ist einem vertrag zwischen verantwortlichen und auftragsverarbeiter zu vereinbaren Wann auftragsverarbeiter? Muster Auftragsverarbeitungsvertrag Auftragsverarbeitungsvertrag Englisch Datenverarbeitungsvertrag Art 28 DSGVO Auftragsverarbeitungsvertrag wann erforderlich Auftragsdatenverarbeitung

Was ist in einem Vertrag zwischen Verantwortlichen und auftragsverarbeiter zu vereinbaren?

  • 12
  • Apr

[Update am 01.06.2018 – Aufgrund ständig neuer Veröffentlichungen und Stellungnahmen, wurde dieser Artikel nun noch mal angepasst!]

[Update am 13.10.2020 – Der Artikel wurde aktualisiert auf Basis der Leitlinie der EDSA mit der Abgrenzung der Begriffe „Verantwortlicher“ und „Auftragsverarbeiter“ !]

Ist Ihr Dienstleister tatsächlich ein Auftragsverarbeiter im Sinne der EU Datenschutzgrundverordnung? Sehr schnell tendiert man dazu, jedem den Titel Auftragsverarbeiter anzuhängen, der auch nur annähernd in die Nähe von personenbezogenen Daten kommt.

Es gibt viele Diskussionen zum Thema. Ist zum Beispiel Google schon ein Auftragsverarbeiter, wenn dort die IP-Adresse erfasst wird? Um die Frage fachlich fundiert zu beantworten, bin ich auf eine sehr gute Dokumentation der Bitkom gestoßen. Es wird dort auf 43 Seiten sehr detailliert über die Auftragsverarbeiter bzw. Auftragsdatenverarbeiter (wie sie vorher hießen) informiert.

Neben dem sehr wertvollen Papier der Bitkom gehe ich noch auf die Stellungnahme der Datenschutzkonferenz ein, die auch eine Aussage über die Auftragsverarbeitung getroffen haben. Ergänzt wird der Artikel im Oktober 2020 durch eine Leitlinie der EDSA zur Abgrenzung von Begrifflichkeiten.

  • Auf den Punkt gebracht: Auftragsverarbeiter und gemeinsame Verantwortliche im Datenschutz
  • Begriffsdefinition Auftragsverarbeiter und gemeinsame Verantwortliche
    • Wer ist überhaupt Verantwortlicher?
    • Was bedeutet „Zweck“?
    • Was bedeutet Mittel?
  • Was sind die Alternativen zur Auftragsverarbeitung?
    • Übermittlung (Funktionsübertragung) aus dem „alten“ BDSG
    • Beispiele für Funktionsübertragung – ALT
  • Auftragsverarbeitung
    • Beispiele für die Auftragsverarbeitung
    • Wann ist ein Dienstleister kein Auftragsverarbeiter
    • Kerntätigkeit im Sinne der Datenverarbeitung
  • Fremde Fachleistungen
    • Beispiele für fremde Fachleistungen
  • Joint Controllership – Gemeinsame Verantwortliche
    • Umsetzung der gemeinsamen Verantwortung
    • Beispiele für Joint Controllership
    • Keine gemeinsame Verantwortlichkeit
  • FAQs Auftragsverarbeitung
    • Muss der AV-Vertrag unterschrieben werden?
    • Wie detailliert müssen die technischen und organisatorischen Maßnahmen im AV-Anhang beschrieben werden?
    • Bin ich dafür Verantwortlich, dass mein Auftragsverarbeiter einen AV mit seinem Subdienstleister hat?
  • Beispiele: Wer ist Auftragsverarbeiter?
  • Bei welchen Dienstleistern sind Sie unsicher, ob es sich um einen Auftragsverarbeiter handelt?
  • Quellen
  • Diesen Beitrag teilenWie hilfreich war der Artikel?Danke!Das ist sicher auch interessant für Sie

Auf den Punkt gebracht: Auftragsverarbeiter und gemeinsame Verantwortliche im Datenschutz

