Auftragsverarbeitung

Übertragung von Datenverarbeitungsaufgaben und -verantwortung von einer Organisation an eine dritte Stelle

Auftragsverarbeitung ist ein Konzept, das im Zusammenhang mit der Verarbeitung von Daten durch Dritte für eine Organisation von Bedeutung ist. Im Allgemeinen bezieht sich Auftragsverarbeitung auf die Übertragung von Datenverarbeitungsaufgaben und -verantwortung von einer Organisation an eine dritte Stelle, wie einen externen Dienstleister. Besondere Bedeutung hat das Konzept der Auftragsverarbeitung im Datenschutzrecht der Europäischen Union (Datenschutz-Grundverordnung, JI-Datenschutzrichtlinie und EU-Datenschutzverordnung). Hier erfolgt eine Auftragsverarbeitung nur aufgrund einer dokumentierten Weisung der für die Verarbeitung verantwortlichen Stelle und aufgrund eines sogenannten Auftragsverarbeitungsvertrages (AVV).

Im Rahmen einer Auftragsverarbeitung werden Datenverarbeitungsaufgaben von einem Verantwortlichen an einen Auftragnehmer übertragen. Dies kann aus verschiedenen Gründen sinnvoll sein, beispielsweise wenn der Auftraggeber über nicht ausreichende Ressourcen oder Fähigkeiten verfügt, um bestimmte Datenverarbeitungsaufgaben selbst durchzuführen, oder wenn es für ihn ökonomischer ist, sich einen spezialisierten Dienstleister zu suchen.

Im Rahmen der Auftragsdatenverarbeitung trägt der Auftragnehmer die Verantwortung für die ordnungsgemäße Verarbeitung der Daten und muss entsprechende technische und organisatorische Maßnahmen ergreifen, um die Sicherheit und Integrität der Daten zu gewährleisten. Der Auftraggeber bleibt jedoch der datenschutzrechtliche Verantwortliche und trägt die Verantwortung für die Einhaltung der geltenden datenschutzrechtlichen Vorschriften.

Geschichte

Bearbeiten

Die Idee der Auftragsverarbeitung entstand in den 1960er Jahren, als Unternehmen zunehmend auf externe Dienstleister für die Verarbeitung ihrer Daten angewiesen waren. Zu dieser Zeit entstanden die ersten IT-Dienstleister, die sich auf die Verarbeitung von Daten für andere Unternehmen spezialisierten. Beispiele für solche frühen IT-Dienstleister sind Unternehmen wie Electronic Data Systems und die Computer Sciences Corporation, die heute noch immer im Bereich der Auftragsverarbeitung tätig sind.[1]

Die ersten Vereinbarungen zur Auftragsverarbeitung wurden in dieser Zeit getroffen, um festzulegen, wie die Verantwortung und Haftung für die verarbeiteten Daten zwischen Auftraggeber und Auftragnehmer verteilt werden sollten. Im Laufe der Jahre hat sich die Auftragsverarbeitung zu einem etablierten Konzept entwickelt, das von vielen Unternehmen in unterschiedlichen Branchen genutzt wird.

Rechtliche Aspekte

Bearbeiten

Bei der Auftragsverarbeitung müssen im Regelfall bestimmte rechtliche Aspekte beachtet werden, um die Datenschutzrechte der Personen zu schützen deren Daten verarbeitet werden.

In vielen Ländern gibt es spezifische Gesetze und Vorschriften, die die Auftragsverarbeitung regeln und festlegen, unter welchen Bedingungen sie stattfinden darf. Im Europäischen Wirtschaftsraum ist dies die Datenschutz-Grundverordnung. Diese Regelungen können unterschiedlich ausfallen und es ist wichtig, sich im Vorfeld über die jeweils geltenden Bestimmungen zu informieren.

Im Allgemeinen bleibt der Auftraggeber für die Verarbeitung der personenbezogenen Daten verantwortlich und haftet auch dafür, dass die Datenverarbeitung im Einklang mit den geltenden Datenschutzbestimmungen erfolgt. Der Auftragnehmer hingegen ist dafür verantwortlich, die Anweisungen des Auftraggebers zu befolgen und die personenbezogenen Daten im Rahmen der vereinbarten Auftragsverarbeitung zu verarbeiten.

