Art. 4 Nr. 8 und 28 DSGVO „definieren“ Auftragsverarbeitung als Verarbeitung von Daten durch einen Dritten für den Verantwortlichen im Auftrag. Eine Auftragsverarbeitung besteht also, wenn ein für die Datenverarbeitung Verantwortlicher in der Regel einen Dienstleister damit beauftragt, personenbezogene Daten zu verarbeiten.

Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO die Stelle, die allein oder gemeinsam mit anderen über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. Der Auftragsverarbeiter unterliegt gemäß Art. 29 DSGVO den Weisungen des Verantwortlichen und gilt nicht als „Dritter“, wird also der Sphäre des Verantwortlichen zugerechnet. Typisch für eine Auftragsverarbeitung ist damit, dass der Verantwortliche weiterhin über das Ob und Wie der Verarbeitung entscheidet undentsprechende Weisungen erteilen darf.

Bei Abschluss einer DSGVO-konformen Auftragsverarbeitungsvereinbarung (AV-Vereinbarung) gemäß Art. 28 DSGVO ist die Weitergabe der Daten an den Auftragsverarbeiter wohl ohne gesonderte Einwilligung des Betroffenen zulässig. Die Auftragsverarbeitung wird in einer Auftragsverarbeitungsvereinbarung gem. Art. 28 DSGVO geregelt. Werden Daten dagegen an einen Dritten übermittelt, der nicht Auftragsverarbeiter ist, sollte die Rechtsgrundlage der Übermittlung sorgfältig geprüft werden.

Eine AV-Vereinbarung wird gebraucht, wenn ein Dritter personenbezogene Daten, für die ich verantwortlich bin, in meinem Auftrag verarbeitet, also für mich erhebt, das erfasst, organisiert, ordnet, speichert, anpasst oder verändert, ausliest, abfragt, verwendet, offenlegt durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, abgleicht oder verknüpft, einschränkt, löscht oder vernichtet (vgl. Art. 4 Nr. 2 DSGVO).

Der Auftragnehmer die Daten nur auf Weisung des Verantwortlichen, also des Auftraggebers, und darf keine eigenen Zwecke mit der Verarbeitung verfolgen. Damit unterscheidet sich die Auftragsverarbeitung von der gemeinsamen oder auch getrennten Verantwortlichkeit.

Typische Beispiele für eine Auftragsverarbeitung sind:

• Nutzung von Cloud-basierten Diensten für personenbezogene Daten (z. B. Microsoft Office 365, Amazon Web Services, HR Software mit Cloud-Funktion etc.)
• Lohn- und Gehaltabrechnungen durch einen externen Dienstleister
• Vernichtung von Akten mit Personenbezug
• Beauftragung von E-Mail-Dienstleistern
• Verarbeitung von Kundendaten durch ein Callcenter
• Administration (z.B. Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen

Was in der AV-Vereinbarung geregelt wird, legt Art. 28 DSGVO fest. Demnach werden in der AV-Vereinbarung eine Reihe an datenschutzrelevanten Aspekten der Dienstleistung geregelt, insbesondere die Garantien des Auftragsverarbeiters, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet (vgl. Art. 28 Abs. 1 DSGVO).

Darüber hinaus enthält die AV-Vereinbarung Regelungen zur Weisungsbefugnis des Verantwortlichen, zur Beauftragung von Unterauftragnehmern, zum Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, zur Art der personenbezogenen Daten, zu den Kategorien betroffener Personen und zu den Pflichten und Rechte des Verantwortlichen.

Die AV-Vereinbarung verpflichtet den Auftragsverarbeiter außerdem zu einer Vertraulichkeitsvereinbarung mit dem für den Auftrag einzusetzenden Personal, zur Ergreifung technischer und organisatorischer Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten, zur Unterstützung des Verantwortlichen bei der Wahrnehmung von Betroffenenrechten und der Zusammenarbeit mit der Datenschutz-Aufsichtsbehörde, zur Löschung oder Rückgabe der Daten nach Abschluss der Auftragsverarbeitung und zur Ermöglichung und Unterstützung von Überprüfungen und Audits durch den Verantwortlichen (vgl. Art. 28 Abs. 2-3 DSGVO).

