Auftragsdatenverarbeitung

Rechtskonformer ADV-Vertrag – trotz DSGVO


28. September 2017, von in IT-Support

Die EU-Datenschutz-Grundverordnung (DSGVO) umsetzen: Sie fragen sich, wo Sie da überhaupt anfangen sollen? Wie wär’s mit Ihren Verträgen zur Auftragsdatenverarbeitung (ADV)? Es ist ein kleiner Schritt mit großer Wirkung. Was ein ADV-Vertrag ist, was sich daran durch die DSGVO ändert und Tipps dazu, lesen Sie hier.

Sie haben sich noch gar nicht mit der DSGVO beschäftigt? Damit sind Sie nicht allein. Laut Digitalverband Bitkom hat das fast jedes dritte Unternehmen in Deutschland noch nicht. Doch die Zeit drängt. Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung europaweit in Kraft. Im Blogbeitrag Europäische Datenschutzverordnung – Tipps zur Umsetzung erhalten Sie einen ersten Überblick zum Thema.

Auftragsdatenverarbeitung

Keine Auftragsdatenverarbeitung ohne ADV-Vertrag zwischen Auftraggeber und -nehmer.

Was ist Auftragsdatenverarbeitung?

Auftragsdatenverarbeitung bezeichnet das Erheben, Verarbeiten oder Nutzen personenbezogener Daten durch einen Dienstleister (Auftragnehmer). Der Dienstleister ist an die Weisungen des Auftragsgebers gebunden. Die Grundlage für diese Zusammenarbeit ist ein schriftlicher Vertrag (ADV-Vertrag). Maßgeblich für diese Auftragsdatenverarbeitung sind derzeit der § 11 BDSG und in Ansätzen der Artikel 17 der EU-Datenschutzrichtlinie. Der  Artikel 28 DSGVO regelt sie künftig jedoch wesentlich detaillierter.

Warum Sie zuerst die Auftragsdatenverarbeitung angehen sollten?

  1. Die Pflicht zur Vereinbarung von Verträgen zur Auftragsdatenverarbeitung (ADV) bleibt bestehen – daran wird auch die DSGVO nichts ändern.
  2. Für Sie als Auftraggeber ändert sich kaum etwas. Sie müssen in Ihrem eigenen Interesse lediglich darauf achten, dass jeder bestehende ADV-Vertrag an die DSGVO angepasst wird bzw.  Ergänzungsvereinbarungen abschließen, und bereits jetzt bei jedem neu geschlossenen ADV-Vertrag das künftige Datenschutzrecht berücksichtigen.
  3. Genügen Ihre geschlossenen ADV-Verträge nicht den Anforderungen der DSGVO, kann Sie das ein Bußgeld von 10 Millionen Euro oder 2 % Ihres gesamten Vorjahr-Umsatzes kosten – je nachdem welcher Betrag höher ist (Art. 83 Abs. 4).

Für Ihren Auftragnehmer ändert sich dagegen schon wesentlich mehr: Er wird durch die DSGVO in die Pflicht genommen, das dann europaweit geltende Datenschutzrecht ebenso einzuhalten wie Sie.

Auftragsdatenverarbeitung: Gewöhnen Sie sich an neue Bezeichnungen

Die Auftragsdatenverarbeitung, wie Sie sie vom Bundesdatenschutzgesetz (BDSG) her kennen, wird in Zukunft ohne den Zusatz „daten“ auskommen müssen:

  • Aus Auftragsdatenverarbeitung wird Auftragsverarbeitung.
  • Dementsprechend heißt ein ADV-Vertrag künftig wohl nur noch AV-Vertrag.
  • Sie als Auftraggeber werden durch die DSGVO zum „für die Verarbeitung Verantwortlichen“ – kurz Verantwortlichen
  • Der Auftragsnehmer wird zum Auftragsverarbeiter.
Auftragsdatenverarbeitung

Auftragsdatenverarbeitung: Ein ADV-Vertrag gibt den rechtlichen Rahmen für die Datenverarbeitung durch einen Dienstleister vor.

Was ist ein ADV-Vertrag?

Ein ADV-Vertrag ist ein Vertrag zur Datenverarbeitung im Auftrag. Wie oben beschrieben, regelt er die betriebliche Datenverarbeitung mithilfe eines Dienstleisters, der dem Auftraggeber weisungsgebunden ist. Wenn der Auftragnehmer selbst Entscheidungen treffen kann bzw. darf, ist es derzeit noch eine Funktionsübertragung. Diese gängige Bezeichnung aus der Praxis zur Abgrenzung von der Auftragsdatenverarbeitung wird es so künftig jedoch nicht mehr geben (vgl. Art. 4 Nr. 8 DSGVO). Nach EU-Datenschutz-Grundverordnung (DSGVO) muss jedes Unternehmen einen ADV-Vertrag abschließen, das personenbezogene Daten im Auftrag – also von einem Dienstleister – verarbeiten lässt.

