Praxistipp: In 12 Schritten zur sicheren Auftragsverarbeitung

So gut wie alle Unternehmen und Institutionen lagern ganz selbstverständlich bestimmte Prozesse oder Teile davon aus und beauftragen andere, diese für sie zu bearbeiten. So weit, so praktisch. Allerdings: Werden dabei personenbezogene Daten verarbeitet, gilt es, die Regeln der Auftragsverarbeitung zu beachten. Wir erklären die wichtigsten Grundlagen und zeigen die häufigsten Fehler im Umgang mit Auftragsverarbeitung. Wetten, dass Ihnen der eine oder andere bekannt vorkommen wird?

Privileg Auftragsverarbeitung

Die Datenschutz-Grundverordnung setzt bekanntermaßen strenge Vorgaben, wenn ein Verantwortlicher Daten an Dritte weitergibt. „Dritte“ sind jene, die nicht seiner unmittelbaren Verantwortung unterstehen. Auftragsverarbeiter jedoch betrachtet die DSGVO ausdrücklich nicht als „Dritte“ – rechtlich werden Daten bei der Auftragsverarbeitung also nicht nach extern weitergegeben. Entsprechend vereinfacht sind die Vorgaben beim Datenschutz. Auftragsverarbeitung ist also ein Privileg. Wer sie nutzt, muss allerdings einige Bedingungen erfüllen.

Bedingungen

Grundsätzlich müssen drei Voraussetzungen erfüllt sein, damit ein Dienstleistungsverhältnis rechtlich als Auftragsverarbeitung zählt.

Gültige Rechtsgrundlage

Oberster Grundsatz ist, dass dem Verantwortlichen die Verarbeitung an sich erlaubt ist. Oder umgekehrt: Was Sie nicht verarbeiten dürfen, das dürfen Sie auch nicht auslagern. Sie brauchen also eine gültige Rechtsgrundlage.

Personendaten

Ein weiterer wichtiger Grundsatz lautet, dass Personendaten Bestandteil des auszulagernden Prozesses sind. Der Auftragsverarbeiter verarbeitet also (auch) personenbezogene Daten.

Weisungsbefugnis

Dritte Bedingung: Der Auftragnehmer handelt weisungsgebunden. Heißt: Der Auftragsverarbeiter hat sich bei der Verarbeitung an die Weisungen des Verantwortlichen zu halten und nutzt die Auftragsdaten nicht für eigene Zwecke.

Sind die drei Bedingungen erfüllt, kann es losgehen mit der Auftragsverarbeitung. Was müssen Sie nun beachten?

Formale Regeln der Auftragsverarbeitung

Sorgfältige Auswahl

Die erste Vorgabe ist die sorgfältige Auswahl potentieller Auftragsverarbeiter. Da die Verantwortung für die Datenverarbeitung beim Verantwortlichen bleibt, also dem Auftraggeber, haftet dieser bei Fehlern, die im Zusammenhang mit der Auftragsverarbeitung geschehen. Deshalb muss grundsätzlich geprüft werden, ob der Auftragsverarbeiter in der Lage ist, ähnlich sorgfältig und datenschutzrechtlich sicher zu arbeiten wie der Verantwortliche.

Vertrag

Der nächste Schritt ist, die Auftragsverarbeitung vertraglich zu regeln. Beachten Sie die gesetzlichen Vorgaben, welche die DSGVO in Artikel 28 vorschreibt.

Regelmäßige Prüfungen

Verantwortliche sind verpflichtet, diesen Auftragsverarbeitungsvertrag regelmäßig zu überprüfen. Ermitteln Sie, ob der Auftragsverarbeiter die Vertragsvorgaben erfüllt – etwa, ob er die vereinbarten technischen und organisatorischen Maßnahmen einhält. Diese müssen bei Vertragsabschluss definiert sein, normalerweise in einer Anlage des Vertrags.

Vertragsende

Schließlich muss geklärt sein, was nach Beendigung des Vertrages mit den verarbeiteten Daten geschieht. Auch hier ist zu überprüfen, ob der Auftragnehmer die Vereinbarung einhält.

Pflichten und Vorschriften

Bei der Gestaltung von Auftragsverarbeitungsverhältnissen lauern also einige Tücken. Nicht überraschend, dass dabei immer wieder Fehler passieren. Schnell wird eine Verpflichtung übersehen oder eine datenschutzrechtliche Vorschrift missachtet.

