DSGVO und die Vereinbarung zur Auftragsverarbeitung: Was Sie wissen müssen

Ab dem 25. Mai 2018 gilt in Deutschland die EU-Datenschutzgrundverordnung (DSGVO) und damit neues Datenschutzrecht. Das hat viele Auswirkungen auf Unternehmen, unter anderem auch auf die sogenannte Auftragsdatenverarbeitung:

• Schon das Bundesdatenschutzgesetz (BDSG) schrieb vor, dass für solche Geschäftsbeziehungen eine besondere Vertragsgrundlage nötig war. Das bleibt im Grundsatz unter der DSGVO bestehen.

• Die Details ändern sich jedoch. (Das zeigt schon die Terminologie: Das bisher einschlägige Gesetz BDSG-alt spricht von „Auftragsdatenverarbeitung“, die DSGVO von „Auftragsverarbeitung“.) Deshalb müssen bestehende Verträge angepasst werden.

Da die DSGVO sehr empfindliche Bußgelder vorsieht, sollten Lücken geschlossen werden, bevor die Verordnung wirksam wird. Wo bislang noch keine Vereinbarung zur Auftragsverarbeitung existiert, obwohl es nötig wäre, sollte das dringend nachgeholt werden.

Dienstleistungen werden „Auftragsdatenverarbeitung“ oder „Auftragsverarbeitung“ genannt, wenn die folgenden Merkmale zutreffen:

• Ein Unternehmen beauftragt ein anderes Unternehmen mit einer Dienstleistung, die mit personenbezogenen Daten zu tun hat, die der Auftraggeber bereitstellt oder übermittelt.

• In der Regel besteht keine direkte Vertragsbeziehung zwischen dem Auftragnehmer und den Personen, zu denen die Daten gehören.

• Außerdem arbeitet der Auftragnehmer weisungsgebunden, entscheidet also nicht selbst darüber, was er mit den Daten anstellt.

Das Besondere aus Sicht des Datenschutzrechts: Dabei werden vom Auftraggeber personenbezogene Daten an das beauftragte Unternehmen weitergegeben, von ihm verarbeitet oder gespeichert. Dabei kann es sich beispielsweise um E-Mail-Adressen von Kunden handeln, um die Lohndaten von Arbeitnehmern oder die Besuchsverläufe und IP-Adressen von Website-Besuchern. Diese Daten unterliegen besonderem Schutz.

Auftragsdatenverarbeitung ist Alltag: Dazu gehört etwa der Auftrag an

• ein Call-Center für Kundenbetreuung,

• einen Newsletter-Versandspezialisten,

• einen Lohnabrechnungsservice,

• einen Cloud-Service,

• einen Aktenvernichtungsdienstleister oder

• einen Dienst für Webanalyse (wie Google Analytics).

Gemäß Art 4. DSGVO sind Daten immer dann personenbezogen, wenn sie sich „auf eine identifizierte oder identifizierbare natürliche Person“ beziehen, das heißt, immer wenn eine konkrete Person den Informationen zugeordnet werden kann, ob direkt oder indirekt.

Das ist nicht nur bei Blutdruckwerten, Altersangaben, Geburtsorten oder Kontonummern der Fall, sondern auch bei E-Mail- sowie IP-Adressen und ausgedachten Nutzernamen. Ausnahme: Solche Angaben werden verlässlich anonymisiert. (Dann kann man aber beispielsweise nicht mehr die komplette IP-Adresse speichern.)

Personenbezogene Daten sind besonders geschützt. Deshalb muss die Weitergabe oder Verarbeitung durch den Auftragnehmer auf eine besondere rechtliche Grundlage gestellt werden.

Dienstleister dürfen nur dann mit Auftragsdatenverarbeitung beauftragt werden, wenn dazu ein besonderer, gesetzlich geregelter Vertrag abgeschlossen wird. Das ist schon bisher geltendes Datenschutzrecht (§ 11 Abs. 2 BDSG-alt) und bleibt auch unter der DSGVO so.

Außerhalb der EU ist das Datenschutzniveau in der Regel niedriger als der EU-Standard. Deshalb gelten zusätzlich zur Pflicht, eine korrekte Auftragsverarbeitungsvereinbarung abzuschließen, besondere Anforderungen, wenn personenbezogene Daten aus dem EU-Raum dort verarbeitet werden.

• An Dienstleister mit Servern in den USA dürfen Daten weitergegeben werden, wenn sie sich nach dem sogenannten Privacy-Shield-Standard zertifiziert haben. Damit unterwerfen sie sich freiwillig einem Datenschutzniveau, das die EU-Kommission als ausreichend anerkennt.
  