Warum ADV-Vertrag?

Auftraggeber bzw. Verantwortliche dürfen personenbezogene Daten grundsätzlich nicht an „Dritte“ weitergeben. Bereits die Übertragung von Daten auf einen anderen Server als den Unternehmensserver, beispielsweise eines Cloud-Anbieters oder Rechenzentrum-Betreibers, ist grundsätzlich nicht erlaubt. Die Lösung: ein ADV-Vertrag. Dadurch wird der Auftragsdatenverarbeiter rechtlich wie ein Teil des verantwortlichen Unternehmens eingestuft – und nicht als Dritter. Der ADV-Vertrag ist also ein effizientes Mittel, um die Auftragsdatenverarbeitung gesetzeskonform zu gestalten. Rein rechtlich gilt die bloße Datenübermittlung an den Auftragnehmer also nicht als Datenverarbeitung – das gilt auch heute schon so (§ 3 IV 3 BDSG).

ADV-Vertrag: Was ändert sich nach DSGVO?

ADV-Verträge müssen künftig nicht mehr ausschließlich schriftlich vorliegen, sondern können auch in elektronischer Form abgeschlossen werden (Art.28, Abs. 9 DSGVO). Derzeit gibt noch der § 11 BDSG die Regeln für die Auftragsdatenverarbeitung vor und besteht auf die schriftliche Vertragsform.

Noch sind Sie als Auftraggeber vollständig und so gut wie allein verantwortlich und auch haftbar für die Verarbeitung der Daten – selbst wenn ein Dienstleister als Auftragnehmer im Spiel ist. Der Artikel 28 der EU-Datenschutz-Grundverordnung (DSGVO) wird diese Last ab dem 25. Mai 2018 allerdings auf beide Schultern verteilen: Durch die DSGVO wachsen Auftraggeber und Auftragnehmer noch mehr zusammen, wenn es darum geht, die Verantwortung zum Schutz der personenbezogenen Daten zu übernehmen.

Wer ist Auftragsdatenverarbeiter und wer nicht?

Auftragsdatenverarbeiter oder DSGVO-konform ausgedrückt Auftragsverarbeiter können beispielsweise externe Personalagenturen, Gehaltsabrechnungsbüros, Steurberater, Marketingagenturen, Call-Center und Cloud-Computing-Anbieter sowie externe IT-Admins , etc. sein.

Joint Control – gemeinsam für die Verarbeitung Verantwortliche

Die Datenverarbeitung im Auftrag als gemeinsame, gleichberechtigte Verantwortungsaufgabe von Auftraggeber und Auftragnehmer – Joint Control genannt – regelt der Artikel 26 DSGVO. Dabei legen zwei oder mehrere Verantwortliche die Zwecke und Mittel zur Verarbeitung personenbezogener Daten transparent fest. Diese neue Möglichkeit der beiderseitigen Verantwortung kennt das BDSG nicht. Für Betroffene bedeutet dies jedoch, dass sie ihre Rechte gegenüber jedem für die Verarbeitung Verantwortlichen geltend machen können – also auch gegenüber des Auftragsnehmers bzw. Auftragsverarbeiters.

ABER: Grundsätzlich werden Sie als Verantwortlicher für die Verarbeitung auch künftig der erster Ansprechpartner für Betroffene sein und Sorge tragen müssen, dass datenschutzrechtliche Vorgaben eingehalten werden – und nicht der Auftragsnehmer bzw. Auftragsverarbeiter. Mehr Informationen zu Joint Control inklusive Checkliste hat der Digitalverband Bitkom in seiner PDF-Broschüre „Joint Controllership in der EU-Datenschutz-Grundverordnung“ zusammengefasst.

auftragsdatenverarbeitung

Bei der Auftragsdatenverarbeitung oder bald nur noch Auftragsverarbeitung lohnt es sich, zum Paragraphenreiter zu werden.

