Die Auftragsdatenverarbeitung (ADV) dürfte fast jede Organisation betreffen. Der Hintergrund ist, dass das Auslagern von einzelnen Aufgaben, wie die Betreuung von IT-Systemen, die Entsorgung von Akten oder das Erstellen von Lohn- und Gehaltsabrechnungen, an externe Dienstleister, in der Regel dazu führt, dass auch personenbezogene Daten durch den Dienstleister verarbeitet werden. Dennoch dürfte jedem Datenschutzbeauftragten der Satz „Wir geben keine personenbezogenen Daten an Dienstleister“ bekannt sein. Diese Fehleinschätzung ist oftmals nur der Anfang einer ganzen Reihe weiterer falscher Einschätzungen, die sich rund um die Auftragsdatenverarbeitung drehen.
Der Klassiker: „Wir übermitteln keine personenbezogenen Daten!“
Wie bereits erläutert, nehmen verantwortliche Stellen häufig an, dass sie gar keine personenbezogenen Daten an Dienstleister übermitteln respektive weitergeben. Dies hat meistens zwei Gründe:
- Innerhalb der Organisationen besteht Unklarheit über die Begrifflichkeit der personenbezogenen Daten.
- Die verantwortliche Stelle nimmt an, dass eine Auftragsdatenverarbeitung nur dann vorliegt, wenn sie personenbezogene Daten direkt an den Dienstleister übermittelt.
Was sind personenbezogene Daten?
Das BDSG gibt mit der sogenannten Legaldefinition in § 3 Abs. 1 BDSG eine erste Hilfestellung hierzu: „Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).„
Unter bestimmten personenbezogenen Daten sind Informationen zu verstehen, die einer Person direkt zugeordnet werden können, wie zum Beispiel der Name. Die Kontonummer, das KFZ-Kennzeichen oder die Telefonnummer sind wiederrum bestimmbare personenbezogene Daten, denn der Bezug zu einer Person lässt sich erst unter Zuhilfenahme weiter Informationen herstellen.
Wann liegt eine Auftragsdatenverarbeitung vor?
In vielen verantwortlichen Stellen besteht häufig Uneinigkeit bzw. Unklarheit, wann überhaupt eine Auftragsdatenverarbeitung vorliegt. Dies ist insbesondere der Fall, wenn tatsächlich keine personenbezogenen Daten direkt weitergegeben werden, jedoch der potentielle Zugriff durch den Dienstleister nicht ausgeschlossen werden kann. Wird zum Beispiel ein IT-Dienstleister eingesetzt, so werden oftmals keine personenbezogenen Daten direkt an diesen übermittelt, allerdings hat der IT-Dienstleister i. d. R. Zugriff auf eine Vielzahl an personenbezogenen Daten. Auch in diesen Fällen liegt nach § 11 Abs. 5 Bundesdatenschutzgesetz (BDSG) eine Auftragsdatenverarbeitung vor.
„Handschlag reicht aus!“
Geht es um die Auftragsdatenverarbeitung, dann sollte die verantwortliche Stellen einen näheren Blick in § 11 BDSG werfen. Sofern dies erfolgt, dürfte auffallen, dass in § 11 Abs. 2 Satz 2 BDSG erklärt wird, dass der Auftrag schriftlich zu erfolgen hat.
Hat die verantwortliche Stelle entgegen § 11 Absatz 2 Satz 2 BDSG einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt, so könnten Bußgelder von bis zu 50.000 Euro verhängt werden. Auch mit der Europäischen Datenschutz-Grundverordnung bleibt die Auftragsverarbeitung gemäß Art. 28 DS-GVO weiterhin eine Art privilegierte Form der Verarbeitung personenbezogener Daten. Natürlich war es auch dem europäischen Gesetzgeber klar, dass Unternehmen nicht ohne den Einsatz von Dienstleistern überstehen können. Dies gilt selbstverständlich auch für Behörden, Vereine und sonstige verantwortliche Stellen. Welche Fehler Sie beim Einsatz von Dienstleistern nicht begehen dürfen, führen wir im weiteren Text aus.
Gerade im Hinblick auf die Datenschutz-Grundverordnung steigen die Sanktionen im Datenschutz, Leichtsinnigkeit sollte daher zwingend unterlassen werden!
„Soll der Dienstleister sich doch darum kümmern!“
Auch eine bekannte Fehleinschätzung, die zu Sanktionen führen könnte. Der Hintergrund ist, dass bei einer Auftragsdatenverarbeitung der Auftraggeber weiterhin die Verantwortung für personenbezogenen Daten trägt, die er an den Dienstleister übermittelt. Umso wichtiger ist es also, dass der Auftraggeber sicherstellt, dass der Dienstleister ausreichende Maßnahmen zum Schutz der personenbezogenen Daten ergreift und die Daten strikt nach Weisung des Auftraggebers verarbeitet.
Aus diesem Grund liegt die Verantwortung aber auch das Interesse, einen ADV-Vertrag abzuschließen beim Auftraggeber und nicht beim Auftragnehmer.
„Der Datenschutz beim Dienstleister interessiert uns nicht!“
Der Auftraggeber bleibt, wie bereits erläutert, für die Daten, die an den Dienstleister übermittelt werden, verantwortlich.