  Das US-Handelsministerium hat eine Liste der zertifizierten Unternehmen publiziert. Dort kann man potenzielle Geschäftspartner überprüfen. Unter anderem sind beispielsweise MailChimp, LinkedIn, Slack, Active Campaign, Google, Microsoft, Facebook oder Automattic (WP-Jetpack) verzeichnet.

• Ansonsten sollte der Vertrag mit dem Dienstleister außerhalb der EU auf den sogenannten EU-Standardvertragsklauseln beruhen. Diese Musterklauseln verpflichten den Auftragnehmer auf EU-äquivalenten Datenschutz und sorgen dafür, dass die Vergabe von Datenverarbeitung auch in Drittländer erlaubt ist (auch außerhalb der USA). Das ist zumindest die Rechtsauffassung der EU-Kommission. Verträge auf Basis der Musterklauseln werden beispielsweise von Facebook und Microsoft verwendet.

Die EU-Kommission hat erklärt, dass die Standardvertragsklauseln und der Privacy-Shield-Rahmen den Anforderungen der DSGVO entsprechen. Trotzdem bleibt die Rechtslage unsicher. Sowohl zum Privacy Shield wie zu den Standardvertragsklauseln sind Verfahren vor dem Europäischen Gerichtshof anhängig. Der hat vor einiger Zeit schon das Safe-Harbor-Abkommen gekippt, ein Vorläuferabkommen zu Privacy Shield. Ähnliches könnte sich wiederholen.

Dann müssen die Dienstleister rasch reagieren und ihre Rechenzentren nach Europa verlagern. Andernfalls müssten EU-Auftraggeber die Auftragsverarbeitung durch US- oder andere Nicht-EU-Partner beenden. Das Gleiche kann passieren, falls das Privacy-Shield-Abkommen zum Opfer politischer Entwicklungen wird. Es wird jedes Jahr von der EU-Kommission überprüft, die nächste Verhandlungsrunde steht in der zweiten Jahreshälfte an.

In der DSGVO wird die Datenverarbeitung in Artikel 28 sowie in Artikel 29 geregelt. Eine Auftragsverarbeitung darf nicht ohne entsprechende Vereinbarung stattfinden. Darin muss unter anderem Folgendes geregelt sein:

• der Gegenstand, die Dauer sowie Art und Zweck der Datenverarbeitung (z. B. „Web Analytics“, „Usability-Optimierung“, „Speicherung von Personaldaten“ etc.)

• welcher Art die personenbezogenen Daten sind (Postadressen, IP-Adressen, Namen, biometrische Daten, Vertragsdaten, Zahlungsangaben etc.)

• um was für „Kategorien von Personen“ es sich handelt (Kunden, Arbeitnehmer, Website-Besucher etc.)

• welche Pflichten und Rechte der Auftraggeber hat: etwa, dass er für die Wahrung der Datenschutzrechte der betroffenen Personen verantwortlich bleibt und dass er über Änderungen an der Datenverarbeitung entscheidet.

Die Vereinbarung zur Auftragsvereinbarung muss eine ganze Reihe von Verpflichtungen für den Auftragnehmer enthalten, damit sie den Anforderungen der DSGVO entspricht:

• Der Auftragnehmer darf mit den personenbezogenen Daten nur das tun, womit ihn der Auftraggeber beauftragt (Weisungsgebundenheit).

• Der Auftragnehmer muss spätestens nach Ende des Auftrags alle personenbezogenen Daten löschen.

• Er darf die Daten nicht ohne Anweisung des Auftraggebers in ein Land weitergeben, in dem die DSGVO nicht gilt.

• Er muss seine Arbeitnehmer zur Vertraulichkeit verpflichtet haben (z. B. im Arbeitsvertrag).

• Die IT-Sicherheit muss beim Auftragnehmer gewährleistet sein.

• Er darf keinen Unterauftrag zur Verarbeitung der Daten vergeben, wenn es dafür keine schriftliche Genehmigung des Auftraggebers gibt. (Beispiel: Nutzt der Newsletter-Versand einen Cloud-Dienstleister, bei dem die E-Mail-Adressen gespeichert werden, muss man als Auftraggeber dem ausdrücklich zustimmen.)

• Falls ein Unterauftrag vergeben wird, müssen dabei die gleichen Datenschutzpflichten gelten wie für den Hauptauftrag.

• Der Auftragnehmer muss den Auftraggeber unterstützen, wenn Betroffene Auskunft über ihre gespeicherten Daten, deren Löschung oder die „Datenmitnahme“ verlangen. (Dazu müssen beispielsweise die Daten in geeigneten Datenformaten vorliegen und eine garantierte Löschung einzelner Datensätze muss möglich sein.)

