Auftragsverarbeitung - Art. 28 DSGVO

Lässt ein Unternehmen als verarbeitende Stelle Daten bei einem Drittunternehmen im Auftrag verarbeiten, so liegt in der Regel ein Auftragsverarbeitungsverhältnis im Sinne von Art. 28 DSGVO vor.

Typische Auftragsverarbeitungsverhältnisse sind beispielsweise:

  • Software-as-a-Service-Applikationen, bei denen ein Unternehmen als Verantwortlicher Daten an den App-Anbieter zur Weiterbearbeitung, beispielsweise für eine Mitarbeiterverwaltung, übergibt,
  • die Nutzung eines Cloud- oder Cloud-Software-Angebots durch einen Verantwortlichen zur Speicherung und eventuell auch Weiterverabeitung von (Kunden-)Daten,
  • Die Übergabe von Kundendaten durch den Verantwortlichen an einen Dienstleister zur Herstellung und Versendung spezifisch konfektionierter Lieferungen,
  • Übergabe von Kundendaten durch den Verantwortlichen an einen Abrechnungsdienstleister.

Nach den gesetzlichen Vorgaben ist bei Vorliegen einer Auftragsverarbeitung neben dem üblicherweise bestehenden Basisvertrag (z.B. Vertrag mit einem Dienstleister über bestimmte Dienstleistungen) eine sogenannte Auftragsverarbeitungsvereinbarung (AVV) zu treffen.

Die Inhalte der AVV und deren Erfordernis sind in Art. 28 der DSGVO vorgegeben. Bei der Formulierung der AVV ist darauf zu achten, dass den Vorgaben umfänglich entsprochen wird.

Hat die verarbeitende Stelle ihren Sitz nicht in Deutschland, so ist zudem eine umfangreiche Prüfung vorzunehmen, ob und unter welchen Voraussetzungen Daten durch den Verantwortlichen an den vorgesehenen Verarbeiter übergeben werden dürfen:

1. Ist die Übermittlung der Daten nach nationalem Recht zulässig? Das ist in der Regel der Fall, wenn eine Einwilligung vorliegt oder eine gesetzliche Rechtfertigung gegeben ist.

2. Werden durch die Übermittlung der Daten ins Ausland keine schutzwürdigen Interessen des Betroffenen verletzt?
Eine Verletzung wird dabei regelmäßig angenommen, wenn das Schutzniveau in dem Drittland nicht angemessen gewährleistet ist.

Ein angemessenes Schutzland ist dabei immer bei Datenübermittlungen in die EU-Mitgliedsstaaten anzunehmen in denen per se ebenfalls die DSGVO gilt.

In Art. 44 BDSGO ist für die Weiterübertragung in andere Drittländer bestimmt, dass hierbei zwingend die Bedingungen, die für innergemeinschaftliche Verarbeitungen gelten und auch die sonstigen Bestimmungen der DSGVO einzuhalten sind.

Eine Übermittlung personenbezogener Daten an ein Drittland/ Unternehmen in einem Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet, Art. 45 Abs. 1 DSGVO. Liegt kein entsprechender Beschluss der Kommission vor, so darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, Art. 46 Abs. 1 DSGVO. Als entsprechende Garantien werden in Art. 46 Abs. 2 DSGVO folgende Regelungen angesehen:

  • ein rechtlich bindendes und durchsetzbares Dokument zwischen den Behörden oder öffentlichen Stellen,
  • verbindliche interne Datenschutzvorschriften gemäß Art. 47 DSGVO,
  • Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Art. 93 Absatz 2 DSGVO erlassen werden,
  • von einer Aufsichtsbehörde angenommene Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Art. 93 Absatz 2 DSGVO genehmigt wurden,
  • genehmigte Verhaltensregeln gemäß Art. 40 DSGVO zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen, oder
  • ein genehmigter Zertifizierungsmechanismus gemäß Art. 42 DSGVO zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen.
  • Vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde:
    • Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation vereinbart wurden, oder
    • Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen.