Auftragsdatenverarbeitung Muster §11BDSG - Art. 28 DSGVO

Drucken

Auftragsdatenverarbeitung? Was ist das und wozu braucht man einen Vertrag zur Auftragsdatenverarbeitung?

Immer wenn personenbezogene Daten durch einen Dritten im Auftrag verarbeitet weAuftragsdatenverarbeitungsvertrag - Muster - § 11 BDSG - Art. 28 DSGVOrden, stellt sich die Frage, auf welcher Rechtsgrundlage die Datenverarbeitung erfolgt. Damit die Daten von dem Auftraggeber zu dem Auftragnehmer (z.B. Cloud-Anbieter oder Rechenzentrums-Betreiber) übertragen werden dürfen, muss entweder eine Einwilligung des von der Datenverarbeitung Betroffenen i.S.d. § 4 BDSG bestehen oder die Datenübertragung wird auf anderem Wege "legalisiert". An diesem Grundsatz wird sich auch durch die Einführung der EU-Datenschutzgrundverordnung nichts ändern.

Mittel der Wahl zur Legalisierung einer Datenübertragung an Dritte ist der Abschluss eines sog. Auftragsdatenverarbeitungsvertrages. Unter Auftragsdatenverarbeitung versteht man die weisungsgebundene Datenverarbeitung durch Externe, bei der die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber verbleibt. Das Bundesdatenschutzgesetz enthält hierfür Regelungen in § 11 BDSG. Die ab Mai 2018 gültige EU-Datenschutzgrundverordnung, die die Regelungen des BDSG bzgl der Auftragsdatenverarbeitung komplett ersetzen wird regelt die Auftragsdatenverarbeitung in Art. 28 DSGVO.

Die Auftragsdatenverarbeitung in Fachkreisen auch als ADV bezeichnet. Ein Auftragsdatenverarbeitungsvertrag wird dementsprechend als ADV-Vertrag abgekürzt.

Meist unterhalten Unternehmen eine Vielzahl von Auftragsdatenverarbeitungsverhältnissen, insbesondere in den Bereichen IT und Personalverwaltung. Da es in der Praxis meist unmöglich ist, sich von allen durch den Datenverarbeitungsprozess Betroffenen eine rechtskonforme Einwilligung i.S.d. § 4 BDSG zu "organisieren", sollten diese Datenverarbeitungsprozesse über einen ADV-Vertrag "legalisiert" werden,.

MERKE: Liegt ein Auftragsdatenverarbeitungsverhältnis vor, muss vor Beginn der Auftragsdatenverarbeitung ein entsprechender Vertrag zwischen den Beteiligten abgeschlossen werden.

Was muss in einem Auftragsdatenverarbeitungsvertrag (ADV-Vertrag) alles geregelt sein?

§ 11 BDSG schreibt vor, dass die nachfolgenden 10 Punkte zwingend in einem Vertrag zur Auftragsdatenverarbeitung geregelt werden müssen:

Was ändert sich am Vertragsinhalt, wenn die EU-Datenschutzgrundverordnung ab Mai 2018 die Regelungen zur Auftragsdatenverarbeitung des § 11 BDSG ablösen wird?

Die EU-Datenschutzgrundverordnung, die abseits der Datenverarbeitung im Gesundheitswesen gem. Sozialgesetzbuche (SGB) ab Mai 2018 allein maßgebliche Rechtsgrundlage für den Bereich der Auftragsdatenverarbeitung werden wird, nimmt den Auftragnehmer zur Einhaltung des Datenschutzrechts weitaus stärker in die Pflicht als dies noch in § 11 BDSG der Fall ist.

Während das BDSG vorsieht, dass ausschließlich der Auftraggeber für den outgesourcten Datenverarbeitungsprozess verantwortlich ist, wird durch die DSGVO der Auftragnehmer für die Verarbeitung der Daten mitverantwortlich gemacht.

