| Blog für Unternehmer
logo_Smarter_mittelstand_dunkel
Nutzen Sie das Potenzial der Digitalisierung für Ihr Unternehmen bestmöglich aus, um langfristig wettbewerbsfähig zu bleiben. Wir helfen Ihnen dabei: mit digitalen Trendthemen, praktischen Problemlösungen und innovativen Ansätzen - wöchentlich auf dieser Seite sowie auf unseren diesjährigen Digitalisierungskonferenzen smarter mittelstand.

Auftragsverarbeitung DSGVO: Was jetzt für Verträge zur Auftragsdatenverarbeitung gilt

  • Serie
Mit der DSGVO haben sich auch die Anforderungen an Verträge zur Auftragsverarbeitung geändert.

Mit der DSGVO haben sich auch die Anforderungen an Verträge zur Auftragsverarbeitung geändert. © Andrey Popov / iStock / Getty Images Plus /Getty Images

Sie haben im Zusammenhang mit der DSGVO schon von der Auftragsverarbeitung gehört, wissen aber nicht, was das genau ist und mit wem Sie jetzt neue Verträge schließen müssen? Wir erklären es Schritt für Schritt.

Egal ob Lohnabrechnung, Marketingagentur oder Callcenter: Unternehmen sourcen häufig Aufgaben an Dienstleister aus. Diese müssen dafür Zugriff auf Kunden- oder Mitarbeiterdaten haben, um ihre Aufgaben zu erfüllen. Sie verarbeiten also im Auftrag eines Unternehmens Daten. Bisher war dafür das Bundesdatenschutzgesetz zuständig und dieser Vorgang wurde mit Verträgen zur Auftragsdatenverarbeitung (ADV) geregelt. Am 25. Mai 2018 ist die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Bestehende ADV-Verträge müssen deshalb angepasst oder neu geschlossen werden.

Wenn Ihre ADV-Verträge nicht den Anforderungen der DSGVO genügen, dann droht ein Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent Ihres gesamten Vorjahres-Umsatzes – je nachdem welcher Betrag höher ist.

Anzeige

Mit welchen Dienstleistern muss man Verträge zur Auftragsverarbeitung schließen?

Das Datenschutzrecht erlaubt es eigentlich nur dann, Daten an andere Stellen zu übermitteln, wenn die betroffene Person vorher um Erlaubnis gefragt wurde und eingewilligt hat oder das Gesetz es erlaubt und die Person benachrichtigt wird –  oder wenn es sich um Auftragsverarbeitung handelt. Auftragsverarbeitung ist für Unternehmen eigentlich eine super Sache, denn wenn eine Auftragsverarbeitung vorliegt, dann braucht man keine Einwilligung der betroffenen Personen und auch keine gesetzliche Erlaubnis und die Personen müssen auch nicht benachrichtigt werden. Ein Vertrag mit dem Auftragsverarbeiter genügt.

Es ist nicht ganz einfach, festzustellen, mit welchen Dienstleistern man Verträge zur Auftragsverarbeitung schließen kann und mit welchen nicht. Deshalb sollten Sie sich immer dann, wenn sie Aufgaben an andere rechtliche Einheiten übertragen und davon auch personenbezogene Daten betroffen sind, folgende Fragen stellen:

  • Ist das wesentliche Element der Dienstleistung auf die Verarbeitung personenbezogener Daten für Zwecke des Auftraggebers gerichtet und besteht kein eigenes Interesse des Dienstleisters an den Daten?
  • Legen Sie die Zwecke und Mittel der Verarbeitung im Wesentlichen selbst fest?
  • Hat die datenverarbeitende Stelle ausschließlich eine (technische) Hilfs- oder Unterstützungsfunktion?

Wenn die Antwort auf diese Fragen „Ja“ ist, dann wird in der Regel eine Auftragsverarbeitung vorliegen. Sobald nämlich ein Dienstleister personenbezogene Daten in Ihrem Auftrag weisungsabhängig verarbeitet, liegt eine Auftragsverarbeitung vor. Fragen Sie im Zweifel Ihren Datenschutzbeauftragten oder – wenn Sie keinen haben – einen externen Datenschutzbeauftragen. Auch die Landesdatenschutzbehörden geben Auskunft, eine ihrer Aufgaben ist es, Unternehmen zu beraten.

Typische Fälle einer Auftragsverarbeitung sind:

  • externe Lohn- oder Gehaltsabrechnung
  • Newsletterversand durch eine Marketingagentur
  • Nutzung von Cloud-Diensten zur Personal- und Kundenverwaltung
  • Datenträgerentsorgung, Aktenvernichtung
  • Lettershops, die in Ihrem Auftrag Werbung an Kunden versenden
  • Webanalyse- und Trackings-Dienste wie Google Analytics
  • Kunden-Helpdesks
  • Ausgelagerte Rechenzentren
  • Callcenter, die Kundendaten ohne wesentliche eigenen Entscheidungsspielräume verarbeiten
  • Dienste, die Daten erfassen, konvertieren oder Dokumente einscannen
  • Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen

Wenn Sie die gesamte Verarbeitung der Daten auf jemand anderen übertragen und nicht mehr selbst „Herr der Daten“ sind, dann liegt keine Auftragsverarbeitung vor. Das ist der Fall, wenn Sie beispielsweise nicht mehr selbst darüber entscheiden, wer Zugang zu den Daten hat, welche Daten gelöscht werden und wenn Sie auch nicht mehr für Auskünfte zuständig sind. Also wenn der Dienstleister eigenverantwortlich mit den ihm anvertrauten Daten umgeht. Dann spricht man von einer Funktionsübertragung.

