Begriff und rechtliche Einordnung der Auftragsverarbeitung im Datenschutz
Die Auftragsverarbeitung ist ein zentrales Konzept im Datenschutzrecht und beschreibt die Verarbeitung personenbezogener Daten durch einen sogenannten Auftragsverarbeiter im Auftrag eines Verantwortlichen. Sie ist im europäischen Datenschutzrecht, insbesondere in der Datenschutz-Grundverordnung (DSGVO), umfassend geregelt und unterliegt strengen gesetzlichen Anforderungen.
Definition und rechtlicher Rahmen
Die Auftragsverarbeitung ist in Art. 4 Nr. 8 DSGVO wie folgt definiert:
Eine Auftragsverarbeitung liegt vor, wenn eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Auftragsverarbeiter entscheidet dabei nicht eigenständig über die Zwecke und Mittel der Verarbeitung, sondern handelt ausschließlich auf dokumentierte Weisung des Verantwortlichen.
Unterschied zum Verantwortlichen
Der Verantwortliche ist gemäß Art. 4 Nr. 7 DSGVO diejenige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Auftragsverarbeiter führt dagegen Datenverarbeitungen nur im Auftrag und nach Vorgaben des Verantwortlichen aus.
Abgrenzung zu weiteren Beteiligten
Nicht jede Zusammenarbeit mit einem Dritten stellt eine Auftragsverarbeitung dar. Wird ein Dritter eigenverantwortlich tätig, handelt es sich um eine sogenannte Datenübermittlung an einen Dritten beziehungsweise um eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Die korrekte Einordnung ist essenziell für die Rechtskonformität der Datenverarbeitung.
Anwendungsbereiche der Auftragsverarbeitung
Typische Anwendungsfälle der Auftragsverarbeitung finden sich bei Dienstleistungen wie
- IT-Hosting und Cloud-Services
- Wartung und Fernwartung von IT-Systemen
- Lohn- und Gehaltsabrechnung durch externe Dienstleister
- Aktenvernichtung und Archivierung durch spezialisierte Unternehmen
In allen Fällen dürfen die Dienstleister personenbezogene Daten nur nach Weisung des Verantwortlichen verarbeiten.
Rechtliche Anforderungen an die Auftragsverarbeitung
Vertragliche Grundlage gemäß Art. 28 DSGVO
Die Verarbeitung personenbezogener Daten im Rahmen einer Auftragsverarbeitung erfordert zwingend den Abschluss eines Vertrages oder eines anderen Rechtsinstruments nach Unionsrecht oder dem Recht der Mitgliedstaaten zwischen dem Verantwortlichen und dem Auftragsverarbeiter (sog. Auftragsverarbeitungsvertrag, kurz AVV).
Mindestinhalte des AVV
Der Vertrag muss gemäß Art. 28 Abs. 3 DSGVO folgende Punkte regeln:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten und Kategorien betroffener Personen
- Pflichten und Rechte des Verantwortlichen
- Verarbeitungsbefugnisse des Auftragsverarbeiters
- Verpflichtung zur Wahrung der Vertraulichkeit
- Unterstützungspflichten des Auftragsverarbeiters hinsichtlich Betroffenenrechten
- Maßnahmen zur Sicherheit der Verarbeitung
- Regelungen zur Rückgabe oder Löschung personenbezogener Daten nach Beendigung
- Vorschriften zu Subunternehmern (sog. Unterauftragsverarbeitung; siehe unten)
Weisungsgebundenheit und Kontrollrechte
Der Auftragsverarbeiter ist an die Weisungen des Verantwortlichen gebunden. Nach Art. 28 Abs. 3 lit. a DSGVO darf er Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten. Zusätzlich ist der Verantwortliche verpflichtet, Kontrollrechte (Audits, Inspektionen) auszuüben, um die Einhaltung der gesetzlichen und vertraglichen Anforderungen sicherzustellen.
Sicherheitsmaßnahmen
Gemäß Art. 32 DSGVO müssen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau für die personenbezogenen Daten zu gewährleisten.
Besondere Aspekte der Auftragsverarbeitung
Unterauftragsverarbeitung
Die Einschaltung weiterer Subunternehmer (Unterauftragsverarbeiter) ist zulässig, sofern der Verantwortliche dem schriftlich zustimmt und der Hauptauftragnehmer sicherstellt, dass auch der Subunternehmer sämtlichen Datenschutzpflichten nachkommt (Art. 28 Abs. 2 und 4 DSGVO). Der Auftragsverarbeiter bleibt hierbei weiterhin gegenüber dem Verantwortlichen verantwortlich.
Datenschutzrechtliche Verantwortung und Haftung
Der Verantwortliche bleibt primärer Ansprechpartner für die betroffene Person und haftet grundsätzlich für die Rechtmäßigkeit der Verarbeitung (Art. 82 DSGVO). Der Auftragsverarbeiter haftet bei Verstößen gegen seine eigenen Pflichten, vor allem bei eigenmächtiger Verarbeitung außerhalb der Weisungen oder bei mangelnder Umsetzung datenschutzrechtlicher Anforderungen.
