Die Auftragsdatenverarbeitung bzw. nach Umbenennung der DSGVO jetzt Auftragsverarbeitung werde ich Dir in diesem Artikel erklären.
Auftragsdatenverarbeitung – Was ist neu und was muss ich beachten…?
Wenn Du Dienstleister für einen Auftraggeber bist und Zugriff auf die personenbezogenen Daten des Verantwortlichen, also seiner Kunden hast, dann bist Du im komplexen Bereich der Auftragsdatenverarbeitung, die jetzt nach Art. 28 DSGVO Auftragsverarbeitung heißt. In diesem Fall musst Du mit diesem Verantwortlichen einen Auftragsdatenverarbeitungsvertrag, der jetzt Auftragsverarbeitungsvertrag (AV-Vertrag) heißt, schließen. Du bist dann ein Erfüllungsgehilfe und hilfst dem Verantwortlichen seine Aufgaben zu erfüllen. Damit Du Deine Auftragsverarbeitung (Auftragsdatenverarbeitung) überhaupt ordentlich durchführen kannst, brauchst Du den Zugriff auf die personenbezogenen Daten. Das ist klar und bestimmt auch nichts Neues für Dich, es sei denn, dass Du erst in diesen Bereich einsteigst und somit Neuland betrittst. Wenn Du aber schon Erfahrung als Auftragsverarbeiter hast, dann fragst Du Dich bestimmt: „Was muss ich jetzt seit dem 25.Mai 2018 machen, was hat sich denn genau verändert?“ Diese Frage ist berechtigt, denn wenn Du den Datenschutz und die Rechtsgrundlage zur Verarbeitung personenbezogener Daten verletzt oder einfach nicht beachtest, dann kann es sehr teuer werden.
Du hast Rechte aber auch Pflichten, wenn Du als Auftragsverarbeiter im Bereich der Auftragsverarbeitung (Auftragsdatenverarbeitung) tätig bist.
Wichtig ist zuerst einmal, dass Du die Auftragsverarbeitung (Auftragsdatenverarbeitung) auch mit geeigneten TOMs, also Technisch organisatorischen Maßnahmen durchführst, die kein Sicherheitsrisiko darstellen und datenschutzkonform sind. Hierzu gehören Schutzmaßnahmen durch unbefugten Zugriff, also Hacker-Angriffe, Maßnahmen, die eine Auftragsverarbeitung (Auftragsdatenverarbeitung) personenbezogener Daten ermöglichen und jedes Risiko minimieren.
Das Thema IT-Sicherheit musst Du dabei besonders genau beachten, denn sonst kann es sehr teuer werden. Es ist also nicht nur der Verantwortliche dazu verpflichtet. Wenn man Dir das so erzählt hat, dann muss ich Dir hiermit sagen, dass diese weitverbreitete Meinung so nicht richtig ist, denn auch der Auftragsverarbeiter kann im Ernstfall schnell in die Pflicht und damit in die Haftung genommen werden, wenn er nachweislich seine Pflichten zur Auftragsverarbeitung (Auftragsdatenverarbeitung) nicht ordentlich durchgeführt hat und ein Problem dadurch erst entstanden ist oder ermöglicht wurde. Im Zweifel muss der Auftragsverarbeiter nachweisen, dass er seine Pflichten ordnungsgemäß durchgeführt hat. Dazu gehört auch, dass er seine Dienstleistung, also die Auftragsverarbeitung (Auftragsdatenverarbeitung) auf der datenschutzkonformen Rechtsgrundlage der DSGVO und den gesetzlichen Bestimmungen durchgeführt hat.
Das geht sogar so weit, dass er nicht so einfach die personenbezogenen Daten des Verantwortlichen verarbeiten darf, wenn berechtigte Zweifel bestehen, dass die Durchführung einen Verstoß gegen datenschutzrechtliche Bestimmungen insbesondere gegen die DSGVO darstellt. In diesem Fall ist er nicht nur verpflichtet, sondern auch berechtigt die Auftragsverarbeitung (Auftragsdatenverarbeitung) zu pausieren oder zu beenden, bis der Verantwortliche hier die notwendigen Änderungen in die Wege geleitet und durchgeführt hat. Der Auftragsverarbeiter darf in keinem Fall personenbezogene Daten verarbeiten, nur weil der Verantwortliche ihn dazu beauftragt, wenn die Rechtsgrundlage auf der diese Auftragsverarbeitung (Auftragsdatenverarbeitung) beruht nicht im Einklang mit der DSGVO ist und auch keine anderen gesetzlichen Bestimmungen dies erlauben.
Wenn das Verbot noch keine Erlaubnis enthält, weil der Verantwortliche keine gültige Fahrerlaubnis für die Datenautobahn (siehe Verfahrensverzeichnis (Verzeichnis von Verarbeitungstätigkeiten) hat, dann darf der Auftragsverarbeiter noch keine personenbezogenen Daten verarbeiten, weil er sich sonst selbst haftbar macht, wenn im Worst Case ein Fall eintritt, bei dem die Aufsichtsbehörde den Verantwortlichen und ihn zur Verantwortung zieht und prüft, ob datenschutzrechtliche Pflichten verletzt wurden. Das kann dann für beide, den Verantwortlichen und den Auftragsverarbeiter sehr teuer werden. So etwas muss nicht sein und deshalb gilt es das auch zu vermeiden.
Eine ordentliche Dokumentation ist für beide, den Verantwortlichen und den Auftragsverarbeiter wichtig, nicht nur wegen dem Risiko, dass die Aufsichtsbehörde eine Kontrolle durchführt, sondern auch für die Transparenz und die harmonische Geschäftsbeziehung. Wenn beide Seiten genau sehen können, dass jeder seine Aufgaben erfüllt, dann haben beide Seiten auch Rechte und nicht nur Pflichten und eine harmonische fruchtbringende Zusammenarbeit ist möglich, die als Zusatzbonus zufriedene Kunden bringt.
