Begriff und Definition des Auftragsverarbeiters
Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Dieser Begriff ist vor allem im Rahmen des Datenschutzrechts von zentraler Bedeutung und wurde durch die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union detailliert geregelt.
Der Auftragsverarbeiter unterscheidet sich vom Verantwortlichen dahingehend, dass er die Daten nicht für eigene Zwecke nutzt, sondern ausschließlich nach Weisung des Verantwortlichen handelt. Die typischen Tätigkeiten umfassen zum Beispiel das Hosting von Daten, das Sammeln, Speichern, Verändern, Übermitteln oder Löschen personenbezogener Daten im Auftrag des Verantwortlichen.
Rechtliche Grundlagen
Datenschutz-Grundverordnung (DSGVO)
Die maßgeblichen Regelungen zu Auftragsverarbeitern finden sich in der EU-Datenschutz-Grundverordnung (Art. 4 Nr. 8, Art. 28 DSGVO). Hier wird der Begriff definiert und die Anforderungen an die Beziehung zwischen Verantwortlichem und Auftragsverarbeiter festgelegt.
Bundesdatenschutzgesetz (BDSG)
Auch im Bundesdatenschutzgesetz finden sich ergänzende Bestimmungen, die spezifische nationale Regelungen für Deutschland enthalten. Das BDSG konkretisiert einige Vorgaben der DSGVO und kann zusätzliche Anforderungen vorsehen.
Unterschiede zwischen Verantwortlichem und Auftragsverarbeiter
Während der Verantwortliche die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt, handelt der Auftragsverarbeiter ausschließlich im Auftrag und nach den Weisungen des Verantwortlichen. Eine eigenständige Festlegung der Verarbeitungszwecke ist dem Auftragsverarbeiter untersagt. Verstößt er dagegen, wird er selbst zum Verantwortlichen im Sinne der DSGVO und trägt die entsprechenden Pflichten und Haftungsrisiken.
Anforderungen an die Auftragsverarbeitung
Vertragsverhältnis zwischen Verantwortlichem und Auftragsverarbeiter
Vor Beginn einer Auftragsverarbeitung muss zwischen Verantwortlichem und Auftragsverarbeiter ein schriftlicher oder elektronischer Vertrag, ein sogenannter Auftragsverarbeitungsvertrag (AVV), geschlossen werden. Dieser Vertrag muss insbesondere folgende Inhalte regeln:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Kategorien betroffener Personen und Daten
- Pflichten und Rechte des Verantwortlichen
- Technische und organisatorische Maßnahmen zur Datensicherheit
- Pflichten zur Unterstützung des Verantwortlichen bei der Wahrnehmung von Betroffenenrechten
- Regelungen zur Rückgabe oder Löschung der Daten nach Abschluss der Verarbeitung
Geeignetheit und Auswahl des Auftragsverarbeiters
Der Verantwortliche ist verpflichtet, nur mit Auftragsverarbeitern zusammenzuarbeiten, die ausreichende Garantien bieten, dass geeignete technische und organisatorische Maßnahmen getroffen werden, so dass die Verarbeitung im Einklang mit den gesetzlichen Vorgaben erfolgt und der Schutz der Rechte der betroffenen Personen sichergestellt ist.
Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter ist im Rahmen der Auftragsverarbeitung insbesondere zu Folgendem verpflichtet:
- Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen
- Vertraulichkeitspflichten der mit der Verarbeitung betrauten Personen
- Ergreifung geeigneter technischer und organisatorischer Maßnahmen zur Sicherstellung der Datensicherheit
- Unterstützung des Verantwortlichen bei der Wahrnehmung von Betroffenenrechten und bei der Meldung von Datenschutzverletzungen
- Führung eines Verzeichnisses der Verarbeitungstätigkeiten
- Information und Zusammenarbeit mit der Aufsichtsbehörde
Unterauftragsverhältnisse (Subunternehmer)
Der Einsatz weiterer Auftragsverarbeiter („Subunternehmer“) ist nur mit vorheriger spezifischer oder allgemeiner schriftlicher Genehmigung des Verantwortlichen zulässig. Die gleichen Datenschutzpflichten müssen auch im Verhältnis zwischen dem beauftragten Auftragsverarbeiter und seinen weiteren Unterauftragsverarbeitern durch einen entsprechenden Vertrag sichergestellt werden.
Haftung des Auftragsverarbeiters
Im Falle einer datenschutzrechtlichen Pflichtverletzung kann der Auftragsverarbeiter direkt gegenüber betroffenen Personen oder der Aufsichtsbehörde haftbar gemacht werden. Er haftet unter anderem dann, wenn er gegen die ihm unmittelbar durch die DSGVO auferlegten Pflichten verstößt oder außerhalb der Weisungen des Verantwortlichen handelt. Die Haftung kann sich in der Praxis auf Schadensersatzansprüche und Bußgelder erstrecken.
