zur Übersicht

Fallstricke bei der Auftragsverarbeitung nach Art. 28 DSGVO

Unternehmen müssen Vereinbarungen zur Auftragsverarbeitung nach Art. 28 DSGVO abschließen, um personenbezogene Daten durch einen externen Dienstleister, z. B. aus der IT-Branche oder in der Kundenbetreuung, verarbeiten zu lassen.

Dabei treten immer wieder ähnliche Herausforderungen auf. In der Regel legt der potenzielle Vertragspartner seine eigene Auftragsverarbeitungsvereinbarung (kurz „AVV“) vor, die es dann zu prüfen gilt. Wie einfach wäre es, wenn Unternehmen ihre eigene Vorlage nutzen könnten. Diese wird einmal datenschutzkonform aufgesetzt und kann dann auf den jeweiligen Sachverhalt angepasst werden. Allerdings lässt sich das vor allem gegenüber den großen Mitspielern am Markt oftmals nicht durchsetzen. Zu begrüßen wäre es auch, wenn Vertragspartner eine der zahlreichen Vorlagen und Muster nutzen würden, die von den Aufsichtsbehörden bereitgestellt werden. Aber die Realität sieht auch hier oftmals anders aus und man findet sich mit einer individuell gefertigten Vereinbarung wieder, die dann erst einmal im Hinblick auf die Anforderungen aus den Artikeln 28 und 29 DSGVO durchgesehen werden muss.

Pflichtinhalte einer AVV

Die Mindestinhalte einer AVV werden durch die DSGVO vorgegeben. Entsprechend müssen zumindest Regelungen zu den folgenden Themen in einer AVV enthalten sein:

  • die Auftragsspezifika im Zusammenhang mit der Verarbeitung der personenbezogenen Daten, wie Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die betroffenen Kategorien von personenbezogenen Daten und betroffenen Personen,
  • die Weisungsgebundenheit des Auftragsverarbeiters sowie
  • seine Unterstützungspflichten,
  • die Möglichkeit der Beauftragung von Unterauftragsverarbeitern,
  • die Informations- und Kontrollrechte des Verantwortlichen,
  • technische und organisatorische Maßnahmen („TOM„) zum Schutz der Daten und
  • Vorgaben zur Löschung oder Rückgabe der Daten nach Beendigung der Verarbeitung.

Fallstricke bei der Auftragsverarbeitung

Immer wieder treten dieselben oder zumindest ähnliche Konstellation auf, die Fragen hinsichtlich der zulässigen Gestaltung einzelner Regelungen und dem richtigen Umgang damit aufwerfen.

Häufig lassen sich zwar die einzelnen Themen in den AVV wiederfinden, sind aber teilweise unvollständig oder unklar formuliert, was dann zu Missverständnissen und Unsicherheiten führt, oder zum Nachteil einer der Parteien sein kann. In vielen Fällen werden z. B. die Auftragsspezifika nicht ausreichend konkret beschrieben. Hier liegt es dann an dem Auftraggeber auf eine Konkretisierung hinzuwirken.

Ebenfalls regelmäßig sehen wir in der Praxis, dass Regelungen in unzulässiger Weise eingeschränkt werden. Beliebtes Thema ist hier die Einschränkung des grundsätzlich uneingeschränkt zu gewährenden Kontrollrechts des Auftraggebers, z. B. wenn die Häufigkeit oder Dauer von Vor-Ort-Prüfungen reglementiert wird. Hier ist in besonderem Maße darauf zu achten, dass eine Einschränkung des Kontrollrechts des Auftraggebers nur in dem Maße zulässig ist, indem sie rechtsmissbräuchliche Kontrollen vermeiden soll.

Probleme können sich auch bei einer mangelnden Kontrolle über Unterauftragsverarbeiter ergeben. Wenn der Auftragsverarbeiter weitere Subunternehmen einsetzt, muss dies in der AVV klar geregelt sein. Bei fehlender Kontrolle über Unterauftragsverarbeiter lassen sich Risiken im Hinblick auf den einzuhaltenden Datenschutz nicht erkennen, so dass ihnen nicht entgegenwirkt werden kann, was schlimmstenfalls zu Datenschutzverletzungen führen kann. Teilweise fehlen einzelne, notwendige Regelungen in den AVV, z. B. Vereinbarungen zur Datenlöschung. Eine AVV sollte festlegen, wie und wann personenbezogene Daten gelöscht oder zurückgegeben werden. Hier ist darauf zu achten, dass diese Regelungen vor Abschluss der AVV noch ihren Weg in die Vereinbarung hineinfinden. Ohne klare Vorgaben kann es zu unnötiger Datenspeicherung kommen.

Fazit

Es ist wichtig, dass Unternehmen sorgfältig gestaltete AVV verwenden, um die Einhaltung der gesetzlichen und aufsichtsbehördlichen Anforderungen sicherzustellen und damit Datenschutzrisiken minimieren. Dies setzt eine genaue Prüfung der AVV und den richtigen Umgang mit den Prüfungsergebnissen voraus. Dabei muss nicht jedes Mal von neuem angefangen werden. Da sich viele fragliche Gestaltungen von AVV in der Praxis wiederholen, hilft es bei der Prüfung auf bereits gemachte Erfahrungen zurückzugreifen. Dies kann z. B. in Form einer Fallsammlung oder eines Prüfbogens, die die gängigen Fallkonstellationen und Vorgehensweisen beinhalten, erfolgen.

Gerne unterstützen wir Sie hier mit unseren Checklisten oder im Rahmen einer individuellen Beratung.

Lösungsansätze zu den immer wieder auftretenden Problemen beim Abschluss von Vereinbarungen zur Auftragsverarbeitung finden Sie in den Unterlagen zu unserem kostenlosen Webinar vom 25. Juni 2024.

Abonnieren Sie unseren Newsletter, um bei den Entwicklungen im Datenschutz immer auf dem aktuellen Stand zu sein.