Pflichten des Auftragsverarbeiters nach DSGVO

Die Verarbeitung von Daten im Auftrag bringt für den Auftragsverarbeiter einige Pflichten mit sich. Nach der Datenschutz-Grundverordnung (DSGVO) ist der Auftragsverarbeiter für die Verarbeitung personenbezogener Daten mitverantwortlich. Auf einige Punkte sollten Dienstleister bei der Auftragsverarbeitung besonders achten – sonst drohen neben der Inanspruchnahme auf Schadensersatz ebenfalls empfindliche Strafen!

Vertragliche Pflichten des Auftragsverarbeiters

Wichtig ist zunächst der Abschluss eines Vertrages zur Auftragsverarbeitung gem. Art. 28 DSGVO. Ohne einen solchen schriftlichen Vertrag besteht keine Rechtsgrundlage für die Verarbeitung durch den Auftragsverarbeiter. Ein fehlender Vertrag führt somit dazu, dass der Auftragsverarbeiter nicht die Vorteile der Privilegierung genießen kann.

Neben gewissen Mindestangaben rund um die datenschutzrechtlichen Rahmenbedingungen des Auftrages, muss dieser Auftragsverarbeitungsvertrag (AV-Vertrag) die in Art. 28 Abs. 3 DSGVO festgelegten Mindestinhalte aufgewiesen. Ohne diese Mindestangaben ist die gesamte Auftragsverarbeitung mangels Rechtsgrundlage unwirksam.

Gesetzliche Pflichten des Auftragsverarbeiter

Neben den Pflichten des Auftragsverarbeiters, welche zwingend im AV-Vertrag geregelt sein müssen, bestehen weitere gesetzliche Pflichten:

Führung eines Verzeichnisses von Verarbeitungstätigkeiten

Jeder Auftragsverarbeiter muss ein schriftliches oder elektronisches Verzeichnis über alle Verarbeitungstätigten der Auftragsverarbeitung führen. Hierzu sieht Art. 30 Abs. 2 DSGVO den erforderlichen Inhalt vor. Es handelt sich im Gegensatz zum Verzeichnis der Verarbeitungstätigkeiten von Verantwortlichen (Art. 30 Abs. 1 DSGVO) um eine deutlich verkürzte Version (in unserem Datenschutzportal finden Sie beide Varianten zum kostenlosen Download). Dieses Verzeichnis ist der Aufsichtsbehörde auf Anfrage gem. Art. 30 Abs. 4 DSGVO zur Verfügung zu stellen.

Zusammenarbeit mit der Aufsichtsbehörde

Art. 31 DSGVO verpflichtet den Auftragsverarbeiter auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgabe zusammen zu arbeiten. Diese Pflicht gilt jedoch nur hinsichtlich Sachverhaltsaufklärungen, die sich ausschließlich mithilfe des Auftragsverarbeiters erreichen lassen. Eine bloße Arbeitserleichterung der Aufsichtsbehörde ist hiermit nicht gemeint.

Vertreter für Auftragsverarbeiter in Drittländern

Auftragsverarbeiter, die keine Niederlassung in der EU haben und personenbezogene Daten von EU-Bürgern verarbeiten, müssen gem. Art. 27 Abs. 1 DSGVO schriftlich einen Vertreter in der Union bestellen.

Übermittlungen von Daten an Drittländer und internationale Organisationen

Der Auftragsverarbeiter hat ebenfalls die Beschränkungen für Datenübermittlungen an Unternehmen in Drittländern und internationale Organisationen gem. Art. 44 ff. DSGVO zu beachten. Personenbezogene Daten dürfen nur dann übermittelt werden, wenn die Verarbeitung insgesamt den Anforderungen der DSGVO genügt und im Empfängerland vergleichbare datenschutzrelevante Schutzmechanismen für Betroffene vorgesehen sind.

Als Schutzmechanismen kommen mehrere Möglichkeiten in Betracht.

