Entscheiden sich verantwortliche Stellen für den Einsatz eines externen Dienstleisters, welcher personenbezogene Daten im Auftrag verarbeitet muss ergänzend zum Hauptvertrag ein Auftragsverarbeitungsvertrag geschlossen werden. Klassische Beispiele einer Auftragsverarbeitung stellen das Hosting einer Internetseite, die Nutzung einer Cloud in Form von „Software as a Service“ (SaaS) oder die Vernichtung von Dokumenten durch ein entsprechend spezialisiertes Unternehmen dar. Die meisten Dienstleister stellen potenziellen Kunden mittlerweile Musterverträge zur Verfügung. Doch sollte man keinesfalls diesen Verträgen vertrauen, denn diese sind in vielen Fällen lückenhaft oder enthalten Klauseln, die rechtlich angreifbar sind. Aus diesem Grund bleibt verantwortlichen Stellen häufig nichts anderes übrig, als die von den Anbietern zur Verfügung gestellten Verträge eigenhändig zu kontrollieren. Und zwar gründlich. In diesem Beitrag wollen wir Ihnen einen Überblick verschaffen, wie Sie einen Auftragsverarbeitungsvertrag prüfen, beziehungsweise worauf Sie bei der Prüfung achten sollten und möchten Ihnen einen groben Vorschlag geben, wie Sie die Prüfung durchführen können.
Nutzung von Checklisten
Aus Art. 28 DS-GVO ergeben sich alle Regelungen, die ein Vertrag zur Auftragsverarbeitung mindestens beinhalten sollte. Auch wenn sich im Detail Abweichungen ergeben können, unterscheiden sich die Wesentlichen Regelungen in den einzelnen Vertragsmustern kaum. Die Nutzung von Checklisten kann hierbei helfen, ein gleichbleibendes Prüfschema anzuwenden. Eine solche Checkliste kann beispielsweise auf der Internetseite der Sächsischen Datenschutzbeauftragten abgerufen werden. Zugegebenermaßen ist diese Liste recht „kryptisch“ und erscheint für Personen, die nicht sehr viel damit zu tun haben (was häufig der Fall ist) recht unübersichtlich. Unterm Strich rät aber auch die Checkliste zu nichts anderem, als sich an dem Katalog des Art. 28 Abs. 3 DS-GVO entlang zu hangeln.
Geeignete Garantien
Zunächst fordert Art. 28 Abs. 1 DS-GVO, dass verantwortliche Stellen nur mit solchen Auftragsverarbeitern zusammen arbeiten, welche „hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Eine Überprüfung dessen kann beispielsweise anhand der Darstellung der technisch-organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DS-GVO oder etwaig bestehender Zertifizierungen, wie beispielsweise der ISO 27001, erfolgen. Versuchen Sie im Rahmen einer Überprüfung zu beurteilen, ob die Maßnahmen auch dem aktuellen Stand der Technik entsprechen.
Vertragsinhalte
Aus dem Vertragstext sollten sich zunächst die wesentlichen Angaben zur Auftragsverarbeitung, das heißt zum Gegenstand und Zweck, zur Art und Dauer der Verarbeitung sowie zur Art der personenbezogenen Daten und Kategorien betroffener Personen. Auch die Örtlichkeit der Datenverarbeitung sollte sich eindeutig aus dem Vertragstext ergeben. Diesbezüglich sollte der Vertrag auf Angaben zur Verarbeitung außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums geprüft werden. Sitzt der Auftragsverarbeiter selbst oder ein eingesetzter Unterauftragsverarbeiter in einem solchen Drittland, gelten die besonderen Anforderungen aus Kapitel V der DS-GVO. In diesem Zusammenhang kann auf unseren Blog-Beitrag „Übermittlung personenbezogener Daten in Drittländer“ verwiesen werden. In einigen Fällen ist dann eine sogenannte „Transferfolgenabschätzung“ erforderlich.
