Auftragsverarbeitung
Auftragsverarbeitung bezeichnet die Verarbeitung personenbezogener Daten durch einen externen Dienstleister im Auftrag und nach Weisung des datenschutzrechtlich Verantwortlichen. Der Verantwortliche bleibt für die Rechtmäßigkeit zuständig.
Ausführliche Erklärung
Auftragsverarbeitung ist in Artikel 28 der Datenschutz-Grundverordnung geregelt und bildet eine zentrale Grundlage für die Auslagerung von Datenverarbeitungsprozessen. Nach der Legaldefinition in Art. 4 Nr. 8 DSGVO ist ein Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Das Kennzeichen ist die Weisungsgebundenheit: Der Dienstleister darf die Daten nur nach dokumentierten Anweisungen des Verantwortlichen verarbeiten und hat kein eigenes Interesse an den Daten, das über die Vertragserfüllung hinausgeht.
Für KMU ist Auftragsverarbeitung hochrelevant, weil typische externe IT-Dienstleistungen oft darunter fallen: Cloud-Speicher, Webhosting mit Datenzugriff, externe Lohn- oder Finanzbuchhaltung, Newsletter-Versanddienste oder Call-Center. Entscheidend ist stets, ob die Verarbeitung personenbezogener Daten den Kern oder zumindest einen wichtigen Bestandteil der Dienstleistung darstellt. Keine Auftragsverarbeitung liegt dagegen vor bei Berufsgeheimnisträgern wie Steuerberatern oder Rechtsanwälten, die aufgrund ihrer besonderen Stellung niemals weisungsgebunden handeln.
Liegt Auftragsverarbeitung vor, schreibt Art. 28 Abs. 3 DSGVO einen schriftlichen oder elektronischen Auftragsverarbeitungsvertrag vor. Dieser muss Mindestinhalte regeln: Gegenstand, Dauer, Art und Zweck der Verarbeitung, Art der Daten und Kategorien betroffener Personen sowie acht spezifische Pflichten des Auftragsverarbeiters. Dazu gehören Weisungsgebundenheit, Vertraulichkeitsverpflichtung der Mitarbeiter, Umsetzung technischer und organisatorischer Maßnahmen, Unterstützung bei Betroffenenanfragen, Meldung von Datenpannen und Kontrollrechte des Verantwortlichen. Fehlt der Vertrag oder ist er mangelhaft, drohen Bußgelder bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes nach Art. 83 Abs. 4 DSGVO.
Wichtig: Die Verantwortung für die Daten bleibt beim Verantwortlichen. Er muss die Eignung des Auftragsverarbeiters vorab prüfen und dessen Pflichterfüllung laufend kontrollieren. Der Auftragsverarbeiter wird zwar nicht als Dritter im Sinne der DSGVO angesehen, haftet jedoch gegenüber betroffenen Personen bei Datenschutzverstößen gemeinsam mit dem Verantwortlichen. Auch Aufsichtsbehörden können Sanktionen direkt gegen Auftragsverarbeiter verhängen.
Praxisbeispiel
Eine Steuerberatungskanzlei mit 12 Mitarbeitern in Graz nutzt einen deutschen Cloud-Anbieter für die Speicherung digitaler Mandantenakten und beauftragt ein Rechenzentrum in Wien mit der Lohn- und Gehaltsabrechnung der eigenen Mitarbeiter. Mit beiden Dienstleistern schließt die Kanzlei Auftragsverarbeitungsverträge ab, da beide weisungsgebunden personenbezogene Daten verarbeiten. Im Vertrag werden technische und organisatorische Maßnahmen dokumentiert und Kontrollrechte vereinbart.