07

Auftragsvergabe

Sie lassen andere für sich arbeiten? Prüfen Sie die Verträge mit Dienstleistern.

Sie lassen andere für sich arbeiten? Prüfen Sie die Verträge mit Dienstleistern.

08 Gemeinsames Handeln
06 Klare Regeln

Worum geht‘s?

Es gibt kaum ein Unternehmen, das nicht in irgendeiner Form mit Dienstleistern zusammenarbeitet. Dabei werden regelmäßig auch personenbezogene Daten ausgetauscht.

Verarbeitet der Dienstleister als „verlängerter Arm” für Sie solche Daten zu den von Ihnen bestimmten Zwecken und unterliegt dabei ausschließlich Ihren Weisungen, dann liegt ein Fall der Auftragsverarbeitung vor. Der Dienstleister wird als Auftragsverarbeiter bezeichnet.

Sie bleiben weiterhin Verantwortlicher der Datenverarbeitung im Sinne der DSGVO, denn der Auftragsverarbeiter verarbeitet die Daten ausschließlich für Ihre und nicht für seine eigenen Zwecke. Sie sind die Person, die den Zweck der Verarbeitung bestimmt – nicht der Auftragsverarbeiter. Dieser darf die Daten ausschließlich auf Ihre Weisung verarbeiten. 

Für diese Art der Verarbeitung bedarf es einer speziellen vertraglichen Grundlage nach Datenschutzrecht. Der zu schließende Vertrag wird allgemein als Auftragsverarbeitungsvertrag (AVV), die Parteien werden als Verantwortlicher (= Auftraggeber) und Auftragsverarbeiter (= Auftragnehmer) bezeichnet.

Betreffende Artikel der DSGVO und Erwägungsgründe
  • Art. 28 DSGVO – Auftragsverarbeiter
  • Art. 29 DSGVO – Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
  • Erwägungsgrund 81 – Heranziehung eines Auftragsverarbeiters

Was ist zu tun?

Prüfen Sie die Grundlage der Zusammenarbeit bzw. Beauftragung

Sobald Sie vorhaben, ein Unternehmen mit Leistungen zu beauftragen oder mit diesem zusammenzuarbeiten, müssen Sie prüfen, wie die Zusammenarbeit in Bezug auf den Datenschutz einzustufen ist. (Dieser Schritt 07 steht im engen Zusammenhang mit Schritt 08.)

Abgrenzung nach Verantwortlichkeiten in der Zusammenarbeit

Es ist zu entscheiden, ob eine Verarbeitung 

1. eine Auftragsverarbeitung (in Ihrer Verantwortlichkeit)

ODER

2. eine gemeinsame Verantwortlichkeit mit dem Vertragspartner

ODER

3. eine eigenverantwortliche Leistung des Vertragspartners

darstellt.​​​​​​

Auftragsverarbeitung liegt vor, wenn ...

  • ... die Datenverarbeitung einen Schwerpunkt der zu beauftragenden Dienstleistung darstellt. 

  • ... eine hierarchische Struktur besteht.

  • ... Ihr Auftragnehmer bzw. Vertragspartner Ihren Weisungen zur Verarbeitung unterworfen ist.
  • ... Sie allein Zwecke und Mittel der Verarbeitung bestimmen.

Zur Prüfung können Sie unsere ARBEITSHILFE > Checkliste zur Auftragsverarbeitung benutzen. Darin sind auch Beispiele für die Auftragsverarbeitung aufgeführt.

Beispiele für eine Auftragsverarbeitung bei Beauftragung von Dienstleistern
  • Newslettererstellung, ‑verwaltung und ‑versand
  • Lohn- und Gehaltsabrechnung, Buchhaltung über Rechenzentren von Drittanbietern
  • Einsatz von Cloud-Lösungen
  • Hostingleistungen
  • Call-Center-Dienste
  • Werbeadressenverarbeitung in einem Lettershop
  • Datenerfassung, ‑konvertierung durch Dienstleister oder Einscannen von Dokumenten
  • Backup- und Archivierungsdienste
  • Aktenvernichtung und Datenträgerentsorgung
  • Fernwartung und Support von IT-Systemen
  • Einsatz von Sicherheitsdiensten, die personenbezogene Daten erheben bzw. verarbeiten können

Gemeinsame Verantwortlichkeit liegt vor, wenn ...

  • ... keine hierarchische Struktur besteht.

  • ... jede Vertragspartei Einfluss auf die Zwecke und Mittel der Verarbeitung hat, d.h. über das WARUM und WIE der gemeinsamen Datenverarbeitung entscheiden und dies kontrollieren kann.
  • ... die Parteien im Rahmen der Zusammenarbeit einen gemeinsamen Zweck oder auch jede für sich einen eigenen Zweck mit der Verarbeitung verfolgen können.