Wenn die Dienstleistung in speziellen Gesetzen geregelt ist (zum Beispiel bei Telekommunikations- oder Postdienstleistungen), liegt ebenfalls keine Auftragsverarbeitung vor. Auch wenn es um rein technische Wartung geht, findet laut Bitkom keine Datenverarbeitung statt.

Keine Auftragsverarbeitung liegt in folgenden Fällen vor:

  • Finanzberater
  • Steuerberater
  • Unternehmensberater
  • Rechtsanwalt
  • Wirtschaftsprüfer
  • externer Betriebsarzt
  • Inkassobüro
  • Bankinstitut für den Geldtransfer
  • Postdienst für den Brieftransport
  • Installation und Wartung von Netzwerken, Hardware, Telefonanlagen
  • Pflege von Software
  • Programmentwicklungen und Tests

Es ist hilfreich, zunächst eine Übersicht über die Dienstleister zu erstellen, die für Ihr Unternehmen arbeiten. Fordern Sie von Ihrer Buchhaltung eine Abrechnungsliste an und prüfen Sie anhand dieser Liste, wer personenbezogene Daten verarbeitet.

Die Übersicht dient dem Zweck, herauszufinden, mit welchen Dienstleistern noch kein AV-Vertrag geschlossen wurde und bei welchen die bestehenden Verträge angepasst werden müssen.

Was hat sich mit der DSGVO geändert?

Seit Ende Mai ist nur noch datenschutzkonform, was der DSGVO entspricht. Deshalb sollten Sie prüfen, ob Ihre ADV-Verträge den neuen Regelungen entsprechen und ob Sie noch weitere Auftragsverarbeitungsverträge abschließen müssen.

Was sich konkret geändert hat:

  • Neuer Name: Mit der DSGVO hat sich der Name geändert: Aus Auftragsdatenverarbeitung wurde Auftragsverarbeitung. Der frühere ADV-Vertrag heißt nun nur noch AV-Vertrag. Der Auftragsnehmer wurde zum Auftragsverarbeiter.
  • Elektronische Form ist möglich: AV-Verträge müssen nicht mehr schriftlich vorliegen, sie können nun auch in elektronischer Form abgeschlossen werden.
  • Gemeinsame Haftung: Nicht nur der Verantwortliche (Auftraggeber), sondern auch derjenige, der die Daten im Auftrag verarbeitet, haftet nun direkt gegenüber den Betroffen, wenn er mit den Daten nicht gesetzeskonform umgeht und sie beispielsweise für eigene Zwecke verarbeitet oder an Dritte weitergibt. Auch bei Datenpannen haftet auch der Auftragsverarbeiter. Er wird durch die DSGVO in die Pflicht genommen, das europaweit geltende Datenschutzrecht ebenso einzuhalten wie Sie.
  • Auftragsverarbeitung außerhalb der EU ist möglich: Die Auftragsverarbeitung darf nun auch außerhalb der EU stattfinden. Das war früher nicht der Fall. Das heißt, wenn zum Beispiel eine Marketing-Firma in den USA mit der Erstellung des Newsletters beauftragt wird, dann benötigt man nun nicht mehr die Einwilligung sämtlicher Personen, denen die Daten gehören. Ein AV-Vertrag reicht aus.
  • Kontrollpflicht: Verantwortliche sind zwar weiterhin in der Pflicht, Auftragsverarbeiter sorgfältig auszuwählen. Sie haben Kontrollrechte, aber keine Kontroll- und Dokumentationspflichten mehr.
  • Subunternehmen: Auftragsverarbeiter dürfen nur dann Subunternehmen einsetzen, wenn der Auftraggeber ausdrücklich zugestimmt hat.

Was muss man bei der Auswahl seiner Auftragsverarbeiter beachten?

Artikel 28 DSGVO beschreibt ausführlich die Verantwortung des Auftragsverarbeiters. Dort steht, dass der Verarbeiter insbesondere den technischen Datenschutz beachten muss. Datenzentren (etwa Cloud-Rechenzentren) müssen hohen Sicherheitsstandards genügen. Wer darauf achtet, dass seine Auftragsverarbeiter nach Artikel 42 DSGVO zertifiziert sind oder sich einer Verhaltensregel nach Artikel 40 DSGVO unterworfen haben, der kann sich ziemlich sicher sein, dass die geforderten Garantien bestehen.