Kontroll- und Nachweispflichten
Sowohl Verantwortliche als auch Auftragsverarbeiter sind verpflichtet, die Einhaltung datenschutzrechtlicher Anforderungen kontinuierlich zu überprüfen und nachzuweisen. Der Verantwortliche behält das Recht, sich von der Einhaltung dieser Pflichten regelmäßig durch Inspektionen oder Audits beim Auftragsverarbeiter zu überzeugen.
Internationale Aspekte und Drittstaatentransfers
Auftragsverarbeitung kann auch dann vorliegen, wenn der Auftragsverarbeiter außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums sitzt. In diesem Fall müssen besondere gesetzliche Voraussetzungen, wie etwa das Vorliegen von Angemessenheitsbeschlüssen oder geeigneten Garantien (z. B. Standardvertragsklauseln), erfüllt sein, um ein angemessenes Datenschutzniveau sicherzustellen.
Beispiele für Auftragsverarbeiter
Typische Beispiele für Auftragsverarbeiter sind:
- IT-Dienstleister (z. B. Cloud-Hosting, E-Mail-Dienste)
- Aktenvernichtungsunternehmen
- Dienstleister für Lohn- und Gehaltsabrechnung
- Kundensupport-Anbieter
Fazit
Der Begriff des Auftragsverarbeiters ist im Datenschutzrecht von zentraler Bedeutung. Die Zusammenarbeit mit einem Auftragsverarbeiter erfordert eine sorgfältige rechtliche Gestaltung und regelmäßige Kontrolle, um den Schutz personenbezogener Daten und die Einhaltung gesetzlicher Vorgaben zu gewährleisten. Die Rolle und Pflichten des Auftragsverarbeiters sind in der DSGVO umfassend geregelt und dienen der Wahrung des Datenschutzes in arbeitsteiligen Prozessen der Datenverarbeitung.
Häufig gestellte Fragen
Wer ist im Rahmen der DSGVO für die Auswahl eines Auftragsverarbeiters verantwortlich und welche Kriterien müssen dabei beachtet werden?
Für die Auswahl eines Auftragsverarbeiters ist primär der Verantwortliche gemäß Art. 4 Nr. 7 DSGVO verantwortlich. Der Verantwortliche muss sicherstellen, dass der ausgewählte Auftragsverarbeiter ausreichende Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet ist (vgl. Art. 28 Abs. 1 DSGVO). Zu prüfen sind dabei insbesondere der Stand der Technik, die Implementierung von Datenschutzrichtlinien, die Zuverlässigkeit und das Datenschutzniveau des Auftragsverarbeiters sowie dessen Erfahrungen und Referenzen. Der Verantwortliche muss die Auswahlentscheidung dokumentieren und gegebenenfalls nachweisen können, dass eine sorgfältige Prüfung erfolgt ist. Zudem kann der Verantwortliche regelmäßig, etwa durch Audits oder Zertifizierungen, kontrollieren, ob die Garantien während der gesamten Vertragslaufzeit eingehalten werden.
Welche Anforderungen muss der Vertrag zur Auftragsverarbeitung (AVV) gemäß DSGVO erfüllen?
Der Vertrag zur Auftragsverarbeitung, auch Auftragsverarbeitungsvertrag (AVV), muss bestimmte Mindestinhalte laut Art. 28 Abs. 3 DSGVO enthalten. Darunter fallen insbesondere Regelungen zum Gegenstand und zur Dauer der Verarbeitung, zur Art und zum Zweck der Verarbeitung, zur Art der personenbezogenen Daten, zu den Kategorien betroffener Personen und zu den Verpflichtungen und Rechten des Verantwortlichen. Der AVV muss zudem die Verpflichtung des Auftragsverarbeiters enthalten, personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, geeignete technische und organisatorische Maßnahmen zu treffen, die Vertraulichkeit der Daten zu wahren, ggf. Subunternehmer nur nach schriftlicher Genehmigung des Verantwortlichen einzusetzen sowie Mitwirkungspflichten bezüglich der Rechte der Betroffenen und Unterstützungspflichten bei der Einhaltung der DSGVO zu übernehmen. Der Vertrag muss weiterhin Regelungen zur Rückgabe oder Löschung der Daten nach Abschluss der Verarbeitung enthalten und Auditierungen durch den Verantwortlichen ermöglichen.
Wann liegt eine gemeinsame Verantwortlichkeit und wann eine Auftragsverarbeitung vor?
