für die Verarbeitung Verantwortlichen“ – oder umgangssprachlich Verantwortlichen
  • Der Auftragnehmer, in der Regel der Dienstleister, wird zum Auftragsverarbeiter.

Was ist ein AV-Vertrag?

Ein AV-Vertrag regelt er die betriebliche Datenverarbeitung mithilfe eines Dienstleisters, der dem Auftraggeber (sprich: seinem Kunden) weisungsgebunden ist. Im AV-Vertrag ist festgehalten, wer und wie und welche Daten erhoben und verarbeitet werden. Nach EU-Datenschutz-Grundverordnung (DSGVO) muss jedes Unternehmen einen AV-Vertrag abschließen, das personenbezogene Daten im Auftrag von einem Dienstleister verarbeiten lässt.

Warum AV-Vertrag?

Auftraggeber bzw. Verantwortliche dürfen personenbezogene Daten grundsätzlich nicht an „Dritte“ weitergeben. Bereits die Übertragung von Daten auf einen anderen Server als den Unternehmensserver, beispielsweise eines Cloud-Anbieters oder Rechenzentrum-Betreibers, ist grundsätzlich nicht erlaubt. Dazu muß ein Auftragsverarbeitungvertrag (sprich: AV-Vertrag) zwischen beidenn Parteien geschlossen werden, aus dem genau solche Informationen ebenfalls hervorgehen. Rein rechtlich gilt die bloße Datenübermittlung an den Auftragnehmer also nicht als Datenverarbeitung – das gilt auch heute schon so (§ 3 IV 3 BDSG).

Was ändert sich nach DSGVO?

AV-Verträge müssen künftig nicht mehr ausschließlich schriftlich vorliegen, sondern können auch in elektronischer Form abgeschlossen werden (Art.28, Abs. 9 DSGVO).

Bislang war der Auftraggeber vollständig und so gut wie allein verantwortlich und auch haftbar für die Verarbeitung der Daten – selbst wenn er mit ein Dienstleister als Auftragnehmer zuammen arbeitet. Nach dem Artikel 28 der DS-GVO wird diese Last jetzt auf beide Vertragsparteien verlagert: Durch die DS-GVO wachsen Auftraggeber und Auftragnehmer noch mehr zusammen, wenn es darum geht, die Verantwortung zum Schutz der personenbezogenen Daten zu übernehmen. Damit wird der Auftragsdatenverarbeiter rechtlich wie ein Teil des verantwortlichen Unternehmens eingestuft.

Wer ist Auftragsdatenverarbeiter und wer nicht?

Auftragsdatenverarbeiter nennt die DSGVO ab sofort Auftragsverarbeiter können beispielsweise externe Personalagenturen, Abrechnungsbüros, Steuerberater, Werbeagenturen, Call-Center und Cloud-Anbieter sowie externe IT-Administratoren und EDV-Diensteanbieter sein, die mit der Wartung der IT-Systeme beim Auftraggeber beaufrtragt wurden.

Joint Control – gemeinsam für die Verarbeitung Verantwortliche

Die Datenverarbeitung im Auftrag als gemeinsame, gleichberechtigte Verantwortungsaufgabe von Auftraggeber und Auftragnehmer – Joint Control genannt – regelt der Artikel 26 DSGVO. Dabei legen zwei oder mehrere Verantwortliche die Zwecke und Mittel zur Verarbeitung personenbezogener Daten in transparenter Dartstellung fest. Für Betroffene bedeutet dies jedoch, dass sie ihre Rechte gegenüber jedem für die Verarbeitung Verantwortlichen geltend machen können – also auch gegenüber des Auftragnehmers bzw. Auftragsverarbeiters.

Grundsätzlich wird der Auftraggeber für die Verarbeitung von Daten, der erster Ansprechpartner für Betroffene sein und zu sorgen haben, dass datenschutzrechtliche Vorgaben auch tatsächlich eingehalten werden – und nicht der Auftragnehmer bzw. Auftragsverarbeiter. Mehr Informationen hat der Digitalverband Bitkom in seiner PDF-Broschüre „Joint Controllership in der EU-Datenschutz-Grundverordnung“ zusammengefasst. Dort ist ebenfalls eine Checkliste zu Joint Control vorrätig.

Wartung und Fernzugriff durch IT-Dienstleister

Im Augenblick ist noch nicht ganz klar, ob ein IT-Dienstleister, der das Kundensystem aus der Ferne wartet, tatsächlich ein Auftagsverarbeiter im Sinne der DS-DVO ist. Den genau in diesem Punkt scheiden sich momentan noch die juristischen Geister. Stand jetzt: Wenn es um eine rein technische Wartung geht, findet keine Datenverarbeitung statt. Ist jedoch der Umgang mit Datensätzen personenbezogener Daten Bestandteil der Fernwartung , so ist der Fernzugriff auf Ihre IT-Systeme sehr wohl als Auftragsverarbeitung nach Art. 28 DSGVO einzustufen. So argumentierte das Bayrische Landesamt für Datenschutzaufsicht (PDF). Der Digitalverband Bitkom wird in dem Leitfaden „Begleitende Hinweise zu der Anlage Auftragsverarbeitung“ (Seite 22, Punkt 1.3 Wartung und Prüfung) noch konkreter.
Dort heißt es:

Aufträge über Wartung oder Prüfung von IT-Systemen stellen keine Auftragsverarbeitung dar, sofern Gegenstand des Vertrages keine Datenverarbeitung ist, sondern allein auf die Supportleistung abzielt.“

Nach dem Recht der DSGVO müsste deswegen also eigentlich kein AV-Vertrag geschlossen werden. „Vielmehr müssen Wartung und Prüfung so organisiert und geregelt werden, dass die Daten entsprechend den in Art.24 DSGVO festgelegten Pflichten des Verantwortlichen angemessen geschützt sind.“ Allerdings heisst es in dem Leitfaden auch, dass vorsorglich gegebenenfalls eine Verschwiegenheitsverpflichtung vereinbart werden sollte.

