Auftragsverarbeitungsverträge für IT-Startups
Ein Startup zu gründen ist nicht leicht.
Wer ein Startup gründet, steckt voller Tatendrang und neuer Ideen. Auf dem Weg zur Gründung entstehen Konzepte zur Verwirklichung neuer kreativer Gedanken. Doch nicht nur auf dem Weg zu diesem Ziel, sondern auch bei Durchführung der geschäftlichen Aktivitäten sind eine Menge von gesetzlichen Pflichten zu beachten. Zu diesen zumeist komplizierten Pflichten gehören auch die Regeln zur Einhaltung des Datenschutzes, sofern Du als IT-Dienstleister zur Erfüllung deiner Aufträge auch personenbezogene Daten von Kunden deiner Auftraggeber verarbeiten solltest. Bei der Verarbeitung personenbezogener Daten der Kunden deiner Kunden ist die Datenschutz-Grundverordnung (DSGVO) zu beachten. Denn als datenverarbeitender Auftragnehmer wird auch dein Startup explizit von der Datenschutz-Grundverordnung persönlich als sogenannter „Auftragsverarbeiter“ angesprochen. Als „Auftragsverarbeiter“ gemäß Art. 28 DSGVO sind bestimmte Pflichten umzusetzen. So hat die Datenverarbeitung z.B. auf Grundlage eines Vertrags mit deinem Auftraggeber – „Auftragsverarbeitungsvertrag“ – zu erfolgen. In diesem Vertrag müssen bestimmte Dinge ausdrücklich geregelt sein. Vernachlässigst Du den Datenschutz, drohen deinem Startup empfindliche Strafen. Wir unterstützen Dich dabei, die Vorgaben der DSGVO umzusetzen und die Prozesse deines Startups rechtskonform zu gestalten. So kannst Du Dich entspannt den weiteren relevanten Themen deines Tagesgeschäfts widmen.
Was ist eine Auftragsverarbeitung?
Unternehmen möchten nicht nur sparen und zugleich ihre Flexibilität beibehalten. Oft sind Unternehmen für den Umgang mit enormen Datenmengen und für die Datenverarbeitung nicht ausreichend gerüstet und qualifiziert. Deshalb lagern sie bestimmte Arbeitsbereiche oder teilweise ganze Abteilungen an externe IT-Dienstleister aus. Diese übernehmen die ausgelagerten Aufgabenbereiche als Auftragsverarbeiter, wenn sie im Auftrag eines Anderen personenbezogene Daten verarbeiten. Nach Artikel 4 Nr. 8 DSGVO kann ein Auftragsverarbeiter „eine natürliche oder juristische Person, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ sein.
Auch wenn dem Auftragsverarbeiter ein gewisser Spielraum bei der Umsetzung seines Auftrags verbleibt, handelt er dennoch auf Weisung seines Auftraggebers, des sogenannten „Verantwortlichen“. Art. 28 DSGVO und Art. 29 DSGVO bezeichnen die Beziehung zwischen dem Dienstleister als Auftragnehmer und dem Auftraggeber als „Auftragsverarbeitung“. Aufträge nach Art. 28 DSGVO können Geschäftsbesorgungs-, Miet-, Dienst- oder Werkverträge sein. Somit weist Dir die DSGVO die Rolle des „Auftragsverarbeiters“ zu, wenn Du externe IT-Dienstleistungen anbietest, die den Zugriff auf personenbezogene Daten des Auftraggebers voraussetzen. Zu beachten ist, dass nicht jede Berührung mit fremden Daten genügt, um eine Auftragsverarbeitung anzunehmen. So nimmt etwa das Bayerische Landesamt für Datenschutz nur in den Fällen eine Auftragsverarbeitung an, in denen der Auftrag im Kern bzw. im Schwerpunkt auf die Verarbeitung personenbezogener Daten abzielt. Fehlt es an einer Verarbeitung personenbezogener Daten durch den Dienstleister bzw. an einem technisch-organisatorischen Zugriff auf Daten, liegt keine Auftragsverarbeitung vor.