  • Angemessenheitsbeschluss: Einige Länder außerhalb der Europäischen Union wurden aufgrund ihrer datenschutzrechtlichen Gesetzgebung durch die Europäische Kommission als vergleichsweise sicher anerkannt. Hierzu gehören: Andorra, Argentinien, Färöer, Guernsey, Isle of Man, Israel, Jersey, Kanada, Neuseeland, Schweiz, Uruguay und Vereinigte Staaten (sofern das Unternehmen unter dem EU-U.S. Privacy Shield zertifiziert ist).
  • Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules): Verbindliche interne Datenschutzvorschriften sind derzeit noch sehr selten. Hierbei handelt es sich um interne Regelungen, die sich ein Unternehmen selbst auferlegt. Diese müssen im Wege eines Kohärenzverfahrens von der zuständigen Aufsichtsbehörde genehmigt werden.
  • Standardvertragsklauseln (Standard Contractual Clauses): Bei den Standardvertragsklauseln handelt es sich um die üblichste eingesetzte Datenschutzgarantie. Hierbei werden neben dem AV-Vertrag diese von der Europäischen Kommission vorgegebene Vertragsregelung unterzeichnet. Diese dürfen nicht inhaltlich abgeändert werden, da sie ansonsten nicht mehr als Datenschutzgarantie anerkannt werden.

Risiken des Auftragsverarbeiters

Haftung des Auftragsverarbeiters

Nach Art. 82 DSGVO haften Verantwortliche und Auftragsverarbeiter bei Verletzung der in der DSGVO aufgeführten Pflichten für die beim Betroffenen eingetretenen immateriellen und materiellen Schäden gesamtschuldnerisch. Gesamtschuldnerische Haftung bedeutet, dass der Geschädigte den Schaden nach seiner Wahl entweder beim Verantwortlichen oder beim Auftragsverarbeiter im vollen Umfang herausverlangen kann, unabhängig von der Verantwortlichkeit des Schadenseintritts. Erst nachträglich kann der Auftragsverarbeiter im Innenverhältnis vom Verantwortlichen den Anteil des Schadens zurückfordern.

Der Auftragsverarbeiter kann sich von der Haftung nur dann befreien, wenn er nachweisen kann, dass er sämtliche Verpflichtungen bei der Datenverarbeitung erfüllt hat und „in keinerlei Hinsicht […] verantwortlich ist“.

Drohende Geldbußen für Auftragsverarbeiter

Verarbeiter bzw. Dienstleister sollten die Pflichten im Rahmen der Auftragsverarbeitung nicht auf die leichte Schulter nehmen. Werden die Vorgaben nicht erfüllt, drohen zusätzlich zur oben genannten Haftung je nach Art und Schwere der Ordnungswidrigkeit und unabhängig davon, ob ein Schaden eintritt, Geldbußen von bis zu 20.000.000 Euro oder bis zu 4 % des gesamten weltweit erzielten Umsatzes des vorangegangenen Jahres – je nachdem, welcher Betrag höher ist.

Fazit: Solide schriftliche Vereinbarungen helfen

Unter der DSGVO müssen Auftragsverarbeiter zahlreiche Pflichten erfüllen. Das ist nur konsequent, denn ein hohes Datenschutzniveau muss an jeder Stelle der Verarbeitung gewährleistet werden. Wer jedoch als Dienstleister gegenüber dem Auftraggeber bzw. Verantwortlichen auf einen korrekten Auftragsverarbeitungsvertrag besteht und selbst ein Verzeichnis über Verarbeitungstätigkeiten führt, ist einen großen Schritt weiter.