  • Wenn es sich um keinen Auftragsverarbeiter handelt, kann es sich um eine gemeinsame Verantwortlichkeit oder um fremde Fachleistungen handeln
  • Ein Auftragsverarbeiter bestimmt nicht den Zweck und die Mittel der Datenverarbeitung
  • Bei der gemeinsamen Verantwortlichkeit entscheiden beide Parteien über den Zweck und die Mittel der Datenverarbeitung

Begriffsdefinition Auftragsverarbeiter und gemeinsame Verantwortliche

Wer ist überhaupt Verantwortlicher?

Wer für die Daten verantwortlich ist, ergibt sich aus Art. 4 Nr. 7 DSGVO. Des Weiteren ist der Art. 5 DSGVO ebenfalls zu berücksichtigen.

Grundsätzlich ist Verantwortlicher derjenige, der über die Zwecke und Mittel der Datenverarbeitung entscheidet und diese delegiert.

Was bedeutet „Zweck“?

Der Zweck der Verarbeitung ist das „Warum“. Warum benötige ich die Daten für die Verarbeitungstätigkeit? Der Zweck wird im Verfahrensverzeichnis beschrieben und definiert.

Was bedeutet Mittel?

Das Mittel zeigt an, „wie“ die Verarbeitung durchgeführt wird. Als Beispiel können hier Programme, Softwaren oder Applikationen genannt werden.

Was sind die Alternativen zur Auftragsverarbeitung?

Wie schon oben erwähnt, ist es nicht immer eine Auftragsverarbeitung, wenn Daten nicht allein von der verantwortlichen Stelle verarbeitet werden. Es gibt hier drei Möglichkeiten:

  • Auftragsverarbeiter
  • Inanspruchnahme fremder Fachleistungen
  • Joint Controllership (Gemeinsame Verantwortliche)

Jede dieser Optionen hat rechtlich andere Parameter, die berücksichtigt werden müssen.

Diese Fälle richtig auseinander zu halten, ist die Kunst. Ich finde es auch nicht ganz trivial, aber mit den Hinweisen der Bitkom und der DSK ist es etwas einfacher.

Allerdings muss man erwähnen, dass im Leitfaden der Bitkom noch die Funktionsübertragung erwähnt wird, die ich vorher in diesem Artikel auch mehr herausgehoben habe. Nach der DSGVO gibt es diese nun nicht mehr. Momentan sieht es auch nicht danach aus, als würden sich Empfehlungen wieder in diese Richtung anlehnen.

Übermittlung (Funktionsübertragung) aus dem „alten“ BDSG

  • Die Datenverarbeitung personenbezogener Daten spielt eine untergeordnete Rolle
  • Der Auftragnehmer hat nur eine unterstützende Funktion, indem er dem Auftraggeber in einer oder mehreren Phasen der Verarbeitung unterstützt.
  • Der Dienstleister ist quasi der „verlängerte Arm“ des Auftraggebers.
  • Es wird keine Aufgabe in ihrer Vollständigkeit, sondern lediglich ihre technische Ausführung übertragen.

Beispiele für Funktionsübertragung – ALT

  • Ausgelagerte Finanzbuchhaltung
  • Gehaltsabrechnung durch den Steuerberater

Ich empfehle daher, sich nicht mehr auf die Funktionsübertragung zu berufen – was es im allgemeinen aber auch einfacher macht, wie ich finde. Dann hat man noch die Optionen:

  • Auftragsverarbeiter
  • kein Auftragsverarbeiter
    • Fremde Fachleistungen
  • oder Gemeinsame Verantwortliche

Auftragsverarbeitung

Wenn Sie einen Auftragsverarbeiter beauftragen legen Sie die Zwecke und Mittel der Datenverarbeitung fest. Sie sind verantwortlich für die Daten dem Betroffenen gegenüber.

