Was ist neu an der Auftragsverarbeitung?

Wie bereits das alte Bundesdatenschutzgesetz (BDSG aF) gestattet auch die seit Mai 2018 verbindliche Datenschutz-Grundverordnung (DS-GVO) eine Verarbeitung personenbezogener Daten durch externe Dienstleister (sog. Auftragsverarbeiter). Neu ist insbesondere die eigene Haftung des Auftragsverarbeiters sowie die Möglichkeit des Einsatzes von Auftragsverarbeitern auch im Nicht-EU/EWR-Ausland.

1. Zweck der Auftragsverarbeitung

Auftragsverarbeitung ist die Verarbeitung von personenbezogenen Daten durch einen Dienstleister im Auftrag des Verantwortlichen, der Stelle, die über Mittel und Zwecke von Datenverarbeitungsvorgängen bestimmt. Beispiele sind etwa eine bloße Speicherung personenbezogener Daten eines Dienstleisters für den Verantwortlichen („Hosting“) oder eine Auslagerung der Daten zu Cloud-Anbietern. Der Dienstleister unterliegt den Weisungen des Auftraggebers und wird so quasi „als verlängerter Arm“ des Verantwortlichen im Rahmen seiner Datenverarbeitung tätig. Da ein Auftragsverarbeiter im Verhältnis zum Verantwortlichen aus datenschutzrechtlicher Sicht nicht als Dritter einzuordnen ist, spricht man von der „Privilegierung“ der Auftragsverarbeitung: Die Datenweitergabe muss nicht die rechtlichen Anforderungen an die Zulässigkeit von Datenübermittlungen an andere datenschutzrechtlich Verantwortliche erfüllen.

Verarbeitung besonderer Arten personenbezogener Daten

Im Rahmen einer Auftragsverarbeitung können auch sogenannte besondere Arten personenbezogener Daten (beispielsweise die Religions- oder Gewerkschaftszugehörigkeit sowie Gesundheitsdaten) verarbeitet werden, die sonst nur unter sehr strengen Voraussetzungen an Dritte weitergegeben werden dürfen. So ermöglicht die Auftragsverarbeitung insbesondere die Auslagerung der Lohnbuchhaltung, die ohne Verarbeitung der Religionszugehörigkeit nicht möglich wäre.

Abgrenzung von der Funktionsübertragung

Unter dem BDSG aF war die Auftragsverarbeitung von der sogenannten Funktionsübertragung abzugrenzen, bei der eine Stelle für eine andere einen bestimmten Auftrag wahrnahm und dazu in eigenem Namen alle erforderlichen Entscheidungen traf, dabei aber stets im Interesse des „Auftraggebers“ handeln musste (etwa bei einem Forderungseinzug durch ein Inkassounternehmen). Unter der DS-GVO wird zwar weiterhin abzugrenzen sein, ob jemand als Auftragsverarbeiter oder aber als Verantwortlicher handelt, die Figur der Funktionsübertragung wird jedoch nicht mehr verwendet. Vielmehr wird lediglich zwischen der gemeinsamen Verantwortlichkeit, getrennten Verantwortlichkeit (d.h. die gewöhnliche Übermittlung von Daten) und der Auftragsverarbeitung differenziert. Einem dieser drei Bereiche müssen die ursprünglichen Fälle der Funktionsübertragung künftig zugeordnet werden.

2. Was ist neu in der DS-GVO?

Die rechtlichen Rahmenbedingungen einer Auftragsverarbeitung unter der DS-GVO entsprechen in weiten Teilen denen der bisherigen Rechtslage unter dem BDSG. Abweichungen gibt es allerdings insbesondere hinsichtlich der Anforderungen an:

  • die vertragliche Ausgestaltung des Verhältnisses zwischen Verantwortlichem und Auftragsverarbeiter;
  • die Haftung auch des Auftragsverarbeiters auf Schadensersatz für Verstöße gegen die ihm durch die DS-GVO auferlegten Pflichten sowie an
  • die Pflicht des Auftragsverarbeiters zur Führung eines Datenverarbeitungsverzeichnisses.