Was muss denn eigentlich überhaupt rein in so einen Vertrag zur Auftragsverarbeitung (Auftragsdatenverarbeitung)? Es gibt ja etliche Muster im Internet, da kannst Du Dich bedienen und sie dann einfach ausfüllen, oder? Lieber nicht, denn auch hier gilt, dass diese Muster oft nach Schema F übernommen werden und dann überhaupt nicht auf die jeweilige Situation passen, weil sie überhaupt nicht individuell sind. Ich habe hier schon etliche Probleme festgestellt und auch schon erfolgreich Auftragsverarbeiter davor bewahrt, dass sie diesen Fehler nicht begehen. Es gab aber auch solche, die schon so ein Muster hatten, sich aber dann doch an mich gewandt haben und ich dann das Schlimmste verhindert habe.
Denn so ein Muster nur nach Schema F zu verwenden, ist im Ernstfall eine Katastrophe. Hier gilt auch nicht, dass so viel wie möglich besser ist, sondern nur das Nötigste, aber das Wichtigste, also das exakt genau Passende für den jeweiligen Zweck, die Situation und eben individuell. Ich gebe Dir aber trotzdem ein paar Stichpunkte zur Orientierung, die so ein Vertrag für die Auftragsverarbeitung (Auftragsdatenverarbeitung) unbedingt enthalten muss. Aber denke daran, das ist nur ein kleiner Auszug. Damit ist es noch lange nicht erledigt. Das ist abhängig vom jeweiligen Verantwortlichen und dem Auftragsverarbeiter. Also hier ist der Auszug:
Name, Adresse des Verantwortlichen, Name und Adresse des Auftragsverarbeiters, Gegenstand und Dauer der Verarbeitung personenbezogener Daten, Zweck und Art der Verarbeitung personenbezogener Daten, Umfang der Weisungsbefugnis, Rechte und Pflichten des Verantwortlichen, Rechte und Pflichten des Auftragsverarbeiters, Vertraulichkeit und Verschwiegenheit, TOMs, evtl. Subunternehmen…
Zusätzlich musst Du als Auftragsverarbeiter jetzt auch ein Verzeichnis von Verarbeitungstätigkeiten (früher Verfahrensverzeichnis) führen. Näheres dazu im jeweiligen Artikel zum Verfahrensverzeichnis (Verzeichnis von Verarbeitungstätigkeiten)… Das ganze Thema ist sehr komplex und viele Auftragsverarbeiter und auch Verantwortliche sind hier schnell überfordert.
Wie bereits dargelegt, sind Muster keine Lösung, denn diese kannst Du nicht so einfach nach Schema F ausfüllen, sondern musst sie individuell anpassen. Hier reicht auch nicht nur individuelles Ausfüllen, denn oft passen diese Muster auch überhaupt nicht zur jeweiligen Situation des Verantwortlichen und Auftragsverarbeiters. Deshalb habe ich hier eine bessere und treffende Lösung für Dich. Wenn Du mit dieser Situation auch überfordert bist, weil Deine Kompetenzen und Fähigkeiten woanders liegen, Du Dir nicht stundenlang irgendwelche Infos zusammensuchen willst, bei denen Du immer noch nicht genau weißt, ob es so richtig ist, dann geht es Dir genau wie vielen Unternehmern oder Dienstleistern, denen ich schon erfolgreich helfen konnte. Warte nicht mehr länger, denn nichts zu tun ist keine Lösung. Egal ob Du Auftragsverarbeiter oder Verantwortlicher bist. Das ist sehr riskant und Du fährst somit ohne Fahrerlaubnis auf der Datenautobahn.
Es gibt aber auch einen Vorteil dabei. Sieh es nicht nur als lästige Pflicht, sondern auch als Chance, um Dir einen Marktvorteil zu verschaffen. Deine Kunden achten immer mehr darauf, dass Du mit ihren personenbezogenen Daten auch verantwortlich umgehst. Das schafft Vertrauen, und verbessert die Geschäftsbeziehung. Ein weiterer Vorteil ist, dass Du Dir einen genauen Überblick, eine Transparenz durch die Dokumentation verschaffst. Das Thema Datenschutz ist sehr komplex, denn sogar Rechtsanwälte und Techniker sind hier schnell überfordert. Doch deshalb nichts zu tun, damit kann sich niemand mehr herausreden.
Auch wenn Du keinen Datenschutzbeauftragten brauchst, bist Du verpflichtet alle Datenschutz Themen richtig umzusetzen, sodass jederzeit eine Aufsichtsbehörde bei Dir anklopfen kann, ohne dass Du dann weiche Knie bekommst, weil Du Deine Fahrerlaubnis nicht vorzeigen kannst.
Als Datenschutz-Consultant und Datenschutzberater biete ich Dir meine Datenschutzberatung mit Herz, die individuell ist und helfe Dir, sodass Du Dir selbst helfen kannst. Dabei profitierst Du von meinem Netzwerk aus Rechtsanwälten und Spezialisten aus dem Datenschutz und IT-Sicherheitsumfeld. Ich habe die Fachkunde als Datenschutzbeauftragter (IHK) und bilde mich regelmäßig weiter, damit ich als Experte up to date bleibe und Dir den besten Datenschutzberatung-Service anbieten kann.
Ich freue mich bald mit Dir persönlich zu sprechen, damit wir gemeinsam die notwendigen Schritte gehen können.
Deshalb handle jetzt und buche hier Deinen Termin😉