Auch der Auftragsverarbeiter hat eine Unterstützungsfunktion, wenn der Verantwortliche seinen Verpflichtungen nicht alleine nachkommen kann oder will. Der Auftragsverarbeiter muss dann dem Verantwortlichen bei der Erfüllung der Anfragen und Ansprüche des Betroffenen unterstützen.

Es deutet auf eine Auftragsverarbeitung hin, wenn der Auftragnehmer:

  • keine Entscheidungsbefugnis über die Daten hat
  • keinen eigenen Geschäftszweck verfolgt bezüglich der personenbezogenen Daten
  • einem Nutzungsverbot der zu verarbeitenden Daten unterliegt
  • in keiner vertraglichen Beziehung zu den Betroffenen steht, die er verarbeitet
  • und nach außen hin der Auftraggeber für die Datenverarbeitung verantwortlich ist

Ergänzen muss man aber noch, dass zwar der Auftraggeber die Zwecke und Mittel der Verarbeitung festlegt, dies aber nicht bedeutet, dass auch jede technische Schutzmaßnahme durch den Auftraggeber entschieden werden muss. Hier hat der Auftragnehmer durchaus das Recht, eigene Entscheidungen zu treffen.

Beispiele für die Auftragsverarbeitung

  • Outsourcing eines Rechenzentrums
  • Externe Datenhaltung
  • Cloud Systeme  zur Personal- und Kundenverwaltung
  • externe Druckdienstleister
  • Aktenvernichtung, Vernichtung von Datenträgern
  • Marketingagenturen, die auch die Auswertung der Webseitenanalyse durchführen

Wann ist ein Dienstleister kein Auftragsverarbeiter

Laut Bitkom bezog sich die Grenze vor allem bei den IT-Dienstleistern darauf, dass ein Dienstleister, der nur Support Tätigkeit übernimmt und keine aktive Verarbeitung der Daten dabei übernimmt, kein Auftragsverarbeiter ist. Nach der Stellungnahme der DSK wird das nun etwas globaler gesehen.

Kein Auftragsverarbeiter ist daher ein Dienstleister, der z.B. die Wartung an der Stromzufuhr und an der Kühlung übernimmt. Jeglicher IT-Dienstleister, der sich z.B. auf den Rechner per Fernwartung aufschalten kann und dabei Zugriff auf personenbezogene Daten HABEN KÖNNTE, ist demnach ein Auftragsverarbeiter.

Die Beispiele der BitKom, wer kein Auftragsverarbeiter ist, sind nun noch ergänzt mit dem Einfluss des DSK Papiers:

  • Installation und Wartung von Netzwerken, Hardware
    • Telefonanlage, nur solange ein eventueller Zugriff auf personenbezogene Daten ausgeschlossen wird (was eigentlich ja nicht möglich ist)
  • Pflege von Software – wäre nach Stellungnahme der DSK nun immer ein Auftragsverarbeiter
  • Programmentwicklung und -tests von Programmen, die keine personenbezogenen Daten verarbeiten, sei es durch Userkennungen, Protokolle oder durch den originären Zweck des Programms
  • Ein Taxiunternehmen bietet eine Buchungsplattform für die Fahrten an. Die Kerntätigkeit des Taxiunternehmens besteht jedoch in der Beförderung der Fahrgäste. Die Buchungsplattform dient nur als Mittel zum Zweck.

Zudem handelt es sich nicht um einen Auftragsverarbeiter, wenn

  • die Dienstleistung in Gesetzen geregelt ist (Postdienstleistungen – siehe auch weiter unten….)
  • bei E-mail Providern, die nur die E-mail Übermittlung sicherstellen und keine weiteren Funktionen anbieten
  • ausgelagerte Tätigkeiten, deren Kernaufgabe nicht die Verarbeitung von personenbezogenen Daten darstellt, trotzdem aber der Umgang mit personenbezogenen Daten nötig ist (Wachdienst, Reinigungsdienstleistung…)

Kerntätigkeit im Sinne der Datenverarbeitung

Die EDSA zieht zur Abgrenzung auch die Argumentation über die Kerntätigkeit heran. Einige Aufsichtsbehörden folgten dieser Annahme bisher nicht.

