Wann brauchen Selbstständige einen Auftragsverarbeitungsvertrag?

Von Cloud-Speicher über Marketing-Services bis zur Aktenentsorgung: bekommen Dienstleister Personal- oder Kundendaten ihrer Auftraggeber in die Hände oder auf den Server, schreibt das Datenschutzrecht einen Auftragsverarbeitungsvertrag vor. Das ist mehr als eine Formalität. Es drohen Bußgelder, und es geht um die Haftung, zum Beispiel nach einem Datendiebstahl durch Hacker. Erfahren Sie, warum ein fehlender Auftragsverarbeitungsvertrag teuer werden kann.

Worum geht es beim Auftragsverarbeitungsvertrag eigentlich?

Wenn Selbstständige und Unternehmen Dienstleister beauftragen, schreibt das Datenschutzrecht in bestimmten Fällen einen ganz bestimmten Vertragstyp vor: den Auftragsverarbeitungsvertrag oder kurz AVV. Davon betroffen sind viele IT-Dienstleistungen, aber auch zahlreiche Services darüber hinaus.

Fehlt ein solcher Vertrag, obwohl er erforderlich wäre, ist das ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO). Die Folge: Man riskiert Bußgelder und haftet im Fall von Datenschutzverletzungen, etwa nach einem Hackerangriff.

Selbstständige und Unternehmen sollten wissen, wann sie für das Outsourcing bestimmter Aufgaben oder den Zukauf bestimmter Dienste einen Auftragsverarbeitungsvertrag benötigen. Dienstleister brauchen Klarheit, ob ihr Angebot einen solchen Vertrag mit den Kunden erforderlich macht.

Auftragsverarbeitung: Wenn Dienstleister mit Personendaten des Auftraggebers zu tun bekommen

Wenn Selbstständige oder Unternehmen im Auftrag und auf Weisung von Kunden personenbezogene Daten speichern, übertragen oder verarbeiten, ist das aus datenschutzrechtlicher Sicht eine „Auftragsverarbeitung“. Einige Beispiele:

• Ein Cloud-Provider stellt den Online-Speicher bereit, auf dem ein Caterer seine Buchhaltungsunterlagen und damit die Namen, Adressen, Bestellungen und Zahlungsdaten seiner Kunden sichert.
• Ein Lohnabrechnungsservice übernimmt die Lohn- und Gehaltsabrechnung, dazu werden ihm laufend alle Arbeits- und Ausfallzeiten, die Entgelthöhe und die Stammdaten der Beschäftigten übermittelt.
• Ein Aktenvernichtungs-Unternehmen entsorgt alte Papierakten und Datenträger mit den Behandlungsunterlagen einer Ernährungsberaterin.
• Eine Marketing-Beraterin analysiert im Auftrag eines Shop-Betreibers die Bestandskunden samt Bestellhistorie und Retouren, um das Direktmarketing zu optimieren. Dazu erhält sie Zugriff auf die Kundendaten und Bestell-Historien.
• Ein selbstständiger IT-Sicherheitsexperte soll das Firmensystem umfassend gegen Angriffe härten und erhält dafür vollen Administratorenrechte, auch für die Datenbank mit den Personaldaten.

„Auftragsverarbeiter“ steht für „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Diese Definition legt die Datenschutz-Grundverordnung der EU fest (Art. 4 Nr. 8 DSGVO).

Bis zur Einführung der DSGVO lautete der entsprechende Begriff „Auftragsdatenverarbeitung“ beziehungsweise „Auftragsdatenverarbeitungsvertrag“.

Welche Berufe sind keine Auftragsverarbeiter?

Für bestimmte Berufe und in bestimmten Konstellationen zählt es nicht als Auftragsverarbeitung, wenn im Rahmen eines Geschäftsverhältnisses personenbezogene Daten zur Verfügung gestellt und dann gespeichert, ausgewertet oder auf andere Art genutzt werden. Dazu gehören Berufsgeheimnisträger wie Steuerberater, Rechtsanwälte, Wirtschaftsprüfer und Laborärzte, aber auch Banken oder in bestimmten Fällen Inkassounternehmen.

