Reuschlaw

Daten­schutz­auf­sichts­be­hör­den: neue Check­lis­te für Auftragsverarbeitungsverträge

Wer­den per­so­nen­be­zo­ge­ne Daten nicht unmit­tel­bar durch den Ver­ant­wort­li­chen, son­dern auf Wei­sung durch beauf­trag­te Dienst­leis­ter (z.B. Web­hos­ter oder Cloud-Betreiber) ver­ar­bei­tet, liegt aus daten­schutz­recht­li­cher Sicht eine sog. Auf­trags­ver­ar­bei­tung vor. Prak­ti­sche Bei­spie­le für eine Auf­trags­ver­ar­bei­tung sind Web­hos­ting, Cloud-Computing oder Software-as-a-Service (SaaS). Aus daten­schutz­recht­li­cher Sicht ist eine Auf­trags­ver­ar­bei­tung nur zuläs­sig, wenn die Daten­ver­ar­bei­tung durch einen Auf­trags­ver­ar­bei­tungs­ver­trag (AVV) gere­gelt wird. In der Pra­xis zeigt sich jedoch immer wie­der, dass sich selbst gro­ße Dienst­leis­ter schwer damit tun, einen AVV bereit­zu­stel­len, der den Anfor­de­run­gen der DSGVO genügt. Meh­re­re deut­sche Daten­schutz­auf­sichts­be­hör­den haben daher eine koor­di­nier­te Prüf­ak­ti­on zu den Mus­ter­ver­trä­gen von aus­ge­wähl­ten gro­ßen Web­hos­tern gestar­tet. Zugleich haben die Behör­den auch eine Check­lis­te zur Prü­fung von Auf­trags­ver­ar­bei­tungs­ver­trä­gen ver­öf­fent­licht, die eine abge­stimm­te Rechts­auf­fas­sung bezüg­lich der Wirk­sam­keits­an­for­de­run­gen ent­hält und daher auch außer­halb der lau­fen­den Ver­fah­ren wert­voll ist.

Die Check­lis­te: Ein­ord­nung und Inhalte

Inhalt­lich kon­kre­ti­siert die Check­lis­te, wann die gesetz­li­chen Rege­lungs­vor­ga­ben für Auf­trags­ver­ar­bei­tungs­ver­trä­ge aus Sicht der Daten­schutz­auf­sichts­be­hör­den erfüllt sind – oder eben auch nicht. Es han­delt sich also kei­nes­wegs um eine ver­bind­li­che Vor­ga­be zur Gestal­tung von Auf­trags­ver­ar­bei­tungs­ver­trä­gen, son­dern nur um die Rechts­auf­fas­sung der betei­lig­ten Behör­den. Den­noch steht außer Fra­ge, dass die Check­lis­te von den betei­lig­ten Daten­schutz­auf­sichts­be­hör­den als Prüf­maß­stab ange­wen­det wird und sowohl Ver­ant­wort­li­che als auch Auf­trags­ver­ar­bei­ter recht­li­che Aus­ein­an­der­set­zun­gen mit den Behör­den ver­mei­den kön­nen, wenn sie die Anfor­de­run­gen umset­zen und ein­hal­ten. Dies gilt ins­be­son­de­re auch vor dem Hin­ter­grund, dass Doku­men­ten­prü­fun­gen bei den deut­schen Daten­schutz­auf­sichts­be­hör­den äußerst beliebt sind.