Bitkom nennt einige konkrete Beispiele, die keine Auftragsverarbeitung darstellen:

  • Installation und Wartung von Netzwerken, Hardware, und Telekommunikationsanlagen
  • Pflege von Software wie Betriebssystemen, Middleware oder Softwareanwendungen
  • Parametrisieren von Software
  • Programmentwicklungen, Programmanpassungen bzw. -umstellungen, Fehlersuche und Tests

Das muss im AV-Vertrag enthalten sein

Die inhaltlichen Anforderungen an einen Vertrag zur Datenverarbeitung im Auftrag nach europäischen Datenschutzrecht orientieren sich am BDSG. Um in Zukunft DSGVO konform zu handeln, sollten zur Vollständigkeit die folgenden Aspekte innerhalb des AV-Vertrags geregelt werden (Art. 28 Abs. 3 DSGVO):

  • Wer für die Datenverarbeitung verantwortlich ist
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien von betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen und organisatorischen Maßnahmen für den Datenschutz (TOM)
  • Etwaige Hinzuziehung von Subunternehmern und Unterauftragnehmer
  • Unterstützung des Auftraggebers durch den Auftragsverarbeiter, wenn es um die größtmögliche Sicherheit der Verarbeitung personenbezogener Daten geht, Löschung von Daten,
  • Melden von Datenschutzverletzungen und Verstößen
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters.
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Was ändert sich mit der DS-GVO

Klare Vereinbarungen zur Auftragsverarbeitung

Mit Inkrafttreten der DS-GVO müssen bestehende ADV-Verträge in einigen Teilen angepasst oder besser neu in einern AV-Vertrag umgewandelt werden. Der AV-Vertrag muss nun nicht mehr ausschließlich schriftlich vorliegen, sondern kann auch ein elektronisches Format haben

Neue Bezeichnungen
  • Auftragsdatenverarbeitung = Auftragsverarbeitung
  • Auftraggeber = für die Verarbeitung Verantwortlicher (kurz Verantwortlicher)
  • Auftragnehmer/Auftragsdatenverarbeiter = Auftragsverarbeiter
Gemeinsame Haftung
  • Nicht nur der Verantwortliche (sprich: der Auftraggeber), sondern auch der Auftragsverarbeiter haftet künftig direkt gegenüber dem Betroffenen, wenn er gegen seine Pflicht zur weisungsgebundenen Verarbeitung verstößt (Art. 82 DSGVO), indem er die Daten des Auftraggebers für eigene Zwecke oder Zwecke Dritter verarbeitet. Denn dann gilt er selbst als Verantwortlicher – mit allen rechtlichen Folgen (Art. 28 Abs. 10 DSGVO).
  • Bei Datenpannen haftet im Gegensatz zur bisherigen Rechtslage nicht nur der Verantwortliche, sondern auch der Auftragsverarbeiter (Abs.1, 4 DSGVO)
Verarbeitungsverzeichnis
  • Auch der Auftragsverarbeiter muß künftig seine Verarbeitungstätigkeiten (Art. 30 Abs. 2 DSGVO) in schriftlicher oder auch in elektronischer Form dokumentieren und diese Dokumentation der Aufsichtsbehörde nach Verlangen, zur Verfügung stellen, Bisher waren nur Auftraggeber dazu verpflichtet, ein Verarbeitungsverzeichnis zu führen und der Aufsichtsbehörde auf Nachfrage zur Verfügung zu stellen.
Kontrollrecht
  • Verantwortliche sind zwar weiterhin verpflichtet, Auftragsverarbeiter sorgfältig auszuwählen und dabei darauf zu achten, dass der Auftragsverarbeiter die Regularien der DSGVO unterstützt. Die Kontrollrechte des Auftragsgebers sind mit dem AV-Vertrag zu vereinbaren, genauso wie die Pflichten des Auftragnehmers. Das Bayrische Landesamt für Datenschutz bezeichnet diesen Punkt sogar als einen der wichtigsten Bestandteile zur Einhaltung der DSGVO:
Einsatz von Subunternehmen
  • Ein Auftragsverarbeiter darf nur dann ein Subunternehmen ode reinen Unterauftragnehmer einsetzen, wenn der Verantwortliche (Auftraggeber) diesem schriftlich oder elektronisch zugestimmt hat. Außerdem muss der AV-Vertrag zwischen Auftragsverarbeiter und Subunternehmer die gleichen Pflichten enthalten wie der ADV-Vertrag zwischen Verantwortlichen und Auftragsverarbeiter. Hierbei ist allerdings zu beachten, dass der Auftragsverarbeiter dem Verantwortlichen gegenüber uneingeschränkt für Datenschutzverstöße des Subunternehmers haftet.

In unserem Blogbeitrag zur DSGVO, erhalten Sie einige Tipps wie Sie als Betreiber einer Webseite die Umsetzung der DSGVO Vorschriften erreichen können (Dort befindet sich ebenfalls eine Link-Sammlung zum Thema.