Auftragsverarbeitung nach DSGVO – Definition und Beispiele

Fachbeitrag

Die Auftragsverarbeitung nach der DSGVO ist äußerst praxisrelevant. Vielleicht haben Sie den Begriff schon einmal gehört oder Sie wurden von Ihrem Datenschutzbeauftragten gefragt: Haben wir eine AVV? Was sich dahinter verbirgt und warum dies so wichtig ist, möchten wir mit diesem Beitrag und anhand einiger Beispiele aufzeigen.

Was ist Auftragsverarbeitung? Eine Definition:

Eine Definition des Begriffs findet sich in Art. 4 Nr. 8 DSGVO: Danach ist ein Auftragsverarbeiter

„eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“

Auftragsverarbeiter gelten dabei nicht als Dritte im Sinne von Art. 4 Nr. 10 DSGVO. Allerdings sind Auftragsverarbeiter im Regelfall Empfänger von Daten (Art. 4 Nr. 9 DSGVO), so die betroffenen Personen im Rahmen der Informationspflichten nach Art. 13 DSGVO stets darauf hinzuweisen sind, wenn eine Datenübermittlung an einen Auftragsverarbeiter erfolgt. Die weiteren Regelungen zum Vertragsinhalt zur Auftragsverarbeitung ergeben sich aus Art. 28 DSGVO.

Abgrenzung Auftragsverarbeiter vom Verantwortlichen

Die Auftragsverarbeitung ist dabei eine von drei möglichen Konstellationen im Verhältnis zum Verantwortlichen. Während der Verantwortliche nach Art. 4 Nr. 7 allein über Mittel und Zwecke der Datenverarbeitung entscheidet, darf der Auftragsverarbeiter die Daten nur so verarbeiten wie es die Weisungen des Verantwortlichen vorgeben. Die Auftragsverarbeitung ist daher immer ein Über-/Unterordnungsverhältnis. Wichtig hierbei ist, dass es bei der Auftragsverarbeitung keiner „normalen“ Rechtsgrundlage bedarf. Es ist ausreichend, wenn die Voraussetzungen des Art. 28 DSGVO eingehalten werden.

Davon abzugrenzen ist die gemeinsame Verantwortlichkeit zwischen mehreren Beteiligten. Hier legen zwei oder mehr Verantwortliche die Mittel und Zwecke gemeinsam fest. Ein Weisungs- oder Abhängigkeitsverhältnis besteht hier gerade nicht. Die dritte Konstellation ist die sogenannte Funktionsübertragung, also die Datenübermittlung zwischen zwei Verantwortlichen, welche die Daten jeweils für eigene Zwecke verarbeiten. Für die letztgenannten Konstellationen muss jeweils eine Rechtsgrundlage gegeben sein. Oftmals dürfte hier das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO zu Gunsten des bzw. der Verantwortlichen überwiegen.

Auftragsverarbeitung: Beispiele typischer Konstellationen

In der Praxis meint Auftragsverarbeitung im Regelfall das Auslagern von Datenverarbeitungsprozessen auf externe Dienstleister, um Kosten und eigene Ressourcen zu sparen. Zwar sind die rechtlichen Rahmenbedingungen zwischen den Konstellationen klar, allerdings kann die Abgrenzung selbst im Einzelfall schwierig sein.

Wann liegt eine Auftragsverarbeitung vor?

Eine Auftragsverarbeitung liegt immer dann vor, wenn der Dienstleister die Daten streng weisungsgebunden verarbeitet. Wenn also der Dienstleister keine eigene Entscheidungsbefugnis hat oder ihm die Nutzung der Daten für eigene Zwecke ausdrücklich untersagt ist, spricht viel für eine Auftragsverarbeitung. Wichtig ist dabei, dass es stets auf die objektive Rechtslage ankommt. Der Abschluss einer Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 DSGVO hat daher nur eine deklaratorische Wirkung. Häufige Beispiele aus der Praxis sind:

  • Outsourcing des Rechenzentrums
  • Erstellung von Lohn- und Gehaltsabrechnungen (Ausnahme: Steuerberater)
  • Papier- und Aktenvernichtung einschließlich der Vernichtung von Datenträgern
  • Werbeadressenverarbeitung in einem Lettershop
  • Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume
  • Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen

Wann liegt keine Auftragsverarbeitung vor?