Dieser aktualisierte Artikel wurde zuerst am 8. September 2017 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

8 Kommentare

  1. Volker Mönch Profile Picture
    Volker Mönch

    An Melodie Dex:
    Gilt das auch für die Anlage „TOM“ zur Datenschutzvereinbarung mit Kunden? Auch hier möchten wohl die meisten nicht ihre Einkaufsquellen offenbaren, sondern nur die Kategorie der Dienstleister …

    1. Melodie Dex Profile Picture
      Melodie Dex

      Gegenüber Ihrem Auftraggeber im Rahmen einer Auftragsverarbeitung im Sinne des Art. 28 DSGVO sind Sie durchaus auskunftspflichtig. Der Auftraggeber hat bezüglich der Wahl seiner Dienstleister die Pflicht nur solche Dienstleister auswählen welche hinreichende technichnische und organisatorische Maßnahmen treffen. Diese Auswahlpflicht erstreckt sich bis zum letzten Unterauftragsverarbeiter, da der Auftraggeber auch im Verhältnis zu diesem Verantwortlicher bleibt. Deshalb ist der Einsatz von Unterauftragsverarbeitern genehmigungsbedürftig und im Einzelfall darf der Auftraggeber gegen den Einsatz eines Sub-Dienstleisters Einspruch erheben.

      1. Sebastian Kretzschmar Profile Picture
        Sebastian Kretzschmar

        Guten Tag,

        bezieht sich das jeweils auch nur auf jene Unterauftragsverarbeiter, welche an der Verarbeitung der Daten des Verantwortlichen beteiligt sind, oder sämtliche beim Auftragsverarbeiter eingesetzte Dienstleister zu denen ein Auftragsverarbeitungsverhältnis besteht?

        1. Melodie Dex Profile Picture
          Melodie Dex

          Tatsächlich bezieht sich dies nach dem Wortlaut des Gesetzes auf die gesamte Kette der Auftragsverarbeiter. Eine strikte Anwendung des Gesetzes dürfte jedoch praktisch unmöglich sein.

  2. Rainer Scherlies Profile Picture
    Rainer Scherlies

    Erst mal eine DANKE an active Mind!!!
    Wir sind ein Kleinunternehmen und arbeiten als Reseller.
    Mit unseren AVs haben wir einen Vertrag geschlossen, welcher den Behörden vorgelegt werden kann. Was ich aber nicht möchte ist: In meiner Datenschutzerklärung meine Lieferanten namentlich zu benennen. Das wäre für mich geschäftsschädigend, da ja meine Wettbewerber und meine Kunden Einblick in Internas hätten. Weiß jemand näheres? Besten Dank

    1. Melodie Dex Profile Picture
      Melodie Dex

      Vielen Dank für Ihr Feedback.
      Soweit sich diese Dienstleister innerhalb der EU befinden müssen Sie diese nicht namentlich nennen. Nach derzeitiger Einschätzung genügt es die Kategorie der Dienstleister bezeichnen. Soweit Sie jedoch Dienstleister außerhalb der EU einsetzen, ist eine namentiche Bezeichnung notwendig, da Sie auch deren Datenschutz-Garantien konkret angeben müssen.

  3. Thomas Schureg Profile Picture
    Thomas Schureg

    Vielen Dank für den guten und kompakten Beitrag. Wie (SaaS-Anbieter) haben das Thema leider sehr spät aufgeriffen, wahrscheinlich wie viele andere. Was im Text in Bezug auf die Subdienstleister gesagt ist, stellt sich in der parktischen Umstzung als sehr komplex dar. Ganz hilfreich dazu auch dieser Anwalts-Praxisleitfaden (www.thomashelbing.com/dsgvo-kit). Das dort beworbene „DSGVO-Kit“ war sehr hilfreich aber auch anspruchsvoll in der Umsetzung (was wohl schlicht am Thema liegt, Danke EU ;)

    Mir nicht ganz klar ist die Zusammenarbeit mit Aufsichtsbehörden. Muss dazu etwas vertraglich geregelt werden?

    1. Melodie Dex Profile Picture
      Melodie Dex

      Vielen Dank für Ihr Feedback!
      Zu Ihrer Frage: Die Pflicht zur Zusammenarbeit mit den Aufsichtsbehhörden ergibt sich bereits aus dem Gesetz und erfordert keine zusätzliche vertragliche Regelung.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.