Viele Unternehmen bedienen sich externer Dienstleister, die für sie Datenverarbeitungen vornehmen, etwa um Lohnabrechnungen zu erstellen oder Aufträge abzuwickeln. Damit personenbezogene Daten auch bei diesen Dritten ausreichend geschützt sind, sieht die Datenschutzgrundverordnung (DSGVO) für sogenannte Auftragsverarbeiter spezielle Regelungen vor.
Nach wie vor hadern Auftragsverarbeiter häufig mit der Einhaltung der DSGVO. Die Datenschutz Zertifizierungsgesellschaft mbH (DSZ) hat einen Katalog von Verhaltensregeln für Auftragsverarbeiter entwickelt, der die Umsetzung des Datenschutzes vereinfachen soll. Auftragnehmern soll es nun auch möglich sein, sich zertifizieren zu lassen. Wie dies aussehen kann und was Sie über die Pflichten von Auftragsverarbeitern wissen müssen, zeigen wir Ihnen in diesem Artikel.
Sie haben Fragen zu den DSGVO-Verhaltensregeln für die Auftragsverarbeitung?
Unser Team besteht aus mehr als 90 Datenschutzexperten, die Sie gerne umfassend zum Thema beraten. Nehmen Sie jederzeit Kontakt zu uns auf.
Das Wichtigste in Kürze
- Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dritten, der vom Verantwortlichen hierzu beauftragt wird. Die Auftragsvereinbarung ist ausdrücklich in der DSGVO vorgesehen und hat eigene Regeln, wie etwa einen Auftragsverarbeitungsvertrag (AVV).
- Um es für Auftragsverarbeiter leichter zu machen, die Regeln der DSGVO einzuhalten und umzusetzen, gibt es nun einen nationalen Verhaltenskatalog der DSZ, den sogenannten „Trusted Data Processor“, den auch schon einige Landesdatenschutzbeauftragte genehmigt haben.
- Die Zertifizierung durch Selbstverpflichtung macht nach außen sichtbar, dass Auftragsverarbeiter den Vorgaben folgen und durch eine Überwachungsstelle überprüft werden. So können Unternehmen sicher sein, dass personenbezogene Daten auch bei ihren Auftragsverarbeitern geschützt sind.
Auftragsverarbeitung in der DSGVO
Die DSGVO bietet Unternehmen die Möglichkeit, die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten an sogenannte Auftragsverarbeiter weiterzugeben. Dabei stellt die DSGVO bestimmte Anforderungen an die Beteiligten, wie etwa den Abschluss eines Auftragsverarbeitungsvertrags (AVV).
Dieser AVV wird zwischen den Verantwortlichen und den Auftragsverarbeitern geschlossen und muss Angaben zur Art der personenbezogenen Daten, der Datenverarbeitung und deren Zweck enthalten. Darüber hinaus verpflichtet sich der Auftragsverarbeiter, die DSGVO in gleichem Maße einzuhalten wie der Verantwortliche bei einer eigenen Verarbeitung.
Die wichtigsten Angaben in einem AVV sind
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten und Kategorien von betroffenen Personen
- Umfang der Weisungsbefugnisse
- Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
- Sicherstellung von technischen und organisatorischen Maßnahmen
- Hinzuziehung von weiteren Auftragnehmern
- Unterstützung des Auftraggebers bei Anfragen und Ansprüchen von betroffenen Personen
- Unterstützung des Auftraggebers bei der Meldepflicht bei Datenschutzverletzungen
- Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
- Kontrollrechte des Auftraggebers und Duldungspflichten des Auftragnehmers
- Pflicht des Auftragnehmers, den Auftraggeber zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
Wer ist Auftragsverarbeiter?
In der DSGVO gibt es eine klare Definition des Auftragsverarbeiters (Art. 4 Nr. 8 DSGVO):
„Auftragsverarbeiter [ist] eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“
Eine Auftragsverarbeitung liegt also immer dann vor, wenn ein Unternehmen externe Dienstleister mit der Erhebung, Nutzung oder sonstigen Verarbeitung personenbezogener Daten beauftragt. Auftragsverarbeiter sind dabei stets weisungsgebunden, müssen also den Weisungen des Auftraggebers Folge leisten.
Hier liegt auch der Kernunterschied zwischen Verantwortlichem und Auftragsverarbeitern: Während der Verantwortliche allein über Mittel und Zweck der Datenverarbeitung entscheidet, muss ein Auftragsverarbeiter sich an die Weisung des Auftraggebers halten.