Anbieter aus den USA müssen entweder unter dem Privacy-Shield-Abkommen zertifiziert sein oder der Vertrag muss so genannte EU-Standardvertragsklauseln enthalten (siehe unten).

Was muss in dem Vertrag zur Auftragsverarbeitung stehen?

Viele Dienstleister wie Google, Mailchimp, Newsletter2Go, DATEV, Trello und Dropbox stellen für ihre Kunden einen Vertrag zur Auftragsverarbeitung zur Verfügung. Diesen müssen Sie lediglich unterschreiben.

Falls Sie auf der Seite eines Auftragsverarbeiters im englischsprachigen Raum nach einen solchen Vertrag suchen wollen: Auf Englisch heißt der Vertrag zur Auftragsverarbeitung Data Processing Agreement (DPA) und die DSGVO hat die Abkürzung GDPR (General Data Protection Regulation).

Bei einem Einsatz von US-Anbietern, die nicht EU-US-Privacy-Shield zertifiziert sind, muss der Vertrag so genannte EU-Standardvertragsklauseln enthalten. Diese Standardvertragsklauseln finden Sie auf der Seite der EU Kommission.

Wenn der Dienstleister keinen AV-Vertrag zur Verfügung stellt, dann müssen Sie selbst einen solchen Vertrag formulieren. „In Artikel 28 der DSGVO stehen alle Anforderungen, die der Vertrag erfüllen muss“, sagt Rechtsanwalt Michael Neuber, Justiziar beim Bundesverband Digitale Wirtschaft (BVDW). Der Vertrag zur Auftragsverarbeitung sei eigentlich nur eine Kopie des Gesetzestextes.

Konkret muss im Vertrag zur Auftragsverarbeitung stehen:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien von betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen und organisatorischen Maßnahmen für den Datenschutz (TOM)
  • Ob und welche Subunternehmer beauftragt werden dürfen
  • Unterstützung des Auftraggebers bei Anfragen und Ansprüchen Betroffener sowie bei der Meldepflicht bei Datenschutzverletzungen
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
  • Dass personenbezogene Daten gelöscht und zurückgegeben werden müssen nach Abschluss der Auftragsdatenverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters.

Die Gesellschaft für Datenschutz und Datensicherheit stellt ein kostenloses, veränderbares Vertragsmuster zur Verfügung samt Praxisleitfaden, an dem Sie sich orientieren können.

Wenn Ihr Dienstleister sich weigert, einen Vertrag zur Auftragsverarbeitung zu unterschreiben, dann müssen Sie den Dienstleister wechseln und ihn dazu auffordern, alle Ihre Daten zu löschen.

Dokumentation von Auftragsverarbeitungs-Verträgen

Wichtig ist, dass Sie gegenüber den Datenschutzbehörden nachweisen können, dass Sie AV-Verträge geschlossen haben. Heften Sie alle Verträge gut auffindbar ab.

Außerdem müssen Sie in Ihrer Datenschutzerklärung darauf hinweisen, welche externen Dienstleister für Sie personenbezogene Daten verarbeiten. Findet sich dort kein Hinweis auf die Verarbeitung der Daten, dann kann das teuer werden.

Wie Sie sich sonst noch auf die DSGVO vorbereiten müssen, lesen Sie in unserer DSGVO-Checkliste. Und was Sie bei Ihrer Website beachten müssen, steht in unser DSGVO-Website-Checkliste.

Der Newsletter für Unternehmer

Sie wollen mit Ihrem Business durchstarten? Dann abonnieren Sie unseren Newsletter mit genialen Tipps, Denkanstößen und erprobten Strategien, die Unternehmer und Selbstständige nach vorn bringen.

Unsere Themen:
Mitarbeiterführung ✩ Produktivität ✩ Recht + Steuern
Kundengewinnung ✩ Selbstmanagement ✩ Motivation

Jeden Morgen in Ihrem Postfach – jetzt kostenlos anmelden! Unternehmer-Newsletter
2 Kommentare
  • Maja 29. Mai 2018 00:31

    Muss ich als (kleine) freiberuflicher Webdesignerin, die alle Zugänge zu den Providerdaten der Kunden hat, auch ein Auftragsverarbeitungsvertrag abschließen? Oder ist das auch Funktionsübertragung?

    • Dorothée Schmid
      Dorothée Schmid 29. Mai 2018 09:03

      Liebe Maja,

      wir können und dürfen leider keine Beratung in Einzelfällen geben. Am besten Sie wenden sich mit Ihrer Frage an einen Datenschutzbeauftragten.

      Herzliche Grüße aus dem impulse-Team
      Dorothée Schmid

Hinterlassen Sie einen Kommentar

(Die Redaktion schaltet Kommentare montags bis freitags von 10 bis 18 Uhr frei. Die Angabe von Name und E-Mail-Adresse ist freiwillig. IP-Adressen werden nicht gespeichert. Mit der Abgabe eines Kommentars stimmen Sie unseren Datenschutzbestimmungen zu.)