In der Check­lis­te äußern sich die Daten­schutz­auf­sichts­be­hör­den ins­be­son­de­re auch zu den fol­gen­den pra­xis­re­le­van­ten Aspek­ten, die Unter­neh­men bei der Gestal­tung von Auf­trags­ver­ar­bei­tungs­ver­trä­gen immer wie­der beschäftigen:

  • Erfor­der­lich ist eine kla­re Defi­ni­ti­on der Ver­ar­bei­tungs­tä­tig­keit. In der Check­lis­te wird aller­dings klar­ge­stellt, dass die Anga­be der Art der Ver­ar­bei­tung nicht zwangs­läu­fig erfor­der­lich ist, wenn Gegen­stand und Zweck aus­rei­chend defi­niert sind.
  • Ver­trau­lich­keits­ver­pflich­tun­gen dür­fen nicht zu strikt sein und müs­sen ins­be­son­de­re eine Offen­le­gung von Infor­ma­tio­nen gegen­über den Auf­sichts­be­hör­den oder betrof­fe­nen Per­so­nen ermög­li­chen. Andern­falls kön­nen Ver­ant­wort­li­che ihrer Nach­weis­pflicht nicht genügen.
  • Dem Auf­trag­ge­ber steht nach Ende der Ver­ar­bei­tung ein Wahl­recht zu, ob die ver­ar­bei­te­ten Daten gelöscht oder zurück­ge­ge­ben wer­den. Die­ses kann nach Auf­fas­sung der Behör­den nicht auf den Auf­trag­neh­mer über­tra­gen wer­den. Es sol­len aber Vorab-Entscheidungen für den Fall zuläs­sig sein, dass der Auf­trag­ge­ber bis zum Abschluss der Erbrin­gung der Ver­ar­bei­tungs­leis­tun­gen kei­ne Wahl mit­ge­teilt hat. Das Wahl­recht muss aber gewähr­leis­tet blei­ben, ein­schließ­lich der Mög­lich­keit einer spä­te­ren Ände­rung bei Fest­le­gung im AVV.
  • Letzt­lich darf das umfas­sen­de Kon­troll­recht des Auf­trag­ge­bers nur in sehr engen Gren­zen ein­ge­schränkt wer­den. Beschrän­kun­gen sol­len nur inso­weit zuläs­sig sein, als sie einen rechts­miss­bräuch­li­chen Gebrauch des Kon­troll­rechts ver­hin­dern. Dies ist in der Pra­xis häu­fig ein erheb­li­ches Pro­blem, da die Aus­übung von Kon­troll­rech­ten, z.B. in Rechen­zen­tren, einen nega­ti­ven Ein­fluss auf die Cyber­si­cher­heit haben kann.

Fazit

Es ist davon aus­zu­ge­hen, dass die ver­öf­fent­lich­te Check­lis­te zukünf­tig bei der Über­prü­fung von Auf­trags­ver­ar­bei­tungs­ver­trä­gen durch die Daten­schutz­auf­sichts­be­hör­den eine erheb­li­che Bedeu­tung erlan­gen wird und auch von Behör­den, die an den jet­zi­gen Prü­fun­gen nicht betei­ligt sind, berück­sich­tigt wer­den wird. Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter soll­ten die Check­lis­te daher bei der Erstel­lung und Prü­fung ihrer Auf­trags­ver­ar­bei­tungs­ver­trä­ge ein­flie­ßen las­sen, um das Risi­ko auf­sichts­be­hörd­li­cher Maß­nah­men und Sank­tio­nen zu redu­zie­ren. Dies gilt sowohl für den Abschluss neu­er als auch für bereits abge­schlos­se­ne Ver­trä­ge. In letz­te­rem Fall ist gege­be­nen­falls auf eine ver­trag­li­che Anpas­sung hin­zu­wir­ken. Die Daten­schutz­auf­sichts­be­hör­de Ber­lin erklärt dazu wort­wört­lich: “Wir ermun­tern alle IT-Dienstleister, ihre Stan­dard­ver­trä­ge selbst­stän­dig zu prü­fen und an das Gesetz anzu­pas­sen. Schließ­lich kön­nen hohe Buß­gel­der nicht nur gegen Ver­ant­wort­li­che ver­hängt wer­den, die IT-Dienstleister ohne ord­nungs­ge­mä­ßen AV-Vertrag ein­set­zen, son­dern auch gegen die IT-Dienstleister selbst.”

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.