Keine Auftragsverarbeitung liegt hingegen vor, wenn die externen Dienstleister mit der Datenverarbeitung eigene Interessen verfolgen und nicht weisungsgebunden tätig werden. Das ist zum Beispiel bei Insolvenzverwaltern oder Inkassobüros mit Forderungsübertragung der Fall.
Welche Pflichten haben Auftragsverarbeiter?
Auftragsverarbeiter müssen aufgrund der Weisungsgebundenheit in großen Teilen dieselben Pflichten erfüllen wie ihre Auftraggeber:
- Auftragsverarbeiter müssen ebenfalls ein Verzeichnis über die Verarbeitungstätigkeiten führen, welches Namen und Kontaktdaten des Verantwortlichen (des Auftraggebers) und die Kategorien der Verarbeitungen umfasst.
- Werden Daten in Drittländer übermittelt, muss dies ebenfalls dokumentiert werden.
- Auch eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM) zum Schutz der personenbezogenen Daten sollte vorhanden sein.
Zwar muss der Auftragsverarbeiter die technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten vornehmen, es obliegt jedoch dem Auftraggeber sicherzustellen, dass der Beauftragte über ausreichende Maßnahmen verfügt. Ob die ergriffenen Maßnahmen ausreichend sind, hängt immer von der Art der Daten und deren Verarbeitung ab.
Der Auftraggeber bleibt weiterhin Ansprechpartner für die betroffenen Personen, allerdings haften der Verantwortliche und der Auftragsverarbeiter gemeinsam für Verstöße. Die Haftung beschränkt sich dabei jedoch auf Verstöße gegen die für die jeweiligen Parteien geltenden Pflichten. Beide Parteien können sich von der Haftung exkulpieren, wenn sie nachweisen, dass sie für die Entstehung des Schadens nicht verantwortlich sind.
Zertifizierung: Verhaltensregeln für Auftragsverarbeiter
Die neuen Verhaltensregeln sind im Grunde eine Konkretisierung der datenschutzrechtlichen Bestimmungen. Das macht es für Auftragsverarbeiter leichter, sich in den Vorgaben der DSGVO zurechtzufinden und die Vorgaben zu erfüllen.
Dadurch, dass die zuständigen Aufsichtsbehörden der Länder (die Landesdatenschutzbeauftragten) diese Verhaltensregeln genehmigt haben, besteht für Auftragsverarbeiter bei Einhaltung der Verhaltensregeln eine gewisse Rechtssicherheit.
Mit der Genehmigung der Verhaltensregeln durch die Aufsichtsbehörden ist die DSZ nun auch eine offizielle Überwachungsstelle. Auftragsverarbeiter haben daher nun auch die Möglichkeit, einen Antrag auf Selbstverpflichtung zu stellen und sich somit zertifizieren zu lassen.
Durch diese Selbstverpflichtung zur Einhaltung der „Trusted Data Processor“-Verhaltensregeln können die verantwortlichen Auftraggeber sichergehen, dass die Auftragsverarbeiter die Vorgaben der DSGVO einhalten und notwendige technische und organisatorische Maßnahmen zur Sicherheit der personenbezogenen Daten vorhalten. Das macht es auch für die Verantwortlichen leichter, ihrer Pflicht aus der DSGVO nachzukommen.
Fazit: Mehr Datenschutz in der Auftragsverarbeitung
Die DSGVO enthält viele Regeln und Verpflichtungen für den Umgang mit personenbezogenen Daten – auch für Auftragsverarbeiter. Nicht wenigen Unternehmen fällt es schwer, diese immer ausreichend zu erfüllen, denn die Regeln sind komplex und zeitaufwendig. Das können auch genehmigte Verhaltensregeln für Auftragsverarbeiter nicht ändern, denn auch hier bedarf es der Umsetzung.
Allerdings macht der Regelkatalog einige Bestimmungen verständlicher und kann durch die Zertifizierung dazu beitragen, dass sowohl Auftragsverarbeiter als auch Verantwortliche bei der Verarbeitung personenbezogener Daten auf der sicheren Seite sind.
Sie haben Fragen zum Thema Auftragsverarbeitung?
Wir bieten professionelle Unterstützung beim Abschluss von DSGVO-konformen Auftragsverarbeitungsverträgen. Gerne beraten unsere Datenschutzexperten Sie zu Ihrem individuellen Fall in der Auftragsverarbeitung. Wir haben praktische Lösungen im Datenschutz entwickelt, mit dessen Hilfe wir schon vielen Unternehmen in Europa helfen konnten, die Vorgaben der DSGVO umzusetzen. Kommen Sie für eine unverbindliche Erstberatung jederzeit auf uns zu.
Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 09.01.2023