Im Detail müssen nach Art. 28 Abs. 3 DSGVO mindestends folgende Punkte geregelt sein:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten & Kategorien von betroffenen Personen
• Umfang der Weisungsbefugnisse
• Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
• Sicherstellung von technischen & organisatorischen Maßnahmen (TOM)
• Hinzuziehung von Subunternehmern (mit diesen muss ihr Auftragnehmer eine
Vereinbarung schließen, die dasselbe Schutzniveau gewährleistet)
• Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
• Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
• Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
• Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
• Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Die Regelung der Auftragsverarbeitung muss gem. Art. 28 DSGVO in einer vom Leistungsvertrag getrennten Vereinbarung erfolgen. Es ist außerdem empfehlenswert, diese beiden Rechtsinstrumente voneinander zu trennen, da die AV-Vereinbarung zahlreiche Aspekte regelt, die mit dem eigentlichen Leistungsgegenstand höchstens nur mittelbar zu tun haben. Sollten Anpassungen in der einen oder der anderen Vereinbarung erforderlich sein, kann die jeweils andere oft bestehen bleiben.

Es ist grundsätzlich zulässig, auch Dienstleister mit Sitz außerhalb der EU oder des EWR (dem Anwendungsbereich der DSGVO) mit der Verarbeitung personenbezogener Daten zu beauftragen, wenn bestimmte Kriterien erfüllt sind. Die Übertragung der Daten in Drittstaaten muss über mindestens einen der folgenden Schutzmechanismen abgesichert sein, die sicherstellen sollen, dass bei dem Dienstleister im Drittland ein angemessenes Datenschutzniveau vorliegt:

• Es liegt ein Angemessenheitsentscheidung der EU-Kommission vor.
• Es wurden die Standardvertragsklauseln der EU-Kommission vereinbart.
• Es liegen verbindliche interne Datenschutzvorschriften vor, die von der zuständigen Aufsichtsbehörde genehmigt wurden.
• Es liegt eine Ausnahme nach Art. 49 DSGVO vor (Aufklärung und Einwilligung der betroffenen Personen, Vertragserfüllung, öffentliches Interesse, Verfolgung von Rechtsansprüchen, lebenswichtige Interessen).

Ja, das ist grundsätzlich unter Einhaltung gewisser Kriterien erlaubt: Art. 28 Abs. 2 DSGVO legt fest, dass der Auftragsverarbeiter hierfür eine vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen einholen muss. Dies kann auch in der AV-Vereinbarung geschehen. Der Verantwortlich hat zudem die Möglichkeit, einen Unterauftragsverarbeiter abzulehnen. Art. 28 Abs. 4 DSGVO legt außerdem fest, dass dem Unterauftragsverarbeiter vertraglich dieselben Datenschutzpflichten wie dem Auftragsverarbeiter auferlegt werden müssen. Der Hauptauftragsverarbeiter haftet gegenüber dem Verantwortlichen für die Einhaltung der Datenschutzpflichten des Unterauftragsverarbeiters.

Die gemeinsame Verantwortlichkeit wird in Art. 26 DSGVO geregelt. Dieser legt fest, dass zwei oder mehr Parteien, die gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen, gemeinsam Verantwortliche sind. Hier geschieht also keine Verarbeitung bei einer Partei im Auftrag und durch Weisung der anderen Partei, sondern beide Verantwortliche verfolgen mit der Verarbeitung das gleiche Ziel und Zweck sowie meist gleichgerichtete und dennoch eigene Interessen.

Wenn also ein vermeintlicher Auftragsverarbeiter die Daten des Verantwortlichen für eigene, von der vermeintlichen Auftragsverarbeitung unabhängige Zwecke nutzt, z. B. eigene Datenbestände mit ihnen abgleicht oder anreichert, liegt keine Auftragsverarbeitung vor. Stattdessen handelt es sich möglicherweise um eine gemeinsame Verantwortlichkeit, deren Rechtsfolgen sich deutlich von denen der Auftragsverarbeitung unterscheiden und deshalb durch eine andere Vertragsgattung geregelt werden muss.

Wenn eine Auftragsverarbeitung nicht mit einer AV-Vereinbarung geregelt ist, stellt das einen Verstoß gegen Art. 28 DSGVO dar und ist damit bußgeldbewehrt. Gem. Art. 83 Abs. 4 kann die zuständige Aufsichtsbehörde ein Bußgeld von bis zu 10 000 000 EUR oder von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des Verantwortlichen verhängen.