Auftragsverarbeitung – wann braucht man einen Vertrag?

Einen Auftragsverarbeitungsvertrag (AVV) fordert der Gesetzgeber immer dann, wenn ein Dienstleister im Auftrag einer verantwortlichen Stelle personenbezogene Daten verarbeitet. Demnach muss zunächst von der verantwortlichen Stelle geklärt werden, ob überhaupt ein Auftragsverhältnis im Sinne des Art. 28 I DSGVO vorliegt, um im Anschluss weitere rechtliche Anforderungen zur Konkretisierung dieses Verhältnisses vorzunehmen.

Gemäß Art. 4 Nr. 8 DSGVO handelt es sich bei einem Auftragsverarbeiter um „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.

Demgegenüber handelt es sich bei einem Verantwortlichen gemäß Art. 4 Nr. 7 DSGVO um jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Aus diesen beiden Definitionen wird deutlich, dass dann eine Auftragsverarbeitung vorliegt, wenn personenbezogene Daten nach Vorgaben einer verantwortlichen Stelle verarbeitet werden. Diese Vorgaben klären grundsätzlich das „Wie“ und „Warum“ der Datenverarbeitung. Diese Weisungsgebundenheit des Auftragsverarbeiters führt dazu, dass der Auftraggeber weiterhin „Herr der Verarbeitung“ ist. Einzig die Entscheidung über die technische und organisatorische Herangehensweise der Datenverarbeitung kann dem Auftragsverarbeiter überlassen werden. Dieser verfügt in der Regel über eine höhere Fachkunde in der Durchführung des Verarbeitungsprozesse als die verantwortliche Stelle, sodass ein Entscheidungsspielraum bei der rein technischen Durchführung eingeräumt wird. Außerdem darf der Auftragnehmer mit der Datenverarbeitung keine eigenen Interessen verfolgen. Dies betrifft jedoch ausschließlich Interessen, die mit der unmittelbaren Verwendung der gewonnen Datensätze in Verbindung stehen. Die Datenverarbeitung muss insofern ausschließlich dem Interesse der verantwortlichen Stelle zugutekommen. Rein technische Wartungen oder Überprüfungen, bei denen keine unmittelbare Einwirkung auf die verarbeitenden Daten möglich ist, werden nicht als Auftragsverarbeitung gesehen.

Die Metapher des „verlängerten Arms“ verdeutlicht diese Konstellation: Der Auftragnehmer wird – ausgelagert – im Auftrag der verantwortlichen Stelle tätig. Die Verantwortung für die Rechtmäßigkeit der Verarbeitung wird weiterhin dem Auftraggeber zugerechnet.

Das Privileg der Datenverarbeitung

Durch das Vorliegen eines Auftragsverhältnisses besteht ein sogenanntes „Privileg“ für die Datenverarbeitung. Grundsätzlich muss jede Verarbeitung auf einer Rechtsgrundlage beruhen. Das Einschalten eines Auftragsverarbeiters lässt sich mit der Übermittlung von Daten an einen Dritten vergleichen. Für die Übermittlung benötigt es eine Rechtsgrundlage, welche die verantwortliche Person zur Weitergabe der Daten ermächtigt. Durch die Weisungsgebundenheit des Auftragsverarbeiters profitiert der Verantwortliche von diesem Privileg und darf – ähnlich wie bei unternehmensinternen Übermittlungen – diese Daten einem Externen zukommen zu lassen, ohne dass es für die Weitergabe eine separate Rechtsgrundlage benötigt. Um dieses Privileg nutzen zu können, müssen vertragliche Regelungen eingegangen werden, die Rechte und Pflichten beider Parteien festlegen. Dieser Vertrag wird in der Regel als Auftragsverarbeitungsvertrag betitelt.

Was muss ein AVV regeln?

Der Ausgestaltung des AVV wird normiert in Art. 28 Absatz 3 DSGVO, welcher die inhaltlichen Mindestanforderungen eines AVV vorgibt. Darunter fallen unteranderem der Gegenstand und die Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen.

Wurden bereits Verträge über eine Auftragsverarbeitung vor in Kraft treten der DSGVO geschlossen, so müssen diese nicht zwingend neu formuliert werden. Zu klären ist, ob alle inhaltlichen Mindestanforderungen nach der DSGVO bereits in den Vertrag aufgenommen worden. Ist dies der Fall, bedarf es keiner neuen Ausformulierung.

Da es sich nach dem Wortlaut des Gesetzes bei dem Abschluss eines AVV um eine individuelle Vertragsabrede handeln soll, besteht keine einseitige Pflicht einer bestimmten Partei zur Vorlage eines AVV. Beide Parteien müssen die Anbahnung eines Vertrages anstreben. Sollte die Verarbeitung ohne Vertrag vonstattengehen, so können Bußgelder bis zu 10 Millionen Euro verhängt werden.

Nichtsdestotrotz wird von den Datenschutzaufsichtsbehörden regelmäßig verlangt, dass Unternehmen ein Musterdokument für den Vertragsabschluss mit einem Auftragnehmer oder -geber haben. Dieser kann dann im konkreten Fall den individuellen Bedürfnissen nach abgeändert werden.

Christopher Lenz

Tel: 0511 / 1247 220

cl@backoffice360.de