Ob Cloud-Computing, CRM-System, Newsletter oder technische Wartung – sobald personenbezogene Daten im Auftrag weisungsabhängig verarbeitet werden, liegt eine Auftragsverarbeitung (AV) vor. Damit bei einer solchen Verarbeitung von Daten im Auftrag stets der Datenschutz gewährleistet ist, sehen europäische und deutsche Gesetze strenge Auflagen vor.

Die ab dem 25. Mai 2018 geltende EU-Datenschutz-Grundverordnung (DSGVO) bringt einige Änderungen bei der Auftragsverarbeitung mit sich (unter dem alten Bundesdatenschutzgesetz (BDSG) als Auftragsdatenverarbeitung bekannt).

Auf dieser Seite erfahren Sie, in welchen konkreten Fällen es sich um eine Auftragsverarbeitung handelt, wenn Dienstleister mit Daten Ihres Unternehmens in Berührung kommen. Sie lernen Ihre Pflichten als Auftraggeber (Verantwortlicher) oder Auftragnehmer (Auftragsverarbeiter) bei der AV kennen und erhalten Praxistipps sowie Vorlagen für eine datenschutzkonforme Verarbeitung von Daten im Auftrag.


Gesetzliche Grundlagen für die Auftragsverarbeitung

Eines der datenschutzrechtlichen Grundprinzipien ist das sogenannte Verbot mit Erlaubnisvorbehalt. Danach ist jeglicher Umgang mit personenbezogenen Daten ohne Rechtsgrundlage verboten. Eine solche Rechtsgrundlage kann im jeweiligen Fall insbesondere sein

  1. eine gesetzliche Erlaubnis oder
  2. eine Einwilligung des Betroffenen.

Wenn eine solche Rechtsgrundlage vorliegt, kann das Prinzip der Verarbeitung von Daten im Auftrag greifen. Diese Auftragsverarbeitung ermöglicht es, die Berechtigung zur Verarbeitung der personenbezogenen Daten auf einen Dienstleister (Auftragnehmer) zu übertragen.

Das dahinterliegende juristische Prinzip ist die sogenannte Privilegierung des Datenaustauschs zwischen Unternehmen und seinen Dienstleistern. Die Privilegierung ergibt sich aus Art. 4 Nr. 10 DSGVO, wonach Auftragsverarbeiter keine Dritten sind. Der Auftragsverarbeiter wird vielmehr rechtlich so behandelt, als wäre er Teil des Unternehmens und partizipiert an dessen rechtlichen Datenverarbeitungsgrundlagen. Die Privilegierungswirkung gilt unter der DSGVO nunmehr auch für Auftragsverarbeitungen in Drittländern.

Sonderregelungen bei Datenverarbeitungen innerhalb von Konzernen

Zu betonen ist, dass es im Datenschutzrecht kein allgemeines Konzernprivileg gibt. Mit der DSGVO kommen jedoch gewisse Erleichterungen beim Datentransfer zwischen selbstständigen Unternehmen einer zusammengehörenden Unternehmensgruppe. Eine gesetzliche Erlaubnis zur Datenverarbeitung liegt nach Art. 6 Abs. 1 lit. f DSGVO vor, wenn die Verarbeitung zur Wahrung „berechtigter Interessen“ des Verantwortlichen oder eines Dritten erforderlich ist.

Nach Erwägungsgrund 48 S. 1 DSGVO kann der konzerninterne Datenaustausch für „interne Verwaltungszwecke“ ein derartiges berechtigtes Interesse darstellen. Wichtig ist, dass eine Abwägung mit den entgegenstehenden schutzwürdigen Interessen der Betroffenen stattfinden muss. Besteht im Einzelfall kein solches berechtigtes Interesse, weil die schutzwürdigen Interessen der Betroffenen überwiegen, kann ein konzerninterner Datentransfer nur mittels Einwilligung des Betroffenen oder im Wege der Grundsätze der Datenverarbeitung gerechtfertigt werden.

Regelungen für die Auftragsverarbeitung in einem Drittland

Eine bedeutsame Neuerung der DSGVO betrifft die Auftragsverarbeitung in Drittländern, also Staaten außerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR). Bisher waren nach BDSG nur Auftragsverarbeitungen innerhalb der EU von den privilegierenden Regelungen gedeckt. Sobald im Rahmen einer Auftragsverarbeitung die EU/EWR-Grenzen überschritten wurden, weil der Dienstleister sich in einem Drittland befand, galt dieser nicht mehr als Auftragsverarbeiter, sondern als Dritter. Dritter ist jede Person oder Stelle, die nicht in den Kreis des verantwortlichen Auftraggebers fällt. Gegenüber einem Dritten war und ist auch nach der DSGVO die Datenverarbeitung unter den vereinfachten Bedingungen der Auftragsverarbeitung nicht möglich.

