Pflichten des Auftragsverarbeiters nach DSGVO

Die Verarbeitung von Daten im Auftrag bringt für den Auftragsverarbeiter einige Pflichten mit sich. Nach der Datenschutz-Grundverordnung (DSGVO) ist der Auftragsverarbeiter für die Verarbeitung personenbezogener Daten mitverantwortlich. Auf einige Punkte sollten Dienstleister bei der Auftragsverarbeitung besonders achten – sonst drohen neben der Inanspruchnahme auf Schadensersatz ebenfalls empfindliche Strafen!

Vertragliche Pflichten des Auftragsverarbeiters

Wichtig ist zunächst der Abschluss eines Vertrages zur Auftragsverarbeitung oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten gem. Art. 28 DSGVO. Ohne einen solchen schriftlichen Vertrag besteht keine Rechtsgrundlage für die Verarbeitung durch den Auftragsverarbeiter. Ein fehlender Vertrag führt somit dazu, dass der Auftragsverarbeiter nicht die Vorteile der Privilegierung genießen kann.

Neben gewissen Mindestangaben rund um die datenschutzrechtlichen Rahmenbedingungen des Auftrages, muss dieser Auftragsverarbeitungsvertrag (AV-Vertrag) die in Art. 28 Abs. 3 DSGVO festgelegten Mindestinhalte aufgewiesen. Ohne diese Mindestangaben ist die gesamte Auftragsverarbeitung mangels Rechtsgrundlage unwirksam.

Gesetzliche Pflichten des Auftragsverarbeiter

Neben den Pflichten des Auftragsverarbeiters, welche zwingend im AV-Vertrag geregelt sein müssen, bestehen weitere gesetzliche Pflichten:

Führung eines Verzeichnisses von Verarbeitungstätigkeiten

Jeder Auftragsverarbeiter muss ein schriftliches oder elektronisches Verzeichnis über alle Verarbeitungstätigten der Auftragsverarbeitung führen. Hierzu sieht Art. 30 Abs. 2 DSGVO den erforderlichen Inhalt vor. Es handelt sich im Gegensatz zum Verzeichnis der Verarbeitungstätigkeiten von Verantwortlichen (Art. 30 Abs. 1 DSGVO) um eine deutlich verkürzte Version (in unserem Datenschutzportal finden Sie beide Varianten zum kostenlosen Download). Dieses Verzeichnis ist der Aufsichtsbehörde auf Anfrage gem. Art. 30 Abs. 4 DSGVO zur Verfügung zu stellen.

Zusammenarbeit mit der Aufsichtsbehörde

Art. 31 DSGVO verpflichtet den Auftragsverarbeiter auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgabe zusammen zu arbeiten. Diese Pflicht gilt jedoch nur hinsichtlich Sachverhaltsaufklärungen, die sich ausschließlich mithilfe des Auftragsverarbeiters erreichen lassen. Eine bloße Arbeitserleichterung der Aufsichtsbehörde ist hiermit nicht gemeint.

Vertreter für Auftragsverarbeiter in Drittländern

Auftragsverarbeiter, die keine Niederlassung in der EU haben und personenbezogene Daten von EU-Bürgern verarbeiten, müssen ggfs. gem. Art. 27 Abs. 1 DSGVO schriftlich einen Vertreter in der Union bestellen. Dies ist etwa erforderlich, wenn der Auftragsverarbeiter dem Betroffenen in der Union Waren oder Dienstleistungen anbietet oder wenn der Auftragsverarbeiter das Verhalten Menschen innerhalb der EU beobachtet.

Übermittlungen von Daten an Drittländer und internationale Organisationen

Der Auftragsverarbeiter hat ebenfalls die Beschränkungen für Datenübermittlungen an Unternehmen in Drittländern und internationale Organisationen gem. Art. 44 ff. DSGVO zu beachten. Personenbezogene Daten dürfen nur dann übermittelt werden, wenn die Verarbeitung insgesamt den Anforderungen der DSGVO genügt und im Empfängerland vergleichbare datenschutzrelevante Schutzmechanismen für Betroffene vorgesehen sind.