Die DSGVO enthält dementsprechend u.a. in den nachfolgend aufgelisteten Artikeln neue Regelungen zu selbstständigen datenschutzrechtlichen Pflichten, die sich u.a. auch an den Auftragnehmer, den sog. "Auftragsverarbeiter" richten:

Das bereits in § 11 BDSG verankerte Weisungsrecht des Auftraggebers gegenüber dem Auftragnehmer bleibt aber unverändert bestehen. Art. 29 der EU-DSGVO legt fest, dass der Auftragnehmer weiterhin grundsätzlich verpflichtet bleibt, im Rahmen der Datenverarbeitung ausschließlich auf Weisung des Verantwortlichen zu handeln:

Bildquelle: businessman thinking of problem stasique fotolia.com


Was passiert wenn personenbezogen Daten ohne ausreichende Rechtsgrundlage im Rahmen einer Auftragsdatenverarbeitung an einen Auftragnehmer übertragen werden, z.B.  bei Nutzung eines Coud-CRMs oder dem Hosting eines Onlineshops in der Amazon-Cloud?

Die noch aktuelle Rechtsgrundlage für die Auftragsdatenverarbeitung, § 11 BDSG, sieht vor, dass eine nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise durchgeführte Auftragsdatenverarbeitung als Ordnungswidrigkeit mit einem Bußgeld von bis zu 50.000,- Euro geahndet werden kann (vgl. § 43 Abs. 1 Nr. 2b, Abs. 3 BDSG).

Ab Mai 2018 gelten dann die Vorschriften zu Sanktionen der EU-Datenschutzgrundverordnung gem. Artikel 83 und 84. Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist. Hierbei dient der Jahresumsatz des gesamten Konzerns als Bemessungsgrundlage, nicht der Umsatz einzelner Konzerngesellschaften.

Wie berechnet sich das Bußgeld?

Die Bußgelder sollen dafür sorgen, dass das Bewusstsein der Akteuere für den Datenschutz gestärkt wird und es zu weniger Verstößen gegen die datenschutzrechtlichen Vorschriften kommt. Gemäß Art 84 DSGVO müssen die von den Aufsichtsbehörden verhängten Bußgelder "wirksam, verhältnismäßig und abschreckend" sein. Art. 83 Abs. 2 (a) bis (k) DSGVO enthalten einen einen Katalog mit Kriterien für die Festlegung der Höhe der Bußgelder.

Es ist davon auszugehen, dass die Bußgelder wegen Datenschutzverstößen ab Mai 2018 höher ausfallen werden, wie es zur Zeit noch der Fall ist.

Nach welchen Kriterien bemisst sich das Bußgeld gem. Art. 83 DSGVO?

Der Katalog des Art. 83 DSGVO enthält folgende Kriterien zur Bemessung des zu verhängenden Bußgeldes:

Welche weiteren Sanktionsmöglichkeiten haben die Aufsichtsbehörden ab Mai 2018?

Die jeweils örtlich zuständigen Aufsichtsbehörden haben zudem die Möglichkeiten, den Gewinn eines rechtsverletzend handelnden Unternehmens abzuschöpfen, den das Unternehmen mit den festgestellten Datenschutzverstößen gemacht hat. Wie bei allen Gewinnabschöpfungsansprüchen dürfte dies nur in Extremfällen relevant werden. Die Beweisführung bei Gewinnabschöpfungsansprüchen ist of schwierig.

Zudem kann selbstverständlich die Beendigung des Verstoßes gemäß Art. 58 Abs. 2, DSGVO angeordnet werden, z.B. Rüge; Anweisung, die Datenverarbeitung den gesetzlichen Vorgaben anzupassen oder durch ein zeitlich begrenztes oder endgültiges Verbot der jeweiligen Datenverarbeitung.

Darüber hinaus kann Deutschland gem. Art. 84 weitergehende Sanktionen einführen soweit diese „wirksam, verhältnismäßig und abschreckend“ sind.

Woher erhalte ich einen paassenden ADV-Vertrag, um meine outgesourcten Datenverarbeitungsprozesse rechtskonform betreiben zu können?

Selbstverständlich finden sich im Internet zahlreiche Musterverträgen zur Auftragsdatenverarbeitung, z.B: auch auf den nachfolgenden Seiten:

Diese Musterverträge sind jedoch nicht mehr als ein Ideengeber und Template, das noch mit Leben gefüllt werden muss. Alle ADV-Muster müssen natürlich noch auf die rechtlichen und technischen Details des jeweilgen Datenverarbeitungsprozesses angepasst werden.