Das BayLDA lies diese Argumentation bereits im Jahr 2018, kurz nach Inkrafttreten der DSGVO, in ihrem FAQ zu.

Fremde Fachleistungen

Hier spricht sich nun die Datenschutzkonferenz aus, dass die fremden Fachleistungen sich folgendermaßen auszeichnen:

  • für die Verarbeitung und die Übermittlung gibt es einen eigenen Verantwortlichen
  • für die Verarbeitung muss eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen

[Update am 05.08.2018]

Es muss doch immer eine Rechtsgrundlage nach Art. 6 vorliegen, oder?
Beim Auftragsverarbeiter aber nur INDIREKT. Der Verantwortliche muss eine Rechtsgrundlage nach Art. 6 DSGVO haben. Der Auftragsverarbeiter hat diese in der Regel nicht. Liest man sich nämlich den Gesetzestext in Art. 6 genau durch, dann heißt es, es muss z.B. bei Art. 6 (1) lit. b ein Vertrag zwischen dem Betroffenen und dem Verantwortlichen existieren. Das heißt aber auch, dass diese Rechtsgrundlage für den Auftragsverarbeiter nicht gilt, da er ja nicht der Verantwortliche ist, sondern „nur“ der Dienstleister. Es gibt also keine Rechtsgrundlage beim Auftragsverarbeiter. Diese braucht er dementsprechend auch nicht dokumentieren (es ist nämlich keine Pflichtanforderung in Verfahrensverzeichnis!).
Aber zurück zu den fremden Fachleistungen. Wenn beim Dienstleister, der als „fremde Fachleistung“ gilt, eine Rechtsgrundlage vorliegen muss, sieht das ganz anders aus. Das heißt, es muss z.B. ein direkter Vertrag zwischen dem Betroffenen und dem Dienstleister existieren, was z.B. bei nachfolgenden Beispielen exakt der Fall ist.

Beispiele für fremde Fachleistungen

Die DSK kategorisiert in Ihrer Stellungnahme folgende Gruppen

  • Berufsgeheimnisträger (Steuerberater, Anwälte, externe Betriebsärzte, Wirtschaftsprüfer…)
  • Inkassobüros mit Forderungsübertragung
  • Bankinstitute für den Geldtransfer
  • Postdienst…

[Update am 02.02.2019]

Weitere Beispiele hat das Bayerische Landesamt für Datenschutz in einer Übersicht zusammen gestellt. Hier können Sie das Dokument einsehen.

Joint Controllership – Gemeinsame Verantwortliche

Die DSGVO ermöglicht neben der alleinigen Verantwortung für ein Verfahren ein arbeitsteiliges Zusammenwirken. Dabei können „zwei oder mehr Verantwortlich“ gemeinsam die Verantwortung für die Verarbeitung personenbezogener Daten übernehmen.

Damit haben also alle verantwortlichen Stellen die Entscheidung über Zwecke und Mittel der Verarbeitung. Im Gegensatz zum Auftragsverarbeiter, bei dem keine Entscheidungsbefugnis über die Zwecke und Mittel der Verarbeitung vorliegt.

Bei der Entscheidungsbefugnis geht es nicht um untergeordnete Entscheidungen, welche Verschlüsselung eingesetzt wird oder wie die Akten entsorgt werden. Die Schutzmöglichkeiten nach dem aktuellen Stand der Technik wählt natürlich der Auftragsverarbeiter frei. Die erwähnte Entscheidungsbefugnis bezieht sich auf die Zwecke und Mittel der Verarbeitung allgemein.

Interessant fand ich den Hinweis, dass maßgeblich ein faktisches Verhalten entscheidend ist, ob es sich um gemeinsame Verantwortliche handelt. Nicht der gemeinsame Wille regelt die Joint Controllership, sondern eben das Verhalten, also wie es tatsächlich gelebt wird.

