Wir erheben Ihre Daten gemäß Art. 6 Abs. 1 Buchst. b) und f) DSGVO zur ordnungsgemäßen Abwicklung unserer Geschäftsvorgänge sowie zur Mitteilung von Produktinformationen. Wir informieren Sie regelmäßig über aktuelle, themenbezogene, kostenpflichtige Verlagsprodukte per E-Mail, Fax, Telefon oder Post. Sie können jederzeit der Verwendung Ihrer Daten für Werbezwecke zu den ortsüblichen Basistarifen widersprechen, indem Sie den Abmeldelink nutzen, der am Ende einer jeden E-Mail enthalten ist. Oder schreiben Sie eine E-Mail an [email protected] Weitere Informationen finden Sie in unserer Datenschutzerklärung unter akademie-herkert.de/datenschutz
Im nächsten Schritt erhalten Sie eine Bestätigungsmail an die angegebene E-Mail-Adresse. Hiermit wird geprüft, ob es sich um eine korrekte E-Mail-Adresse handelt. Um Ihnen die gewünschten Informationen zukommen lassen zu können, klicken Sie bitte jetzt den in der Bestätigungsmail enthaltenen Link. Falls die Bestätigungsmail Ihr Postfach nicht erreicht hat, kann es sein, dass diese irrtümlicherweise in Ihrem Spam-Ordner gelandet ist. Überprüfen Sie daher Ihren Spam-Ordner und Ihre Spam-Einstellungen.
Hier ist leider etwas schiefgelaufen. Bitte versuchen Sie es nochmals nachdem Sie die Seite neu geladen haben. Sollte der Fehler weiterhin bestehen, kontaktieren Sie bitte unseren Kundenservice per E-Mail an [email protected] oder unter 08233 381-123 (Mo - Do 8.00 - 17.00 Uhr, Fr 8.00 - 15.00 Uhr).
In der europäischen Datenschutz-Grundverordnung (EU DSGVO, folgend nur DSGVO genannt) wird im Artikel 4 Nr. 7 und 8 zwischen Auftragsdatenverarbeitung und Funktionsübertragung unterschieden. Wenn darauf basierend ein Auftragsdatenverarbeitungsvertrag (AVV) geschlossen wird, sollten der Umfang und die genauen Zuständigkeiten umfassend geklärt werden. Was genau ist ein Auftragsdatenverarbeitungsvertrag, was beinhaltet er und wann wird er benötigt?
Inhaltsverzeichnis
Datenschutzrechtlich besteht hinsichtlich des Schutzes personenbezogener Daten ein Verbotsprinzip mit Erlaubnisvorbehalt. D. h. die Erhebung, Verarbeitung oder Speicherung von personenbezogenen Daten ist grundsätzlich verboten. Wird aber eine Erlaubnis des Verantwortlichen erteilt, können diese Daten auch durch Dritte verarbeitet werden – stellvertretend für die Betroffenen kann durch Gesetze und Normen eine generelle Erlaubnis erteilt werden.
Wie bereits angesprochen muss hinsichtlich eines Auftragsdatenverarbeitungsvertrags (AVV oder ADV-Vertrag) zwischen Auftragsdatenverarbeitung und Funktionsübertragung unterschieden werden. Dazu gilt gemäß DSGVO:
Ein AV-Vertrag wird dann benötig, wenn eine Auftragsdatenverarbeitung durch einen Dritten vollzogen wird. Dabei müssen stets alle datenschutzrechtlichen Aspekte berücksichtigt werden. Der Auftragsdatenverarbeitungsvertrag ist bereits fester Bestandteil vieler Dienstleistungsverträge.
Der AVV sollte dabei stets folgende Punkte berücksichtigen:
Der Zweck eines AV-Vertrag ist meistens die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch einen Subunternehmer oder Drittdienstleister. Dabei bleibt der Auftraggeber der Verantwortliche oder die verantwortliche Stelle, der Auftragnehmer hingegen ist „nur“ weisungsgebunden. Dementsprechend ist selbst nach Abschluss des ADV-Vertrages weiterhin der Auftraggeber für die personenbezogenen Daten verantwortlich, bzw. haftungsrechtlich belangbar.
