Checkliste der Aufsichtsbehörden für Auftragsverarbeitungsverträge

Inhalt

Einige der deutschen Datenschutz-Aufsichtsbehörden prüfen derzeit die von großen Anbietern eingesetzten Verträge zur Auftragsverarbeitung. Die zur Prüfung verwendete und veröffentlichte Checkliste bietet auch für andere Unternehmen gute Anhaltspunkte für die vorgeschriebene Vereinbarung zwischen Verantwortlichen und Auftragsverarbeitern.

Die Checkliste für AV-Verträge

Was die Behörden erwarten, ist vorhersehbar und richtig. In einigen Punkten wird erfreulicherweise hinsichtlich etlicher Bedingungen Klarheit geschaffen, die sich nach wie vor in vielen Verträgen finden und die von den Verwendern mit einer bemerkenswerten Hartnäckigkeit verteidigt werden.

Wir fassen die praxisrelevanten Hinweise aus der Checkliste kurz zusammen und kommentieren diese:

Vertragsform

Wenn es um eine Auftragsverarbeitung geht, ist eine für die Parteien verbindliche vertragliche Regelung zwingend, soweit die betroffene Verarbeitung im Auftrag nicht durch den Gesetzgeber geregelt ist. Der Vertrag muss elektronisch oder schriftlich vorliegen und alle gesetzlich vorgesehenen Angaben, insbesondere zu den Umständen und dem Umfang der Verarbeitung, enthalten. Alle Angaben müssen präzise, vollständig und konkret sein und zu der im Auftrag erbrachten Verarbeitung passen.

Hinweis: Die in der Praxis oft vorkommenden schwammigen und schlampigen Formulierungen sind also unzureichend.

Bezug zum Hauptvertrag

Verweise auf einen Hauptvertrag sind möglich. Dieser muss dann aber auch für eine Prüfung vorliegen und es müssen sämtliche Pflichtinhalte tatsächlich, konkret und passend für die relevante Auftragsverarbeitung vorhanden sein.

Hinweis: Diese Pflicht, dann auch den Hauptvertrag vorzulegen, gilt auch bei einer Kontrolle durch Dritte. Es sollte daher im Vorfeld abgeklärt werden, ob eine Offenlegung des Hauptvertrages immer gewünscht ist, oder ob es nicht sinnvoller wäre, die entsprechenden Punkte im Auftragsverarbeitungsvertrag zu regeln und dann eben nur diesen vorlegen zu müssen.

Weisungsgebundenheit

Der Auftragsverarbeiter ist weisungsabhängig und muss jegliche Verarbeitung, die nicht von einer Weisung getragen wird, mitteilen.

Hinweis: Viele Dienstleister lassen sich in ihren Vertragsmustern auch Verarbeitungen zu eigenen Zwecken gestatten, etwa statistische Auswertungen oder die Verbesserung der eigenen Leistungen und Produkte. Hierbei bleibt regelmäßig völlig offen und im Ergebnis ungelöst, woher der Auftraggeber das Recht haben soll, diese Verarbeitung zu genehmigen. Wer hier als Verantwortlicher nicht aufpasst, dem wird möglicherweise eine rechtswidrige Datenweitergabe untergeschoben.

Auch zur möglichen Kostenpflicht ist eine klare Aussage enthalten. Nur Leistungen, die über die Vertragspflichten hinausgehen und nicht erforderlich sind, um Verstöße abzustellen, dürfen berechnet werden.

Pflichten des Auftragsverarbeiters

Alle Unterstützungspflichten dem Verantwortlichen gegenüber müssen vollständig und konkret aufgeführt sein. Gleiches gilt für die Löschpflicht nach Auftragserledigung. Die Checkliste empfiehlt hier oftmals die Übernahme des Gesetzeswortlaut.

Technische und organisatorische Maßnahmen

Die wohl praktisch wichtigste Klarstellung betrifft die technischen und organisatorischen Maßnahmen und die Kontrollrechte des Verantwortlichen:

Die technischen und organisatorischen Maßnahmen müssen konkret beschrieben sein und die Bewertung zulassen, dass sie im relevanten Einzelfall ausreichend sind.

