Auftragsverarbeitung und Vertragsgestaltung
Was ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO enthalten muss, wie die Verantwortlichkeit zwischen Verantwortlichem und Auftragsverarbeiter aufgeteilt ist und welche Anforderungen an Unterauftragsverarbeiter gelten.
Wenn ein Verantwortlicher eine andere Stelle — etwa ein Cloud-Dienstleister, ein Lohnbuchhaltungsdienst oder ein E-Mail-Marketing-Anbieter — mit der Verarbeitung personenbezogener Daten in seinem Auftrag betraut, liegt Auftragsverarbeitung im Sinne von Art. 28 DSGVO vor. Die andere Stelle (Auftragsverarbeiter) verarbeitet die Daten dabei ausschließlich nach Weisung des Verantwortlichen.
Auftragsverarbeitungsvertrag
Kernvoraussetzung ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV). Art. 28 Abs. 3 DSGVO listet die Mindestinhalte auf, die ein solcher Vertrag enthalten muss: Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen. Ohne AVV ist die Übermittlung an den Auftragsverarbeiter unzulässig.
Der Vertrag muss dem Auftragsverarbeiter konkrete Pflichten auferlegen: Er darf Daten nur nach dokumentierten Weisungen des Verantwortlichen verarbeiten, muss geeignete technische und organisatorische Maßnahmen (TOMs) zur Datensicherheit treffen, muss alle Personen, die Zugang zu den Daten haben, zur Vertraulichkeit verpflichten, und muss dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der DSGVO zur Verfügung stellen.
Auditierung und Kontrolle
Ein wichtiger Aspekt ist das Recht auf Auditierung: Der Verantwortliche hat gemäß Art. 28 Abs. 3 lit. h DSGVO das Recht, Überprüfungen durchzuführen oder durch einen Beauftragten durchführen zu lassen. In der Praxis werden Audits häufig durch die Vorlage von Zertifizierungen (z. B. ISO 27001) oder Testate Dritter ersetzt.
Für Unterauftragsverarbeiter gilt: Der Auftragsverarbeiter darf weitere Dienstleister nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen einsetzen (Art. 28 Abs. 2 DSGVO). Erteilt er dem Unterauftragsverarbeiter den Auftrag, haftet er dem Verantwortlichen gegenüber dafür, dass der Unterauftragsverarbeiter dieselben Datenschutzpflichten erfüllt.
Abgrenzung zur gemeinsamen Verantwortlichkeit
Von der Auftragsverarbeitung zu unterscheiden ist die gemeinsame Verantwortlichkeit (Joint Controllership) nach Art. 26 DSGVO. Wenn zwei oder mehr Stellen gemeinsam die Zwecke und Mittel der Verarbeitung bestimmen, sind sie gemeinsam Verantwortliche. In diesem Fall ist eine eigene Vereinbarung erforderlich, die die jeweiligen Verantwortlichkeiten festlegt. Die Abgrenzung ist in der Praxis häufig komplex, wie der EuGH in seiner Rechtsprechung (z. B. Fashion ID, Wirtschaftsakademie) betont hat.