Als Schutzmechanismen kommen mehrere Möglichkeiten in Betracht.

  • Angemessenheitsbeschluss: Einige Länder außerhalb der Europäischen Union wurden aufgrund ihrer datenschutzrechtlichen Gesetzgebung durch die Europäische Kommission als vergleichsweise sicher anerkannt. Hierzu gehören: Andorra, Argentinien, Färöer, Guernsey, Isle of Man, Israel, Jersey, Kanada, Neuseeland, Schweiz, Uruguay und Vereinigte Staaten (sofern das Unternehmen unter dem EU-U.S. Privacy Shield zertifiziert ist).
  • Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules): Verbindliche interne Datenschutzvorschriften sind derzeit noch sehr selten. Hierbei handelt es sich um interne Regelungen, die sich ein Unternehmen selbst auferlegt. Diese müssen im Wege eines Kohärenzverfahrens von der zuständigen Aufsichtsbehörde genehmigt werden.
  • Standardvertragsklauseln (Standard Contractual Clauses): Bei den Standardvertragsklauseln handelt es sich um die üblichste eingesetzte Datenschutzgarantie. Hierbei werden neben dem AV-Vertrag diese von der Europäischen Kommission vorgegebene Vertragsregelung unterzeichnet. Diese dürfen nicht inhaltlich abgeändert werden, da sie ansonsten nicht mehr als Datenschutzgarantie anerkannt werden.

Risiken des Auftragsverarbeiters

Haftung des Auftragsverarbeiters

Nach Art. 82 DSGVO haften Verantwortliche und Auftragsverarbeiter bei Verletzung der in der DSGVO aufgeführten Pflichten für die beim Betroffenen eingetretenen immateriellen und materiellen Schäden gesamtschuldnerisch. Gesamtschuldnerische Haftung bedeutet, dass der Geschädigte den Schaden nach seiner Wahl entweder beim Verantwortlichen oder beim Auftragsverarbeiter im vollen Umfang herausverlangen kann, unabhängig von der Verantwortlichkeit des Schadenseintritts. Erst nachträglich kann der Auftragsverarbeiter im Innenverhältnis vom Verantwortlichen den Anteil des Schadens zurückfordern.

Der Auftragsverarbeiter kann sich von der Haftung nur dann befreien, wenn er nachweisen kann, dass er sämtliche Verpflichtungen bei der Datenverarbeitung erfüllt hat und „in keinerlei Hinsicht […] verantwortlich ist“.

Drohende Geldbußen für Auftragsverarbeiter

Verarbeiter bzw. Dienstleister sollten die Pflichten im Rahmen der Auftragsverarbeitung nicht auf die leichte Schulter nehmen. Werden die Vorgaben nicht erfüllt, drohen zusätzlich zur oben genannten Haftung je nach Art und Schwere der Ordnungswidrigkeit und unabhängig davon, ob ein Schaden eintritt, Geldbußen von bis zu 20.000.000 Euro oder bis zu 4 % des gesamten weltweit erzielten Umsatzes des vorangegangenen Jahres – je nachdem, welcher Betrag höher ist.

Fazit: Solide schriftliche Vereinbarungen helfen

Unter der DSGVO müssen Auftragsverarbeiter zahlreiche Pflichten erfüllen. Das ist nur konsequent, denn ein hohes Datenschutzniveau muss an jeder Stelle der Verarbeitung gewährleistet werden. Wer jedoch als Dienstleister gegenüber dem Auftraggeber bzw. Verantwortlichen auf einen korrekten Auftragsverarbeitungsvertrag besteht und selbst ein Verzeichnis über Verarbeitungstätigkeiten führt, ist einen großen Schritt weiter.

