Eine Auftragsverarbeitung („AV“) im Sinne des Datenschutzrechts kann vorliegen, wenn ein Dienstleister („Auftragsverarbeiter“) durch einen Auftraggeber („Verantwortlicher“) bei der Verarbeitung personenbezogener Daten hinzu gezogen wird. Dem Auftragsverarbeiter wird nicht die eigentliche Hauptleistung des Auftraggebers gegenüber seinen Kunden übertragen, sondern nur eine Hilfstätigkeit. Das Einschalten spezialisierter Dienstleister erleichtert die Abwicklung von Routine- und Massentätigkeiten und ermöglicht auch die Durchführung technisch anspruchsvoller Vorhaben, für die kein eigenes Personal vorhanden ist. AV kann sowohl in den Räumen des Verantwortlichen als auch außerhalb stattfinden. Typische Beispiele sind:
Nach dem Datenschutzrecht ist jeder Umgang mit personenbezogenen Daten verboten, wenn nicht eine Rechtsgrundlage - also eine gesetzliche Erlaubnis oder die Einwilligung des Betroffenen - vorliegt. Die Weitergabe personenbezogener Daten an einen Dienstleister ist im Fall der AV gegenüber anderen Konstellationen der Datenweitergabe privilegiert. Bei Vorliegen der rechtlichen Voraussetzungen für eine AV im Sine des Art. 28 DS-GVO ist für die Weitergabe der Daten an den Auftragsverarbeiter sowie für die Verarbeitung durch diesen ausnahmsweise keine weiter gehende datenschutzrechtliche Erlaubnis erforderlich als diejenige, auf die der Verantwortliche selbst die Verarbeitung stützt. Insbesondere ist keine zusätzliche Einwilligung des Betroffenen erforderlich. Eine AV ermöglicht es daher, die Berechtigung zur Verarbeitung personenbezogener Daten auf einen Dienstleister zu erstrecken.
Die rechtliche Basis für die Weitergabe der Daten an einen Dienstleister schafft ein Vertrag, der schriftlich abzufassen ist. Nach Art. 28 Abs. 9 DS-GVO genügt ein elektronisches Format. Art. 28 Abs. 3 DS-GVO bestimmt dann den Mindestinhalt, der geregelt werden muss. Erforderlich ist die genaue Beschreibung der geschuldeten Tätigkeit des Dienstleisters. Die jeweilige Datenverarbeitung muss immer einem konkreten Auftrag eines Verantwortlichen zugeordnet werden können.
Insbesondere sind folgende Punkte zu regeln:
Von den umfangreichen Vorgaben des Art 28 DS-GVO hinsichtlich der Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters seien hier nur erwähnt: die Weisungsgebundenheit des Auftragsverarbeiters, die Verpflichtung zur Vertraulichkeit und die Pflicht zur Schaffung und Einhaltung technischer und organisatorischer Sicherungsmaßnahmen (sog. TOM), die zur Sicherstellung eines angemessenen Schutzniveaus bei der konkreten Verarbeitungstätigkeit erforderlich sind.
Gegenüber dem vor der DS-GVO geltenden Recht haben sich keine grundlegenden Veränderungen ergeben. Wer also bereits mit seinen Dienstleistern Vereinbarungen nach den Regelungen des alten Bundesdatenschutzgesetzes geschlossen hatte, sollte mit der Anpassung der Verträge oder deren Neuabschluss nach den neuen Bestimmungen keine Probleme bekommen. Die nach altem Recht geschlossenen Verträge erfahren aber keinen Bestandsschutz und müssen an die Neuregelung angepasst werden. Sofern bislang noch gar keine Vereinbarungen über die AV abgeschlossen wurden - obwohl deren rechtliche Voraussetzungen gegeben sind - besteht dringender Handlungsbedarf.
Dr. Tilo Jung