So gut wie alle Unternehmen und Institutionen lagern ganz selbstverständlich bestimmte Prozesse oder Teile davon aus und beauftragen andere, diese für sie zu bearbeiten. So weit, so praktisch. Allerdings: Werden dabei personenbezogene Daten verarbeitet, gilt es, die Regeln der Auftragsverarbeitung zu beachten. Wir erklären die wichtigsten Grundlagen und zeigen die häufigsten Fehler im Umgang mit Auftragsverarbeitung. Wetten, dass Ihnen der eine oder andere bekannt vorkommen wird?
Die Datenschutz-Grundverordnung setzt bekanntermaßen strenge Vorgaben, wenn ein Verantwortlicher Daten an Dritte weitergibt. „Dritte“ sind jene, die nicht seiner unmittelbaren Verantwortung unterstehen. Auftragsverarbeiter jedoch betrachtet die DSGVO ausdrücklich nicht als „Dritte“ – rechtlich werden Daten bei der Auftragsverarbeitung also nicht nach extern weitergegeben. Entsprechend vereinfacht sind die Vorgaben beim Datenschutz. Auftragsverarbeitung ist also ein Privileg. Wer sie nutzt, muss allerdings einige Bedingungen erfüllen.
Grundsätzlich müssen drei Voraussetzungen erfüllt sein, damit ein Dienstleistungsverhältnis rechtlich als Auftragsverarbeitung zählt.
Oberster Grundsatz ist, dass dem Verantwortlichen die Verarbeitung an sich erlaubt ist. Oder umgekehrt: Was Sie nicht verarbeiten dürfen, das dürfen Sie auch nicht auslagern. Sie brauchen also eine gültige Rechtsgrundlage.
Ein weiterer wichtiger Grundsatz lautet, dass Personendaten Bestandteil des auszulagernden Prozesses sind. Der Auftragsverarbeiter verarbeitet also (auch) personenbezogene Daten.
Dritte Bedingung: Der Auftragnehmer handelt weisungsgebunden. Heißt: Der Auftragsverarbeiter hat sich bei der Verarbeitung an die Weisungen des Verantwortlichen zu halten und nutzt die Auftragsdaten nicht für eigene Zwecke.
Sind die drei Bedingungen erfüllt, kann es losgehen mit der Auftragsverarbeitung. Was müssen Sie nun beachten?
Die erste Vorgabe ist die sorgfältige Auswahl potentieller Auftragsverarbeiter. Da die Verantwortung für die Datenverarbeitung beim Verantwortlichen bleibt, also dem Auftraggeber, haftet dieser bei Fehlern, die im Zusammenhang mit der Auftragsverarbeitung geschehen. Deshalb muss grundsätzlich geprüft werden, ob der Auftragsverarbeiter in der Lage ist, ähnlich sorgfältig und datenschutzrechtlich sicher zu arbeiten wie der Verantwortliche.
Der nächste Schritt ist, die Auftragsverarbeitung vertraglich zu regeln. Beachten Sie die gesetzlichen Vorgaben, welche die DSGVO in Artikel 28 vorschreibt.
Verantwortliche sind verpflichtet, diesen Auftragsverarbeitungsvertrag regelmäßig zu überprüfen. Ermitteln Sie, ob der Auftragsverarbeiter die Vertragsvorgaben erfüllt – etwa, ob er die vereinbarten technischen und organisatorischen Maßnahmen einhält. Diese müssen bei Vertragsabschluss definiert sein, normalerweise in einer Anlage des Vertrags.
Schließlich muss geklärt sein, was nach Beendigung des Vertrages mit den verarbeiteten Daten geschieht. Auch hier ist zu überprüfen, ob der Auftragnehmer die Vereinbarung einhält.
Bei der Gestaltung von Auftragsverarbeitungsverhältnissen lauern also einige Tücken. Nicht überraschend, dass dabei immer wieder Fehler passieren. Schnell wird eine Verpflichtung übersehen oder eine datenschutzrechtliche Vorschrift missachtet.
Wie so oft im Datenschutzrecht werden Verstöße bei der Auftragsverarbeitung von Aufsichtsbehörden angemessen sanktioniert. Das kann zu Geldbußen in der für die Datenschutz-Grundverordnung üblichen Höhe führen, also (bei einfachen Verstößen) 10 Millionen Euro oder 2 Prozent des Vorjahresumsatzes oder (bei komplexeren Verstößen) 20 Millionen Euro oder 4 Prozent des Vorjahresumsatzes. Ist „nur“ Artikel 28 zur Auftragsverarbeitung betroffen und lassen sich keine weiteren Datenschutzverletzungen feststellen, greift der kleinere Bußgeldrahmen. Damit es dazu gar nicht erst kommt, sollten Sie die häufigsten Fehler kennen, die Verantwortlichen in der Praxis unterlaufen.
Es kann vorkommen, dass Mitarbeitende betroffener Bereiche, etwa im Produktmanagement, das Wesen der Auftragsverarbeitung nicht kennen oder nicht bemerken, dass Auftragsverarbeitung vorliegt. Versäumen sie, den Vertrag gesetzeskonform zu schließen, fehlt der Datenverarbeitung die rechtliche Grundlage. Dem können Sie vorbeugen. Führen Sie Schulungen durch mit allen, die von Auftragsverarbeitung betroffen sein können.