Darüber hinaus sollte jeder Vertrag zur Auftragsverarbeitung Angaben zur Weisungsgebundenheit des Auftragnehmers enthalten. Hintergrund: Im Rahmen einer Aufragsverarbeitung verbleibt der Auftraggeber für die Datenverarbeitungen datenschutzrechtlich verantwortlich, denn dieser entscheidet weiterhin über die Zwecke und Mittel der Verarbeitung (Art. 4 Nr. 7 DS-GVO). Das heißt, dass verantwortliche Stellen unter Umständen auch für etwaige Schäden haften müssen, die durch eine ordentliche Prüfung des Auftragnehmers und des Vertrages zur Auftragsverarbeitung hätte verhindert werden können. Dementsprechend sollte bei einer Prüfung des Vertrages zur Auftragsverarbeitung ebenfalls sichergestellt werden, dass sich der Auftragnehmer zur Verpflichtung der Beschäftigten auf die Vertraulichkeit verpflichtet.
Weiterhin haben Auftragnehmer gewisse Hinweis- und Unterstützungspflichten, insbesondere wenn diese der Ansicht sind, dass die Weisungen des Auftraggebers rechtswidrig sind, aber auch in Fällen, in denen Betroffene ihre Rechte nach Kapitel III der DS-GVO geltend machen möchten. Auch dies sollte aus einem vernünftigen Vertrag zur Auftragsverarbeitung entsprechend hervorgehen.
Zudem haben Sie als Auftraggeber gewisse Kontrollrechte gegenüber Auftragnehmern. Das bedeutet, dass Sie das Recht haben, ihren Auftragnehmer in regelmäßigen Abständen auf ihre Datenschutzkonformität zu überprüfen. Die Überprüfung können sie tatsächlich durch eine physische Inspektion durchführen. Sprich, Sie können den jeweiligen Dienstleister vor Ort besuchen und sich selbst einen Überblick über dessen technische und organisatorische Maßnahmen zur Einhaltung des nötigen Sicherheitsstandards verschaffen. Eine solche Inspektion kommt jedoch eher selten vor und ist auch angesichts des Aufwands nicht immer zielführend. Rein rechtlich ist es ausreichend, sich die Einhaltung der vertraglichen und gesetzlichen Standards durch Bereitstellung aller nötigen Informationen und durch Vorlage von Zertifizierungen und Testaten nachweisen zu lassen.
Jeder lückenlose Vertrag zur Auftragsverarbeitung enthält weiterhin Klauseln, welche die Lösch- und Rückgabepflichten nach Vertragsbeendigung regeln. Nach Beendigung des Vertrages müssen Auftragnehmer der verantwortlichen Stelle sämtliche personenbezogene Daten entweder zurückgeben oder nach einschlägigen Standards zu löschen. Die Wahl hierüber obliegt grundsätzlich dem Auftraggeber.
Zu guter Letzt enthalten die meisten Verträge zur Auftragsverarbeitung sonstige Angaben, wie beispielsweise die Haftung, das anwendbare Recht und Gerichtsort oder Pflichten des Auftragnehmers zur Sicherung der Daten bei Pfändung. Hinsichtlich Haftungsregelungen sei noch erwähnt, dass diesbezüglich ausschließlich auf die gesetzliche Haftungsregelung des Art. 82 DS-GVO verwiesen werden sollte. Anderweitige, oftmals haftungsbeschränkende Regelungen, stehen regelmäßig im Widerspruch zu den gesetzlichen Normierungen.
Fazit
Im Ergebnis lässt sich festhalten, dass die Prüfung eines Vertrages zur Auftragsverarbeitung recht umfassend sein kann, wobei viele einzelne Punkte zu beachten sind. In diesem Beitrag haben wir Ihnen die nötigen Eckpfeiler dargestellt, die ein Vertrag zur Auftragsverarbeitung in jedem Fall regeln muss. Fehlen einzelne Punkte oder sind gewisse Formulierung „merkwürdig“ beziehungsweise unverständlich, sollten Sie vorsichtig sein. In jedem Fall ist die Prüfung der Verträge mit größter Aufmerksamkeit durchzuführen. Wir empfehlen Ihnen, die Prüfung der Verträge ihrem Datenschutzbeauftragen anzuvertrauen, da sie nach Jahren der Praxis viele Musterverträge bereits kennen und Ihnen oftmals sofort sagen können, ob der jeweilige Vertrag „sauber“ ist oder nicht. Ist dies jedoch keine Option, halten Sie sich an diesem Beitrag und schauen Sie sich ergänzend hierzu die oben verlinkte Checkliste an.
Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.