Auftragsverarbeitung
Die Verarbeitung von Daten im Auftrag kommt in nahezu jedem Unternehmen vor. Sei es durch die Nutzung eines externen Rechenzentrums, die Nutzung einer Dienstleistung, die als sog. Software-as-a-Service (SaaS) erbracht wird, Cloud Computing oder bestimmte Wartungen von IT-Systemen durch technische Dienstleister. In diesen Fällen liegt in der Regel eine sog. „Auftragsverarbeitung“ vor. Und da gilt es besondere Maßnahmen zu treffen, um die Vorgaben der Datenschutz-Grundverordnung (DSGVO) einzuhalten.
Wann nun eine Auftragsverarbeitung vorliegt und wann nicht, ist tatsächlich selbst für Juristen eine ausgesprochen schwierige Frage. Seit Geltung der DSGVO sind hier die Definitionen von „Verantwortlichem“ in Art. 4 Nr. 7 DSGVO und „Auftragsverarbeiter“ entscheidend. Eigentlich ist nur die Definition des Verantwortlichen primär relevant. Denn wer Verantwortlicher ist, kann nicht zugleich Auftragsverarbeiter sein.
Nach Art. 4 Nr. 7 DSGVO ist Verantwortlicher, wer alleine oder gemeinsam über Zweck und Mittel der Verarbeitung personenbezogener Daten entscheidet. Wenn ich als Verantwortlicher nun personenbezogene Daten im Auftrag verarbeiten lasse, dann liegt eine Auftragsverarbeitung vor und dann sind die Vorgaben von Art. 28 DSGVO einzuhalten.
Ist jetzt aber jede Weitergabe oder Offenlegung von personenbezogenen Daten zugleich eine Auftragsverarbeitung? Kurz vor Geltung der DSGVO konnte ich den Eindruck bekommen, dass einige das wohl meinen. Da wollte jedes x-beliebe Unternehmen mit Mandanten von mir einen Auftragsverarbeitungsvertrag abschließen. Nur, weil es ggf. dazu kommen kann, dass im Kontext der Zusammenarbeit personenbezogene Daten ausgetauscht werden. Nur ist mitnichten dann immer eine Auftragsverarbeitung gegeben. Eine solch weite Auslegung des „Rechtsinstituts“ der Auftragsverarbeitung wäre zudem nicht europarechtskonform. Denn auch die EU-Grundrechte-Charta (GRCh) schützt nicht nur personenbezogene Daten, sondern gleichermaßen auch die „unternehmerische Freiheit“. Wenn jedes Unternehmen aber notwendigerweise Auftragsverarbeitungsverhältnisse mit 20, 50, 100 oder gar Tausenden von Unternehmen hätte, dann wäre das schlichtweg nicht möglich. Denn wie soll ich da die einzelnen Weisungen von Auftraggebern berücksichtigen, ohne die Interessen anderer Auftraggeber nicht zu verletzen?
Richtigerweise liegt eine Auftragsverarbeitung daher nur in den Fällen vor, in denen der Schwerpunkt der vertraglichen Leistung des Auftragnehmers in der Verarbeitung personenbezogener Daten liegt. So ist z.B. bei einem Paketdienstleister, der Pakete für Auftraggeber an Endkunden ausliefert, der Schwerpunkt die Logistik- und Transportleistung. Dass dabei notwendigerweise auch personenbezogene Daten vom Auftraggeber erhalten und verarbeitet werden, stellt sich insoweit nicht als Schwerpunkt der Leistung dar. Diese Daten werden vielmehr für eigene Zwecke der Erfüllung der Transportleistungen verarbeitet. Diese Schwerpunkttheorie führt in der Praxis zu sachgerechten Ergebnissen. Denn auf diese Weise werden die Risiken einer Verarbeitung durch Dritte für den Betroffenen auf der einen Seite mit der unternehmerischen Freiheit auf der anderen Seite in Einklang gebracht.
Dass die Daten auch bei einer nicht bestehenden Auftragsverarbeitung von dem Empfänger der Daten DSGVO-konform verarbeitet werden müssen, bleibt ja von dieser Schwerpunkttheorie unberührt.
Ich erläutere die Auftragsverarbeitung und diese Abgrenzungsfragen im nachfolgenden Video etwas näher:
Auftragsverarbeitung – ein Vertragsmuster
Du findest hier einen kostenlosen Auftragsverarbeitungsvertrag im Word-Format (.docx) zum Download.
Natürlich kannst Du selbst einen Auftragsverarbeitungsvertrag erstellen und so bearbeiteten, dass er ideal für Dich passt. Oder Du lässt einen Vertrag von einer kompetenten Anwältin oder einem kompetenten Anwalt erstellen. Und das ist sicher die beste Wahl. Wenn Du dazu jedoch nicht die Zeit hast oder die Kosten hierfür sparen möchtest, dann kannst Du zu diesem Muster-Auftragsverarbeitungsvertrag greifen.
Es gibt im Internet einige Muster für Auftragsverarbeitungsverträge. Dieser Auftragsverarbeitungsvertrag war in seinem Ursprung einer der ersten frei erhältlichen Musterverträge, der schon vor Geltung der DSGVO von mir veröffentlicht wurde. Er ist mittlerweile mehrfach überarbeitet worden und berücksichtigt – wie ich hoffe – die aktuelle Rechtslage.
Ich bitte um Verständnis dafür, dass es für die Nutzung des Vertrages einige, wenige Regeln gibt:
Nutzungsbedingungen
Urheber für das nachfolgende Muster eines Vertrages für eine Auftragsverarbeitung bin ich – Rechtsanwalt Stephan Hansen-Oest. Der Vertrag kann kostenlos verwendet werden. Auch Änderungen an dem Vertrag sind erlaubt. Es ist zudem erlaubt, etwaige Hinweise zum Urheber im Vertragsdokument zu entfernen. Nicht erlaubt ist jedoch die gewerbliche Nutzung dergestalt, dass der Vertrag ohne Genehmigung des Urhebers als Vertragsmuster für gewerbliche Zwecke in Online- oder Printmedien vervielfältigt, verbreitet oder öffentlich zugänglich gemacht wird.
Haftungsausschluss:
Der Vertrag muss für die Anwendung im Einzelfall angepasst werden. Das Vertragsmuster stellt lediglich einen Vorschlag für eine vertragliche Regelung dar. Es wird dringend empfohlen, den Vertrag im Einzelfall anwaltlich anpassen und prüfen zu lassen. Dies gilt insbesondere im Hinblick auf die tatsächliche Berücksichtigung aktueller Rechtsprechung im Einzelfall. Es wird keine Haftung für Schäden durch die Verwendung des Vertragsmusters übernommen.
Und hier ist der Vertrag: