Werden personenbezogene Daten nicht unmittelbar durch den Verantwortlichen, sondern auf Weisung durch beauftragte Dienstleister (z.B. Webhoster oder Cloud-Betreiber) verarbeitet, liegt aus datenschutzrechtlicher Sicht eine sog. Auftragsverarbeitung vor. Praktische Beispiele für eine Auftragsverarbeitung sind Webhosting, Cloud-Computing oder Software-as-a-Service (SaaS). Aus datenschutzrechtlicher Sicht ist eine Auftragsverarbeitung nur zulässig, wenn die Datenverarbeitung durch einen Auftragsverarbeitungsvertrag (AVV) geregelt wird. In der Praxis zeigt sich jedoch immer wieder, dass sich selbst große Dienstleister schwer damit tun, einen AVV bereitzustellen, der den Anforderungen der DSGVO genügt. Mehrere deutsche Datenschutzaufsichtsbehörden haben daher eine koordinierte Prüfaktion zu den Musterverträgen von ausgewählten großen Webhostern gestartet. Zugleich haben die Behörden auch eine Checkliste zur Prüfung von Auftragsverarbeitungsverträgen veröffentlicht, die eine abgestimmte Rechtsauffassung bezüglich der Wirksamkeitsanforderungen enthält und daher auch außerhalb der laufenden Verfahren wertvoll ist.
Die Checkliste: Einordnung und Inhalte
Inhaltlich konkretisiert die Checkliste, wann die gesetzlichen Regelungsvorgaben für Auftragsverarbeitungsverträge aus Sicht der Datenschutzaufsichtsbehörden erfüllt sind – oder eben auch nicht. Es handelt sich also keineswegs um eine verbindliche Vorgabe zur Gestaltung von Auftragsverarbeitungsverträgen, sondern nur um die Rechtsauffassung der beteiligten Behörden. Dennoch steht außer Frage, dass die Checkliste von den beteiligten Datenschutzaufsichtsbehörden als Prüfmaßstab angewendet wird und sowohl Verantwortliche als auch Auftragsverarbeiter rechtliche Auseinandersetzungen mit den Behörden vermeiden können, wenn sie die Anforderungen umsetzen und einhalten. Dies gilt insbesondere auch vor dem Hintergrund, dass Dokumentenprüfungen bei den deutschen Datenschutzaufsichtsbehörden äußerst beliebt sind.
In der Checkliste äußern sich die Datenschutzaufsichtsbehörden insbesondere auch zu den folgenden praxisrelevanten Aspekten, die Unternehmen bei der Gestaltung von Auftragsverarbeitungsverträgen immer wieder beschäftigen:
- Erforderlich ist eine klare Definition der Verarbeitungstätigkeit. In der Checkliste wird allerdings klargestellt, dass die Angabe der Art der Verarbeitung nicht zwangsläufig erforderlich ist, wenn Gegenstand und Zweck ausreichend definiert sind.
- Vertraulichkeitsverpflichtungen dürfen nicht zu strikt sein und müssen insbesondere eine Offenlegung von Informationen gegenüber den Aufsichtsbehörden oder betroffenen Personen ermöglichen. Andernfalls können Verantwortliche ihrer Nachweispflicht nicht genügen.
- Dem Auftraggeber steht nach Ende der Verarbeitung ein Wahlrecht zu, ob die verarbeiteten Daten gelöscht oder zurückgegeben werden. Dieses kann nach Auffassung der Behörden nicht auf den Auftragnehmer übertragen werden. Es sollen aber Vorab-Entscheidungen für den Fall zulässig sein, dass der Auftraggeber bis zum Abschluss der Erbringung der Verarbeitungsleistungen keine Wahl mitgeteilt hat. Das Wahlrecht muss aber gewährleistet bleiben, einschließlich der Möglichkeit einer späteren Änderung bei Festlegung im AVV.
- Letztlich darf das umfassende Kontrollrecht des Auftraggebers nur in sehr engen Grenzen eingeschränkt werden. Beschränkungen sollen nur insoweit zulässig sein, als sie einen rechtsmissbräuchlichen Gebrauch des Kontrollrechts verhindern. Dies ist in der Praxis häufig ein erhebliches Problem, da die Ausübung von Kontrollrechten, z.B. in Rechenzentren, einen negativen Einfluss auf die Cybersicherheit haben kann.
Fazit
Es ist davon auszugehen, dass die veröffentlichte Checkliste zukünftig bei der Überprüfung von Auftragsverarbeitungsverträgen durch die Datenschutzaufsichtsbehörden eine erhebliche Bedeutung erlangen wird und auch von Behörden, die an den jetzigen Prüfungen nicht beteiligt sind, berücksichtigt werden wird. Verantwortliche und Auftragsverarbeiter sollten die Checkliste daher bei der Erstellung und Prüfung ihrer Auftragsverarbeitungsverträge einfließen lassen, um das Risiko aufsichtsbehördlicher Maßnahmen und Sanktionen zu reduzieren. Dies gilt sowohl für den Abschluss neuer als auch für bereits abgeschlossene Verträge. In letzterem Fall ist gegebenenfalls auf eine vertragliche Anpassung hinzuwirken. Die Datenschutzaufsichtsbehörde Berlin erklärt dazu wortwörtlich: “Wir ermuntern alle IT-Dienstleister, ihre Standardverträge selbstständig zu prüfen und an das Gesetz anzupassen. Schließlich können hohe Bußgelder nicht nur gegen Verantwortliche verhängt werden, die IT-Dienstleister ohne ordnungsgemäßen AV-Vertrag einsetzen, sondern auch gegen die IT-Dienstleister selbst.”
zurück