In vielen Fällen wird ein sogenannter Auftragsverarbeitungsvertrag (AVV) abgeschlossen, der die Rechte und Pflichten beider Seiten im Zusammenhang mit der Auftragsverarbeitung klärt und festlegt.

Auftragsverarbeitung im europäischen Datenschutzrecht

Bearbeiten

Das europäische Datenschutzrecht regelt die Verarbeitung von personenbezogenen Daten durch Auftragsverarbeiter weitgehend.

Gemäß der europarechtlichen Legaldefinition des Art. 4 Nr. 8 der DSGVO[2] gelten als Auftragsverarbeiter natürliche und juristische Personen sowie Behörden, Einrichtungen und andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten. Dabei ist die Weisungsabhängigkeit das maßgebliche Feststellungskriterium.

Kern der Auftragsverarbeitungsregelung ist Artikel 28 der Datenschutz-Grundverordnung (bzw. die überwiegend wortlautgleichen Artikel 22 der Richtlinie (EU) 2016/680 für Justiz und Polizeibehörden und Artikel 29 der Verordnung (EU) 2018/1725 für die Organe und Einrichtungen der EU). Zunächst muss die verantwortliche Stelle dem Auftragsverarbeiter einen Auftrag erteilen, die unter anderem die Art und Zwecke der Verarbeitung der personenbezogenen Daten festlegen. Der Auftrag kann die Form eines Auftragsverarbeitungsvertrags haben, kann aber auch die Anlage zu einem Hauptvertrag (Datenschutz-Anhang, englisch „data protection addendum“, DPA) haben. Beide Verordnungen und die Richtlinie sehen vor, dass der Vertrag auch vollständig aus von der Europäischen Kommission vorgegebenen Standardverträgen bestehen kann (Standardvertragsklauseln), diese Klauseln dürfen im Kern nicht von den Vertragsparteien geändert werden und werden nur durch die Spezifika der Verarbeitung (z. B. die Kategorien der verarbeiteten Daten und die einzuhaltenden technischen und organisatorischen Maßnahmen) ergänzt. Die Vereinbarung muss nicht schriftlich verfasst sein, sollte jedoch die Textform haben um den Dokumentationsansprüchen der datenschutzrechtlichen Anforderungen zu genügen.

Die Stelle, die den Auftrag erhält, ist verpflichtet, die von der verantwortlichen Stelle erteilten Aufträge genau zu befolgen und darf die personenbezogenen Daten nur zu den im Auftrag festgelegten Zwecken verarbeiten. Sie ist ebenfalls verpflichtet, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die personenbezogenen Daten vor Verlust, Zerstörung, Verfälschung oder unbefugtem Zugriff zu schützen. Die verantwortliche Stelle bleibt für die rechtmäßige Verarbeitung der personenbezogenen Daten durch den Auftragsverarbeiter verantwortlich. Sie muss sicherstellen, dass der Auftragsverarbeiter die geltenden Datenschutzvorschriften einhält und darf dem Auftragsverarbeiter keine Aufträge erteilen, die gegen diese Vorschriften verstoßen. Falls der Auftragsverarbeiter der Auffassung ist, dass eine solche Weisung gegen geltendes Datenschutzrecht verstößt hat er eine Remonstrationspflicht. Wenn der Auftragsverarbeiter Weisungen der verantwortlichen Stelle nicht beachtet, wird er die verantwortliche Stelle für eine solche weisungswidrige Verarbeitung.