Entscheidend sind die genauen Umstände: bei Auftragsverarbeitung muss es definitionsgemäß um eine weisungsgebundene Verarbeitung der Daten gehen. In den erwähnten Ausnahmefällen liegt dagegen regelmäßig keine Weisungsabhängigkeit vor und damit auch keine Auftragsverarbeitung. Deshalb muss sich die Erlaubnis zum Umgang mit den fremden Daten aus einer anderen Rechtsgrundlage ergeben. Das kann zum Beispiel das Standesrecht sein.

Vorteil des Auftragsverarbeitungsvertrags: keine zusätzliche Einwilligung erforderlich

Die vielen Vorgaben und Regelungen rund um die Auftragsverarbeitung wirken abschreckend. Doch das Konstrukt hat einen großen Vorteil. Werden diese Voraussetzungen eingehalten, benötigen Selbstständige keine zusätzliche Datenschutzeinwilligung, um die von ihnen verwalteten personenbezogenen Daten einem Auftragsverarbeiter anzuvertrauen.

Die Einwilligung in die Datenverarbeitung, die der Auftraggeber für sich selbst erhoben hat, deckt auch die Auftragsverarbeitung ab. Entsprechendes gilt, wenn die Verarbeitung durch gesetzliche Vorschriften gedeckt ist, wie das etwa bei der Lohnabrechnung der Fall ist.

Praktisch bedeutet das: ein Shop-Betreiber, der Kundendaten auf einem externen Cloud-Speicher ablegt, seine Bestellvorgänge von Marketing-Experten analysieren lässt oder alte Datenträger mit Mitarbeiterinformationen vernichten lässt, muss dafür nicht die nachweisbare Einwilligung aller betroffenen Kunden oder Mitarbeiter einholen. Er sollte dafür allerdings jeweils einen korrekt ausgestalteten AVV abschließen. Und er sollte die Einwilligung der Kunden in die Speicherung und Verarbeitung der Daten durch ihn selbst nachweisen können.

Weiterer Vorteil: Der Auftragnehmer wird bei Vertragsbruch „Verantwortlicher“

Ein weiterer Vorteil korrekter Auftragsverarbeitungsverträge liegt in der Enthaftung des Auftraggebers. Kommt es beim Dienstleister zu einem Datenschutzverstoß, und hat dieser die Vertragsbedingungen oder die Vorschriften der DSGVO nicht eingehalten, dann wird er anstelle des Auftraggebers als „Verantwortlicher“ behandelt. (Art. 28 Abs. 10 DSGVO).

Beispiel: Survey-Dienstleister „Satisfaction Plus“ soll eine Umfrage zur Zufriedenheit der Kunden eines Online-Shops durchführen. Durch Schlampereien bei der IT-Sicherheit können Hacker die Daten dieser Kunden vom Server von Satisfaction Plus abgreifen. Eigentlich wäre der Shop-Betreiber als Auftraggeber datenschutzrechtlich verantwortlich: er hat die Daten bereitgestellt. Damit müsste er jeden der Betroffenen informieren, was allein schon hohe Kosten und viel Aufwand verursacht. Da der Dienstleister allerdings das im Auftragsverarbeitungsvertrag zugesicherte angemessene Sicherheitsniveau nicht eingehalten hat, muss er nun als Verantwortlicher diese Pflicht übernehmen. Mit Bußgeldern der Datenschutzbehörden sollte er ebenfalls rechnen. Voraussetzung für die Enthaftung seines Auftraggebers ist natürlich, dass die Weitergabe der Kundendaten durch entsprechende Einwilligungen und einen formgerechten Auftragsverarbeitungsvertrag gedeckt war.

