Nahezu sämtliche Unternehmen bedienen sich bereits externer IT-Dienstleister (Auftragsverarbeiter) zur Datenverarbeitung. Beispiele sind die Anmietung von Speicherplatz in Rechenzentren, die Nutzung von Software in der Cloud (SaaS), (Fern-)Wartungs- und Softwarepflegeverträge, die Archivierung oder Datenträgervernichtung. Die Inanspruchnahme von IT-Dienstleistern zur Verarbeitung personenbezogener Daten ist nach bisherigem Recht bei Vorliegen bestimmter Voraussetzungen gegenüber sonstigen Datenübermittlungen „privilegiert“. An diesem grundsätzlichen Privileg hält die DSGVO fest, wenn auch mit einigen Änderungen und Neuerungen, wie im Folgenden ausgeführt wird.

1. Anforderungen an Verträge mit IT-Dienstleistern
1.1 Auswahl des IT-Dienstleisters

Anders als bisher müssen Unternehmen ihre IT-Dienstleister nicht mehr dahingehend auswählen, dass diese einen Sitz in der EU haben. Privilegiert in o.g. Sinne wird zum Beispiel auch eine Datenverarbeitung durch US-Unternehmen, soweit im konkreten Fall die DSGVO-konforme Datenverarbeitung gesichert ist. Hierzu verlangt die DSGVO eine sorgfältige Auswahl des Auftragsverarbeiters. Unternehmen dürfen im Rahmen der Verarbeitung personenbezogener Daten nur mit solchen Dienstleistern zusammenarbeiten, die hinreichende Garantien für die Umsetzung technischer und organisatorischer Maßnahmen bieten, um die Sicherheit der Verarbeitung und die Einhaltung von Betroffenenrechten zu gewährleisten. Es ist anzunehmen, dass zur Verlässlichkeit von Auftragsverarbeitern zukünftig auch gehören wird, dass diese – soweit außerhalb der EU ansässig – grundsätzlich einen Vertreter in einem Mitgliedsstaat der EU benennen. Ausnahmen gelten, soweit die Datenverarbeitung nur gelegentlich oder in nicht erheblichen Umfang erfolgt.

1.2. Formerfordernis: Schriftlich oder elektronisch

Die DSGVO verlangt einen schriftlichen Vertrag zwischen dem Auftraggeber und dem Auftragsverarbeiter. Die elektronische Form wird diesem Formerfordernis gerecht. Neben einem individuellen Vertrag lässt die DSGVO ausdrücklich den Rückgriff auf sog. Standardvertragsklauseln zu, die die EU-Kommission festlegt und zur Verfügung stellt.

1.3 Vertragsinhalt: Weisungsrecht des Auftraggebers

Vertraglich sind durch den Auftraggeber Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen genau festzulegen. Eine Nutzung zu eigenen Geschäftszwecken des Auftragsverarbeiters ist darüber hinaus auszuschließen. Die DSGVO stellt klar, dass der Auftragsverarbeiter als Verantwortlicher gilt, wenn er Zweck und Mittel der Datenverarbeitung bestimmt. Der Auftragsverarbeiter darf nur aufgrund von dokumentierten Weisungen tätig werden. Im Einzelnen sind vertraglich zu regeln:

  • Gegenstand und Dauer des Auftrags
  • Umfang, Art und Zweck der Verarbeitung (inkl. Übermittlung an Drittland u.a.)
  • Art der Daten (Kontaktdaten, Abrechnungsdaten, Gesundheitsdaten u.a.)
  • Kategorien betroffener Personen (Beschäftigte, Mandanten, Patienten, Kunden u.a.)
  • Gewährleistung von Betroffenenrechten (Auskunft, Löschung, Datenübertragbarkeit u.a.)
  • Dokumentationspflicht des Auftragsverarbeiters (Führung eines Verzeichnisses der Verarbeitungstätigkeiten für Tätigkeiten im Dienste des Auftraggebers u.a.)
  • Umfang der Weisungs- und Kontrollrechte
  • Mitwirkungs-/ Unterstützungspflichten des Auftragsverarbeiters (Datenschutz-Folgenabschätzung, Konsultation der Aufsichtsbehörde u.a.)
  • ggf. Berechtigung zu Unterauftragsverhältnissen
  • Mitteilungspflicht von Verstößen
  • Rückgabe / Löschung von Daten / Datenträgern
  • Verpflichtung zur Vertraulichkeit aller zur Datenverarbeitung Befugter seitens des Auftragsverarbeiters
  • Geeignete und erforderliche technische und organisatorische Maßnahmen zur sicheren Verarbeitung
1.4 Maßnahmen zur Sicherheit der Verarbeitung