Hinweis: Gerade dies ist nach wie vor in den allermeisten Verträgen nicht der Fall. Vielmehr beschränken sich die enthaltenen Beschreibungen fast regelmäßig auf unvollständige und völlig offen formulierte Aussagen, die nicht erkennen lassen, was der Dienstleister im Detail versprechen möchte.

Der Verantwortliche muss selbst das Recht haben, die Einhaltung der technischen und organisatorischen Maßnahmen zu kontrollieren und das nötigenfalls auch vor Ort. Ein abschließender Verweis auf Kontrollen, Zertifizierungen oder sonstige Maßnahmen durch Dritte ist unzulässig. Ebenso darf das Kontrollrecht nicht allein auf die Vorlage von Unterlagen beschränkt sein.

Hinweis: Gerade die großen Cloud-Anbieter erfüllen diese Anforderung regelmäßig nicht.

Unterauftragnehmer

Unterauftragnehmer dürfen nur mit dem Willen des Verantwortlichen eingesetzt werden. Sollen Subdienstleister bereits im Vertrag genannt werden, so sind diese darin konkret, vollständig, mit Anschrift und einer wenigstens stichwortartigen Beschreibung ihrer Aufgaben aufzunehmen. Ein Verweis auf eine Aufstellung auf einer Website ist nicht zulässig. Auch muss der Auftragsverarbeiter auf neue oder veränderte Subdienstleister aktiv hinweisen; die Schaffung einer Abrufmöglichkeit genügt nicht.

Hinweis: Auch diese Anforderungen erfüllen die ganz großen Anbieter regelmäßig nicht.

Interessant ist der Hinweis zu den Folgen, falls eine Änderung bei Subdienstleistern nicht genehmigt wird. Hier gehen die Aufsichtsbehörden davon aus, dass zumindest eine kurzfristige Beendigung der Zusammenarbeit durch den Auftragsverarbeiter nach verweigerter Zustimmung nicht möglich sein soll.

Bei der Übertragung von Pflichten auf den Subdienstleister ist der konkrete Auftragsverarbeitungsvertrag Maßstab, nicht allgemein Art. 28 DSGVO.

Hinweis: Auch dies wird von vielen Dienstleistern in der Praxis derzeit nicht korrekt umgesetzt. Eine Abstimmung der Rechte und Pflichten im Verhältnis nach oben (zum Verantwortlichen) mit den Rechten und Pflichten nach unten (im Verhältnis zu Subdienstleistern) erfolgt regelmäßig nicht.

Drittlandtransfer

Die Regelung von Übertragungen in Drittstaaten muss ggf. auch ein ausreichendes Datenschutzniveau unter Berücksichtigung von Behördenzugriffen vorsehen. Allein der Abschluss von Standardvertragsklauseln genügt nicht.

Fazit: Viele Auftragsverarbeitungsverträge erfüllen nicht die Anforderungen

Die Checkliste der Aufsichtsbehörden macht deutlich, dass in der Praxis viele Verträge zur Verarbeitung personenbezogener Daten im Auftrag nicht den Ansprüchen genügen. Viele Unternehmen machen es sich derzeit noch zu einfach und verkennen, dass saubere Vereinbarungen und insbesondere eine möglichst klare Beschreibung der geschuldeten Maßnahmen im Interesse aller liegt. Die deutlichen Hinweise in der Checkliste machen hoffentlich viele ärgerliche Diskussionen künftig überflüssig.

Tipp: Füllen Sie unsere kostenlose Vorlage für einen Auftragsverarbeitungsvertrag gewissenhaft und erfüllen so die oben aufgeführten Anforderungen der Aufsichtsbehörden.

Jetzt unverbindlich anfragen: Einer unserer Experten als externer Datenschutzbeauftragter für Ihr Unternehmen!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.