Auftragsverarbeitung nach DSGVO – 7 Antworten zu 7 Fragen

21. Juni 2023

Die Übermittlung personenbezogener Daten an Dienstleister erfolgt zumeist im Wege einer Auftragsverarbeitung nach Artikel 28 DSGVO. Dementsprechend hat die Auftragsverarbeitung eine hohe praktische Relevanz. Nachstehend werden 7 Antworten zu 7 häufig gestellten Fragen zur Auftragsverarbeitung gegeben, die zugleich ein besseres Verständnis dieser Rechtsfigur vermitteln.

1. ) Auftragsverarbeitung – wofür ist das gut?

Will man als datenschutzrechtlich Verantwortlicher (bspw. für Kundendaten, die man als Shop-Betreiber erhoben hat) personenbezogene Daten an Dritte weitergeben, so bedarf es dafür einer Rechtsgrundlage. So dürfen personenbezogene Daten insbesondere dann weitergegeben werden, wenn es zur Erfüllung eines Vertrages erforderlich ist, wenn ein berechtigtes Interesse an der Weitergabe besteht oder wenn der Betroffene einwilligt (s. Artikel 6 Abs. 1 a, b und f DSGVO).

Für die Weitergabe der Daten an einen Auftragsverarbeiter sind solche (weiteren) Rechtsgrundlagen hingegen nicht erforderlich. Datenschutzrechtlich Verantwortlicher im Sinne der DSGVO (nachstehend „Verantwortlicher“) bleibt bei einer Auftragsverarbeitung der Auftraggeber. Dieser bestimmt als Verantwortlicher über die Mittel- und Zwecke der Verarbeitung. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich auf Weisung des Verantwortlichen (wobei ein geringfügiger Entscheidungsspielraum des Auftragsverarbeiters nicht entgegensteht).

2.) In welchen Fällen kommt eine Auftragsverarbeitung in Betracht?

Für die Abgrenzung kommt es also darauf an, ob die betreffenden Empfänger im Auftrag des Verantwortlichen handeln (dann Auftragsverarbeitung) oder ob sie die Zwecke und Mittel der Verarbeitung selbst festlegen (dann keine Auftragsverarbeitung, vielmehr sind die Empfänger dann selbst als datenschutzrechtlich Verantwortliche anzusehen). In der Praxis ist die Abgrenzung aber nicht ganz einfach.

Auftragsverarbeitung können z. B. Dienstleistungen im Zusammenhang mit Lohn- und Gehaltsabrechnung, Cloud-Computing, CRM-Systemen oder E-Mail-Versand sein, nur um einige Beispiele zu nennen.

Keine Auftragsverarbeiter sind bspw. Versanddienstleister oder Zahlungsdienstleister.  Für die Weitergabe personenbezogener Daten an Dienstleister, die keine Auftragsverarbeiter sind, ist eine (sonstige) Rechtsgrundlage erforderlich (s.o. Ziffer 1.). Gibt bspw. ein Online-Shop eine Kundenanschrift an einen Versanddienstleister weiter, so lässt sich diese Weitergabe regelmäßig auf die Rechtsgrundlage der Vertragserfüllung stützen (Art. 6 Abs. 1 b DSGVO).

3.) Auswahl des Auftragsverarbeiters – worauf ist dabei zu achten?

Der Verantwortliche darf nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichende Garantien für die Durchführung geeigneter technischer und organisatorischer Maßnahmen bieten, damit die Verarbeitung im Einklang mit der DSGVO erfolgt. Zu berücksichtigen sind insoweit insbesondere das technische Fachwissen, die Zuverlässigkeit und die Ressourcen des Auftragsverarbeiters.

4.) Auftragsverarbeitungsvertrag – (auch) im Interesse des Auftragsverarbeiters?

Zu den Voraussetzungen einer rechtskonformen Auftragsverarbeitung zählt ein Auftragsverarbeitungsvertrag, der zwischen dem Verantwortlichen und dem Auftragsverarbeiter abgeschlossen wird. Darin werden Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und eine Reihe weiterer Inhalte nach näherer Maßgabe von Artikel 28 Abs. 3 DSGVO festgelegt.

Wird bei einer Auftragsverarbeitung kein Auftragsverarbeitungsvertrag abgeschlossen, so kann nicht nur der Verantwortliche, sondern auch der Auftragsverarbeiter mit einer Geldbuße belegt werden. Schon deshalb liegt es nicht nur im Interesse des Verantwortlichen, einen Auftragsverarbeitungsvertrag abzuschließen, sondern auch im Interesse des Auftragsverarbeiters.

5.) Haftet der Auftragsverarbeiter bei Datenschutzverstößen dem Betroffenen?

Für Schäden aufgrund von Verstößen gegen die DSGVO haftet der Auftraggeber dem Betroffenen, soweit er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder gegen rechtmäßig erteilte Anweisungen des Verantwortlichen gehandelt hat. Die Haftung besteht unmittelbar gegenüber dem Betroffenen, ggf. als Gesamtschuldner neben dem Verantwortlichen.

Beispiele für solche Pflichten des Auftragsverarbeiters nach der DSGVO sind die Verpflichtung, sicherzustellen, dass zur Verarbeitung personenbezogener Daten befugte Personen sich zur Vertraulichkeit verpflichtet haben, geeignete technische und organisatorische Maßnahmen zu treffen oder den Verantwortlichen unverzüglich über etwaige Datenschutzverstöße zu benachrichtigen.

6.)  Gemeinsame Verantwortlichkeit statt Auftragsverarbeitung – was ist der Unterschied?

Abzugrenzen von der Auftragsverarbeitung ist die gemeinsame Verantwortlichkeit für die Verarbeitung personenbezogener Daten (Art. 26 DSGVO).  Hier erfolgt die Verarbeitung personenbezogener Daten nicht im Auftrag eines Verantwortlichen, sondern zwei oder mehr Verantwortliche legen gemeinsam die Zwecke und Mittel der Verarbeitung fest. Auch bei der gemeinsamen Verantwortlichkeit ist ein Vertrag zu schließen. In diesem Vertrag ist zu regeln, welcher Beteiligte welche Verpflichtungen und Informationspflichten nach der DSGVO erfüllt.

Die Abgrenzung der Gemeinsamen Verantwortlichkeit zur Auftragsverarbeitung ist häufig schwierig. Gemeinsam Verantwortliche sind bspw. für personenbezogene Daten, die über eine Facebook-Präsenz verarbeitet werden, sowohl der Betreiber der Facebook-Präsenz als auch der Betreiber der Facebook-Plattform.

7.)   Übermittlung personenbezogener Daten in Drittstaaten – was gilt bei Auftragsverarbeitung?

Die besonderen Anforderungen der DSGVO für die Übermittlung personenbezogener Daten in Drittstaaten, also in Staaten außerhalb der EU, gelten natürlich auch bei einer Auftragsverarbeitung. Für eine Übermittlung in Staaten, für die die EU kein angemessenes Datenschutzniveau festgestellt hat, sieht die DSGVO die Möglichkeit diverser Schutzvorkehrungen der Parteien vor, so etwa die Vereinbarung der EU-Standardvertragsklauseln mit dem Empfänger. Dennoch ist eine Übermittlung in eine Reihe von Drittstaaten – darunter die USA –, derzeit nicht rechtssicher möglich.

Rechtsanwalt Marc Dimolaidis LL.M.

WEITERE ARTIKEL ZUM THEMA DATENSCHUTZ