Eine Auftragsverarbeitung liegt dementsprechend nicht vor, wenn die vorgenannte Voraussetzungen nicht erfüllt sind, insbesondere wenn es an der Weisungsgebundenheit fehlt. Dies gilt u. a. bei der Inanspruchnahme fremder Fachdienstleistungen, wie z. B. von einem Rechtsanwalt oder einem Steuerberater. Diese sind keine Auftragsverarbeiter, weil diese auf Grund ihrer besonderen Stellung als Berufsgeheimnisträger niemals weisungsgebunden handeln. Weitere Beispiele aus der Praxis sind:

  • Inkassobüros mit Forderungsübertragung
  • Insolvenzverwalter
  • Übersendung von Schulungsteilnehmer-Daten zur Durchführung der Schulung an einen
  • externen Trainer, Schulungsveranstalter oder an das Tagungshotel
  • Postdienste für den Brief- oder Pakettransport
  • vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten
  • Sachverständige zur Begutachtung eines Kfz-Schadens

Vor allem die beiden letzten Beispiele zeigen auf, dass die Datenverarbeitung immer auch den Kern der Dienstleistung darstellen muss, um eine Auftragsverarbeitung anzunehmen.

Auswahl eines zuverlässigen Auftragsverarbeiters

Warum ist die Auswahl eines zuverlässigen Auftragsverarbeiters so wichtig? Ganz einfach: Die DSGVO will gewährleisten, dass das Mindestniveau im Datenschutz auch im Falle der Auslagerung von Datenverarbeitungen an Dienstleister gewahrt bleibt. Aus Erwägungsgrund 81 zur DSGVO ergibt sich, dass der Verantwortliche einen Auftragsverarbeiter heranziehen soll, der

„insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen – hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen – auch für die Sicherheit der Verarbeitung – getroffen werden, die den Anforderungen dieser Verordnung genügen.“

Durch den Verweis auf Art. 32 DSGVO wollte der Verordnungsgeber sicherstellen, dass vor allem ausreichende Maßnahmen im Bereich der Datensicherheit getroffen werden.

Abschluss eines Auftragsverarbeitungsvertrag (AVV)

Art. 28 DSGVO nennt die Mindestanforderungen an den Inhalt einer AVV. Die Vorgaben sind angelehnt an die Informationspflichten aus Art. 13 DSGVO, um bestmögliche Transparenz für alle Beteiligten zu gewährleisten.

Welche Details gehören in einen Auftragsverarbeitungsvertrag?

Die inhaltlichen Anforderungen müssen aufgeführt werden, können aber einzelfallbezogen ausgestaltet sein und auf den jeweiligen Vertragspartner und dessen Tätigkeit angepasst werden. Nach Art. 28 Abs. 3 DSGVO sind zu regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien von betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen und organisatorischen Maßnahmen
  • Hinzuziehung von Subunternehmern
  • Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
  • Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Wo gibt es ein Auftragsverarbeitungsvertrag Muster-Dokument zum Download?

Mustervorlagen und Arbeitshinweise zum Download werden sowohl von den Aufsichtsbehörden als auch von Unternehmen bereitgestellt. Eine kleine Auswahl finden Sie hier:

Besondere Pflichten der Parteien nach der DSGVO

Grundsätzlich haben sich mit Einführung der DSGVO keine wesentlichen Änderungen zur vorherigen Rechtslage ergeben. Neu ist allerdings die Regelung des Art. 30 Abs. 2 DSGVO, nach welcher auch Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen muss.

Welche Pflichten hat der Auftragsverarbeiter?