Die Pflichten der Auftragsverarbeiter nach der DSGVO
Um den Vorgaben der DSGVO zu genügen, statuiert Art. 28 DSGVO eine Reihe von Pflichten, die der Auftragsverarbeiter zu erfüllen hat. Denn der Verantwortliche darf nur mit solchen Auftragsverarbeitern arbeiten, die „hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der Betroffenen Person gewährleistet“. Beispielsweise bestehen folgende Pflichten für Auftragsverarbeiter:
Der Auftragsverarbeitungsvertrag
Nach Art. 28 Absatz 3 Satz 1 DSGVO bedarf die Auftragsverarbeitung zudem des vorherigen Abschlusses eines schriftlichen oder elektronischen Vertrages über die weisungsgebundene Tätigkeit des Auftragnehmers. Die Vorschrift sieht einen Mindestinhalt des Vertrages vor und listet hierfür verschiedene Regelungsbereiche auf, die in jedem Fall vertraglich festzuhalten sind. Art. 28 Abs. 3 Satz 1 DSGVO legt den Mindestinhalt des Vertrages insoweit fest, als der Vertrag in Bezug auf Gegenstand, Dauer, Art und Zweck der Verarbeitung inhaltlich konkret geregelt sein muss. Es ist also von wesentlicher Bedeutung, den Vertragsinhalt so detailliert wie möglich festzulegen. Insbesondere muss der Vertrag vorsehen, dass der Auftragsverarbeiter die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet, Art. 28 Abs. 3 Buchstabe a, Art. 29 DSGVO. Eine Dokumentation der Weisung ist nur dann entbehrlich, wenn der Auftragsverarbeiter nach Unionsrecht oder dem Recht der EU-Mitgliedstaaten ohnehin zur Verarbeitung verpflichtet ist, Art. 29 DSGVO. Der Auftragsverarbeiter sollte bei fehlender Weisung des Verantwortlichen darauf bestehen, dass diese in konkreter Form erteilt und vertraglich manifestiert werden. Gleiches gilt für sonstige Entscheidungen des Verantwortlichen über die Zwecke und Mittel der Datenverarbeitung, denen der Auftragsverarbeiter entsprechen muss. Auch diese sollten im Vertrag eindeutig und konkret formuliert werden.
Folgen fehlender oder ungenauer Auftragsverarbeitungsverträge
Wird ein solcher Vertrag nicht oder nicht ausreichend konkret abgeschlossen, verstößt der Auftragsverarbeiter nicht nur gegen den Datenschutz und erfüllt damit einen eigenen Bußgeldtatbestand nach Art. 83 Abs. 4 Buchstabe a DSGVO. Er setzt sich zugleich der Gefahr aus, sich wegen etwaiger vertraglicher Pflichtverletzungen gegenüber dem Verantwortlichen haftbar zu machen.
Doch auch gegenüber den durch die Datenverarbeitung betroffenen Personen kann sich der Auftragsverarbeiter nach Art. 82 DSGVO unmittelbar haftbar machen. Eine Haftung auf Schadensersatz nach Art. 82 DSGVO kann sich etwa daraus ergeben, dass der Auftragsverarbeiter die Dokumentation von Weisungen des Verantwortlichen unterlässt oder nicht ausreichende Vereinbarungen mit dem Verantwortlichen abschließt. So regelt Art. 82 Abs. 2 Satz 2 DSGVO, dass ein Auftragsverarbeiter für den durch eine Verarbeitung verursachten Schaden haftet, „wenn er seinen speziellen Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des […] Verantwortlichen oder gegen diese Anweisungen gehandelt hat“. Dies bedeutet, dass der von dem Datenschutzverstoß Betroffene von dem Auftragsverarbeiter den vollen materiellen oder immateriellen Schadensersatz, zum Beispiel Schmerzensgeld, verlangen kann.