Datenübermittlung in Drittstaaten
Bei einer Auftragsverarbeitung mit Datenübermittlung in einen Staat außerhalb des Europäischen Wirtschaftsraums (EWR) müssen die besonderen Anforderungen der Art. 44 ff. DSGVO (z. B. Angemessenheitsbeschluss, Standardvertragsklauseln) eingehalten werden.
Rechte der betroffenen Personen und Transparenz
Die Verarbeitung personenbezogener Daten im Rahmen einer Auftragsverarbeitung darf die Rechte der betroffenen Personen nicht beeinträchtigen. Der Verantwortliche muss Betroffene insbesondere über die Zusammenarbeit mit Auftragsverarbeitern informieren, etwa im Rahmen der Datenschutzerklärung (Art. 13, 14 DSGVO).
Kontrolle und Sanktionen
Datenschutzaufsichtsbehörden sind berechtigt, die Einhaltung der Regelungen zur Auftragsverarbeitung zu kontrollieren. Verstöße können mit empfindlichen Sanktionen nach Art. 83 DSGVO geahndet werden.
Zusammenfassung
Die rechtssichere Gestaltung der Auftragsverarbeitung zählt zu den Kernanforderungen des europäischen Datenschutzrechts. Verantwortliche und Auftragsverarbeiter sind verpflichtet, einen den gesetzlichen Vorgaben entsprechenden Vertrag abzuschließen, ein angemessenes Schutzniveau für personenbezogene Daten sicherzustellen und Betroffenenrechte umfassend zu wahren. Die umfassenden Kontroll-, Dokumentations- und Nachweispflichten sind dabei ebenso zu beachten wie die besonderen Voraussetzungen im Falle von Datenübermittlungen in Drittländer oder beim Einsatz von Unterauftragsverarbeitern.
Häufig gestellte Fragen
Muss ein Auftragsverarbeitungsvertrag zwingend schriftlich abgeschlossen werden oder ist auch eine elektronische Form zulässig?
Gemäß Art. 28 Abs. 9 DSGVO muss der Vertrag oder ein anderes Rechtsinstrument, in dem die Pflichten des Auftragsverarbeiters gegenüber dem Verantwortlichen geregelt werden, schriftlich abgefasst werden, wobei die „Schriftform“ auch in einem elektronischen Format gewahrt werden kann. Das bedeutet, dass sowohl klassische Papierverträge als auch elektronische Dokumente (wie digital unterzeichnete Dateien oder entsprechende Systeme) rechtswirksam sind, solange eine eindeutige und nachweisbare Übereinkunft zwischen beiden Parteien besteht. Die gewählte Form muss sicherstellen, dass der Vertragsinhalt bei Bedarf überprüfbar ist, beispielsweise im Rahmen von Audits oder bei behördlichen Kontrollen. Ein bloßer mündlicher Vertrag erfüllt die rechtlichen Anforderungen nicht und kann zu erheblichen Haftungsrisiken für beide Parteien führen.
Welche Kontroll- und Überwachungsrechte stehen dem Verantwortlichen gegenüber dem Auftragsverarbeiter zu?
Nach Art. 28 Abs. 3 lit. h DSGVO ist der Auftragsverarbeiter verpflichtet, dem Verantwortlichen auf dessen Wunsch sämtliche erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung zu stellen sowie Überprüfungen – einschließlich Inspektionen – durch den Verantwortlichen oder einen von diesem beauftragten Prüfer zu ermöglichen und zu unterstützen. Dies schließt sowohl die Durchführung von Audits als auch Vor-Ort-Kontrollen ein. Der Verantwortliche kann regelmäßig oder anlassbezogen Kontrollmaßnahmen verlangen, um die datenschutzkonforme Verarbeitung der überlassenen personenbezogenen Daten sicherzustellen. Diese Rechte dürfen im Auftragsverarbeitungsvertrag nicht eingeschränkt werden. Der Verantwortliche sollte aus Beweisgründen Kontrollen dokumentieren und Verstöße unverzüglich abstellen lassen.
Was ist zu beachten, wenn der Auftragsverarbeiter Unterauftragsverhältnisse eingehen will?