Wenn sich im Rahmen der Prüfung ergibt, dass ein Fall der Gemeinsamen Verantwortlichkeit vorliegt, gehen Sie bitte weiter zu Schritt 08  Gemeinsames Handeln.

Beispiele für eine gemeinsame Verantwortlichkeit
  • Joint-Venture
  • Entwickeln und Betreiben einer gemeinsamen Vertriebsplattform
  • gemeinsame Verwaltung zum Beispiel von „Stammdaten“ für bestimmte gleichlaufende Geschäftszwecke im Konzern
  • Social Media, je nach Ausgestaltung, siehe Facebook-Fanpage 

Ansonsten liegt Eigenverantwortlichkeit des Vertragspartners vor

  • Liegt kein Fall der gemeinsamen Verantwortlichkeit oder Auftragsverarbeitung vor, so entscheidet der Vertragspartner in der Regel eigenverantwortlich über seine Datenverarbeitung personenbezogener Daten.
  • Es handelt sich insoweit meist um eine Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen. Ein Beispiel dafür ist die Auftragsvergabe an Personen, die ein Berufsgeheimnis wahren müssen. 
  • Auch gilt dies für Aufträge, bei denen die Verarbeitung der übermittelten Daten nur als ungewolltes Beiwerk der eigentlichen beauftragten Leistung anzusehen ist und kein Schlüsselelement der Dienstleistung darstellt.

  • Ein spezieller datenschutzrechtlicher Vertrag ist nicht erforderlich, jedoch bieten sich Regelungen zum Datenschutz an.

Beispiele für Eigenverantwortlichkeit des Vertragspartners
  • Beauftragung von Leistungen aus dem Bereich freier Berufe, wie Steuerberatung und Wirtschaftsprüfung, Rechtsanwältinnen oder externe Betriebsärzte,

  • Inkassodienst mit Forderungsübertragung,

  • Bankleistungen für den Geldtransfer,

  • Postdienstleistung für den Brieftransport

Auf welcher Grundlage ist die Zusammenarbeit zu bewerten?

Die Bewertung müssen Sie anhand der tatsächlichen (objektiven) Gegebenheiten vornehmen. Ob der Vertragsgegenstand mit Auftragsverarbeitung oder gemeinsamer Verantwortlichkeit bezeichnet wird, ist nicht entscheidend.

Wählen Sie den Dienstleister sorgfältig aus

Wenn Sie eine Auftragsdatenverarbeitung beauftragen wollen, müssen Sie den Dienstleister sorgfältig auswählen. Bei der Auswahl sollten Sie folgende Kriterien prüfen:

  • Sitzen der Dienstleister oder ein von diesem eingesetzter Subunternehmer im außereuropäischen Ausland (sog. Drittland) und erfolgt dort die Datenverarbeitung? Wenn ja, liegt ein sog. Drittlands-Transfer vor, der nur unter besonderen Voraussetzung erlaubt ist. 
  • Sind hinreichende Garantien für technische und organisatorische Maßnahmen – sog. TOM – Bestandteil des Auftragsverarbeitungsvertrags?
  • Hat der Dienstleister einen Datenschutzbeauftragten benannt?

Schließen Sie einen Vertrag über die Auftragsverarbeitung

Zu unterscheiden sind zwei Vertragsverhältnisse

1. Der eigentliche (zivilrechtliche) Vertrag bzw. Auftrag, welcher insbesondere Leistung, Preise und Laufzeit regelt.

2. Der (datenschutzrechtliche) Auftragsverarbeitungsvertrag, welcher den Umgang mit den personenbezogenen Daten regelt, die durch den Dienstleister in Ihrem Auftrag verarbeitet werden sollen.

Für die Einhaltung des Datenschutzes steht der Auftragsverarbeitungsvertrag im Fokus. Oft wird jedoch auf den zivilrechtlichen Vertrag ergänzend verwiesen, da dieser den Zweck der Zusammenarbeit festlegt und damit die Verarbeitung der Daten mitbestimmt.

Welchen Inhalt hat der Auftragsverarbeitungsvertrag?

Das Gesetz macht in Art. 28 DSGVO konkrete Vorgaben zu den aufzunehmenden Vertragsregelungen.

Insbesondere sind aufzuführen:

