Stand: 14.02.2023

Werden bei der Zusammenarbeit mit anderen Stellen personenbezogene Daten verarbeitet, kennt die DS-GVO drei verschiedene Konstellationen: die Verarbeitung in eigener Verantwortung („Dritte“), die gemeinsame Verantwortung nach Art. 26 DS-GVO und die Auftragsverarbeitung nach Art. 28 DS-GVO. Eine Auftragsverarbeitung liegt immer dann vor, wenn eine Stelle (der Auftragnehmer) im Auftrag einer anderen Stelle (dem Auftraggeber) personenbezogene Daten erhebt, verarbeitet oder nutzt. In Abgrenzung zu anderen Konstellationen der Zusammenarbeit ist der Auftragnehmer dem Auftraggeber gegenüber streng weisungsgebunden und der Auftraggeber bleibt allein verantwortliche Stelle.

Typische Beispiele für Auftragsverarbeiter sind IT-Dienstleister, Hersteller von Software, externe Wartungsfirmen und externe Dienstleister für Aktenvernichtung. Dagegen sind Rechtsanwälte und Steuerberater keine Auftragsverarbeiter, da sie ihren Mandanten gegenüber nicht weisungsgebunden sind (eigene Verantwortung).

Mehr Informationen

Mehr Informationen zur Auftragsverarbeitung und dem Vertrag über die Auftragsvereinbarung finden Sie auch in unserem Datenschutz-ABC. Mehr Informationen zu Bußgeldern im Zusammenhang mit Fehlern bei der Gestaltung der Auftragsverarbeitung finden Sie in unserer Bußgeldübersicht.

Charakteristika der Auftragsverarbeitung

Der Auftragsverarbeiter (Auftragnehmer) fungiert bei der Auftragsverarbeitung als verlängerter Arm des Verantwortlichen (Auftraggeber) und verarbeitet die Daten ausschließlich auf dessen Verantwortung und Weisung hin. Dementsprechend muss die Weisung des Auftraggebers detaillierte Angaben zu Art und Umfang der Datenverarbeitung enthalten und hat dokumentiert zu erfolgen. Der Auftragnehmer hat bei der Auftragsverarbeitung keine Entscheidungsbefugnis über den Verarbeitungszweck oder die Mittel und kein Nutzungsrecht an den Daten.

Entscheiden verschiedene Parteien gemeinsam über den Zweck („ob und warum“) und/oder die Mittel („wie“) der Datenverarbeitung, beispielsweise beim gemeinschaftlichen Betrieb eines Onlineshops oder einer zentralen Mitarbeiterverwaltung im Konzern, liegt keine Auftragsverarbeitung vor, sondern eine sog. gemeinsame Verantwortlichkeit (Art. 26 DS-GVO). Dabei ist unerheblich, ob die Beteiligten gleichberechtigt sind oder nicht.

Mehr Informationen

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat die Frage, was eine Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DS-GVO ist und was nicht, mit einer ausführlichen Übersicht beantwortet. Die Auslegungshilfe ist über das FAQ auf der Website der Aufsichtsbehörde aufrufbar.

Die Abgrenzung zwischen den verschiedenen Konstellationen der Zusammenarbeit kann im Einzelfall schwierig sein, je nachdem, wie die Geschäftsbeziehung im Detail ausgestaltet ist. Deshalb ist es wichtig, die Prozesse genau zu prüfen und dabei wirklich alle betreffenden Tätigkeiten und Regelungen einzubeziehen.

Vertrag über die Auftragsverarbeitung

Die Auftragsverarbeitung ist nur zulässig, wenn sie auf Grundlage einer Auftragsverarbeitungsvereinbarung (AVV, auch Auftragsverarbeitungsvertrag) erfolgt. Wichtig ist, dass für die Auftragsverarbeitung nicht nur eine AVV geschlossen wird, sondern dass diese auch alle inhaltlichen Vorgaben nach Art. 28. Abs. 3 DS-GVO erfüllt. Mit der Auftragsverarbeitungsvereinbarung werden die eigenen datenschutzrechtlichen Pflichten an den Vertragspartner weitergereicht, der dann vertragsrechtlich verpflichtet ist, dasselbe Datenschutzniveau zu gewährleisten, das der Auftraggeber nach der DS-GVO sicherstellen muss. Der Abschluss der AVV ist Voraussetzung dafür, dass personenbezogene Daten an den Vertragspartner weitergegeben werden dürfen bzw. der Zugriff ermöglicht werden darf. Der Auftragsverarbeiter wird zum verlängerten Arm des Auftraggebers und zählt datenschutzrechtlich nicht mehr als Dritter.

Der Mindestinhalt einer Auftragsverarbeitungsvereinbarung ergibt sich aus Art. 28 Abs. 3 DS-GVO. Zu den wichtigsten Punkten gehören:

  • Gegenstand und Dauer der Auftragsverarbeitung
  • Art und Zweck der Verarbeitung sowie Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Weisungsrecht des Auftraggebers inkl. Kontrollrecht des Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
  • Pflichten und Rechte des Auftragsverarbeiters (z. B. Unterstützungs- und Meldepflichten gegenüber dem Auftraggeber, Schulung und Verpflichtung der Beschäftigten, Sicherstellung des vereinbarten Schutzniveaus
  • Voraussetzungen für das Hinzuziehung von Subunternehmern

Gut zu wissen

Die EU-Kommission hat im Juni 2021 Standartvertragsklauseln erlassen, die Verantwortliche und Auftragsverarbeiter innerhalb der EU/des EWR verwenden können. Bei den Standardvertragsklauseln handelt es sich um ein vorgegebenes Vertragswerk, die zur Regelung der Auftragsverarbeitung verwendet werden können (Art. 28 Abs. 7 DS-GVO).