Verantwortlicher nach Art. 4 Nr. 7 DSGVO kann sowohl eine juristische Person, Behörde oder Einrichtung sein – gleiches gilt für den Auftragsverarbeiter (AV). Dieser steht, wie bereits erwähnt, in einer weisungsgebundenen Abhängigkeit zum Verantwortlichen. D. h. er kann keine eigenen Entscheidungen hinsichtlich der Datenbearbeitung treffen.
Wichtig: Der AVV kann nur schriftlich abgeschlossenen werden – eine mündliche Vereinbarung oder elektronischer Abschluss ist nicht rechtskräftig.
Arbeitsbereiche oder Programme, bei denen ein AVV zwingend notwendig ist, sind z. B.:
Wichtig: Bei Dienstleistungen durch Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, Ärzte oder Wirtschaftsprüfer) wird grundsätzlich kein ADV-Vertrag benötigt.
Bei Software-as-a-Service Lösungen handelt es sich um Service-Software, die in den meisten Fällen ausschließlich über das Internet betrieben wird. Diese beinhalten generell eine Cloud zur automatischen Datenspeicherung. Vorteile dieser Art von Programmen sind offensichtlich: geringer Pflege- und Wartungsaufwand, automatische Aktualisierungen und potentielle Skalierbarkeit.
Dennoch besteht ein erhöhtes Datenschutzrisiko, da der Datensatz nicht auf betriebseigenen Server gespeichert wird. Das ist u. A. ein Grund dafür, dass die meisten Anbieter zusätzliche Sicherheitsmaßnahmen zum Schutz personenbezogener Daten etabliert haben.
An dieser Stelle kommt der AVV ins Spiel. Mit diesem können Unternehmen gezielt festlegen, welche Daten in welchem Umfang mit welchen TOMs behandelt werden sollen.
Bei Nutzung von Programmen des Kundenbeziehungsmanagements oder der Kundenpflege (CRM), die nicht im firmeneigenen Intranet lokalisiert sind, sollten Unternehmen stets auf einen AVV zurückgreifen. Bei browserbasierten CRM-Systemen darf der Auftragsverarbeiter keinen direkten Zugriff auf die Datenstruktur im Unternehmen bekommen, sondern ausschließlich innerhalb der Eckpunkte des Auftragsdatenverarbeitungsvertrags agieren.
Seit dem Schrems II Urteil (2020) steht der Datentransfer in Drittländer (Nicht-EU-Länder) im Fokus des Gesetzgebers. Mit dem Urteil ging einher, dass alle in der EU ansässigen Unternehmen bei einer internationalen Datenübermittlung selbstständig prüfen müssen, inwiefern die DSGVO eingehalten wird.
Das beinhaltet die Überprüfung der verwendeten Programme und kooperierenden Unternehmen. Ein Schlüsselbegriff ist hierbei: privacy by design. Im datenschutzrechtlichen Kontext sind damit die Funktionalität und einzelne Arbeitsschritte gemeint, die jederzeit den Ansprüchen des Datenschutzes nachkommen sollten – auch an dieser Stelle ist ein ADV-Vertrag unabdingbar.
Grundsätzlich gilt: eine Datenübermittlung in ein Drittland ist nur zulässig, wenn im Zielland ein hohes Datenschutzniveau herrscht oder individuelle Datenschutzabkommen getroffen wurden – z. B. erkennt die EU den Datenschutz in den USA nicht als gleichwertig an (es fehlen einheitliche Datenschutzregelungen).
Daher existieren die EU-Standartvertragsklauseln, die eine Datenübermittlung aus Europa in die USA möglich machen. Neben dem dafür notwendigen AVV unterstützen die Binding Corporate Rules in manchen Fällen (beide Firmen gehören zu derselben Firmengruppe) die Datenspeicherung in Drittländern.