Umsetzung der gemeinsamen Verantwortung

Es ist zwar kein Vertrag zur Auftragsverarbeitung nötig, trotzdem müssen ein paar Punkte dokumentiert werden.

  • Welcher der Partner hat welche Pflichten nach der DSGVO
  • Wer übernimmt die Wahrung welcher Betroffenenrechte
  • Welcher der Partner übernimmt die Informationspflicht

Beispiele für Joint Controllership

Die aktuellen Beispiele der DSK sind etwas anders als die der Bitkom. Hier also die aktuellen der DSK:

  • klinische Arzneimittelstudien bei mehreren Verantwortlichen, die eigene Entscheidungen treffen (in Teilbereichen)
  • mehrere Unternehmen eines Konzerns, die gemeinsam bestimmte Datenkategorien verwalten und für gleichlaufende Geschäftszwecke verarbeiten
  • Soziale Medien, wenn Sie als Unternehmer eine Unternehmens- oder Fanpage betreiben
  • Reisebüro
  • Forschungsprojekt Institute
  • Marketingveranstaltung mehrere Unternehmen
  • Klinische Studien
  • Headhunter (konkreter Einzelfall)

Keine gemeinsame Verantwortlichkeit

  • Übermittlung Lohndaten an Finanzverwaltung (gesetzlich geregelt)
  • Gemeinsame Nutzung einer Datenbank mit getrennten Bereichen – Mandantenfähigkeit / Berechtigungskonzepte etc.
  • Gemeinsame Infrastruktur (Rechenzentren etc.)

Pin it on Pinterest!

FAQs Auftragsverarbeitung

Muss der AV-Vertrag unterschrieben werden?

Nein. Eine Unterschrift ist nicht zwingend erforderlich. Es ist ausreichen, wenn der Auftraggeber und Auftragnehmer die Vereinbarung bekunden. Dies kann mündlich oder konkludent erfolgen.

Es wird jedoch zu Nachweiszwecken empfohlen, den Vertrag schriftlich und mit einer Unterschrift abzuschließen.

Wie detailliert müssen die technischen und organisatorischen Maßnahmen im AV-Anhang beschrieben werden?

Hier lässt der EDSA einen gewissen Spielraum offen.

In der Leitlinie heißt es frei übersetzt, dass in einigen Fällen der Auftraggeber eine detaillierte Beschreibung der TOMs verlangen kann.

Welche Fälle damit gemeint sind, ist vermutlich wieder Auslegungssache. Es wäre wünschenswert, wenn diese Fälle im offiziellen Papier beispielshaft beschrieben werden.

In allen anderen Fällen sind zumindest die Sicherheitsvorgaben nach Art. 32 DSGVO einzuhalten.

Beispiel:

Sofern sensible Daten (z.B. Gesundheitsdaten) seitens des Auftragnehmers verarbeitet werden, bietet es sich an ein ausführlicheres Sicherheitskonzept vorzulegen.

Bei Fällen, in denen nur „normale“ personenbezogene Daten (Name, Adresse, E-Mail-Adresse etc.) verarbeitet werden, ist eine Anlehnung und Auflistung nach Art. 32 DSGVO ausreichend.

Bin ich dafür Verantwortlich, dass mein Auftragsverarbeiter einen AV mit seinem Subdienstleister hat?

Ja und nein. Sie mit müssen mit Ihrem Auftragsverarbeiter einen AV-Vertrag schließen. In diesem müssen Sie sicherstellen, dass der Umgang mit Subdienstleistern geregelt ist. Das heißt, die Anforderungen von Ihnen als Verantwortlicher müssen an den Unterlieferanten weiter gegeben werden.

Damit ist Ihr Auftragsverarbeiter verpflichtet, mit seinen Subdienstleistern einen AV-Vertrag zu schließen.