• Der Auftragnehmer muss dafür sorgen, dass im Fall einer Datenpanne oder eines Datendiebstahls die in der DSGVO vorgeschriebene Meldung des Auftraggebers an die Aufsichtsbehörde erfolgen kann. (Dazu muss der Auftragnehmer beispielsweise Logfiles führen, um Sicherheitsverletzungen nachvollziehen zu können.)

• Der Vertrag muss außerdem festlegen, dass der Dienstleister den Auftraggeber informiert, wenn er personenbezogene Daten aufgrund gesetzlicher Vorschriften an eine Regierungsbehörde weitergeben muss.

Vertragsklauseln alleine reichen jedoch nicht, um der DSGVO als Auftraggeber gerecht zu werden. Man muss auch hinschauen: Aufträge zur Auftragsverarbeitung dürfen nur dann vergeben werden, wenn der Auftragnehmer „geeignete technische und organisatorische Maßnahmen“ zur Einhaltung der Datenschutzbestimmungen gewährleistet (Artikel 28 Abs. 1 DSGVO ).

Wenn absehbar war, dass der Auftragnehmer den vorgeschriebenen Datenschutz nicht einhalten konnte, droht bei Datenschutzverstößen auch dem Auftraggeber die Haftung. Und zwar selbst dann, wenn der Vertrag alle Anforderungen erfüllt.

Bislang war für eine Vereinbarung zur Auftragsdatenvereinbarung Schriftform (Papier mit Unterschrift) vorgeschrieben. Mit der DSGVO werden auch elektronisch abgeschlossene Vereinbarungen möglich.

• Durch die DSGVO müssen „Auftragsverarbeitungen“ auf eine neue Vertragsgrundlage gestellt werden. Die entsprechenden Vereinbarungen müssen ergänzt und in Teilen umformuliert werden.

• Bei Auftragsverarbeitung außerhalb der EU, etwa in den USA, bleibt die rechtliche Perspektive eher unsicher.

• Auftraggeber müssen sicherstellen, dass ihre Auftragnehmer bzw. Dienstleister vertragsrechtlich ab dem 25.05.2018 auf DSGVO-Stand sind. Außerdem sollte man selbst genau wissen, welche extern vergebenen Dienstleistungen als Auftragsverarbeitung zählen.

• Auftragnehmer, die mit personenbezogenen Daten arbeiten, müssen AGB und Kundenverträge überarbeiten lassen. Dazu kommt, dass solche Dienstleister ein „Verzeichnis von Verarbeitungstätigkeiten“ erstellen müssen. All das erfordert Sachkenntnis im Datenschutzrecht.

• Formulierungshilfe für einen Auftragsverarbeitungsvertrag – ein kommentierter Mustervertrag vom bayerischen Landesdatenschutzbeauftragten, vor allem für die Auslagerung von IT-Dienstleistungen gedacht.

• Mustervertragsanlage Auftragsverarbeitung – eine Mustervorlage vom IT-Branchenverband bitkom.

• GDD: Vertragsmuster zur Auftragsverarbeitung – dieses PDF-Vertragsmuster stellt Klauseln alter und neuer Formulierungen einander gegenüber. Das ist praktisch, um bestehende Verträge zu überarbeiten.

• GDD: Processing in accordance with Article 28 General Data Protection Regulation (GDPR) – eine englischsprachige Mustervereinbarung zur Auftragsverarbeitung im Word-Format.

• GDD-Praxishilfe: Praxishinweise für Auftragsverarbeiter – Erläuterungen dazu, wer Auftragsverarbeiter ist und was beachtet werden muss.

• GDD-Praxishilfe: Verzeichnis von Verarbeitungstätigkeiten – eine Anleitung für Auftragnehmer in PDF-Form. Dieses Verzeichnis gehört für sie, wie die Anpassung der Vertragsgrundlage, zu den neuen Datenschutzpflichten, die die DSGVO mit sich bringt.

• Vertrag über die Auftragsverarbeitung personenbezogener Daten nach EU Datenschutz-Grundverordnung (AV-Vertrag) – ein von activeMind.ag als Word-Dokument bereitgestelltes Vertragsmuster, das um sinnvolle Punkte wie ein Sonderkündigungsrecht erweitert wurde.

• ResMedia Anwälte: Whitepaper zu Privacy Shield – Untertitel: „Wie geht das jetzt mit dem Datentransfer in die USA?“ Das Papier geht auch auf die DSGVO-Anforderungen ein.