Seite wählen
Wann sollte ich einen Auftragsverarbeitungsvertrag schließen?

Wann sollte ich einen Auftragsverarbeitungsvertrag schließen?

Im Zuge der neuen Datenschutzgrundverordnung (DSGVO) stellen sich viele Unternehmer die Frage, wann muss ich einen Auftragsverarbeitungsvertrag schließen? Manche haben sogar von ihren Dienstleistern einen vorgesetzt bekommen, mit der Bitte diesen unterschrieben zurückzuschicken. Bevor man natürlich einen Vertrag unterschreibt, muss man wissen worum es sich hierbei handelt

Auftragsverarbeitung

In Art. 4 Nr. 8 der DSGVO ist die Auftragsverarbeitung gesetzlich definiert. Auftragsverarbeiter ist danach eine natürliche oder juristische Person, Behörde, Einrichtung oder anderer Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Viel Klarheit bringt diese Definitionen leider nicht. Es kommt also darauf an, dass im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet werden. Verantwortlicher ist dabei die natürliche oder juristische Person, Behörde, Einrichtung oder anderer Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Weisungsrecht

Es kommt mithin darauf an, dass zwischen Verantwortlicher und Auftragsarbeiter ein Weisungsrecht besteht. D.h. so viel, dass derjenige Verantwortlicher ist, der über den Zweck und die Mittel der Verarbeitung der personenbezogenen Daten entscheidet. Erteilt dieser einem anderen eine Weisung, wie er diese Daten verarbeiten soll, ist dieser andere ein Auftragsverarbeiter. Wenn ich beispielsweise ein Callcenter für mich arbeiten lasse, so entscheidet dieses nicht über den Zweck der Erhebung der Daten. Es hat keinen Spielraum zu sagen, ich möchte folgende Daten vom Kunden wissen. Es ist an die Weisungen gebunden, die der Unternehmer ihm erteilt hat. Es muss also die Daten erheben, die dieser festgelegt hat, also beispielweise Namen und Telefonnummer für einen Rückruf. Damit ist das Callcenter ein Auftragsverarbeiter.

Abgrenzungen

Derzeit ist aufgrund der jungen Geschichte der DS-GVO und der fehlenden Rechtsprechung noch nicht gesichert, wie man in Abgrenzungsfragen entscheiden sollte. Manche vertreten eine sogenannte Schwerpunkttheorie. Danach ist keine Auftragsverarbeitung gegeben, wenn die Erhebung der Daten zum Schwerpunkt der Tätigkeit des Unternehmens gehört. So ist beispielsweise ein Transportdienstleistungsunternehmen kein Auftragsverarbeiter, wenn es Daten an Dritte auf Weisung des Verantwortlichen transportiert. Der Transport ist nämlich die Kerntätigkeit des Transportunternehmens. Andere Beispiele sind Rechtsanwälte, Steuerberater oder beispielsweise ein Labor. Hier besteht aber zwischen den sich mit Datenschutz befassen den Autoren unterschiedliche Auffassungen. Manche wählen als sichersten Weg im Zweifel einen Auftragsverarbeitungsvertrag. Das Problem darin ist, dass ich dann mich beispielsweise als Auftragsverarbeiter Weisungen des Verantwortlichen unterwerfe.

Keine Patentlösung

Aus meiner Sicht, gibt es hier keine Patentlösung. Wichtig wird sein, dass man in jedem Fall begründen können muss, warum man gerade keine Auftragsverarbeitung oder eben eine vorliegen hat. Dies müsste dann argumentativ gegen eine Bußgeldbehörde verteidigt werden. Der Teufel steckt hier im Detail. Die Zuordnung ist von erheblicher Bedeutung. Ein Verstoß dagegen führt zu einem Verstoß gegen die DSGVO . Dies wiederum führt zu Bußgeldern bzw. gegebenenfalls zu Abmahnungen. Ein Vertrag sollte nicht vorschnell abgeschlossen werden.

Anwalt für Datenschutz

Wenn Sie also Fragen rund um die Zuordnung einer Tätigkeit zur Auftragsbearbeitung haben, können Sie mich gerne unter dem Kontaktformular erreichen.

Ihr Anwalt für DSGVO in Frankfurt

Was soll ich in einem Auftragsverarbeitungsvertrag regeln?

Was soll ich in einem Auftragsverarbeitungsvertrag regeln?

Meine Mandanten frage mich, was sie in einem Auftragsvearbeitungsvertrag regeln sollten und wozu das überhaupt gut sein ist. Vor allem fragen sie sich, was passiert, wenn der Auftragsvearbeitungsvertrag nicht den Mindestanforderungen genügt. Die Regelung zum Auftragsverarbeiter finden sich in Art. 28 der Datenschutzgrundverordnung (DSGVO). Dort ist eine Reihe von Voraussetzungen vorgegeben, die in einem Auftragsbearbeitungsvertrag enthalten sein sollten.

Konsequenz eines fehlerhaften Auftragsverarbeitungsvertrags

Vornweg sollte jedermann der Daten im Auftragsverhältnis verarbeitet bewusst sein, dass ein Auftragsverarbeitungsvertrag der gegen die Anforderungen der Datenschutzgrundverordnung (DSGVO) verstößt, ein Bußgeld in Höhe von 4 % des Jahres Bruttoumsatzes weltweit zur Folge haben kann. Aus diesem Grund wird relativ schnell deutlich, dass eine „gewisse“ Sorgfalt bei der Erstellung eine solchen Vertrages zwingend notwendig ist.

Liste der Mindestanforderungen

Eine beispielhafte Liste an Vertragspunkten, die aus meiner Sicht in einem Auftragsverarbeitungsvertrag gehören:

  • Gegenstand und Dauer des Auftrages Absatz Umfang, Art und Zweck der Datenverarbeitung
  • Maßnahmen nach Art. 32 Datenschutzgrundverordnung
  • Regelung des Weisungsrechts
  • Regelung zu Unterauftragsverhältnisse
  • Kontrollrechte des Auftraggebers
  • Vertraulichkeitsverpflichtung von Beschäftigten
  • Regelungen zum Datenschutzvorfälle und Informationspflichten
  • Löschung und Rückgabe von Daten

Aus meiner Sicht stellen dies die Mindestanforderungen dar und je nachdem, ob Sie als Auftragnehmer und Auftraggeber handeln, bestehen natürlich vielfältige Gestaltungsmöglichkeiten. Es muss natürlich auch bei solchen Verträgen immer auch die Interessen des Vertragspartners berücksichtigt werden und ein Vertrag verhandelt werden, der ausgewogen ist. Nur das gewährleistet, dass hinterher ein teurer Streit vermieden werden kann.

Anwalt für Datenschutz

Sollten Sie Fragen rund um die Ausgestaltung des Auftragsverarbeitungsvertrages haben oder einen solchen vorgelegt bekommen haben und wollen diesen überprüft wissen, dann können Sie mich jederzeit unter der Tel.-Nr. 069 405 64 282 telefonisch oder per E-Mail unter info@rechtsanwalt-dsgvo.de erreichen.

Ich freue mich über Ihren Anruf oder Ihre Nachricht.

Ihr Anwalt und TÜV-zertifizierter Datenschutzbeauftragter  in Frankfurt