07411 Auftragsverarbeitung – der datenschutzkonforme Vertrag
|
Die Auftragsverarbeitung ist seit jeher das Mittel der Wahl, um ein wie auch immer geartetes „Datenverarbeitungs-Outsourcing” halbwegs rechtskonform umsetzen zu können, ohne dabei viel Aufwand zu betreiben. Doch waren und sind die gesetzlichen Anforderungen an eine solche Auftragsverarbeitung sehr hoch. Das wird noch von vielen datenschutzrechtlich Verantwortlichen unterschätzt. Die Risiken für den Betroffenen, die mit einer Einbindung von Externen in die Datenverarbeitung des Verantwortlichen einhergehen, sind deutlich angestiegen. Daher ist beim Einbeziehen eines Auftragsverarbeiters besonders viel Wert darauf zu legen, dass dies unter klaren, eindeutigen und engen Vorgaben erfolgt. Sie müssen zudem sicherstellen, dass sich der Auftragsverarbeiter auch strikt an die Vorgaben hält. Es ist dazu zwingend erforderlich, den Verarbeiter mit einem Vertrag an den Verantwortlichen zu binden, um zu erreichen, dass er die Datenverarbeitung praktisch nur im vorgegebenen Rahmen durchführt.
Dieser Beitrag soll Sie mit den Herausforderungen, die sich bei der Entwicklung, aber auch bei der Prüfung eines solchen Vertrags ergeben, vertraut machen. Es wird schnell deutlich, dass die Erstellung und Prüfung eines solchen Vertrags ein schwieriges Unterfangen ist. Ein beispielhafter Vertrag, mit dem die Anforderungen in der Praxis umgesetzt werden können, rundet den Beitrag ab. Er ist jedoch nicht allgemeingültig und muss immer an die konkreten Bedürfnisse der Parteien und die Umstände des jeweiligen Einzelsachverhalts angepasst werden. Arbeitshilfen: von: |
1 Einführung
Priviligierte Weitergabe von Daten
Eine Auftragsverarbeitung ist eine privilegierte Form der Weitergabe von Betroffenendaten durch den datenschutzrechtlichen Verantwortlichen an einen Externen (s. Kap. 07410). Als privilegierte Datenverarbeitung benötigt sie nach überwiegender Auffassung, keine eigene Rechtfertigungsnorm i. S. d. Art. 6 oder 9 der EU-Datenschutz-Grundverordnung (im Nachfolgenden „DSGVO”), sondern ist von der Rechtfertigungsnorm, die die entsprechende Datenverarbeitung des Verantwortlichen legitimiert, ebenfalls erfasst. Aufgrund der Privilegierungswirkung und des damit verbundenen „Vorteils” ist es daher nur konsequent, dass der Verantwortliche den Auftragsverarbeiter durch strenge vertragliche Vorgaben an die „kurze Leine” nimmt, um zu erreichen, dass der Auftragsverarbeiter ihm gegenüber (streng) weisungsgebunden ist. Bei einer Auftragsverarbeitung muss der Verantwortliche trotz Einschaltung eines Externen weiterhin für seine Datenverarbeitung (allein) verantwortlich sein. Nur dann kann der Auftragsverarbeiter wie ein „externer Mitarbeiter” des Verantwortlichen angesehen werden.
Eine Auftragsverarbeitung ist eine privilegierte Form der Weitergabe von Betroffenendaten durch den datenschutzrechtlichen Verantwortlichen an einen Externen (s. Kap. 07410). Als privilegierte Datenverarbeitung benötigt sie nach überwiegender Auffassung, keine eigene Rechtfertigungsnorm i. S. d. Art. 6 oder 9 der EU-Datenschutz-Grundverordnung (im Nachfolgenden „DSGVO”), sondern ist von der Rechtfertigungsnorm, die die entsprechende Datenverarbeitung des Verantwortlichen legitimiert, ebenfalls erfasst. Aufgrund der Privilegierungswirkung und des damit verbundenen „Vorteils” ist es daher nur konsequent, dass der Verantwortliche den Auftragsverarbeiter durch strenge vertragliche Vorgaben an die „kurze Leine” nimmt, um zu erreichen, dass der Auftragsverarbeiter ihm gegenüber (streng) weisungsgebunden ist. Bei einer Auftragsverarbeitung muss der Verantwortliche trotz Einschaltung eines Externen weiterhin für seine Datenverarbeitung (allein) verantwortlich sein. Nur dann kann der Auftragsverarbeiter wie ein „externer Mitarbeiter” des Verantwortlichen angesehen werden.