Auftragsbearbeitung im Schweizer Datenschutzrecht

Bearbeiten

Das erste Bundesgesetz über den Datenschutz der Schweiz trat 1993, über 20 Jahre nach dem Vorschlag des Nationalrats Bussey 1971, in Kraft.[3] Darin wurde noch von der „Datenbearbeitung durch Dritte“ gesprochen.[4] Im mittlerweile revidierten, am 1. September 2023 in Kraft getretenen, neuen Datenschutzgesetz wird der Auftragsbearbeiter legaldefiniert und die Verarbeitung durch diesen grundsätzlich gesetzlich geregelt. Auftragsbearbeiter gemäß Art. 5 lit. k. nDSG ist jede „private Person oder Bundesorgan, die oder das im Auftrag des Verantwortlichen Personendaten bearbeitet“.[5]

Ein Auftragsbearbeiter kann vom Verantwortlichen vertraglich mit dem sogenannten Auftragsbearbeitungsvertrag verpflichtet werden, dabei ist der Auftragsverarbeiter grundsätzlich weisungsgebunden und darf nur innerhalb des vertraglich festgelegten Zwecks Daten verarbeiten.[6] Die Berechtigung zur Bearbeitung durch den Auftragnehmer darf dabei laut Art. 9 nDSG nicht über die des Verantwortlichen hinausgehen. Außerdem muss der Verantwortliche dafür sorgen, dass der Auftragsbearbeiter dazu in der Lage ist, die Sicherheit der bearbeiteten Daten im Sinne des Datenschutzgesetzes zu gewährleisten.[7] Ein Formerfordernis für den Vertrag besteht nicht, es ist aber zu empfehlen, die Vereinbarung zur ordentlichen Dokumentation zumindest in Textform zu verfassen und aufzubewahren.

Darüber hinaus bestehen einige gesetzliche Pflichten, die sowohl der Verantwortliche als auch dem Auftragsbearbeiter zu erfüllen haben. Beide Stellen müssen durch technische und organisatorische Maßnahmen für die Einhaltung der Datenschutzvorschriften sorgen und außerdem ein Verzeichnis der Bearbeitungstätigkeiten nach Art. 12 nDSG führen, wobei das Verzeichnis des Verantwortlichen ausführlicher gestaltet werden muss.[8]

Sicherheitsüberlegungen

Bearbeiten

Angemessene Sicherheitsmaßnahmen sind relevant, um den unbefugtem Zugriff auf personenbezogene Daten bei der Auftragsverarbeitung zu verhindern und sie vor Missbrauch zu schützen. Eine Möglichkeit, die Sicherheit von personenbezogenen Daten bei der Auftragsverarbeitung zu gewährleisten, ist die Verwendung von Verschlüsselungstechnologien. Durch die Verwendung von verschlüsselten Verbindungen können die Daten vor unbefugtem Zugriff geschützt werden, wenn sie über das Internet übertragen werden. Sofern Daten durch den Auftragsverarbeiter nur Gespeichert werden sollen bietet sich die Ende-zu-Ende-Verschlüsselung an, in diesem Fall erhält der Auftragsverarbeiter keinen Zugriff auf die personenbezogenen Daten. Soll der Auftragsverarbeiter auch weitere Verarbeitungen mit den Daten durchführen hat sie darüber hinaus die Verschlüsselung der Daten bis zum Zeitpunkt der eigentlichen Verarbeitung (englisch „Encryption at rest“) durchgesetzt.

Eine organisatorische Maßnahme ist die Implementierung von Zugriffskontrollen. Durch die Vergabe von Benutzernamen und Passwörtern, sowie die Erstellung eines entsprechenden Rechte- und Rollenkonzeptes, kann sichergestellt werden, dass nur autorisierte Personen auf die personenbezogenen Daten zugreifen können.

Neben der technischen und organisatorischen Absicherung der Daten ist es auch wichtig, dass der Auftragsverarbeiter zuverlässig und vertrauenswürdig ist und sich an die relevanten Datenschutzbestimmungen hält. Dies kann durch die Wahl eines Auftragsverarbeiters mit einem guten Ruf und durch die Überprüfung der Rechtsordnung, der er unterliegt, sichergestellt werden. Insbesondere die Rechtsordnungen der Vereinigten Staaten für das Europäische Datenschutzrecht dar (Schrems I und II).

Regelmäßige Sicherheitsüberprüfungen bieten eine Grundlage, um sicherzustellen, dass die implementierten Sicherheitsmaßnahmen auch tatsächlich wirksam sind.