Art. 28 Abs. 2 und 4 DSGVO sehen vor, dass der Auftragsverarbeiter keine weiteren Auftragsverarbeiter (Unterauftragsverarbeiter) ohne vorherige spezielle oder allgemeine schriftliche Genehmigung des Verantwortlichen beauftragen darf. Jede Form der Unterbeauftragung, etwa durch Nutzung externer Dienstleister zum Zweck der Datenverarbeitung, muss daher explizit geregelt werden. Der ursprüngliche Vertrag muss klar definieren, wie Genehmigungen einzuholen sind und welche Rechte und Pflichten bezüglich neuer Unterauftragsverarbeiter bestehen. Zudem ist sicherzustellen, dass mit dem jeweiligen Unterauftragsverarbeiter ein Vertrag abgeschlossen wird, der die gleichen datenschutzrechtlichen Verpflichtungen enthält wie der ursprüngliche Vertrag zwischen Verantwortlichem und Auftragsverarbeiter. Verantwortliche sollten sich auch regelmäßig über Änderungen in der Subunternehmer-Kette informieren und ein Widerspruchsrecht vereinbaren.
Was passiert mit personenbezogenen Daten nach Beendigung des Auftragsverarbeitungsverhältnisses?
Art. 28 Abs. 3 lit. g DSGVO verpflichtet den Auftragsverarbeiter, nach Abschluss der Erbringung der Verarbeitungsleistungen, sämtliche personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben, sofern dem keine gesetzliche Aufbewahrungspflicht entgegensteht. Der Verantwortliche muss ausdrücklich bestimmen, wie mit den Daten zu verfahren ist, und der Auftragsverarbeiter muss dies entsprechend dokumentieren und durchführen. Auch Kopien der Daten sind zu berücksichtigen. Hierbei ist ebenfalls sicherzustellen, dass Daten in Backups und sonstigen Sicherungssystemen ordnungsgemäß und vollständig entfernt werden. Über die Löschung oder Rückgabe sollte ein Löschprotokoll oder eine entsprechende Bestätigung des Auftragsverarbeiters erfolgen.
Welche Haftung besteht bei Verstößen gegen eine Auftragsverarbeitungsvereinbarung?
Die Haftung für Datenschutzverstöße wird im Wesentlichen durch Art. 82 DSGVO geregelt: Betroffene Personen können Schadensersatz verlangen, wenn ihnen aufgrund eines Verstoßes gegen die DSGVO – gleichgültig, ob durch den Verantwortlichen oder den Auftragsverarbeiter – ein materieller oder immaterieller Schaden entstanden ist. Beide Parteien haften grundsätzlich gesamtschuldnerisch gegenüber dem Betroffenen. Es gibt jedoch ein Rückgriffsrecht des jeweils nicht verantwortlichen Vertragspartners bei Nachweis, dass die Verantwortlichkeit ausschließlich beim anderen liegt. Entsprechende Haftungsregelungen und Freistellungsvereinbarungen sollten im Vertrag transparent und abschließend geregelt werden. Zudem drohen bei Datenschutzverstößen unabhängig von privaten Schadensersatzforderungen empfindliche Bußgelder durch Aufsichtsbehörden.
Wann liegt eine Auftragsverarbeitung vor und wann eine gemeinsame Verantwortlichkeit oder eine eigene Verantwortlichkeit?
Die Unterscheidung zwischen eigenständiger Verarbeitung, gemeinsamer Verantwortlichkeit (Art. 26 DSGVO) und Auftragsverarbeitung (Art. 28 DSGVO) ist für die Wahl der richtigen Vertragsform wesentlich. Eine Auftragsverarbeitung liegt ausschließlich dann vor, wenn der Auftragsverarbeiter personenbezogene Daten ausschließlich auf Weisung und im Auftrag des Verantwortlichen verarbeitet. Entscheidet der Dienstleister selbstständig über Zwecke und Mittel der Verarbeitung, liegt eigene Verantwortlichkeit vor. Wer hingegen gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung entscheidet, ist gemeinsam verantwortlich. Diese Differenzierung ist im Zweifel vor Vertragsabfassung im Detail zu prüfen und muss dokumentiert werden, da eine fehlerhafte Zuordnung zu schwerwiegenden Rechtsverstößen führen kann. Die jeweilige Rechtsrolle beeinflusst maßgeblich die Anforderungen an die vertragliche Ausgestaltung.
Müssen internationale Datenübermittlungen bei der Auswahl von Auftragsverarbeitern besonders berücksichtigt werden?
Findet die Auftragsverarbeitung außerhalb der EU/des EWR statt oder werden Subunternehmer mit Sitz in einem Drittland eingebunden, gelten die Regelungen der Art. 44 ff. DSGVO. Hierbei muss sichergestellt werden, dass im Drittland ein angemessenes Datenschutzniveau herrscht, entweder durch Angemessenheitsbeschluss der EU-Kommission, Standardvertragsklauseln, verbindliche Unternehmensregeln (Binding Corporate Rules) oder weitere geeignete Garantien. Bereits im Auftragsverarbeitungsvertrag sind entsprechende Regelungen verbindlich festzulegen. Es sind zudem Transparenz- und Informationspflichten gegenüber den betroffenen Personen zu berücksichtigen. Eine unzulässige Übermittlung kann zu erheblichen Bußgeldern und zusätzlicher Haftung führen.