Die technischen und organisatorischen Maßnahmen, die dem Auftragsverarbeiter auferlegt werden, sollen hinreichende Garantien für eine sichere Datenverarbeitung bieten. Dabei muss der Auftraggeber den Stand der Technik von verfügbaren Sicherheitsmaßnahmen beachten; andererseits ist die Berücksichtigung von Implementierungskosten aber ebenso erlaubt. Jedenfalls müssen die Maßnahmen geeignet sein, um ein dem Risiko für Rechte und Freiheiten der Betroffenen angemessenes Schutzniveau zu gewährleisten. Die DSGVO zählt folgende Rahmenbedingungen auf:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Die technischen und organisatorischen Maßnahmen können – wie bisher üblich – in einem Anhang zum Vertrag näher spezifiziert werden. Der Vorteil dieser gesonderten Behandlung ist, dass die Maßnahmen durch Austausch der Anlage dem Stand der Technik angepasst werden können. Diese Anpassungsfähigkeit ist ebenfalls eine Forderung der DSGVO. Der Auftraggeber muss die Auswahl (-kriterien) der Maßnahmen dokumentieren, um diese auch der Aufsichtsbehörde zur Verfügung stellen und damit eine rechtskonforme Datenverarbeitung nachweisen zu können. Da die DSGVO nicht vorschreibt, welche Maßnahmen ergriffen werden sollen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste zu gewährleisten, wird zunächst auf den bewährten Katalog nach Bundesdatenschutzgesetz zurückgegriffen werden können. Wobei – da gesondert und als einzig konkrete Maßnahme durch die DSGVO erwähnt – die Bedeutung der Pseudonymisierung zur Gewährleistung der Sicherheit der Verarbeitung sicher steigen wird. Der Vertrag mit Auftragsverarbeitern sollte demnach konkrete Maßnahmen enthalten, die die Schutzziele der DSGVO gewährleisten sollen:

MaßnahmeBeispiele
ZutrittskontrolleSchlüssel-Regime, Zutrittskontrollsystem
ZugangskontrollePasswort-Regime, Verschlüsselung von Datenträgern
ZugriffskontrolleBerechtigungskonzept, Überwachung, Protokollierung
WeitergabekontrolleTransportsicherung, -verschlüsselung, Pseudonymisierung
EingabekontrollePasswort-Regime, Protokollierung
AuftragskontrolleVertragsmanagement, Kontrolle der Vertragsausführung
VerfügbarkeitskontrolleBack-up-System, Firewall, Notfallplan, Notstrom
TrennungskontrolleFunktionstrennung, physische Trennung
2. Neue Haftungsregelungen für Auftragsverarbeiter

Auftragsverarbeiter sind zukünftig auch Adressaten der Bußgeldvorschriften der DSGVO. So können etwa Verstöße gegen die Pflicht zur Implementierung technischer und organisatorischer Maßnahmen auch beim Auftragsverarbeiter geahndet werden. Es drohen hierfür Bußgelder bis 10 Mio. € oder 2 Prozent des weltweiten Jahresumsatzes. Darüber hinaus haften Auftragsverarbeiter auch für Schäden von Betroffenen, die durch eine Datenverarbeitung verursacht werden, die nicht den Anforderungen der DSGVO genügt. Die Schadenersatzpflicht trifft ihn allerdings nur dann, wenn er pflichtwidrig gehandelt oder Anweisungen seiner Auftraggeber zuwider gehandelt hat.

3. Fazit

Die DSGVO bringt neue Pflichten für Auftragsverarbeiter und Auftraggeber mit sich. Bestehende Verträge sollten daher auf ihre DSGVO-Konformität überprüft und ggf. angepasst werden, um ab dem 25.05.2018 unnötige Bußgeldrisiken zu vermeiden.

Christian Krösch

Rechtsanwalt, Betriebswirt (IWW)
Fachanwalt für Insolvenzrecht
Datenschutzauditor (TÜV)
Datenschutzbeauftragter (TÜV)

Zum Profil
Christian Krösch