Dieser aktualisierte Artikel wurde zuerst am 8. September 2017 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

16 Comments

  1. Bev Bartsch Profile Picture
    Bev Bartsch

    Hallo,

    Wir sind ein ehrenamtlicher Verein und haben von einem Unternehmen ein Tool (Website) ausarbeiten lassen, auf dem sich unsere Helfer für Veranstaltungen eintragen können. Bisher ist auf der Website keinerlei Datenschutzerklärung trotz mehrfacher Nachfrage unsererseits, es besteht aber auch noch kein Vertrag zwischen dem Verein und dem Unternehmen, das die Website gestaltet hat, online ist sie aber – wer haftet in diesem Fall?

    1. Melodie Dex Profile Picture
      Melodie Dex

      Der Verein ist als Verantwortlicher verpflichtet zu gewährleisten, dass eine korrekte und vollständige Datenschutzerklärung vorhanden ist. Entsprechend liegt die Haftung primär stets beim Verein. Ob Regressmöglichkeiten bestehen kann anhand der vorhandenen Informationen nicht beantwortet werden. Zudem käme die konkrete Beantwortung dieser Frage einer rechtlichen Beratung im Einzelfall gleich, welche wir auf der Webseite nicht beantworten dürfen.

  2. Martina Pieper Profile Picture
    Martina Pieper

    Hallo,

    wie sieht es aus, wenn wir als Auftragsverarbeiter Kreditkartendaten aufnehmen: Müssen wir eine DSFA selber durchführen oder reicht es, dass der Auftraggeber eine durchgeführt hat, die gleichzeitig für uns gilt?

    Vielen Dank im Voraus,
    Martina Pieper

    1. Melodie Dex Profile Picture
      Melodie Dex

      Eine Pflicht zur Durchführung einer DSFA hat nach dem Gesetzeswortlaut ausschließich der Verantwortliche, also Ihre Kunden. Als Auftragsverarbeiter sind Sie jedoch verpflichtet den Kunden auf Nachfrage Informationen über die relevanten Prozesse sowie technische und organisatorische Maßnahmen zu liefern, damit diese entsprechend eine DSFA durchführen können. Mit freundlichen Grüßen, Melodie Dex

  3. argus.benten@gmx.de Profile Picture
    argus.benten@gmx.de

    Hallo ,
    ich habe eine Frage zum AV (Vertrag), muss dieser vom Geschäftsführer unterschrieben werden, (weil verantwortlicher) oder kann dieser auch vom Verantwortlichen der dementsprechenden Abteilung (Abteilungsleiter) unterschrieben werden ?.

    danke für die Beantwortung

    1. Melodie Dex Profile Picture
      Melodie Dex

      Verträge müssen nicht zwingend vom Geschäftsführer unterzeichnet werden. Dies kann auch von jeder unterzeichnungsberechtigten Person im Unternehmen unterschrieben werden. Dies kann beispielsweise auch ein Abteilungsleiter sein. Auf die genaue Position kommt es nicht an. Entscheidend ist die Unterzeichnungs- beziehungsweise Vertretungsberechtigung an. Mit freundlichen Grüßen, Melodie Dex

  4. Volker Mönch Profile Picture
    Volker Mönch

    An Melodie Dex:
    Gilt das auch für die Anlage “TOM” zur Datenschutzvereinbarung mit Kunden? Auch hier möchten wohl die meisten nicht ihre Einkaufsquellen offenbaren, sondern nur die Kategorie der Dienstleister …

    1. Melodie Dex Profile Picture
      Melodie Dex

      Gegenüber Ihrem Auftraggeber im Rahmen einer Auftragsverarbeitung im Sinne des Art. 28 DSGVO sind Sie durchaus auskunftspflichtig. Der Auftraggeber hat bezüglich der Wahl seiner Dienstleister die Pflicht nur solche Dienstleister auswählen welche hinreichende technichnische und organisatorische Maßnahmen treffen. Diese Auswahlpflicht erstreckt sich bis zum letzten Unterauftragsverarbeiter, da der Auftraggeber auch im Verhältnis zu diesem Verantwortlicher bleibt. Deshalb ist der Einsatz von Unterauftragsverarbeitern genehmigungsbedürftig und im Einzelfall darf der Auftraggeber gegen den Einsatz eines Sub-Dienstleisters Einspruch erheben.