Dabei raten wir vor dem Hintergrund unserer Erfahrung  dringend dazu, dies nicht irgendwelchen rechtlich unerfahrenen Datenschutzbeauftragten zu überlassen, sondern einen auf IT-Recht spezialisierten Anwalt mit an Bord zu nehmen, den den Vertrag zusammen mit Ihnen erarbeitet. Insbesondere ist es als Auftragnehmer, z.B. als Anbieter eines Cloud-Service oder einer gehosteten Software sinnvoll, einen eigenen ADV-Vertrag für die angebotene IT-Lösung vorzuhalten, um nicht mit einer Vielzahl unterschiedlicher ADV-Vertragsentwürfe von Kunden konfontiert zu werden.

Ein geeordnetes Vertragshandling ist nur dann möglich, wenn möglichst alle Kundenprojekte auf ein und dem selben ADV-Vertrag "laufen".


Was hat es mit den technischen und organisatorischen Maßnahmen (TOM) auf sich, deren Auflistung dem ADV-Vertrag beigefügt werden muss?

Alle Muster scheitern bei der Auflistung der technischen und organisatorischen Maßnahmen (TOM) gem. § 9 BDSG, die jedem ADV-Vertrag beigefügt werden muss.

Die TOM richten sich jeweils nach den Umständen des Einzelfalles und können wir folgt kategorisiert werden:


Was ist mit Amazon-Web-Services (AWS) oder Microsoft Azure?

Werden z.B. die Amazon-Web-Services (AWS) eingesetzt, sind auch die TOM von Amazon relevant und müssen in dem ADV-Vertrag aufgenommen werden. Zudem ist ein ADV-Vertrag mit Amazon abzuschließen. So entstehen teilweise komplexe Ketten-ADV-Verträge und ADV-Verhältnisse, die anwaltlich begleitet werden sollten.

Bei der Nutzung von Cloud-Services sollte immer darauf geachtet werden, dass die Daten die EU nicht verlassen, sonst holt man sich die Büchse der Pandorra in das Vertragsverhältnis. Viele Konzerne dürfen aufgrund interner Compliance-Vorgaben überhaupt keine außerhalb der EU gehosteten / betriebenen Cloud-Services oder sonstigen Dienste mehr nutzen.

Was ist mit Konzerngesellschaften?

Innerhalb einer gesellschaftsrechtlichen Struktur besteht kein Privileg, personenbezogenen Daten an andere Konzerngesellschaften weiter zu geben. 

In der Praxis gestaltet es sich dann schwierig, den ggf. auch noch im Ausland angesiedelten Mutterkonzern auf die Einhaltung bestimmter datenschutzrechtlicher Maßnahmen innerhalb der EU oder innerhalb Deutschlands zu verpflichten. Die Verantwortlichen des Mutterkonzerns  können oft nicht verstehen, dass die deutsche Tochtergesellschaft als Auftraggeberin innerhalb einer konzerninternen Auftragsdatenverarbeitung dem Mutterkonzern Weisungen in Bezug auf die Verarbeitungs von personenbezogenen Daten hat, z.B. bei konzernweiten Kundenzufriedenheitsbefragungen oder dem konzerninternen Outsourcing der Lohnabrechnung.

Wie sollte man vorgehen, wenn ein ungeregeltes Auftragsdatenverarbeitungsverhältnis besteht oder ein neues Verfahren eingeführt werden soll?

Nutzen Sie einfach unsere kostenfreie telefonische Erstberatung unter 0681 94005430 oder schreiben Sie uns mittels unseres Kontaktformulars oder per E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! eine Nachricht. Wir melden uns dann bei Ihnen, um Ihren Beratungsbedarf im Hinblick auf das Auftragsdatenverarbeitungsverhältnis mit Ihnen zu klären und den Kostenrahmen für die Erstellung eines passenden ADV-Vertrages mit Ihnen zu definieren. Je nach dem notwendigen Individualisierungsgrad müssen Sie mit einem Beratungs-/ und Erstellungsaufwand von ca. 4 bis 8 Stunden rechnen.

Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht
Autor: Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht
Kanzleiinhaber, Fachanwalt für IT-Recht
Über den Autor:
Rechtsanwalt Marcus Dury LL.M., Fachanwalt für IT-Recht, hat sich auf die rechtliche Beratung in Fragen des IT-Rechts und den damit verbundenen Rechtsgebieten (Urheberrecht, Markenrecht und Wettbewerbsrecht) spezialisiert. Er ist Inhaber von DURY LEGAL Rechtsanwälte.