Anwendungsbereiche

Bearbeiten

Ein bekanntes Beispiel für die Anwendung der Auftragsverarbeitung ist das klassische IT-Outsourcing. Unternehmen übertragen in diesem Fall die Verwaltung und Pflege ihrer IT-Infrastruktur, wie beispielsweise Server oder Software, an externe Dienstleister.

Ein weiterer Anwendungsbereich der Auftragsverarbeitung ist der Bereich Callcenter. Viele Unternehmen vergeben die Betreuung ihrer Kunden und die Bearbeitung von Anfragen an externe Call-Center-Dienstleister.

Ein weiteres Beispiel für die Anwendung der Auftragsverarbeitung ist die Lohnbuchhaltung. Die Verwaltung von Lohn- und Gehaltsabrechnungen ist ein komplexer und zeitaufwändiger Prozess, der häufig an externe Dienstleister ausgelagert wird. Auch das Löschen von Daten und das Zerstören von Datenträgern (analogen, wie Papier und digitalen, wie Festplatten) zählt als Verarbeitung personenbezogener Daten.

Außerdem wird in der Lohnbuchhaltung regelmäßig Auftragsverarbeitung betrieben. Die Verwaltung von Lohn- und Gehaltsabrechnungen ist ein komplexer und zeitaufwändiger Prozess, der an externe Dienstleister ausgelagert wird.

Verwandte Konzepte

Bearbeiten

Neben der Auftragsverarbeitung gibt es noch die Konzepte der gemeinsamen Verantwortlichkeit. Hier gibt es kein klares Weisungsverhältnis. Zwei oder mehr Verantwortliche bestimmen gemeinsam die Mittel und Zwecke der Verarbeitung.

Außerdem können personenbezogene Daten vollständig aus dem Verantwortlichkeitsbereich einer Stelle in den Verantwortlichkeitsbereich einer anderen Stelle übertragen werden. Diese andere Stelle bestimmt Mittel und Zwecke der Verarbeitung selbst. In diesem Fall muss die Datenabgebende Stelle die betroffene Person über den Empfänger der Daten informieren. Außerdem muss die Empfangende Stelle die betroffene Person über die Verarbeitung informieren – sofern nicht enge Ausnahmetatbestände vorliegen. Klassisches Beispiel hierfür ist die Weitergabe personenbezogener Daten an einen Rechtsanwalt. Die deutschen Datenschutzaufsichtsbehörden sind der Meinung, dass die Übermittlung personenbezogener Daten an einen Post- oder Paketzusteller ebenfalls keine Auftragsverarbeitung, sondern die Übertragung personenbezogener Daten an einen eigenen Verantwortlichen darstellt.[9]

Einzelnachweise

Bearbeiten
  1. Jeffrey Yost: Making IT Work: A History of the Computer Services Industry (= History of Computing). MIT Press, 2017, ISBN 978-0-262-03672-6, Managing Facilities: Electronic Data Systems, 1962–1984, S. 135 ff. (englisch).
  2. Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Text von Bedeutung für den EWR), auf eur-lex.europa.eu
  3. Bundesgesetz über den Datenschutz (DSG Schweiz 2023). In: DatenBuddy.ch. Abgerufen am 5. November 2023 (deutsch).
  4. Fedlex. Abgerufen am 5. November 2023.
  5. Fedlex. Abgerufen am 5. November 2023.
  6. Datenschutzgesetz Schweiz auch revDSG oder DSG Schweiz. In: aid24.de. Abgerufen am 13. November 2023.
  7. Datenschutzgesetz Schweiz - DSG 2023. In: AV-Vertrag.org. Abgerufen am 5. November 2023 (deutsch).
  8. K. M. U. Portal: Neues Datenschutzgesetz (revDSG). Abgerufen am 5. November 2023.
  9. Kurzpapier Nr. 13: Auftragsverarbeitung, Art. 28 DS-GVO. (PDF; 360 KB) In: datenschutzkonferenz-online.de. 17. Dezember 2018, abgerufen am 15. Dezember 2022.