Eine Übermittlung personenbezogener Daten in ein Drittland ist allerdings nicht uneingeschränkt möglich. Sie ist nach Art. 44 DSGVO nur zulässig, wenn die weitere Verarbeitung nach den Regeln der DSGVO erfolgt und vergleichbare Schutzmechanismen dafür sorgen, dass die vorgesehenen Rechte der Betroffenen nicht ausgehebelt werden.

Eine Datenübermittlung in ein Drittland kann beispielsweise durch Angemessenheitsbeschlüsse der EU-Kommission gemäß Art. 45 DSGVO zulässig sein. Hiernach beschließt die Kommission, dass ein bestimmtes Drittland ein angemessenes Datenschutzniveau bietet. Ein weiterer Schutzmechanismus besteht nach Art. 46 DSGVO, wenn der Verantwortliche oder Auftragsverarbeiter geeignete Garantien vorsieht und den betroffenen Personen tatsächlich durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stellt. Weiterhin kann der Schutz betroffener Personen dadurch gewährleistet werden, dass die zuständige Aufsichtsbehörde gem. Art. 47 DSGVO verbindliche interne Datenschutzvorschriften genehmigt, sofern diese eine vergleichbare Schutzwirkung sicherstellen können.

Im Übrigen müssen Verantwortliche oder Auftragsverarbeiter, die keine Niederlassung in der EU haben, aber Daten von Unionsbürgern verarbeiten, nach Art. 27 DSGVO schriftlich einen Vertreter in der Union benennen. Dieser muss auch in der Union niedergelassen sein und dient als Ansprechpartner für Aufsichtsbehörden und betroffene Personen bezüglich der Datenverarbeitung.

Wann liegt eine Auftragsverarbeitung vor?

Bei einer Auftragsverarbeitung verarbeitet ein Dienstleister (Auftragsverarbeiter bzw. Auftragnehmer) personenbezogene Daten weisungsabhängig im Auftrag der verantwortlichen Stelle (Verantwortlicher bzw. Auftraggeber).

Typische Fälle einer Auftragsverarbeitung sind externe Lohn- oder Gehaltsabrechnung, Datenträgerentsorgung, Versand eines Newsletters durch eine Agentur oder Nutzung von Cloud-Diensten.

Nach Art. 29 DSGVO arbeitet der Auftragsverarbeiter grundsätzlich weisungsabhängig, es sei denn, dass der Auftragsverarbeiter nach Unionsrecht oder dem Recht des Mitgliedstaates, dem er unterliegt, zur Verarbeitung verpflichtet ist. Bei letzterem handelt es sich um eine sog. Öffnungsklausel. Diese gesetzlichen Ausnahmeklauseln erlauben Mitgliedsstaaten abweichende oder ergänzende Regelungen zur Datenschutz-Grundverordnung vorzunehmen. Im Falle des Art. 29 DSGVO handelt es sich jedoch nur um eine „unechte Öffnungsklausel“: Mitgliedstaaten können nicht grenzenlose Verarbeitungspflichten bestimmen. Stattdessen dürfen Mitgliedstaaten nur dann Verarbeitungspflichten auferlegen, wenn es bereits eine in der DSGVO normierte Verarbeitungsgrundlage gibt. Die Mitgliedstaaten dürfen dann nur regeln, dass für diese bereits in der Verordnung gesetzlich legitimierten Verarbeitungsgrundlagen keine Weisung erforderlich ist. Es bleibt daher abzuwarten, ob die Mitgliedstaaten von dieser Öffnungsklausel überhaupt Gebrauch machen werden. Im neuen deutschen Datenschutzrecht (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) ist noch keine solche Ausnahmeregelung vorgesehen.

Der Auftragsverarbeiter ist gem. Art. 4 Nr. Nr. 8 DSGVO im Gegensatz zum Verantwortlichen derjenige, der nicht „allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung entscheidet“. Ausschlaggebend ist also, wer faktisch und tatsächlich über die Zwecke und Mittel der Verarbeitung entscheidet. Ob vertraglich lediglich eine Verarbeitung im Auftrag vereinbart wurde, ist unerheblich. Verletzt der Auftragsverarbeiter die Voraussetzungen für die Auftragsverarbeitung, indem er selbst wie ein Verantwortlicher auftritt und über Zweck und Mittel der Datenverarbeitung entscheidet, ist dieser gleich einem Verantwortlichen zu behandeln.