Welche Vorschriften gelten für Auftragsverarbeiter und Auftragsverarbeiter?

Für die Geschäftsbeziehung zwischen Auftraggeber und Auftragsverarbeiter schreibt die DSGVO eine Reihe von Dingen vor (Art 28 DSGVO):

• Auftraggeber dürfen nur solche Dienstleister auswählen, die durch „geeignete technische und organisatorische Maßnahmen“ die Einhaltung der DSGVO und den Schutz der Daten gewährleisten.
• Der Auftragsverarbeiter darf nicht von sich aus den Auftrag oder Teile davon und damit die entsprechende Datenverarbeitung an Sub-Unternehmer weitergeben. Dies erfordert die Zustimmung des Auftraggebers. Außerdem gelten für den Sub-Unternehmer in diesem Fall die vollen Datenschutzpflichten, die auch für den Auftragsverarbeiter gelten. Dafür haftet der Auftragnehmer, der den Auftrag weitergereicht hat.
• Die Geschäftsbeziehung zwischen Auftraggeber und Auftragsverarbeiter muss in einem besonderen Vertrag festgelegt werden: dem Auftragsverarbeitungsvertrag. Nur wenn „ein anderes Rechtsinstrument“ die entsprechenden Regelungen für die Geschäftsbeziehung vorgibt, etwa ein Gesetz, eine Verordnung oder eine verpflichtende Berufsordnung, kann darauf verzichtet werden.
  
  

AVV: Was muss im Auftragsverarbeitungsvertrag stehen?

Damit ein Vertrag als Auftragsverarbeitungsvertrag im Sinne der DSGVO durchgeht, müssen eine Reihe inhaltlicher Voraussetzungen erfüllt sein (Art. 28 Abs. 3 DSGVO):

• Der Vertrag verpflichtet den Auftragsverarbeiter, mit den personenbezogenen Daten, die ihm der Auftraggeber bereitstellt, nur gemäß Vereinbarung oder nach Weisung des Auftraggebers zu verfahren. Wie er sie speichert, auswertet, weitergibt oder auf andere Art verarbeitet, folgt also entweder direkt aus dem Vertrag selbst oder entspricht den nachweislichen Vorgaben des Auftraggebers. Jede andere Nutzung oder Verarbeitung wird als Vertragsverstoß definiert.
• Nach dem Ende der Geschäftsbeziehung oder nach Fertigstellung des Auftrags löscht der Auftragsverarbeiter alle personenbezogenen Daten, die ihm übermittelt oder zur Verfügung gestellt wurden. Auch das steht im AVV.
• Der Vertrag enthält die Vorgabe, dass die Mitarbeiter des Dienstleisters ebenfalls dazu verpflichtet werden, die Daten nur entsprechend der Weisung des Auftraggebers zu verwenden beziehungsweise zu verarbeiten. Das kann Teil ihres Arbeitsvertrags sein oder durch eine zusätzliche Vereinbarung geschehen.
• Eine Ausnahme existiert, wenn gesetzliche Vorschriften den Auftragsverarbeiter dazu verpflichten, Daten etwa an die Behörden weiterzugeben. Für diesen Fall sieht der Vertrag vor, dass der Auftraggeber informiert wird.
• Der Auftragsverarbeiter verpflichtet sich, ein „dem Risiko angemessenes Schutzniveau“ einzuhalten. Die DSGVO nennt dazu keine konkreten Details. Sie verweist nur allgemein auf Techniken wie Pseudonymisierung und Verschlüsselung, darauf, dass Integrität und Verfügbarkeit gewährleistet sein müssen und die Sicherheitsmaßnahmen regelmäßig zu überprüfen sind. Damit bleibt es eine Abwägungsfrage, welche technischen oder organisatorischen Maßnahmen im Einzelfall vertraglich vereinbart werden sollten. Das Schutzniveau kann beispielsweise adäquat sein, wenn der Dienstleister im Vertrag eine Zertifizierung nach ISO 27001 sowie die Einhaltung der Technischen Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik) zusichert. Entscheidend ist der Kontext.
• Die bereits erwähnten Einschränkungen bei der Vergabe von Unteraufträgen (nicht ohne Zustimmung des Auftraggebers, nur bei gleicher Datenschutz-Verpflichtung) findet sich im Vertrag wieder.
• Der Auftragsverarbeiter verpflichtet sich im AVV, den Auftraggeber bei dessen Datenschutzverpflichtungen zu unterstützen. Dazu gehören Lösch- und Auskunftsansprüche von Betroffenen, die Erstellung einer Datenschutz-Folgenabschätzung oder die Erfüllung von Informationspflichten gegenüber Behörden und Betroffenen nach einem Datendiebstahl.

