Auftragsverarbeitung, das Auslagern von Datenverarbeitungsprozessen durch den Auftraggeber auf externe Dienstleister, ist ein häufiges Mittel zur Kostensenkung und der Nutzung von externem Know How — Stichwort “Outsourcing”. Sind hiervon personenbezogene Daten betroffen, findet Art. 28 DSGVO Auftragsverarbeiter Anwendung.
Schnell kommt es bei der Einschätzung, ob eine Auftragsverarbeitung vorliegt, zu Mißverständnissen und der Auftraggeber läuft Gefahr, gemäß DSGVO mit Geldbußen durch die Datenschutzbehörden belegt zu werden. Von Imageschäden in der Öffentlichkeitswahrnehmung nicht zu reden. Eine sorgfältige Prüfung durch einen Berater für Datenschutz oder einen Datenschutzbeauftragten hilft, diese Risiken zu minimieren und die notwendigen Regelungen umzusetzen.
Folgende Kriterien (Auswahl) unterstützen die Bewertung über das Vorliegen einer Auftragsverarbeitung:
- Dem Auftragnehmer fehlt die Entscheidungsbefugnis über die übermittelten Daten.
- Dem Auftragnehmer ist die Nutzung der überlassenen Daten über den eigentlichen Überlassungszweck hinaus verboten.
- Der Auftragnehmer nutzt nur die ihm überlassenen Daten.
- Die Datenverarbeitung wird nach außen durch den Auftraggeber vertreten.
- Der Auftragnehmer steht in keiner vertraglichen Beziehung zu den Betroffenen der personenbezogenen Daten.
Einige praktische Beispiele von Auftragsverarbeitung:
- Outsourcing des Rechenzentrums (ganz oder teilweise).
- Software as a Service / Cloud-Services (nicht nur reine Dateiablage).
- Marketingaktionen, Kundenumfragen, Newsletterversand durch eine externe Agentur.
- Beauftragung eines Callcenters für Kundensupport oder Kundengewinnung.
- Papier- und Aktenvernichtung sowie die Vernichtung von Datenträgern.
- Externe Lohn- und Gehaltsabrechnung.
- Externe Rechnungsbearbeitung / Buchhaltung.
- Zugriff auf personenbezogene Daten vor Ort bei Auftraggeber
Aber auch weitere Leistungen sind ebenfalls von den Regelungen zu Art. 28 DSGVO betroffen (Beispiele):
- Wartung von Servern und Computern durch einen externen Dienstleister (wichtig: auch Fernwartung!)
- Parametrisierung oder Pflege von Software (Updates etc.), über die Zugriff auf personenbezogene Daten möglich ist.
- Systemmigrationen.
Was heisst das jetzt für Sie als Auftraggeber?
- Liegt eine Auftragsverarbeitung vor, muss diese schriftlich geregelt werden.
- Sie als Auftraggeber müssen die im Vertrag festgeschriebenen Massnahmen zum Datenschutz und zur Datensicherheit beim Auftraggeber in geeigneter Form kontrollieren — im Zweifel persönlich vor Ort beim Auftragnehmer.
- Für die Einhaltung der gesetzlichen Datenschutzvorschriften sind Sie als Auftraggeber verantwortlich, nicht der Auftragnehmer (dies wird oft irrtümlich falsch eingeschätzt).
- Eine einfache Erklärung des Auftragnehmers über die Einhaltung der Datenschutzvorschriften ist nicht ausreichend!
Was heisst das jetzt für Auftragnehmer?
- Als Auftragnehmer haben Sie sich ebenfalls den Regelungen des Art. 28 DSGVO zu unterwerfen und stehen in der Pflicht, Ihren Auftraggeber bei der Umsetzung zu unterstützen.
- Zukunftsorientierte Unternehmen haben ein stichhaltiges Datenschutzkonzept samt einer vorformulierten Vereinbarung gem. Art. 28 DSGVO bereits in der Schublade und gehen damit aktiv auf ihre Bestandskunden zu. Ein kleines, aber sehr wirkungsvolles Detail, um sich positiv vom Wettbewerb abzuheben und ihren Auftraggeber von ihrer Leistungsfähigkeit zu überzeugen.
- Wenig hilfreich: den Auftraggeber vor die Wahl stellen — entweder ohne diese Vereinbarung samt Kontrollrechte zusammenzuarbeiten oder es eben sein zu lassen. Außer Sie sind sich sicher, Ihrem Auftraggeber ist Ihre Dienstleistung oder Ihr Produkt ohne Regelungen zur Auftragsverarbeitung ein Bußgeld wert.
Mit Bedacht sollten Musterverträge aus dem Internet eingesetzt werden. Teilweise entsprechen diese nicht den aktuellen Regelungen aus den letzten Novellierungen des Datenschutzrechts. Diese können zwar sinnvolle Ansatzpunkte liefern, ersetzen jedoch weder die individuell notwendige Anpassung auf die vorliegende Auftragsverarbeitung noch die rechtlich sichere Einschätzung, welche Maßnahmen hierzu notwendig sind.
Daher kann zur Vermeidung von Bußgeldern und Imageschäden nur jedem Unternehmen und Unternehmer geraten werden, einen Berater / Anwalt für Datenschutz oder Datenschutzbeauftragten hinzuzuziehen. Dieser stellt die korrekte Umsetzung sicher und haftet im Zweifel für mögliche Versäumnisse aus seiner Tätigkeit.
Hilfreiche Links und Tipps zur Auftragsverarbeitung im Internet:
- “15 Irrtümer bei der Auftragsdatenverarbeitung” — sehr interessanter und aufklärender Beitrag über die zahlreichen Möglichkeiten, was bei der Bewertung und Umsetzung von Auftrags(daten)verarbeitung alles falsch gemacht werden kann
- Div. Infos und Vorlagen des BayLDA zur Auftragsverarbeitung
Hahn IT Services, Schwaig
4 Responses
[…] betroffene personenbezogene Daten. Das Datenschutzrecht spricht hier von einer Auftragsdatenverarbeitung. Nicht weil hier ein Auftrag vergeben wird, sondern weil im Auftrag der […]
Vielen Dank!
Ist denn auch das klassische Back-up eine durch eine externe Firma ADV bzw. andere klassische Systemhaustätigkeiten?
Hier werden Daten weder genutzt noch verarbeitet.
Wobei die Abspeicherung auf Festplatten der externen Firma schon eine Verarbeitung ist, oder?
Also ja?
Gruß
Simon
Hallo!
In dem genannten Fall ist es vollkommen unerheblich, ob der Dienstleister — das Systemhaus — die Daten im umgangssprachlichen Sinne weiter “verarbeitet”.
Wichtig ist, was sich hinter dem datenschutzrechtlichen Begriff der Verarbeitung verbirgt. In Artikel 2 der EU Datenschutzrichtlinie wird diese folgendermaßen definiert: “… jede® mit oder ohne Hilfe automatisierter Verfahren ausgeführte® Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten.”
Sobald das externe Backup also personenbezogene Daten enthält, finden die Regelungen gem. § 11 BDSG Auftragsdatenverarbeitung Anwendung.