Auftragsverarbeitung: Kurze Hinweise und Muster einer Auftragsdatenverarbeitung

Auftragsverarbeitung: Die Auftragsverarbeitung (früher im BDSG noch „Auftragsdatenverarbeitung“) ist inzwischen durchaus bekannt: Wenn jemand einen anderen Beauftragt, für ihn Daten zu verarbeiten, greift die Auftragsverarbeitung nach DSGVO.

Durch diese Regelung wird die Datenverarbeitung auf der einen Seite vereinfacht: Im Rahmen einer Auftragsdatenverarbeitung wird der eigentlich als „Dritte“ zu betrachtende Verarbeiter quasi eine Einheit mit dem Auftraggeber. Es liegt keine datenschutzrechtlich relevante „Übermittlung an einen Dritten“ vor, die eigentlich die Einwilligung des Betroffenen verlangen würde. Arbeitsprozesse werden somit effizienter. Auf der anderen Seite ist die Situation für den Betroffenen einfacher, er kann sich nämlich weiterhin an den Auftraggeber wenden um seine Rechte geltend zu machen – der Auftraggeber darf den Betroffenen nicht an den Auftragnehmer verweisen.

Doch es gibt Fallstricke – ein kurzer Überblick.

Form und Inhalt der Auftragsverarbeitung

Durch §11 BDSG wird die Auftragsverarbeitung in einen rechtlichen Rahmen gefasst. Es gilt erst einmal die Schriftform, wobei §11 Absatz 2 BDSG der notwendige Inhalt der Vereinbarung zu entnehmen ist. Im Internet gibt es eine Fülle von Vorlagen und Mustern hierzu (etwa dieses gute Muster einer Auftragsdatenvereinbarung des Hessischen Landesdatenschutzbeauftragten). Bei so vielen Mustern braucht es keiner rechtlichen Beratung – so scheint es.

Problem: Liegt eine Auftragsverarbeitung überhaupt vor?

Bevor man sich an die Auftragsverarbeitung macht, muss geprüft werden, ob eine solche überhaupt vorliegt. Was so profan klingt, ist mir in den letzten Jahren als Standardfehler begegnet: Nicht immer, wenn ein Dritter Daten verarbeitet, liegt eine Auftragsdatenverarbeitung vor! Es kommt hier auf den Einzelfall an, wobei zu Fragen ist, ob tatsächlich alleine nach Weisung des Auftraggebers gehandelt wird – oder etwa eigenes Ermessen bei der Frage gewährt ist, ob und welche Daten verarbeitet werden. Es gibt hier keine konkrete Formel, tatsächlich muss im konkreten Fall geprüft werden, was für und was gegen eine Auftragsdatenverarbeitung spricht. Notwendig hierbei ist zum einen sicherlich Fingerspitzengefühl und Kenntnis der wesentlichen Kriterien – in jedem Fall aber auch hinreichende Erfahrung.

Trugschluss: Vorschnelle Annahme einer Auftragsverarbeitung

Interessant ist, dass ich seit einiger Zeit damit konfrontiert werde, dass gerne Auftragsverarbeitungen getroffen werden, wo gar keine vorliegen. So etwa aus „rein formellen“ Gründen, weil sich alle Beteiligten dann „wohler“ fühlen. Dabei erreicht man damit dann genau das Gegenteil – nämlich mindestens rechtliche Unsicherheit, schlimmstenfalls hat man gar ein Problem.

Das Ergebnis zur Auftragsverarbeitung

ist dann beispielsweise Folgendes: Auf Grund der vermeintlichen Sicherheit durch die Auftragsdatenverarbeitung wird nicht weiter über die Einwilligung des Betroffenen nachgedacht. Wenn es aber keine Auftragsdatenverarbeitung ist, liegt weiterhin eine Übermittlung an einen Dritten vor – die aber vielleicht nicht rechtlich gedeckt ist. Somit wäre ein Bussgeldtatbestand verwirklicht. Von beiden, vermeintlichem Auftraggeber und vermeintlichem Auftragnehmer.

Wie erwähnt: Nicht jede Verarbeitung von Daten durch einen Dritten ist eine Auftragsverarbeitung. Rein vorsichtshalber eine entsprechend Erklärung abzuzeichnen mag ein gutes Gefühl geben, hilft aber nicht. Von einer vorschnellen Auftragsverarbeitung ist letztlich ebenso abzuraten, wie davon, das Thema schlicht ganz zu ignorieren. Auch blind irgendwelche Muster einzusetzen ist ein Fehler, da diese Muster im Einzelfall angepasst werden müssen. Letztlich werden Laien bereits erhebliche Probleme haben, sauber zu prüfen, ob überhaupt eine Auftragsverarbeitung vorliegt, sofern keiner der absolut problemlosen Fälle vorliegt.

Fachanwalt für IT-Recht Jens Ferner