  • Gegenstand der Verarbeitung
  • Dauer der Verarbeitung
  • Arten der Verarbeitung (wie Erhebung, Speicherung, Berichtigung, Löschung)
  • Arten personenbezogener Daten
  • Kategorien betroffener Personen (Kunden, Mitarbeitende, Besucher)
  • Ihr Weisungsrecht und die korrespondierende Weisungsbindung des Auftragsverarbeiters
  • Vorliegen einer Datenübermittlung in Drittländer
  • Einrichtung und Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen (TOM)
  • Benennung von einbezogenen Subdienstleistern und Regelung bei Änderungen sowie Sicherstellung, dass der Subdienstleister dasselbe Datenschutzniveau gewährleistet wie der Auftragsverarbeiter. Der Vertrag mit dem Subunternehmer muss die gleichen vertraglichen Verpflichtungen aufweisen wie der Vertrag zwischen Ihnen und dem Auftragsverarbeiter.
  • Benennung eines Datenschutzbeauftragten beim Auftragsverarbeiter
  • Unterstützung des Auftragsverarbeiters bei der Erfüllung seiner datenschutzrechtlichen Verpflichtungen, bei der Einhaltung der nach Art. 32 DSGVO bestehenden Verpflichtung zur Sicherstellung eines risikoadäquaten Schutzniveaus bei der Datensicherheit, bei der Durchführung von Risikobewertungen und etwaigen Datenschutz-Folgenabschätzungen, bei Datenpannen und bei der Erfüllung von Betroffenenrechten
  • Kontrollrechte
  • Pflicht zur Löschung und Rückgabe der Daten

Mit unserer unter Arbeitshilfen abrufbaren Checkliste zur Prüfung des Auftragsverarbeitungsvertrags können Sie die Verträge auf die Erfüllung dieser Anforderungen prüfen.

Welche Form muss der Vertrag aufweisen?

Der Vertrag muss nicht zwingend in Papierform vorliegen, sondern kann in Textform auf elektronischem Wege geschlossen werden.

Mittlerweile haben die meisten Dienstleister DSGVO-konforme Standardverträge im Einsatz. Gleichwohl müssen Sie prüfen, ob alle vom Gesetz geforderten Regelungen enthalten sind. Hierzu können Sie unter Arbeitshilfen die Checkliste - Prüfung AVV abrufen und einsetzen.

Speichern Sie bei elektronisch geschlossenen Verträgen den Vertragstext anlässlich des Vertragsabschlusses, um diesen zu dokumentieren. Gern ändern die Anbieter Ihre Vertragstexte, so dass es später zu Fragen bezüglich des geltenden Inhalts kommen kann.

Erfassen Sie die Auftragsverarbeitung im Verarbeitungsverzeichnis

Jede Auftragsverarbeitung ist im Rahmen der Informationen zu Kategorien von Empfängern im Verarbeitungsverzeichnis (siehe Schritt 02) zu erfassen. Die Verarbeitung durch den Auftragsverarbeiter ist von der bisherigen Rechtsgrundlage umfasst.

Sie sind selbst Auftragsverarbeiter?

Dann müssen Sie ein Verzeichnis der Verarbeitungstätigkeit zu allen Kategorien von Verarbeitungstätigkeiten führen, die Sie im Auftrag Ihres Kunden als Verantworllichen durchführen. Der Inhalt ergibt sich aus Art. 30 Abs. 2 DSGVO.

Führen Sie Kontrollen durch

„Vertrauen ist gut, doch Kontrolle ist besser”

Die Auftragsverarbeitung sollte nicht nur ein Papiertiger sein. Überzeugen Sie sich davon, dass der Dienstleister tatsächlich seinen vertraglich übernommenen Pflichten zur sicheren Datenverarbeitung nachkommt. Hierzu können Sie z. B. zusätzliche Informationen zur tatsächlichen Umsetzung der TOM anfordern. Sollte der Anbieter Zertifikate führen, können Sie auch hierzu Nachweise verlangen. Schließlich haben Sie das Recht und die Pflicht, Kontrollen beim Auftragsverarbeiter durchzuführen.

Achtung – Subunternehmer im Einsatz!

Ein wichtiger Punkt ist der Austausch der vom Auftragsverarbeiter selbst eingesetzten weiteren Subunternehmer. Beabsichtigt der Auftragsverarbeiter einen Wechsel, muss er Sie hierüber informieren, denn Ihre Zustimmung ist erforderlich. Achtung: Oft lassen sich die Anbieter mit Vertragsunterschrift die Zustimmung zu den in der Vertragsanlage benannten Subunternehmern einräumen. Diese sollten Sie sich daher vor Vertragsunterschrift ansehen. Besondere Vorischt ist geboten, wenn diese im außereuropäischen Ausland (sog. Drittland) sitzen. Auch werden gern Fristen bestimmt, innerhalb derer Widerspruch gegen Änderungen oder neue Subunternehmer zu erklären ist, ansonsten gelte die Zustimmung als erteilt. Diese Fristen sollten Sie beachten.

Beenden Sie die Zusammenarbeit datenschutzkonform

Wenn der Vertrag beendet wird, fordern Sie umgehend zur Herausgabe und Löschung der Daten auf und lassen Sie sich die datenschutzkonforme Löschung bestätigen.

Welche Arbeitshilfen gibt es?

Checkliste
Auftragsverarbeitung
Mehr zum Thema und Vertragsmuster
von der Aufsichtsbehörde Bayern
Orientierungshilfe zur Auftragsverarbeitung
von der Aufsichtsbehörde Bayern
06 Klare Regeln
08 Gemeinsames Handeln