Jemand, der im Rahmen eines Auftragsverarbeitungsvertrages personenbezogene Daten verarbeitet, ist somit nach der DSGVO entweder Verantwortlicher oder Auftragsverarbeiter. Aufgrund dessen entfällt der im Rahmen des alten BDSG verwendete Begriff der „Funktionsübertragung“. Bei der Funktionsübertragung handelte es sich um einen Dienstleister, der im Auftrag Daten verarbeitete, jedoch über einen eigenen Entscheidungsspielraum verfügte. Zum Zwecke der Rechtssicherheit sollte von dem Begriff nicht länger Gebrauch gemacht werden.

Praxistipp zur Erfassung von Auftragnehmern

Um festzustellen, mit welchen Dienstleistern ein Auftragsverarbeitungsverhältnis vorliegt, hat es sich als praktikabel erwiesen, aus der Buchhaltung eine Abrechnungsliste anzufordern. Prüfen Sie anhand dieser Liste, wer personenbezogene Daten verarbeitet. Mit diesen Dienstleistern ist ggf. ein Vertrag zur Auftragsverarbeitung zu schließen.

Wann liegt keine Auftragsverarbeitung vor?

Keine Auftragsverarbeitung liegt vor, wenn der Dienstleister eigenverantwortlich mit den ihm anvertrauten Daten umgeht. Der Auftraggeber überlässt dem Dienstleister die inhaltliche Ausgestaltung, also Entscheidung über Mittel und Zweck der Datenverarbeitung. Über Weisungs- und Kontrollrechte gegenüber dem Dienstleister verfügt der Auftraggeber weder rechtlich noch tatsächlich. Klassische Fälle sind die Finanz-, Steuer- oder Unternehmensberatung.

Umstritten ist, ob eine Auftragsverarbeitung auch dann vorliegt, wenn der Zugriff auf Daten nur in beiläufiger Weise erfolgen kann, wie dies zum Beispiel bei Reinigungskräften oder Kurierdiensten der Fall ist. Hier sollte eine Einzelfallprüfung erfolgen.

Wer ist bei der Auftragsverarbeitung verantwortlich?

In erster Linie ist, wie es der Name schon sagt, der Verantwortliche gem. Art. 24 DSGVO für die Datenverarbeitung verantwortlich. Er hat dafür Sorge zu tragen, dass die Verarbeitung rechtmäßig erfolgt. Dabei hat er Art, Umfang, Umstände und Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen und hierfür geeignete technische und organisatorische Maßnahmen umzusetzen.

Dem Verantwortlichen obliegt zudem eine Auswahlverantwortung. Der Verantwortliche darf nur mit Auftragsverarbeitern arbeiten, die gem. Art. 28 Abs. 1 DSGVO hinreichend garantieren können, dass „geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen“ der DSGVO erfolgt und die Rechte der betroffenen Personen geschützt werden.

Eine solche hinreichende Garantie bietet die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO oder ein genehmigtes Zertifizierungsverfahren gem. Art. 42 DSGVO (z. B. ISO/IEC 27002). Ein Verstoß gegen die Auswahlverantwortung kann mit einer Geldbuße bis zu 10.000.000 Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem welcher der Beträge höher ist) sanktioniert werden.

Wie funktioniert die Auftragsverarbeitung?

Um eine Verarbeitung von Daten im Auftrag datenschutzkonform umzusetzen, sind mehrere Schritte notwendig. Mit dem Dienstleister ist zunächst ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) zu schließen. Dies kann als Einzelvertrag oder als Anlage zum Hauptvertrag erfolgen. Die einzelnen Rechte und Pflichten beider Parteien regelt Art. 28 DSGVO. Die dort aufgeführten Mindestanforderungen müssen im AV-Vertrag enthalten sein, sie können und sollten einzelfallbezogen vertraglich ausgestaltet werden.

Die DSGVO sieht – anders als das BDSG – keine ausdrückliche fortwährende Prüfungspflicht vor. Art. 28 DSGVO bestimmt jedoch, dass eine Auftragsverarbeitung nur mit einem geeigneten Auftragsverarbeiter erfolgen darf, der hinreichend Garantien bietet. Dies ist so zu verstehen, dass die Auswahlpflicht nicht nur für den Beginn des Auftrags, sondern über die Dauer des Vertrags besteht. Der Verantwortliche muss sich also dauerhaft vergewissern, dass der Auftragsverarbeiter zur Verarbeitung geeignet ist.

Fallen die hinreichenden Garantien nachträglich weg oder erweist sich, dass die erforderlichen Garantien tatsächlich nicht eingehalten werden, ist die Auftragsverarbeitung nicht mehr von der datenschutzrechtlichen Privilegierung gedeckt.