Inhaltliche Anforderungen an die Auftragsverarbeitungsvereinbarung

Die DS-GVO enthält einen Anforderungskatalog an den Vertrag zwischen Verantwortlichem und Auftragsverarbeiter. Neben bereits unter dem BDSG verpflichtenden vertraglichen Regelungen wie etwa einer Beschreibung von Gegenstand, Dauer, Art und Zweck der Datenverarbeitung sowie Klauseln zur Einbindung von Unterauftragsverarbeitern sieht die DS-GVO zusätzliche Mindestinhalte für derartige Auftragsverarbeitungsvereinbarungen vor. So ist dem Auftragsverarbeiter insbesondere aufzuerlegen, den Verantwortlichen bei verschiedenen seiner datenschutzrechtlichen Pflichten, etwa der Meldung von Datenschutzvorfällen oder der Beantwortung von Anfragen der von den Datenverarbeitungen betroffenen Personen, zu unterstützen. Ein Verstoß kann ein Bußgeld gemäß Art. 83 Abs. 4 DS-GVO nach sich ziehen. So wurde beispielsweise von der Landesdatenschutzbehörde Hamburg bereits ein Bußgeld in Höhe von € 5.000 gegen einen Verantwortlichen verhängt, der keinen Auftragsverarbeitungsvertrag geschlossen hatte, obwohl dieser zuvor selbst bei der Behörde angefragt und um Beratung gebeten hatte.

Haftung des Auftragsverarbeiters

Unter dem BDSG musste lediglich der Verantwortliche für Datenschutzverstöße eintreten. Demgegenüber sieht die DS-GVO vor, dass auch der Auftragsverarbeiter gegenüber einem von der Datenverarbeitung Betroffenen auf Schadensersatz haftet, wenn er gegen die ihm nach der DS-GVO auferlegten Pflichten verstößt oder entgegen den Weisungen des Verantwortlichen handelt.

Wie umgehen mit Altverträgen?

Vor dem 25. Mai 2018 abgeschlossene Altverträge sollten bis zum 25. Mai 2018 angepasst werden. Die DS-GVO enthält keine Übergangs- oder Weitergeltungsvorschrift, sodass alle Verträge zur Auftragsverarbeitung prinzipiell den Anforderungen des Art. 28 Abs. 3 DS-GVO entsprechen müssen.

3. Privilegierung der Auftragsverarbeitung auch im Nicht-EU/EWR-Ausland

Die Auftragsverarbeitung erfährt insofern eine praktisch besonders relevante Aufwertung als die DS-GVO nun auch den Einsatz von Auftragsverarbeitern außerhalb von EU/EWR ermöglicht. Während das BDSG die „Privilegierung“ der Auftragsverarbeitung lediglich im Hinblick auf Dienstleister in EU/EWR vorsah, fällt diese Beschränkung unter der DS-GVO weg. Von großer Bedeutung ist dies insbesondere für große Cloud-Anbieter mit Sitz und Servern in den USA wie etwa Google, Salesforce und Workday.

Fallen Nicht-EU/EWR-Auftragsverarbeiter unter die DS-GVO?

In Drittländern ansässige Auftragsverarbeiter fallen unter die DS-GVO, wenn sie Betroffenen in der EU Waren oder Dienstleistungen anbieten oder deren Verhalten in der EU beobachten (Art. 3 Abs. 2 DS-GVO). Ob auch Drittlands-Auftragsverarbeiter, die diese Voraussetzungen nicht erfüllen, aber für Verantwortliche in EU/EWR tätig werden, erfasst sind, ist kaum geklärt. Dafür spricht aber, dass das Schutzniveau der DS-GVO sonst leicht umgangen werden könnte, indem EU/EWR-Verantwortliche sich Auftragnehmern in Drittländern bedienen.

4. Weitergehende Informationen

Kurzpapier des Bayrischen Landesamts für Datenschutzaufsicht zur Auftragsverarbeitung unter der DS-GVO

Kurzpapier der Konferenz der unabhängigen Daten-schutzbehörden des Bundes und der Länder (Daten-schutzkonferenz), Datenlizenz Deutschland – Namensnennung – Version 2.0

Mustervertrag der Gesellschaft für Datenschutz und Datensicherheit (GDD) zur Auftragsverarbeitung unter der DS-GVO in deutscher und englischer Sprache

Mustervertrag zur Auftragsverarbeitung unter der DS-GVO im Gesundheitswesen in deutscher Sprache