Da die DSGVO den Auftragsverarbeiter stärker als zuvor in die Pflicht nimmt zur Einhaltung des Datenschutzes, hat der Auftragsverarbeiter noch weitere Pflichten, für die er allein verantwortlich ist. Dazu gehören u. a.:

  • das Ergreifen technischer und organisatorischer Maßnahmen der Datensicherheit,
  • die Bestellung eines betrieblichen Datenschutzbeauftragten, sofern erforderlich
  • die Pflicht den Verantwortlichen zu informieren, wenn Weisungen nach Ansicht des Auftragsverarbeiters gegen die Datenschutz-Grundverordnung oder andere Datenschutzbestimmungen verstoßen,
  • die Pflicht zur Meldung von Datenschutzverstößen an den Verantwortlichen

Sobald der Auftragsverarbeiter im Rahmen der Datenverarbeitung seine Befugnisse überschreitet und Daten für eigene Zwecke verarbeitet, gilt er diesbezüglich selbst als Verantwortlicher gemäß Art. 28 Abs. 10 DSGVO.

Welche Pflichten hat der Verantwortliche?

Für den Verantwortlichen hat sich im Vergleich zum Zeitalter vor der DSGVO inhaltlich praktisch nichts geändert. Die wesentlichen Pflichten waren zuvor bereits in § 11 BDSG a. F. geregelt. Der Verantwortliche hat auch weiterhin die allgemeinen Grundsätze nach Art. 5 DSGVO einzuhalten (z. B. Zweckbindungsgebot oder Transparenz für die Betroffenen) und die technischen und organisatorischen Maßnahmen festzulegen. Neben der Auswahl eines zuverlässigen Auftragsverarbeiters (s. o.) darf der Verantwortliche beim Auftragsverarbeiter auch kontrollieren, ob dieser die datenschutzrechtlichen Vorschriften einhält. Dies kann sowohl durch eine Kontrolle vor Ort als auch durch die Vorlage entsprechender Zertifikate des Auftragnehmers geschehen.

Eine weitere Pflicht ist die Erteilung dokumentierter Weisungen an den Auftragsverarbeiter. Dies liegt auch im eigenen Interesse des Verantwortlichen. Insbesondere bei Datenschutzverstößen und daraus resultierenden Schadensersatzansprüchen betroffener Personen kann es für die Schadensverteilung im Innenverhältnis zwischen Verantwortlichem und Auftragsverarbeiter auf den Wortlaut einer Weisung und darauf ankommen, ob sich der Auftragsverarbeiter an die Weisung gehalten hat oder nicht.

Einsatz von Unterauftragsnehmer durch den Auftragsverarbeiter

Oftmals werden auch Subunternehmer eingesetzt, also Unternehmen, die als (Unter-)Auftragsverarbeiter vom eigentlichen Auftragsverarbeiter fungieren. Dadurch kann es zu einer regelrechten Vertragskette kommen. Letztlich hat aber stets der Verantwortlichen dafür Sorge zu tragen, dass die datenschutzrechtlichen Vorschriften eingehalten werden. Dabei ist es möglich, dass bestimmte Unterauftragsnehmer, mit welchen der Auftragnehmer bereits bei Vertragsschluss zusammenarbeitet, in den Vertrag aufgenommen werden. Genauso ist es denkbar, für einzelne Verarbeitungsschritte im Voraus mögliche Unterauftragnehmer festzulegen (z. B. Rechenzentrum für Hosting von Daten).

Alternativ kann der Verantwortliche seine allgemeine Genehmigung für den Einsatz von Unterauftragsverarbeitern erteilen, ggf. mit konkreten Unteraufnehmern, welche als Anhang zum Vertrag genannt sind. Dabei sollte der Verantwortliche darauf achten, dass auch diese Unteraufnehmer zuverlässig sind.

Weiterverarbeitung der Daten durch den Auftragsverarbeiter zur Verbesserung eigener Produkte und Dienstleistungen

Manchmal möchte ein Auftragsverarbeiter die Daten auch zu eigenen Zwecken weiterverarbeiten. Dies ist im Regelfall nicht möglich, da der Auftragsverarbeiter streng weisungsgebunden handeln muss. Der Verantwortliche müsste dem daher zustimmen. Darüber hinaus ist dies nur in den Grenzen des Art. 6 Abs. 4 DSGVO möglich, da es sich strenggenommen und eine Zweckänderung handeln würde.