Sie müssen regelmäßig prüfen oder einen Nachweis haben, dass Ihr Auftragsverarbeiter diese Vorgaben auch einhält. Dies kann auf unterschiedlichen Wegen passieren. Sie auditieren den Auftragsverarbeiter vor Ort und lassen sich die AV-Verträge zeigen. In vielen Fällen wird dies eher unwahrscheinlich sein. Sie können auch Fragebögen ausgeben und diese beantworten lassen oder Sie lassen sich Prüfberichte oder Zertifikate vorlegen.

Beispiele: Wer ist Auftragsverarbeiter?

Hier handelt es sich nur um einen Auszug und ein paar Beispiele. Die Liste ist natürlich nicht vollständig.

Wenn Sie einen dieser Dienste als Privatperson nutzen, handelt es sich um KEINE Auftragsverarbeitung.

AnbieterAuftragsverarbeiterErläuterungLink
Dropbox Ja Cloud
GMX Nein sofern nur E-Mail Service genutzt wird
Google Ja GSuite und andere Cloud-Services
Hetzner Ja Server, Webhosting, Cloud..
Ionos Ja Server, Webhosting, Cloud..
Jimdo Ja Online-CMS
Linkedin Nein Eine Unternehmensseite ist keine Auftragsverarbeitung
Lohnbüro Ja Wenn kein Steuerberater
Newsletterdienstleister Ja
SendinBlue Ja Newsletterdienstleister
Reinigungsfirma Nein
Strato Ja Server, Webhosting, Cloud..
wordpress.org Ja Online CMS (nicht ein eigenes installiertes WordPress)

Bei welchen Dienstleistern sind Sie unsicher, ob es sich um einen Auftragsverarbeiter handelt?

Ich freue mich über Ihren Kommentar!

Quellen

Quelle: Bitkom

Datenschutzkonferenz unter diesem Link.

LfDI Baden-Württemberg: FAQ zur Abgrenzung der Verantwortlichkeiten und des Konzepts der Auftragsverarbeitung

Wie hilfreich war der Artikel?

Was regelt ein Vertrag zur Auftragsverarbeitung?

Der zu schließende AV-Vertrag regelt die Rechte und Pflichten von Aufraggeber und Auftragnehmer sowie ggfs. einzusetzenden Subdienstleistern. So soll u. a. gewährleistet werden, dass der Auftragnehmer die ihm anvertrauten Daten nur zu den Zwecken verarbeitet, für die der Auftraggeber die Daten erhoben hat.

Was regelt eine AVV?

Bei einem Auftragsverarbeitungsvertrag (AVV) handelt es sich um eine zentrale Anforderung der DSGVO: Werden personenbezogene Daten von einem Dienstleister weisungsgebunden im Auftrag verarbeitet, ist der Abschluss eines AVV erforderlich.

Was versteht man unter auftragsverarbeiter?

Die Datenschutz-Grundverordnung definiert in Artikel 4 Nummer 8 den Begriff Auftragsverarbeiter. Auftragsverarbeiter ist danach eine natürliche oder juristische Person, eine Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Wann auftragsverarbeiter?

Der Auftragsverarbeiter Um von einer Auftragsverarbeitung ausgehen zu können, müssen zwei Kriterien vorliegen: Es muss sich zum einen, um einen von dem Verantwortlichen getrennten Akteur handeln. Zum anderen müssen die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden.

zusammenhängende Posts

Warum wird man rot wenn man verliebt ist
19.05.17 wer ist raus bei lets dance
S9 plus und s9 wo ist der unterschied
Welcher SMTP Server für Web de?
Was ist schlecht bei hohem Cholesterin?
Kann man bluten wenn man schwanger ist?
Wie lange ist thc im urin
Warum ist Marta nicht bei Lets Dance 2022?
Wer ist im halbfinale von the voice of germany
Was ist die größte Stadt in der usa

Toplist

Neuester Beitrag

Stichworte