Pflichten des Auftragsverarbeiters nach DSGVO

Inhalt

Die Verarbeitung von Daten im Auftrag bringt für den Auftragsverarbeiter einige Pflichten mit sich. Nach der Datenschutz-Grundverordnung (DSGVO) ist der Auftragsverarbeiter für die Verarbeitung personenbezogener Daten mitverantwortlich. Auf einige Punkte sollten Dienstleister bei der Auftragsverarbeitung besonders achten – sonst drohen neben der Inanspruchnahme auf Schadensersatz ebenfalls empfindliche Strafen!

Vertragliche Pflichten des Auftragsverarbeiters

Wichtig ist zunächst der Abschluss eines Vertrages zur Auftragsverarbeitung oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten gem. Art. 28 DSGVO. Ohne einen solchen schriftlichen Vertrag besteht keine Rechtsgrundlage für die Verarbeitung durch den Auftragsverarbeiter. Ein fehlender Vertrag führt somit dazu, dass der Auftragsverarbeiter nicht die Vorteile der Privilegierung genießen kann.

Neben gewissen Mindestangaben rund um die datenschutzrechtlichen Rahmenbedingungen des Auftrages, muss dieser Auftragsverarbeitungsvertrag (AV-Vertrag) die in Art. 28 Abs. 3 DSGVO festgelegten Mindestinhalte aufgewiesen. Ohne diese Mindestangaben ist die gesamte Auftragsverarbeitung mangels Rechtsgrundlage unwirksam.

Gesetzliche Pflichten des Auftragsverarbeiter

Neben den Pflichten des Auftragsverarbeiters, welche zwingend im AV-Vertrag geregelt sein müssen, bestehen weitere gesetzliche Pflichten:

Führung eines Verzeichnisses von Verarbeitungstätigkeiten

Jeder Auftragsverarbeiter muss ein schriftliches oder elektronisches Verzeichnis über alle Verarbeitungstätigten der Auftragsverarbeitung führen. Hierzu sieht Art. 30 Abs. 2 DSGVO den erforderlichen Inhalt vor. Es handelt sich im Gegensatz zum Verzeichnis der Verarbeitungstätigkeiten von Verantwortlichen (Art. 30 Abs. 1 DSGVO) um eine deutlich verkürzte Version (in unserem Datenschutzportal finden Sie beide Varianten zum kostenlosen Download). Dieses Verzeichnis ist der Aufsichtsbehörde auf Anfrage gem. Art. 30 Abs. 4 DSGVO zur Verfügung zu stellen.

Zusammenarbeit mit der Aufsichtsbehörde

Art. 31 DSGVO verpflichtet den Auftragsverarbeiter auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgabe zusammen zu arbeiten. Diese Pflicht gilt jedoch nur hinsichtlich Sachverhaltsaufklärungen, die sich ausschließlich mithilfe des Auftragsverarbeiters erreichen lassen. Eine bloße Arbeitserleichterung der Aufsichtsbehörde ist hiermit nicht gemeint.

Vertreter für Auftragsverarbeiter in Drittländern

Auftragsverarbeiter, die keine Niederlassung in der EU haben und personenbezogene Daten von EU-Bürgern verarbeiten, müssen ggfs. gem. Art. 27 Abs. 1 DSGVO schriftlich einen Vertreter in der Union bestellen. Dies ist etwa erforderlich, wenn der Auftragsverarbeiter dem Betroffenen in der Union Waren oder Dienstleistungen anbietet oder wenn der Auftragsverarbeiter das Verhalten Menschen innerhalb der EU beobachtet.

Übermittlungen von Daten an Drittländer und internationale Organisationen

Der Auftragsverarbeiter hat ebenfalls die Beschränkungen für Datenübermittlungen an Unternehmen in Drittländern und internationale Organisationen gem. Art. 44 ff. DSGVO zu beachten. Personenbezogene Daten dürfen nur dann übermittelt werden, wenn die Verarbeitung insgesamt den Anforderungen der DSGVO genügt und im Empfängerland vergleichbare datenschutzrelevante Schutzmechanismen für Betroffene vorgesehen sind.