Beispiel: Ein Auftragsverarbeiter möchte Daten weiterverwenden, um seine Cloud-Computing-Dienste zu verbessern. Diese Weiterverwendung könnte als mit der ursprünglichen Verarbeitung vereinbar angesehen werden, vorbehaltlich geeigneter Garantien wie der Anonymisierung der Daten, wenn diese identifizierenden Daten nicht erforderlich sind. Dagegen würde ihre Weiterverwendung für einen Zweck der kommerziellen Werbung den „Kompatibilitätstest“ kaum erfüllen. Die französische Aufsichtsbehörde hat dazu eine Handreichung veröffentlicht.

Bußgelder und Sanktionen

Verstöße gegen die Vorgaben aus Art. 28 DSGVO können mit Bußgeldern und anderen Maßnahmen durch die Aufsichtsbehörden geahndet werden. Doch wer haftet im Einzelfall?

Wer haftet bei Datenschutzverstößen?

Gemäß Art. 82 Abs. 1 DSGVO haften Verantwortlicher und Auftragsverarbeiter im Außenverhältnis als Gesamtschuldner. Jede betroffene Person kann also von einem der an der Datenverarbeitung beteiligten Parteien in voller Höhe Schadensersatz verlangen. Doch was heißt das im Innenverhältnis? Kann der Verantwortliche seine Haftung etwa auf den Auftragsverarbeiter abwälzen? Zwar gilt hier grundsätzlich die Vertragsfreiheit zwischen den Parteien. Allerdings ist dieser eine Grenze gesetzt, wenn zu befürchten wäre, dass sonst das Datenschutzniveau zu sehr absinken würde.

Gemäß Art. 82 Abs. 2 S. 2 DSGVO haftet ein Auftragsverarbeiter nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

Welche Sanktionen drohen Unternehmen?

Bei Verstößen gegen die Verpflichtungen der Art. 28 ff. DSGVO drohen den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern nach Art. 83 DSGVO Geldbußen in Höhe von bis zu 10 Millionen Euro oder 2 Prozent des gesamten weltweit erzielten Jahresumsatzes, je nachdem welcher Betrag höher ist.

So hat beispielsweise ein Unternehmen aus Brandenburg ein Bußgeld in Höhe von 50.000,00 EUR kassiert, weil es entgegen der Regelung des Art. 28 Abs. 9 DSGVO keine AVV abgeschlossen hatte. Zudem hatte das Unternehmen es unterlassen die Betroffenen darüber zu informieren, dass es sich bei dem eingesetzten Dienstleister um einen Auftragsverarbeiter gehandelt hat.

Was sollten Unternehmen beachten?

Auftragsverarbeitung kann also tückisch sein. Von der richtigen Auswahl des Auftragsverarbeiters selbst bis zu den vertraglichen Feinheiten der AVV macht die DSGVO eine Vielzahl von Vorgaben. Vor allem dann, wenn die Datenverarbeitung ganz oder teilweise in Drittländern stattfindet, sind die Vorgaben der Art. 44 ff. DSGVO und das leidige Thema EU-US-Datentransfer zu beachten. Im Regelfall müssen bestehende Verträge an die aktuellen Vorgaben der neuen Standarddatenschutzklauseln angepasst werden. Fragen Sie hierzu am besten Ihren Datenschutzbeauftragten.

Webinar zum Thema

Wenn Sie Ihr Fachwissen in diesem speziellen Rechtsgebiet für den Unternehmensalltag weiter vertiefen möchten, dann besuchen Sie doch unser Webinar zum Thema „Auftragsverarbeitung kompakt“.

Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

12 Kommentare zu diesem Beitrag

  1. Habe ich das richtig verstanden, dass ein AVV, der keine Weisungs- und Kontrollrechte beinhaltet, gar kein Auftragsverarbeitungsverhältnis nach sich zieht?

    Gleiches gilt dann auch, wenn der AV die Daten zu eigenen Zwecken nutzt, richtig?

    • Das ist korrekt. Für eine Auftragsverarbeitung ist immer ein Weisungsrecht des Auftraggebers notwendig. Das gilt auch innerhalb einer „AVV-Kette“. Wie im Beitrag bereits beschrieben, kommt es dabei immer auf die objektive Rechtslage an.