Verantwortlichkeiten bei der Auftragsverarbeitung

Die Verantwortung für die rechtmäßige Verarbeitung der personenbezogenen Daten liegt bei der Auftragsverarbeitung einzig und allein beim Auftraggeber. Er muss den Auftragnehmer deshalb über die AVV zum Schutz der Daten verpflichten und ihn diesbezüglich auch kontrollieren. Auch gegenüber Betroffenen ist bei der Auftragsverarbeitung der Auftraggeber grundsätzlich erster Ansprechpartner und verantwortlich dafür, dass die datenschutzrechtlichen Rechte erfüllt werden.

Grundsätzlich haften der Auftraggeber und der Auftragnehmer nach Art. 82 DS-GVO gemeinsam, wobei die Haftung des Auftragsverarbeiters eingeschränkt ist. Er kann nur haftbar gemacht werden, wenn er gegen ihm speziell auferlegte Pflichten verstößt. Überschreitet ein Auftragsverarbeiter seine Kompetenzen und entscheidet unter Verstoß gegen die rechtlichen Vorgaben zur Auftragsverarbeitung eigenständig über Zwecke und Mittel der Verarbeitung, gilt er im Hinblick auf diese Verarbeitung selbst als Verantwortlicher (Art. 28 Abs. 10 DS-GVO).

Stellungnahme der DSK zum DPA von Microsoft

Nach der Stellungnahme der Datenschutzkonferenz (DSK) vom 24.11.2022, ist eine datenschutzkonforme Nutzung der MS365-Produke aktuell nicht möglich, da insbesondere der eingesetzte Auftragsverarbeitungsvertrag nicht den Anforderungen des Art. 28 DS-GVO entspricht. Ausgangspunkt war die Bewertung einer eingerichteten Arbeitsgemeinschaft, die den „Datenschutznachtrag zu den Produkten und Services von Microsoft“ (DPA) analysiert hat. Diese hat insbesondere die Intransparenz bzgl. der Datenverarbeitung zu eigenen Zwecken, Unklarheiten bzgl. des Wechsels von Subunternehmern bzw. dem Einsatz neuer Subunternehmer sowie Einschränkungen bei den Garantien und Sicherheitsmaßnahmen (TOMs) kritisiert. Die Mängel im DPA würden dazu führen, dass Verantwortliche ihre Rechenschaftspflicht gem. Art. 5 Abs. 2 DS-GVO nicht erfüllen können. Zudem bestehen im Hinblick auf die Rechtmäßigkeit der Datenübermittlung in die USA Zweifel, wobei dieser Kritikpunkt mit dem anstehenden Angemessenheitsbeschluss der EU-Kommission entfallen könnte.

Zertifizierung für Auftragsverarbeiter „Trusted Data Processor“

Gemäß Art. 40 Abs. 2 DS-GVO können Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, Verhaltensregeln (Codes of Conduct) ausarbeiten, ändern oder erweitern, mit denen die Anwendung der DS-GVO präzisiert wird. Im Jahr 2022 hat der Verein zu Förderung von Verhaltensregeln (VfV) e. V. darauf basierend die Verhaltensregel „Anforderungen an die Auftragsverarbeiter nach Artikel 28 DS-GVO – Trusted Data Processor“ herausgegeben. Die Verhaltensregel soll die Organisation des Zusammenspiels zwischen Verantwortlichem und Auftragsverarbeiter konkretisieren, wobei der Schwerpunkt auf der Ausgestaltung von branchenunabhängigen Geschäftsprozessen liegt und insbesondere Leistungsprozesse der Auftragsverarbeiter nicht betroffen sind. Umfasst sind zudem nur allgemein und generell geltende Mindestanforderungen, nicht besonders bestehende Schutzbedarfe. Es handelt sich um eine nationale Verhaltensregel für Deutschland, wobei der Ort der Verarbeitung durch den Auftragsverarbeiter maßgeblich ist – unabhängig von etwaigen Subunternehmern.

Verpflichtet sich ein Auftragsverarbeiter (Selbstverpflichtung) auf die Einhaltung der Verhaltensregeln, muss er die beschriebenen Anforderungen umsetzen. Andersherum dürfen Verantwortliche darauf vertrauen, dass die verpflichteten Auftragsverarbeiter gemäß der Verhaltensregeln agieren. Für die von der Verpflichtung umfassten Anforderungen aus Art. 28 DS-GVO wirkt die Selbstverpflichtung als Faktor im Rahmen der Garantien i. S. d. Art. 28 Abs. 1 DS-GVO. Die Verhaltensregel umfasst sieben einzuhaltenden Anforderungen aus den Bereichen Angebot und Vertrag, Unterbeauftragung, Kontrolle der Unterauftragsverarbeiter, Rechte der betroffenen Personen (Betroffenenrechte), Meldung potenzieller Verletzungen des Schutzes personenbezogener Daten (Sicherheitsvorfälle), Inhalt der Verpflichtung auf Vertraulichkeit sowie Eigenkontrolle. Zudem muss der Auftragsverarbeiter Prozesse einrichten, um sicherzustellen, dass eine Kontrollstelle die Einhaltung der Verhaltensregeln überwachen können. Zuständige Kontrollstelle ist die „DSZ Datenschutz Zertifizierungsgesellschaft mbH“.