Drohende Geldbußen

Wie so oft im Datenschutzrecht werden Verstöße bei der Auftragsverarbeitung von Aufsichtsbehörden angemessen sanktioniert. Das kann zu Geldbußen in der für die Datenschutz-Grundverordnung üblichen Höhe führen, also (bei einfachen Verstößen) 10 Millionen Euro oder 2 Prozent des Vorjahresumsatzes oder (bei komplexeren Verstößen) 20 Millionen Euro oder 4 Prozent des Vorjahresumsatzes. Ist „nur“ Artikel 28 zur Auftragsverarbeitung betroffen und lassen sich keine weiteren Datenschutzverletzungen feststellen, greift der kleinere Bußgeldrahmen. Damit es dazu gar nicht erst kommt, sollten Sie die häufigsten Fehler kennen, die Verantwortlichen in der Praxis unterlaufen.

Mögliche Fehler bei der Auftragsverarbeitung

Fehlende Verträge

Es kann vorkommen, dass Mitarbeitende betroffener Bereiche, etwa im Produktmanagement, das Wesen der Auftragsverarbeitung nicht kennen oder nicht bemerken, dass Auftragsverarbeitung vorliegt. Versäumen sie, den Vertrag gesetzeskonform zu schließen, fehlt der Datenverarbeitung die rechtliche Grundlage. Dem können Sie vorbeugen. Führen Sie Schulungen durch mit allen, die von Auftragsverarbeitung betroffen sein können.

Keine sorgfältige Auswahl

Was immer wieder vergessen wird: die sorgfältige Auswahl der Verarbeiters. Das passiert etwa, wenn ein Betrieb bereits in anderen Belangen mit einem Dienstleister zusammenarbeitet und nicht daran denkt (manchmal auch nicht daran denken will), dass für die Auftragsverarbeitung eigene Rechtsgrundsätze gelten.

Vertrag unvollständig oder falsch

Immer wieder ist zu beobachten, dass zwar ein Vertrag über Auftragsverarbeitung geschlossen wird, dieser jedoch nicht vollständig ist oder nicht die notwendigen Inhalte hat – und damit nicht den Vorgaben durch die DSGVO entspricht.

Keine Überprüfungen

Ebenfalls verbreitet und sicher einer der häufigeren Fehler bei der Auftragsverarbeitung: Der Auftraggeber versäumt regelmäßige Kontrollen, ob sich der Auftragnehmer an die vertraglichen Vereinbarungen hält.

Haftung im Innenverhältnis

Viele Verantwortliche sind sich der Pflicht zur Haftung nicht bewusst. Im Vertrag fehlen Regelungen im Innenverhältnis zwischen den Vertragspartnern, die den Auftragsverarbeiter bei von ihm verschuldeten Fehlern zu Schadenersatz verpflichten.

Zusammenwirken bei Datenpannen

Das kann leider vorkommen: Im Zuge der Auftragsverarbeitung kommt es zu einem meldepflichtigen Datenschutzvorfall. Ärgerlich, wenn der Auftragsverarbeiter nicht bei der Abwicklung unterstützt – die Folgen treffen nämlich den Auftraggeber.

Know-how beim Auftragnehmer

Oft vergessen wird auch zu klären, ob die beteiligten Mitarbeiter beim Auftragsverarbeiter alle relevanten Regelungen zum Datenschutz kennen. Von besonderer Bedeutung ist dieser Punkt bei Aufträgen in Ländern außerhalb der EU.

Betroffenenanfragen

Was regelmäßig zu Ärger mit den Aufsichtsbehörden führt: Der Auftragsverarbeiter versäumt, bei ihm eingehende Betroffenenanfragen an den Verantwortlichen weiterzugeben.

Verzeichnis der Verarbeitungstätigkeiten

Mancher Auftragsverarbeiter übersieht die gesetzliche Verpflichtung, die angepasste Form des Verarbeitungsverzeichnisses vorzuhalten, und führt das Verzeichnis nicht oder nicht richtig.