Wichtig: Der Auftragsverarbeitungsvertrag muss abgeschlossen sein, wenn die Zusammenarbeit beziehungsweise die Arbeit beginnt und die Daten übermittelt oder freigegeben werden.

Welche Form muss der Auftragsverarbeitungsvertrag haben?

Laut DSGVO ist der Auftragsverarbeitungsvertrag „schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann“ (Art 28 Abs. 9 DSGVO). Was dies genau bedeutet, ist bislang nicht höchstrichterlich geklärt.

In der Praxis begnügen sich viele Anbieter damit, den Vertrag auf ihrer Website bereitzustellen, die Einwilligung des Auftraggebers elektronisch per Klick einzuholen und ihm die Vereinbarung anschließend zum Beispiel in PDF-Form zu übermitteln. Wer dagegen ganz sichergehen möchte, kann den AVV in Schriftform abschließen.

Nützliche Links: Weitere Informationen und AVV-Muster

• Knappe allgemeine Informationen zum Thema vermittelt auf fünf Seiten das „Kurzpapier Auftragsverarbeitung“ der Datenschutzkonferenz.
• Eine FAQ-Sammlung dazu stellt der niedersächsische Datenschutzbeauftrage bereit.
• Sehr umfangreiche Informationen hat der Bayerische Landesdatenschutzbeauftragte mit der „Orientierungshilfe Auftragsverarbeitung“ zusammengestellt.
• Es gibt eine Vielzahl von Muster-Auftragsverarbeitungsverträgen, die sich für den eigenen Bedarf anpassen lassen. So stellt die EU-Kommission Standard-Vertragsklauseln zur Verfügung. Eher praxisorientiert ist die kostenfreie „Formulierungshilfe“ des niedersächsischen Datenschutzbeauftragten.
• Auch bei der Bundesdatenschutzbeauftragten gibt es ein einen Muster-Auftragsverarbeitungsvertrag.
• Der IT-Branchenverband Bitkom bietet kostenlos ein AVV-Muster samt Erläuterungen für beide Seiten an.
  
  
  

Lektüretipps

Weiterführende Informationen zu Rechts- und Steuerthemen finden Sie im orgaMAX-Blog und im Newsletter-Archiv:

• ChatGPT & Co. im Geschäftsalltag: es lauern rechtliche Fallen
• Datenschutz-Anforderungen an Bürosoftware: auch dort droht sonst Ärger
• Video-Überwachung von Geschäftsräumen: Vorsicht, Datenschutz
• Schwarze Listen im Unternehmen: was ist erlaubt?
• Abschluss einer Cyberversicherung – falsche Angaben können sich rächen
• Das digitale Kaufrecht: Eigene Regeln für elektronische Waren
• Negative Kommentare und unfaire Bewertungen? Sie können sich wehren!
• DSGVO gilt auch für Kleinunternehmen: besser kein Mut zur Lücke
• Kunde verweigert Abnahme, und nun? Informationen zum Werkvertragsrecht
• Datennutzung zu Werbezwecken: Direktmarketing in DSGVO-Zeiten