Die Abgrenzung zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit erfolgt anhand der tatsächlichen Einfluss- und Entscheidungsmöglichkeiten bezüglich der Verarbeitung personenbezogener Daten. Eine Auftragsverarbeitung liegt typischerweise vor, wenn der Auftragsverarbeiter ausschließlich im Auftrag und auf Weisung des Verantwortlichen handelt, ohne eigenständige Entscheidungsbefugnis bezüglich der Zwecksetzung und wichtiger Mittel der Datenverarbeitung. Dagegen liegt gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vor, wenn zwei oder mehr Parteien gemeinsam die Zwecke und Mittel der Verarbeitung festlegen, also gleichberechtigt über die wesentlichen Aspekte entscheiden. Maßgeblich sind dabei funktionale Kriterien, insbesondere wie die Zusammenarbeit organisiert ist, welche Partei welche Datenverarbeitungsschritte kontrolliert und ob eigenständige wirtschaftliche Interessen bestehen. Im Zweifel empfiehlt sich eine genaue Analyse aller Umstände und ggf. eine rechtliche Beratung.
Welche Haftung trifft den Auftragsverarbeiter bei Verstößen gegen die DSGVO?
Nach Art. 82 Abs. 2 Satz 2 DSGVO haftet der Auftragsverarbeiter gemeinsam mit dem Verantwortlichen für etwaige materielle oder immaterielle Schäden, die durch eine nicht DSGVO-konforme Verarbeitung entstanden sind, sofern er die ihm obliegenden Verpflichtungen verletzt hat oder entgegen den rechtmäßigen Weisungen des Verantwortlichen handelt. Die Haftung kann sich etwa bei fehlerhafter technischer Absicherung, Missachtung der Löschpflichten oder unerlaubter Unterbeauftragung ergeben. Der Auftragsverarbeiter ist von der Haftung nur befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den schadensbegründenden Umstand verantwortlich ist (Exkulpationsbeweis). Zudem sieht die DSGVO ausdrücklich vor, dass Betroffene Ansprüche unmittelbar gegen den Auftragsverarbeiter geltend machen können.
Welche Pflichten hat ein Auftragsverarbeiter in Bezug auf Subunternehmer (Unterauftragsverarbeiter)?
Der Einsatz von Subunternehmern durch den Auftragsverarbeiter ist nach Art. 28 Abs. 2 und 4 DSGVO nur mit ausdrücklicher, spezifischer oder allgemeiner Genehmigung des Verantwortlichen zulässig. Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen voll verantwortlich für die Einhaltung aller Datenschutzpflichten bei allen Subunternehmern, die ihrerseits durch einen eigenen Vertrag den gleichen Datenschutzpflichten unterliegen müssen, wie sie im Vertrag zwischen Verantwortlichem und Auftragsverarbeiter festgeschrieben sind. Der Verantwortliche muss mindestens über jede beabsichtigte Änderung im Hinblick auf das Hinzuziehen oder Ersetzen von Subunternehmern informiert werden, damit er ggf. rechtzeitig Einwände erheben kann.
Welche Mitwirkungspflichten hat ein Auftragsverarbeiter bei Datenschutzverletzungen?
Zu den zentralen Mitwirkungspflichten eines Auftragsverarbeiters zählt gemäß Art. 33 Abs. 2 DSGVO insbesondere die unverzügliche Meldung an den Verantwortlichen, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird. Diese Mitteilung muss detaillierte Informationen enthalten, um dem Verantwortlichen seine Meldepflicht gegenüber der Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden der Verletzung zu ermöglichen. Weiterhin ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen bei der Untersuchung der Datenpanne sowie bei der Umsetzung etwaiger Abhilfemaßnahmen zu unterstützen. Auch bei der Reaktion auf Auskunftsbegehren Betroffener sowie bei der Durchführung von Datenschutz-Folgeabschätzungen und der Zusammenarbeit mit Aufsichtsbehörden besteht eine umfassende Unterstützungspflicht des Auftragsverarbeiters.
Können Auftragsverarbeiter personenbezogene Daten zu eigenen Zwecken nutzen?
Ein Auftragsverarbeiter ist nach Art. 28 Abs. 3 a) DSGVO strikt verpflichtet, personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Verantwortlichen und für die vertraglich festgelegten Zwecke zu verarbeiten. Eine Nutzung der Daten zu eigenen Zwecken – etwa für Marketing, Profiling oder sonstige eigenwirtschaftliche Interessen – ist unzulässig und stellt einen erheblichen Datenschutzverstoß dar, der massive haftungsrechtliche und ggf. bußgeldrechtliche Konsequenzen nach sich ziehen kann. Jegliche Zweckänderung oder -ausweitung bedarf zwingend einer gesonderten Rechtsgrundlage und ggf. eines neuen Vertrages.