Technische und organisatorische Maßnahmen

Die notwendigen Maßnahmen zum Schutz der überlassenen Daten durch den Auftragsverarbeiter sind vertraglich festgeschrieben. Wenn er oder seine Mitarbeitenden sie missachten, besteht das Risiko, dass sich in der Verarbeitung Fehler einschleichen. Das kann Datenpannen nach sich ziehen.

In allen genannten Fällen können Ermittlungen durch die Aufsichtsbehörden sowie möglicherweise Geldbußen die Folge sein. Es gehört zu den Aufgaben von Datenschutzbeauftragten, Geschäftsprozesse rund um die Auftragsverarbeitung genau unter die Lupe zu nehmen. 

12 Schritte zur sicheren Auftragsverarbeitung

1. Wenn Datenverarbeitung ausgelagert werden soll, müssen betroffene Verarbeitungstätigkeiten sorgfältig beschrieben sein. Stellen Sie sicher, dass dies vor der Auslagerung erfolgt.
2. Auftragsverarbeitung muss im Betrieb zuverlässig erkannt und angemessen dokumentiert werden.
3. Im beauftragenden Betrieb muss eine Richtlinie für Auftragsverarbeitung vorliegen.
4. Dasselbe gilt für Auftragnehmer. Die Richtlinie muss im beauftragten Betrieb allen beteiligten Personen bekannt sein.
5. Für Auftraggeber: Bestimmen Sie Kriterien für die sorgfältige Auswahl von Auftragsverarbeitern. Für Auftragsverarbeiter: Prüfen Sie anhand der vorgegebenen Kriterien, ob Sie diese angemessen erfüllen können.
6. Vergewissern Sie sich, dass der unterschriebene Vertrag vollständig und rechtlich einwandfrei ist. Alle geforderten Anlagen müssen vorhanden und vollständig sein. Gegebenenfalls muss eine angemessene Prüfung erfolgen und dokumentiert werden.
7. Vereinbaren Sie, wie Datenschutzverstöße und Betroffenenanfragen vom Auftragsverarbeiter an den Verantwortlichen übermittelt werden. Geben Sie vor, dass dies unverzüglich zu geschehen hat.
8. Stellen Sie sicher, dass die jeweiligen Ansprechpartner definiert sind.
9. Sorgen Sie dafür, dass Meldewege feststehen und erprobt sind.
10. Leiten Sie regelmäßige Überprüfungen in die Wege. Diese müssen angekündigt, vorgenommen und dokumentiert werden. Falls unangekündigte Überprüfungen vereinbart sind, müssen diese ebenfalls durchgeführt und dokumentiert werden.
11. Legen Sie fest, ab welchem Grad an Verstößen das Vertragsverhältnis nicht mehr fortgesetzt werden kann. Definieren Sie für kleinere Verstöße, welche Reaktion zu erfolgen hat.
12. Treffen Sie klare Vereinbarungen, was nach Ende der Auftragsverarbeitung mit den verarbeiteten Daten geschieht. Stellen Sie sicher, dass der Auftragsverarbeiter die Daten zurückgibt und angemessen löscht.

Fazit

Bei der Auftragsverarbeitung lauert manche Fehlerquelle, doch wer die typischen Stolperfallen kennt, kann sie gezielt umgehen. Mit unseren 12 Schritten legen Sie die Grundlage für sichere und alltagstaugliche Auftragsverarbeitung. Weitere Tipps zur Auftragsverarbeitung folgen in den nächsten Datentipps von Team Datenschutz.

Rechtsquellen zum Nachlesen

• Zur Gestaltung des Auftragsverarbeitungsvertrags: Art. 28 Abs. 3 DSGVO 
• Zum Verarbeitungsverzeichnis für Auftragsverarbeiter: Art. 30 Abs. 2 DSGVO

Der Autor

Hier schreibt Eberhard Häcker, Externer Datenschutzbeauftragter, Datenschutzberater, Fachautor und Kongressredner, Geschäftsführer der TDSSG GmbH – Team Datenschutz Services – und der HäckerSoft GmbH (Datenschutz-Software DATSIS und Lernplattform Optilearn.de). Er ist überzeugt, „den spannendsten Beruf der Welt“ zu haben, denn Datenschutz unter der DSGVO ist „wie die Besiedlung Amerikas – weißes Land, das es zu entdecken und sinnvoll zu füllen gilt“. (Eberhard Häcker)