      1. Sebastian Kretzschmar Profile Picture
        Sebastian Kretzschmar

        Guten Tag,

        bezieht sich das jeweils auch nur auf jene Unterauftragsverarbeiter, welche an der Verarbeitung der Daten des Verantwortlichen beteiligt sind, oder sämtliche beim Auftragsverarbeiter eingesetzte Dienstleister zu denen ein Auftragsverarbeitungsverhältnis besteht?

        1. Melodie Dex Profile Picture
          Melodie Dex

          Tatsächlich bezieht sich dies nach dem Wortlaut des Gesetzes auf die gesamte Kette der Auftragsverarbeiter. Eine strikte Anwendung des Gesetzes dürfte jedoch praktisch unmöglich sein.

          1. Sebastian Kretzschmar Profile Picture
            Sebastian Kretzschmar

            Vielen Dank für Ihre Antwort.

            Könnte der Verantwortliche dann beispielsweise dem Gesetz nach sogar dem Einsatz von neuen an der Verarbeitung beteiligten Unterauftragsverarbeitern eines Sub-Dienstleisters widersprechen, und müsste man solche Änderungen zu diesem Zweck grundsätzlich allen Verantwortlichen mitteilen?

            Das wäre ja ein unfassbarer Aufwand.

          2. Melodie Dex Profile Picture
            Melodie Dex

            Dem Gesetz nach wäre dies richtig und eintatsächlich unfassbarer Aufwand der sich nicht vollständig realisieren lässt. Bleibt abzuwarten ob es hierzu eine bessere Lösung geben wird die dem Sinn und Zweck der DSGVO entspricht und trotzdem praktikabel ist.

  5. Rainer Scherlies Profile Picture
    Rainer Scherlies

    Erst mal eine DANKE an active Mind!!!
    Wir sind ein Kleinunternehmen und arbeiten als Reseller.
    Mit unseren AVs haben wir einen Vertrag geschlossen, welcher den Behörden vorgelegt werden kann. Was ich aber nicht möchte ist: In meiner Datenschutzerklärung meine Lieferanten namentlich zu benennen. Das wäre für mich geschäftsschädigend, da ja meine Wettbewerber und meine Kunden Einblick in Internas hätten. Weiß jemand näheres? Besten Dank

    1. Melodie Dex Profile Picture
      Melodie Dex

      Vielen Dank für Ihr Feedback.
      Soweit sich diese Dienstleister innerhalb der EU befinden müssen Sie diese nicht namentlich nennen. Nach derzeitiger Einschätzung genügt es die Kategorie der Dienstleister bezeichnen. Soweit Sie jedoch Dienstleister außerhalb der EU einsetzen, ist eine namentiche Bezeichnung notwendig, da Sie auch deren Datenschutz-Garantien konkret angeben müssen.

  6. Thomas Schureg Profile Picture
    Thomas Schureg

    Vielen Dank für den guten und kompakten Beitrag. Wie (SaaS-Anbieter) haben das Thema leider sehr spät aufgeriffen, wahrscheinlich wie viele andere. Was im Text in Bezug auf die Subdienstleister gesagt ist, stellt sich in der parktischen Umstzung als sehr komplex dar. Ganz hilfreich dazu auch dieser Anwalts-Praxisleitfaden (www.thomashelbing.com/dsgvo-kit). Das dort beworbene “DSGVO-Kit” war sehr hilfreich aber auch anspruchsvoll in der Umsetzung (was wohl schlicht am Thema liegt, Danke EU ;)

    Mir nicht ganz klar ist die Zusammenarbeit mit Aufsichtsbehörden. Muss dazu etwas vertraglich geregelt werden?

    1. Melodie Dex Profile Picture
      Melodie Dex

      Vielen Dank für Ihr Feedback!
      Zu Ihrer Frage: Die Pflicht zur Zusammenarbeit mit den Aufsichtsbehhörden ergibt sich bereits aus dem Gesetz und erfordert keine zusätzliche vertragliche Regelung.

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.