Was immer wieder vergessen wird: die sorgfältige Auswahl der Verarbeiters. Das passiert etwa, wenn ein Betrieb bereits in anderen Belangen mit einem Dienstleister zusammenarbeitet und nicht daran denkt (manchmal auch nicht daran denken will), dass für die Auftragsverarbeitung eigene Rechtsgrundsätze gelten.
Immer wieder ist zu beobachten, dass zwar ein Vertrag über Auftragsverarbeitung geschlossen wird, dieser jedoch nicht vollständig ist oder nicht die notwendigen Inhalte hat – und damit nicht den Vorgaben durch die DSGVO entspricht.
Ebenfalls verbreitet und sicher einer der häufigeren Fehler bei der Auftragsverarbeitung: Der Auftraggeber versäumt regelmäßige Kontrollen, ob sich der Auftragnehmer an die vertraglichen Vereinbarungen hält.
Viele Verantwortliche sind sich der Pflicht zur Haftung nicht bewusst. Im Vertrag fehlen Regelungen im Innenverhältnis zwischen den Vertragspartnern, die den Auftragsverarbeiter bei von ihm verschuldeten Fehlern zu Schadenersatz verpflichten.
Das kann leider vorkommen: Im Zuge der Auftragsverarbeitung kommt es zu einem meldepflichtigen Datenschutzvorfall. Ärgerlich, wenn der Auftragsverarbeiter nicht bei der Abwicklung unterstützt – die Folgen treffen nämlich den Auftraggeber.
Oft vergessen wird auch zu klären, ob die beteiligten Mitarbeiter beim Auftragsverarbeiter alle relevanten Regelungen zum Datenschutz kennen. Von besonderer Bedeutung ist dieser Punkt bei Aufträgen in Ländern außerhalb der EU.
Was regelmäßig zu Ärger mit den Aufsichtsbehörden führt: Der Auftragsverarbeiter versäumt, bei ihm eingehende Betroffenenanfragen an den Verantwortlichen weiterzugeben.
Mancher Auftragsverarbeiter übersieht die gesetzliche Verpflichtung, die angepasste Form des Verarbeitungsverzeichnisses vorzuhalten, und führt das Verzeichnis nicht oder nicht richtig.
Die notwendigen Maßnahmen zum Schutz der überlassenen Daten durch den Auftragsverarbeiter sind vertraglich festgeschrieben. Wenn er oder seine Mitarbeitenden sie missachten, besteht das Risiko, dass sich in der Verarbeitung Fehler einschleichen. Das kann Datenpannen nach sich ziehen.
In allen genannten Fällen können Ermittlungen durch die Aufsichtsbehörden sowie möglicherweise Geldbußen die Folge sein. Es gehört zu den Aufgaben von Datenschutzbeauftragten, Geschäftsprozesse rund um die Auftragsverarbeitung genau unter die Lupe zu nehmen.
Auftragsverarbeitung in der EU und in Drittländern
Definition, Verträge, Ablauf, Überprüfungen.
Das Webinar. Jetzt anmelden.
Bei der Auftragsverarbeitung lauert manche Fehlerquelle, doch wer die typischen Stolperfallen kennt, kann sie gezielt umgehen. Mit unseren 12 Schritten legen Sie die Grundlage für sichere und alltagstaugliche Auftragsverarbeitung. Weitere Tipps zur Auftragsverarbeitung folgen in den nächsten Datentipps von Team Datenschutz.
Lösungen zur sicheren und alltagsnahen Auftragsverarbeitung? Fragen Sie uns.
Webinare, persönliche Beratung, passgenaue Umsetzung. Mit
Team
Datenschutz sind Sie in Sachen Datenschutz und Informationssicherheit einen Schritt voraus.
Hier gibts den Praxistipp als kostenlosen PDF-Download.
Hat Ihnen der Praxistipp gefallen? Empfehlen Sie ihn weiter!
Hier schreibt Eberhard Häcker, Externer Datenschutzbeauftragter, Datenschutzberater, Fachautor und Kongressredner, Geschäftsführer der TDSSG GmbH – Team Datenschutz Services – und der HäckerSoft GmbH (Datenschutz-Software DATSIS und Lernplattform Optilearn.de). Er ist überzeugt, „den spannendsten Beruf der Welt“ zu haben, denn Datenschutz unter der DSGVO ist „wie die Besiedlung Amerikas – weißes Land, das es zu entdecken und sinnvoll zu füllen gilt“. (Eberhard Häcker)
Auftragsverarbeitung in der EU und in Drittländern
Definition, Verträge, Ablauf, Überprüfungen
Das Webinar. Jetzt anmelden.
Team Datenschutz
Langjährige Erfahrung. Zielgerichtete Lösungen. Zufriedene Kunden. In Deutschland. In Europa. Weltweit. Willkommen bei
Team
Datenschutz.
Kontakt
Wir sind für Sie da.
Am Hagelsrech 14
66806 Ensdorf
+49 6831 7689 777
Tipps & News
Praxistipps, Events, Aktuelles & mehr
Newsletter
Immer up to date im Datenschutz.
Copyright © 2024 Team Datenschutz