Wie ist also vorzugehen, um einer Haftung vorzubeugen?
Auftragsverarbeiter sollten einerseits darauf hinwirken, dass eindeutige und dezidierte vertragliche Regelungen über den zu erfüllenden Auftrag getroffen werden. Andererseits ist zu empfehlen, eine vertragliche Regelung über die Haftung im Verhältnis zum Verantwortlichen zu treffen. Zumindest für die Fälle, in denen eine vertragliche Pflichtverletzung in den Verantwortungsbereich des Verantwortlichen fällt, sollte der Auftragsverarbeiter eine Haftungsfreistellung in den Vertrag aufnehmen. Eine Haftung für die Rechtmäßigkeit der Datenverarbeitung besteht für den Auftragsverarbeiter also nur dann, wenn er selbst nicht verordnungskonform mit personenbezogenen Daten umgeht. Weicht der Auftragsverarbeiter etwa von den vertraglichen Vereinbarungen und den Weisungen des Verantwortlichen ab, führt dies darüber hinaus dazu, dass er nach Art. 28 Abs. 10 DSGVO als eigener Verantwortlicher im Sinne der des Art. 4 Nr. 7 DSGVO angesehen werden könnte. Nach dieser Vorschrift ist ein Verantwortlicher u.a. eine natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheidet. Bei Abweichen von Weisungen mutiert der Auftragsverarbeiter somit zum Verantwortlichen, weshalb er mit einem erhöhten Bußgeldrahmen sowie erweiterten Bußgeldtatbeständen rechnen muss.
Wie kann die Erstellung und Verwaltung der Verträge effizient gelingen?
Im Ergebnis solltest Du als IT-Dienstleister in jedem Fall darauf hinwirken, dass ein Vertrag zur Auftragsverarbeitung abgeschlossen wird, sofern im Zuge der Auftragserfüllung auf personenbezogene Daten zugegriffen werden muss. Zugleich ist von wesentlicher Bedeutung, konkrete und klar definierte, die Datenverarbeitung betreffende Regelungen in diesen Vertrag aufzunehmen. Neben individuellen Regelungen können gemäß Art. 28 Abs. 6 DSGVO auch die von der EU-Kommission oder von den zuständigen Aufsichtsbehörden verabschiedeten Standardvertragsklauseln verwendet werden.
Zur effizienten und vereinfachten Erstellung von Auftragsverarbeitungsverträgen können verschiedene Muster-Verträge verwendet werden. Diese können für Transparenz und Eindeutigkeit sowohl auf Seiten der Auftragnehmer als auch auf Seiten der Auftraggeber sorgen, weil sie den Vorgaben der DSGVO entsprechen. Gleichwohl bedürfen Mustervorlagen der individuellen Anpassung und der einzelfallabhängigen Ausfüllung. Wir empfehlen, hierbei Experten bzw. den Datenschutzbeauftragten zu konsultieren.
Brands Consulting unterstützt Dich bei der Etablierung eines geeigneten Standardprozesses und trägt damit aktiv zur Kostenreduzierung bei. Bei der Prüfung von Auftragsverarbeitungsverträgen bewahren wir Dich vor dem Fehlen von gesetzlich vorgeschriebenen Regelungen und weisen Dich zugleich auf Punkte hin, die nicht in einen Auftragsverarbeitungsvertrag gehören. Der Kauf einer unliebsamen Schwiegermutter wäre mit Sicherheit das geringste Übel. Häufig schleichen sich in einen Auftragsverarbeitungsvertrag nämlich Klauseln ein, die in einem Angebot keiner annehmen würde, im „Datenschutz-Vertrag“ allerdings vollkommen untergehen.
Solltest Du noch keinen Datenschutzdienstleister haben, unterbreiten wir Dir gerne ein Angebot für unsere Dienstleistungen, z. B. externer Datenschutzbeauftragter, Datenschutzberatung oder in Form von Datenschutzschulungen.