Wartung und Fernzugriff durch IT-Dienstleister

Doch was ist mit Ihrem IT-Dienstleister, der Ihre Systeme aus der Ferne wartet? Ist er Ihr Auftragsdatenverarbeiter? Genau in diesem Punkt scheiden sich momentan noch die juristischen Geister. Stand jetzt: Wenn es um eine rein technische Wartung geht, findet keine Datenverarbeitung statt. Ist jedoch der Umgang mit Datensätzen personenbezogener Daten Bestandteil der Fernwartung , so ist der Fernzugriff auf Ihre IT-Systeme sehr wohl als Auftragsverarbeitung nach Art. 28 DSGVO einzustufen. So argumentierte das Bayrische Landesamt für Datenschutzaufsicht (PDF) Ende Oktober 2016. Der Digitalverband Bitkom wird in dem Leitfaden (PDF) „Begleitende Hinweise zu der Anlage Auftragsverarbeitung“ (Seite 22, Punkt 1.3 Wartung und Prüfung) noch konkreter. Dort heißt es:

„Aufträge über Wartung oder Prüfung von IT-Systemen stellen keine Auftragsverarbeitung dar, sofern Gegenstand des Vertrages keine Datenverarbeitung ist, sondern allein auf die Supportleistung abzielt.“ Nach DSGVO müsste deswegen kein ADV-Vertrag geschlossen werden. „Vielmehr müssen Wartung und Prüfung so organisiert und geregelt werden, dass die Daten entsprechend den in Art.24 DSGVO festgelegten Pflichten des Verantwortlichen angemessen geschützt sind.“

Der Tipp: Vorsorglich sollte in solchen Konstellationen gegebenenfalls eine Verschwiegenheitsverpflichtung vereinbart werden.

Konkrete Beispiele, die laut Bitkom keine Auftragsverarbeitung darstellen, sind:

  • Installation und Wartung von Netzwerken, Hardware, inkl. Telekommunikationsanlagen
  • Pflege von Software wie Betriebssystemen, Middleware oder Anwendungen
  • Parametrisieren von Software,
  • Programmentwicklungen, Programmanpassungen bzw. -umstellungen, Fehlersuche und Tests,

ADV-Vertrag: Das muss drin stehen

Die inhaltlichen Anforderungen an einen Vertrag zur Datenverarbeitung im Auftrag nach europäischen Datenschutzrecht orientieren sich stark an den in Deutschland bereits bekannten Punkten des BDSG. Zur Vollständigkeit sind im Folgenden jedoch alle relevanten Punkte aufgezählt, die mithilfe eines ADV-Vertrags künftig zu regeln sind (Art. 28 Abs. 3 DSGVO):

  • Wer für die Datenverarbeitung verantwortlich ist (siehe Joint Control)
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien von betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit (Art.24 und Art.28 Abs.3 DS-GVO)
  • Sicherstellung von technischen und organisatorischen Maßnahmen für den Datenschutz (TOMs: Zertifikate, Garantien Art. 28 Abs. 1 DSGVO)
  • Etwaige Hinzuziehung von Subunternehmern
  • Unterstützung des Auftraggebers (für die Verarbeitung Verantwortlichen) durch den Auftragsverarbeiter, wenn es um die größtmögliche Sicherheit der Verarbeitung personenbezogener Daten geht, Löschung von Daten, Melden von Datenschutzverletzungen, etc. (vgl. Art. 32 bis 36 DSGVO).
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters.
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Die EU-Kommission darf Standardvertragsklauseln für die Vertragsregelungen zwischen Verantwortlichen und Auftragsverarbeitern festlegen (Art. 28 Abs. 7 DSGVO). Wie schnell solche Standardvertragsklauseln geschaffen werden, steht derzeit allerdings noch in den Sternen.

Ein ADV-Vertrag Muster ist hilfreich

Der bis jetzt geltende § 11 BDSG ist für private Unternehmen also bald Geschichte und der Artikel 28 DSGVO maßgebend. Im BDSG (neu), das ebenfalls am 25. Mai 2018 in Kraft tritt, hat der § 11 ein völlig anderen Inhalt. Ein adv-Vertrag Muster nach DSGVO als veränderbares docx-Dokument stellt die Gesellschaft für Datenschutz und Datensicherheit als kostenlosen Download zur Verfügung – in deutscher und englischer Sprache inklusive deutschsprachigem Praxisleitfaden, in dem beide Vertragsmuster nach BDSG und DSGVO Punkt für Punkt gegenübergestellt werden.

Klare Vereinbarungen zur Auftragsverarbeitung

Mit Inkrafttreten der Europäischen Datenschutz-Grundverordnung müssen ausgehandelte ADV-Verträge voraussichtlich in Teilen angepasst oder neu verhandelt werden. Je klarer Sie im ADV-Vertrag die Vereinbarungen zur Auftragsverarbeitung treffen und je präziser darin die Pflichten definiert werden, desto mehr Rechtssicherheit können sowohl Sie als auch der Auftragsverarbeiter erwarten. Hilfe bei der Umsetzung der DSGVO bietet Ihnen das IT-SERVICE.NETWORK. Unsere IT-Dienstleister stehen Ihnen in Datenschutz-Angelegenheiten technisch und beratend zur Seite.

Abschließender Überblick: Was ändert sich, was nicht?