AV-Vertrag
Um die Weisungsgebundenheit des Auftragsverarbeiters sicherzustellen, ist es (von Gesetzes wegen) zwingend erforshy;derlich, dass er und der Verantwortliche einen Vertrag abschließen, der den Auftragsverarbeiter durch spezielle Regelungen zur weisungsgebundenen Datenverarbeitung verpflichtet. Daraus folgt somit, dass ohne einen solchen Auftragsverarbeitungsvertrag (AV-Vertrag) bzw. einen Vertrag ohne diese Regelungen keine wirksame Grundlage für eine Auftragsverarbeitung vorliegen kann. Liegt zwar ein AV-Vertrag vor, doch hält sich der Auftragsverarbeiter nicht an diesen und verarbeitet die Daten außerhalb des vertraglich Festgelegten, ist er von Gesetzes wegen gem. Art. 28 Abs. 10 DSGVO für die von ihm vorgenommene Datenverarbeitung als weiterer, eigenständiger Verantwortlicher anzusehen (Red.: im Nachfolgenden wird auf die Nennung „DSGVO” der einfacheren Lesbarkeit halber verzichtet). Für die Weitergabe der Betroffenendaten vom alten Verantwortlichen an diesen neuen Verantwortlichen ist dem Rechtmäßigkeitsgrundsatz gem. Art. 5 Abs. 1a) folgend eine eigenständige Legitimationsgrundlage i. S. d. Art. 6 oder 9 erforderlich. Existiert für die jeweilige Datenweitergabe keine Legitimation, drohen Sanktionen (s. Kap. 07410).
Um die Weisungsgebundenheit des Auftragsverarbeiters sicherzustellen, ist es (von Gesetzes wegen) zwingend erforshy;derlich, dass er und der Verantwortliche einen Vertrag abschließen, der den Auftragsverarbeiter durch spezielle Regelungen zur weisungsgebundenen Datenverarbeitung verpflichtet. Daraus folgt somit, dass ohne einen solchen Auftragsverarbeitungsvertrag (AV-Vertrag) bzw. einen Vertrag ohne diese Regelungen keine wirksame Grundlage für eine Auftragsverarbeitung vorliegen kann. Liegt zwar ein AV-Vertrag vor, doch hält sich der Auftragsverarbeiter nicht an diesen und verarbeitet die Daten außerhalb des vertraglich Festgelegten, ist er von Gesetzes wegen gem. Art. 28 Abs. 10 DSGVO für die von ihm vorgenommene Datenverarbeitung als weiterer, eigenständiger Verantwortlicher anzusehen (Red.: im Nachfolgenden wird auf die Nennung „DSGVO” der einfacheren Lesbarkeit halber verzichtet). Für die Weitergabe der Betroffenendaten vom alten Verantwortlichen an diesen neuen Verantwortlichen ist dem Rechtmäßigkeitsgrundsatz gem. Art. 5 Abs. 1a) folgend eine eigenständige Legitimationsgrundlage i. S. d. Art. 6 oder 9 erforderlich. Existiert für die jeweilige Datenweitergabe keine Legitimation, drohen Sanktionen (s. Kap. 07410).
Sorgfältig und konkret arbeiten
Gerade weil dem AV-Vertrag im Rahmen der Auftragsverarbeitung eine herausragende Bedeutung zukommt, ist es essenziell, bei der Erstellung/Prüfung eines solchen Vertrags sorgfältig vorzugehen und die jeweiligen gesetzlichen Anforderungen immer auf den Einzelsachverhalt bezogen zu konkretisieren.
Gerade weil dem AV-Vertrag im Rahmen der Auftragsverarbeitung eine herausragende Bedeutung zukommt, ist es essenziell, bei der Erstellung/Prüfung eines solchen Vertrags sorgfältig vorzugehen und die jeweiligen gesetzlichen Anforderungen immer auf den Einzelsachverhalt bezogen zu konkretisieren.