Wie bereits erwähnt, muss jedes Unternehmen, das Daten zur Verarbeitung an andere Unternehmen weitergibt, einen ADV-Vertrag abschließen. Bei der konkreten Ausformulierung des Vertrags arbeiten meist Rechtsabteilung und der Datenschutzbeauftragte (DSB) eng zusammen. Aber besonders Letzterem obliegt die Gewährleistung der Datensicherheit. Dementsprechend sollte der DSB nicht denselben Vertrag zur Datenverarbeitung für unterschiedliche Anbieter benutzen. Es gilt, individuelle Verträge für individuelle Unternehmen zu schließen.
Ab einer Unternehmensgröße von 20 oder mehr Mitarbeitern, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist das Unternehmen nach DSGVO verpflichtet, einen Datenschutzbeauftragten zu benennen und dafür zu sorgen, dass dieser über Fachwissen und Datenschutzpraxis verfügt. Beides wird in dem Zertifikats-Lehrgang „Betriebliche/r Datenschutzbeauftragte/r″ vermittelt und vertieft.
MEHR ERFAHREN: BETRIEBLICHE/R DATENSCHUTZBEAUFTRAGTE/R
Neben der unternehmerischen Perspektive müssen auch öffentliche Stellen stets auf einen DSB und in gegebenem Falle auf einen AVV zurückgreifen. Anders als bei Privatunternehmen existiert keine Mindestanzahl an Mitarbeitern, die zur Benennung eines DSB verpflichtet – ein Behördliche/r Datenschutzbeauftragter muss in jedem Fall benannt werden. An dieser Stelle gilt es geeignete Mitarbeiter speziell zu schulen – hierfür bietet sich der Zertifikats-Lehrgang „Behördliche/r Datenschutzbeauftragte/r″ an, der das entscheidende Fachwissen und viele Praxisbeispiele vermittelt:
MEHR ERFAHREN: BEHÖRDLICHE/R DATENSCHUTZBEAUFTRAGTE/R
Im Rahmen der Dokumentations- und Rechenschaftspflicht ist der Datenschutzbeauftragte stellvertretend für das Unternehmen oder die Behörde dafür verantwortlich, ein Verzeichnis über die Verarbeitungstätigkeiten (VVT) zu führen. Darin sollten auch alle Auftragsverarbeitungen zu finden sein. Ein derartiges Verzeichnis signalisiert gleichzeitig auch Transparenz und Gewissenhaftigkeit im Umgang mit personenbezogenen Daten.
Der AVV stellt eine der Grundsäulen der Auftragsverarbeitung personenbezogener Daten dar. Ohne ihn wäre dies sowohl rechtlich nicht möglich. Dabei gilt die Regel: individueller Vertrag für individuelle Unternehmen.
Ob die Datenübermittlung innerhalb oder außerhalb der EU stattfindet, der Datenschutzbeauftragte muss stets die aktuelle Rechtslage und die praktischen Feinheiten des Datenschutzes und der Datensicherheit berücksichtigen. Das kann besonders bei einer Kooperation mit ausländischen Firmen zu Komplikationen führen. Falls ein derartiger Fall auftritt, sollten ausgewiesene Experten zu Rate gezogen werden.
Neben alldem bezeugt der Auftragsdatenverarbeitungsvertrag aber vor allem eines: das jeweilige Unternehmen vermittelt Datenschutzernsthaftigkeit und signalisiert Sicherheitsbewusstsein und Wertschätzung personenbezogener Daten.
Quellen: Redaktion Datenschutz & IT-Sicherheit, „Datenschutz 2022“, tagesschau, BfDI
Bildquelle: @ greenbutterfly – stock.adobe.com
Augsburg, 25.04.2022Online-Redaktion AKADEMIE HERKERT
