Eine Auftragsverarbeitung („AV“) im Sinne des Datenschutzrechts kann vorliegen, wenn ein Dienstleister („Auftragsverarbeiter“) durch einen Auftraggeber („Verantwortlicher“) bei der Verarbeitung personenbezogener Daten hinzu gezogen wird. Dem Auftragsverarbeiter wird nicht die eigentliche Hauptleistung des Auftraggebers gegenüber seinen Kunden übertragen, sondern nur eine Hilfstätigkeit. Das Einschalten spezialisierter Dienstleister erleichtert die Abwicklung von Routine- und Massentätigkeiten und ermöglicht auch die Durchführung technisch anspruchsvoller Vorhaben, für die kein eigenes Personal vorhanden ist. AV kann sowohl in den Räumen des Verantwortlichen als auch außerhalb stattfinden. Typische Beispiele sind:

• Erledigung von Massenarbeiten, wie z. B. Versand von Broschüren oder Rechnungen auf Basis eines vom Verantwortlichen zur Verfügung gestellten Adressbestandes.
• Klassisches Outsourcing, z. B. Nutzung externer Server („Cloud Computing“) für Archivierung und Back-Up, für Zwecke des E-Mail Versands oder zum Bezug von IT-Unterstützungsleistungen (auch in Form von Fernwartung und User-Help-Desks).

Nach dem Datenschutzrecht ist jeder Umgang mit personenbezogenen Daten verboten, wenn nicht eine Rechtsgrundlage - also eine gesetzliche Erlaubnis oder die Einwilligung des Betroffenen - vorliegt. Die Weitergabe personenbezogener Daten an einen Dienstleister ist im Fall der AV gegenüber anderen Konstellationen der Datenweitergabe privilegiert. Bei Vorliegen der rechtlichen Voraussetzungen für eine AV im Sine des Art. 28 DS-GVO ist für die Weitergabe der Daten an den Auftragsverarbeiter sowie für die Verarbeitung durch diesen ausnahmsweise keine weiter gehende datenschutzrechtliche Erlaubnis erforderlich als diejenige, auf die der Verantwortliche selbst die Verarbeitung stützt. Insbesondere ist keine zusätzliche Einwilligung des Betroffenen erforderlich. Eine AV ermöglicht es daher, die Berechtigung zur Verarbeitung personenbezogener Daten auf einen Dienstleister zu erstrecken.

Die rechtliche Basis für die Weitergabe der Daten an einen Dienstleister schafft ein Vertrag, der schriftlich abzufassen ist. Nach Art. 28 Abs. 9 DS-GVO genügt ein elektronisches Format. Art. 28 Abs. 3 DS-GVO bestimmt dann den Mindestinhalt, der geregelt werden muss. Erforderlich ist die genaue Beschreibung der geschuldeten Tätigkeit des Dienstleisters. Die jeweilige Datenverarbeitung muss immer einem konkreten Auftrag eines Verantwortlichen zugeordnet werden können.

Insbesondere sind folgende Punkte zu regeln:

• Die Dauer der Vertragslaufzeit muss festgelegt werden. Ein Vertrag kann auch für eine unbestimmte Laufzeit geschlossen werden. Es muss dann aber die Möglichkeit der Vertragsbeendigung bestehen.
• Die Modalitäten der Verarbeitung (Art. 4 Nr. 2 DS-GVO: Erfassen, Ordnen, Speichern, Verändern, Übermitteln und andere Vorgänge) müssen konkret und abschließend beschrieben werden.
• Der Verarbeiter darf keinen eigenen Spielraum hinsichtlich des Zwecks der Datenverarbeitung haben. Auf diese Weise wird die Zweckbindung der Daten auch bei der AV sichergestellt.
• Die Art der zu verarbeitenden personenbezogenen Daten muss klar bestimmt sein. Davon hängt das erforderliche Schutzniveau ab, welches insbesondere bei der Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 DS-GVO (z. B. Gesundheitsdaten, religiöse Überzeugungen, sexuelle Orientierung) einzuhalten ist.
• Die Kategorie der betroffenen Personen (z. B. Kinder, Beschäftigte, Lieferanten) muss ebenfalls beschrieben werden. Dies kann sich ebenfalls auf das einzuhaltende Datenschutzniveau auswirken.

Von den umfangreichen Vorgaben des Art 28 DS-GVO hinsichtlich der Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters seien hier nur erwähnt: die Weisungsgebundenheit des Auftragsverarbeiters, die Verpflichtung zur Vertraulichkeit und die Pflicht zur Schaffung und Einhaltung technischer und organisatorischer Sicherungsmaßnahmen (sog. TOM), die zur Sicherstellung eines angemessenen Schutzniveaus bei der konkreten Verarbeitungstätigkeit erforderlich sind.

Gegenüber dem vor der DS-GVO geltenden Recht haben sich keine grundlegenden Veränderungen ergeben. Wer also bereits mit seinen Dienstleistern Vereinbarungen nach den Regelungen des alten Bundesdatenschutzgesetzes geschlossen hatte, sollte mit der Anpassung der Verträge oder deren Neuabschluss nach den neuen Bestimmungen keine Probleme bekommen. Die nach altem Recht geschlossenen Verträge erfahren aber keinen Bestandsschutz und müssen an die Neuregelung angepasst werden. Sofern bislang noch gar keine Vereinbarungen über die AV abgeschlossen wurden - obwohl deren rechtliche Voraussetzungen gegeben sind - besteht dringender Handlungsbedarf.

Dr. Tilo Jung

» zur Übersicht