Für ein besseres Verständnis kann man sich den Auftragnehmer als eine externe Abteilung der Organisation vorstellen. Es wäre sehr unvorteilhaft, wenn die internen Abteilungen zahlreiche Maßnahmen ergreifen, um personenbezogene Daten zu schützen, wie zum Beispiel die Installation einer Alarmanlage, zentrale Ausgabe von Zutrittsmitteln, der Einsatz von sicheren Passwörtern, Shredder bei der Entsorgung von Unterlagen etc. und die externe Abteilung die Türen rund um die Uhr offen stehen lässt, die Rechner nicht sperrt und sämtlichen Unterlagen – ohne vorheriger Vernichtung – im Papierkorb entsorgt.
„Wenn ein Leistungsvertrag besteht, brauchen wir doch keinen Vertrag zur Auftragsdatenverarbeitung!“
Ein Leistungsvertrag bezieht sich, wie der Name es schon erahnen lässt, in der Regel auf die vereinbarten Leistungen. Punkte die in dem Leistungsvertrag abgebildet sein könnten, sind die Tätigkeiten des Dienstleisters, die Vertragsdauer, die Vergütung, die Haftung etc. Selbstverständlich könnte bereits der Leistungsvertrag wesentliche Punkte beinhalten, die aus Datenschutzsicht relevant sind, allerdings dürfte der Leistungsvertrag selten alle Regelungspunkte abbilden, die unter § 11 Abs. 2 Satz 2 BDSG gefordert werden.
„10-Punkte-Katalog? Kenn ich nicht!“
Ist im Datenschutz die Rede von einem 10-Punkte-Katalog, so sind die in § 11 Abs. 2 Satz 2 BDSG geforderten Regelungspunkte gemeint, die in keinem Leistungsvertrag fehlen sollten.
Häufig werden Verträge zur Auftragsdatenverarbeitung abgeschlossen, die die geforderten Regelungspunkte gar nicht oder nur unzureichend abbilden, allerdings gilt auch hier, dass sofern der Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt wurde, Bußgelder von derzeit bis zu 50.000 Euro verhängt werden können. Mit der Datenschutz-Grundverordnung können Verstöße mit bis zu 10.000.000 Euro bzw. 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden, Art. 83. Abs. 4 DS-GVO.
Es ist daher empfehlenswert vor Einsatz von Dienstleistern fachkundigen Rat und Unterstützung beim Abschluss von ADV-Verträgen einzuholen.
„Dann nehmen Sie doch einfach einen Standardvertrag aus dem Internet!“
Ein Standvertrag ist bei der Auftragsdatenverarbeitung keine Lösung, den vor allem die unter § 11 Abs. 2 Satz 2 Nr. 1-3 BDSG festgelegten Punkte, sollten individuell für den jeweiligen Auftrag benannt werden.
Der Grund ist, dass unter anderem der Gegenstand des Auftrags sowie die betroffenen Daten und die betroffenen Personen beschrieben werden sollen. Dies dürfte jedoch von Auftrag zu Auftrag unterschiedlich aussehen.
„Vertrauen ist die Basis für eine gute Geschäftsbeziehung!“
Natürlich ist Vertrauen die Basis für eine gute Geschäftsbeziehung, aber wie heißt es doch so schön: „Vertrauen ist gut, Kontrolle ist besser!“.
Zwar ist ein guter Eindruck vom Dienstleister für die Auftragsvergabe entscheidend, allerdings sollten weitere Punkte vor Vergabe des Auftrags berücksichtigt werden, vor allem wenn der Dienstleister auf personenbezogene Daten zugreifen bzw. der Zugriff nicht ausgeschlossen werden kann.
In § 11 Abs. 2. Satz 3 heißt es, dass der Auftraggeber sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen hat.
Deshalb sollte auch Kontrollrechte des Auftraggeber im ADV-Vertrag klar geregelt und die Weitergabe von personenbezogenen Daten erst nach Prüfung des Dienstleisters erfolgen.
„Der Sitz des Dienstleisters spielt keine Rolle!“
Es sollte bei der Auftragsdatenverarbeitung geprüft werden, wo der Dienstleister seinen Sitz hat.
Verarbeitet der Dienstleister mit Sitz innerhalb der EU /des EWR personenbezogene Daten im Auftrag und nach Weisung des Auftraggebers, so greift die Fiktion der „Nicht-Übermittlung“, wodurch das Einholen von informierten Einwilligungen oder die Prüfung weiterer Rechtsgrundlagen nicht notwendig ist.
Eine Datenübermittlung an einen Dienstleister im Drittland (außerhalb der EU / des EWR), auch wenn der Dienstleister die Daten ausschließlich nach Weisung des Auftraggebers verarbeitet, wird nicht mehr als „Nicht-Übermittlung“ eingestuft. Bei einer Datenübermittlung an einen Dienstleister im Drittland muss deshalb geprüft werden, ob die Übermittlung auf Basis einer Rechtsgrundlage erfolgen kann. Liegt diese nicht vor, so müssen informierte Einwilligungen eingeholt werden. Sollte eine Rechtsgrundlage vorliegen, müsste zudem geprüft werden, ob für das Drittland ein angemessenes Datenschutzniveau festgestellt wurde.
„Unterauftragnehmer? Geht uns nichts mehr an!“
Regelungspunkte in Hinblick auf Unterauftragsverhältnisse sollten ebenfalls im ADV-Vertrag abgebildet werden, um auch hier Kontrollrechte sicherzustellen.
Auch sollte die Datenübermittlung an Unterauftragnehmer außerhalb der EU / des EWR klar geregelt werden, ansonsten könnte der Dienstleister Daten, die im Verantwortungsbereich des Auftraggebers liegen, an einen Unterauftragnehmer in einem Drittland ohne angemessenes Datenschutzniveau auslagern.