  2. Vielen Dank für diese Zusammenfassung. Eine Anmerkung dazu: Sie schreiben „ Die Auftragsverarbeitung ist daher immer ein Über-/Unterordnungsverhältnis. Wichtig hierbei ist, dass es bei der Auftragsverarbeitung keiner „normalen“ Rechtsgrundlage bedarf. Es ist ausreichend, wenn die Voraussetzungen des Art. 28 DSGVO eingehalten werden.“ ich gehe davon aus, dass gemeint ist, dass anders als bei einer Übermittlung, die einer Rechtsgrundlage bedarf, für die Weitergabe an den Auftragsverarbeiter keine separate Rechtsgrundlage erforderlich ist. Diese muss beim Verantwortlichen bereits vor einer Weitergabe an einen Auftragsverarbeiter vorliegen. Oder sehen Sie das anders?

    • Ja, das ist gemeint. Der Auftragsverarbeiter ist nur der „verlängerte Arm“ des Verantwortlichen bei der jeweiligen Verarbeitung. Die Auftragsverarbeitung ist insofern ein zulässiges Mittel der Verarbeitung, welches der Verantwortliche unter der Voraussetzung der Einhaltung der Vorgaben des Art. 28 einsetzen darf. Sofern die Verarbeitung selbst rechtmäßig ist, kann der Verantwortliche einen Auftragsverarbeiter nach seinen Weisungen einsetzen.

  3. Ich bin irritiert von der Verwendung des Begriffs „Funktionsübertragung“. Es handelt sich meines Wissens um ein Rechtsfigur aus Zeiten von vor der DSGVO, die von der deutschen Rechtsprechung entwickelt wurde um gewisse Regelungslücken der damaligen BDSG zu schließen. Die Funktionsübertragung ist m.E. obsolet oder wird die jetzt wieder hervorgekramt weil Steuerberater keine Auftragsverarbeiter sein wollen? Aber wo ist der Unterschied zwischen der Weitergabe von Daten eines Arbeitgebers an ein Steuerbüro und von einem Reisebüro an eine Fluggesellschaft oder ein Hotel?

    • Der Begriff der Funktionsübertragung stammt tatsächlich aus der Zeit von vor der DSGVO, meint aber faktisch nichts anderes als die Verarbeitung durch getrennt handelnde Verantwortliche. Ob eine AV-Lage gegeben ist, hängt – wie im Beitrag beschrieben – von mehreren Faktoren ab, u. a. davon, ob die Datenverarbeitung den Kern der Dienstleistung darstellt. Steuerberater oder Rechtsanwälte sind keine Auftragsverarbeiter, weil die Berufsgruppen auf Grund ihrer besonderen Eigenschaften als Berufsgeheimnisträger nicht weisungsgebunden im Sinne des Art. 4 Nr. 8 DSGVO sind. Für Steuerberater ist dies inzwischen in § 11 Abs. 2 StBerG ausdrücklich normiert, siehe auch unser Blog hierzu:

      Steuerberater sind keine Auftragsverarbeiter – Änderung sorgt für Klarheit

  4. Handelt es sich um eine Auftragsverarbeitung, wenn ein Händler im Namen eines Herstellers einen Abovertrag (z.B. Lieferung von Druckpatronen) abschließt und dafür die Käuferdaten an den Hersteller übermittelt?

  5. Guten Tag, muss mit einem Softwareanbieter ein Auftragsverarbeitungsvertrag geschlossen werden, wenn der Softwareanbieter um die Lizensierung einzugrenzen, Nutzerprofile basierend auf den firmenspezifischen e-Mail-Adressen erstellt?

    • Wenn diese Datenverarbeitung den Kern der Dienstleistung darstellt, müsste eine AVV geschlossen werden. Das muss aber im Gesamtkontext, vor allem unter Berücksichtigung des konkreten Zwecks aus dem eigentlichen Dienstleistungsvertrag, bewertet werden.

  6. Guten Tag lieber Dr. Datenschutz, liegt eine AV vor, wenn ein Unternehmen A für ein anderes Unternehmen B Einwilligungen einholt und verwaltet?

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.