Neue Bezeichnungen

  • Auftragsdatenverarbeitung = Auftragsverarbeitung
  • Auftraggeber = für die Verarbeitung Verantwortlicher (kurz Verantwortlicher)
  • Auftragnehmer/Auftragsdatenverarbeiter = Auftragsverarbeiter

Form des ADV-Vertrags

  • Der ADV-Vertrag bzw. AV-Vertrag muss nicht mehr ausschließlich schriftlich vorliegen, sondern kann auch ein elektronisches Format haben.

Gemeinsame Haftung

  • Nicht nur der Verantwortliche (Auftraggeber), sondern auch der Auftragsverarbeiter haftet künftig direkt gegenüber dem Betroffenen, wenn er gegen seine Pflicht zur weisungsgebundenen Verarbeitung verstößt (Art. 82 DSGVO), indem er die Daten des Auftraggebers für eigene Zwecke oder Zwecke Dritter verarbeitet. Denn dann gilt er selbst als Verantwortlicher – mit allen rechtlichen Folgen (Art. 28 Abs. 10 DSGVO).
  • Bei Datenpannen haftet im Gegensatz zur bisherigen Rechtslage nicht nur der Verantwortliche, sondern auch der Auftragsverarbeiter (Abs.1, 4 DSGVO)

Datenverarbeitung außerhalb der EU

  • Die Auftragsdatenverarbeitung darf auch auch außerhalb der EU stattfinden (Art. 3 DSGVO). Bisher war die Auftragsverarbeitung durch das BDSG auf den EU/EWR beschränkt (§ 3 Abs. 8 Satz 3 BDSG). Die DSGVO-Definition des Auftragsverarbeiters sieht nunmehr keine Beschränkung mehr vor (Art.4 Abs. 8 DSGVO).

Verarbeitungsverzeichnis

  • Auch Auftragsverarbeiter müssen künftig ihrer Verarbeitungstätigkeiten schriftlich bzw. elektronisch dokumentieren (Art. 30 Abs. 2 DSGVO) und diese Dokumentation der Aufsichtsbehörde zur Verfügung stellen, wenn sie danach gefragt werden. Bisher waren nur Auftraggeber dazu verpflichtet, ein Verarbeitungsverzeichnis zu führen und der Aufsichtsbehörde auf Nachfrage zur Verfügung zu stellen. ABER: Diese Verzeichnispflicht besteht nur für Unternehmen oder Einrichtungen, die 250 oder mehr Mitarbeiter haben und wenn durch die Datenverarbeitung keine Risiken für Betroffene bestehen.

Kontrollpflicht wird zu Kontrollrecht

  • Verantwortliche sind zwar weiterhin verpflichtet, Auftragsverarbeiter sorgfältig auszuwählen. Sie haben Kontrollrechte, aber keine Kontroll- und Dokumentationspflichten wie es nach BDSG der Fall ist. Diese Rechte des Auftragsgebers sind mit dem ADV-Vertrag zu vereinbaren, genauso wie die Pflichten des Auftragnehmers. Das Bayrische Landesamt für Datenschutz bezeichnet diesen Punkt sogar als einen der wichtigsten Bestandteile zur Einhaltung der DSGVO: „… Vor allem die Darstellung der erforderlichen Maßnahmen zur Sicherheit der Verarbeitung nach Art. 32 DS-GVO. Gerade hier mangelte es bislang häufig bei Datenschutzkontrollen“, heißt es vom Bayrischen Landesamt für Datenschutzaufsicht.

Einsatz von Subunternehmen

  • Ein Auftragsverarbeiter darf nur dann ein Subunternehmen einsetzen, wenn der Verantwortliche (Auftraggeber) diesem schriftlich oder elektronisch zugestimmt hat. Außerdem muss der ADV-Vertrag zwischen Auftragsverarbeiter und Subunternehmer die gleichen Pflichten enthalten wie der ADV-Vertrag zwischen Verantwortlichen und Auftragsverarbeiter. Hinzu kommt: Der Auftragsverarbeiter haftet dem Verantwortlichen gegenüber uneingeschränkt für Datenschutzverstöße des Subunternehmers.

Das ändert sich kaum:

  • Wie auch im derzeitigen § 11 BDSG muss der Auftragsverarbeiter sorgfältig und unter besonderer Berücksichtigung der technischen und organisatorischen Maßnahmen (TOMs) ausgewählt werden (Art. 28 Abs. 1).
    • Als Beleg solcher Garantien können auch genehmigte Verhaltensregeln des Auftragsverarbeiters genügen (Art. 40 DSGVO) oder Zertifizierungen (Art. 42 DSGVO).
  • Der Auftragsverarbeiter darf die Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten (Art 29 DSGVO).

Thomas, 15. November 2017 um 9:30

Danke für diesen sehr ausführlichen Artikel!

Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.