Als Schutzmechanismen kommen mehrere Möglichkeiten in Betracht.

  • Angemessenheitsbeschluss: Einige Länder außerhalb der Europäischen Union wurden aufgrund ihrer datenschutzrechtlichen Gesetzgebung durch die Europäische Kommission als vergleichsweise sicher anerkannt. Hierzu gehören: Andorra, Argentinien, Färöer, Guernsey, Isle of Man, Israel, Jersey, Kanada, Neuseeland, Schweiz, Uruguay und Vereinigte Staaten (sofern das Unternehmen unter dem EU-U.S. Privacy Shield zertifiziert ist).
  • Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules): Verbindliche interne Datenschutzvorschriften sind derzeit noch sehr selten. Hierbei handelt es sich um interne Regelungen, die sich ein Unternehmen selbst auferlegt. Diese müssen im Wege eines Kohärenzverfahrens von der zuständigen Aufsichtsbehörde genehmigt werden.
  • Standardvertragsklauseln (Standard Contractual Clauses): Bei den Standardvertragsklauseln handelt es sich um die üblichste eingesetzte Datenschutzgarantie. Hierbei werden neben dem AV-Vertrag diese von der Europäischen Kommission vorgegebene Vertragsregelung unterzeichnet. Diese dürfen nicht inhaltlich abgeändert werden, da sie ansonsten nicht mehr als Datenschutzgarantie anerkannt werden.

Risiken des Auftragsverarbeiters

Haftung des Auftragsverarbeiters

Nach Art. 82 DSGVO haften Verantwortliche und Auftragsverarbeiter bei Verletzung der in der DSGVO aufgeführten Pflichten für die beim Betroffenen eingetretenen immateriellen und materiellen Schäden gesamtschuldnerisch. Gesamtschuldnerische Haftung bedeutet, dass der Geschädigte den Schaden nach seiner Wahl entweder beim Verantwortlichen oder beim Auftragsverarbeiter im vollen Umfang herausverlangen kann, unabhängig von der Verantwortlichkeit des Schadenseintritts. Erst nachträglich kann der Auftragsverarbeiter im Innenverhältnis vom Verantwortlichen den Anteil des Schadens zurückfordern.

Der Auftragsverarbeiter kann sich von der Haftung nur dann befreien, wenn er nachweisen kann, dass er sämtliche Verpflichtungen bei der Datenverarbeitung erfüllt hat und „in keinerlei Hinsicht […] verantwortlich ist“.

Drohende Geldbußen für Auftragsverarbeiter

Verarbeiter bzw. Dienstleister sollten die Pflichten im Rahmen der Auftragsverarbeitung nicht auf die leichte Schulter nehmen. Werden die Vorgaben nicht erfüllt, drohen zusätzlich zur oben genannten Haftung je nach Art und Schwere der Ordnungswidrigkeit und unabhängig davon, ob ein Schaden eintritt, Geldbußen von bis zu 20.000.000 Euro oder bis zu 4 % des gesamten weltweit erzielten Umsatzes des vorangegangenen Jahres – je nachdem, welcher Betrag höher ist.

Fazit: Solide schriftliche Vereinbarungen helfen

Unter der DSGVO müssen Auftragsverarbeiter zahlreiche Pflichten erfüllen. Das ist nur konsequent, denn ein hohes Datenschutzniveau muss an jeder Stelle der Verarbeitung gewährleistet werden. Wer jedoch als Dienstleister gegenüber dem Auftraggeber bzw. Verantwortlichen auf einen korrekten Auftragsverarbeitungsvertrag besteht und selbst ein Verzeichnis über Verarbeitungstätigkeiten führt, ist einen großen Schritt weiter.

Dieser aktualisierte Artikel wurde zuerst am 8. September 2017 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.