Auftragsverarbeitung - Vereinbarungen mit dem Auftragsverarbeiter
Verträge und andere Rechtsinstrumente
Werden personenbezogene Daten von einem Auftragsverarbeiter verarbeitet, schreibt Art. 28 Abs. 3 der Datenschutzgrundverordnung vor, dass dem ein Vertrag zwischen Verantwortlichem und Auftragsverarbeiter oder ein anderes Rechtsinstrument zugrunde zu liegen hat – entsprechend dem Recht der Union beziehungsweise dem der Mitgliedstaaten. Diese Vereinbarung ist schriftlich zu verfassen, wobei auch ein elektronisches Format zulässig ist. Vereinbarungen, die nicht schriftlich niedergelegt wurden, sind daher nicht ausreichend – ganz gleich, wie gut überlegt sie sein mögen. Um problemlos nachweisen zu können, dass der Vertrag oder das Rechtsinstrument in Kraft sind, empfiehlt der Europäische Datenschutzausschuss, dass diese in Übereinstimmung mit geltendem Recht unterschrieben werden.
Verbindlichkeit des Vertrags
Außerdem muss nach dem Recht der Union oder der Mitgliedsstaaten der Vertrag beziehungsweise ein anderes Rechtsinstrument für Auftragsverarbeiter verbindlich gegenüber den Verantwortlichen sein: Dem Auftragsverarbeiter müssen Verpflichtungen auferlegt werden, welche wiederum nach dem Recht der Union oder der Mitgliedsstaaten verbindlich zu sein haben. Zudem müssen die Vereinbarungen auch die Verpflichtungen des Verantwortlichen beinhalten. Meist wird dies in einem Vertrag geschehen. Im Falle anderer Rechtsinstrumente – zum Beispiel nach nationalem Recht – gilt für den Fall, dass das Rechtsinstrument den erforderlichen Mindestinhalt nicht enthält, dass es wiederum von einem Vertrag beziehungsweise einem anderen Rechtsinstrument um die fehlenden Teile zu ergänzen ist.
Schriftlicher Vertrag ist ein Muss!
Die Datenschutzgrundverordnung gibt eindeutig vor, dass ein schriftlicher Vertrag abzuschließen ist. Sofern ansonsten kein entsprechendes Rechtsinstrument gilt, ist es ein Verstoß gegen die Datenschutzgrundverordnung, wenn es keinen solchen Vertrag gibt. Die Verantwortung obliegt sowohl dem Auftragsverarbeiter als auch dem Verantwortlichen. Von den Aufsichtsbehörden können gegen den Verantwortlichen wie gegen den Auftragsverarbeiter Geldbußen verhängt werden. Dabei sind die Gegebenheiten des Einzelfalls zu berücksichtigen.
Verträge entsprechend der DSGVO anpassen
Wurden Verträge vor dem Inkrafttreten der Datenschutzgrundverordnung geschlossen, wären diese aufgrund von Art. 28 Abs. 3 zu aktualisieren gewesen. Wurde ein bestehender Vertrag nicht entsprechend der Datenschutzgrundverordnung aktualisiert, ist hierin ebenfalls ein Verstoß gegen die DSGVO zu sehen. Es ist zulässig, dass ein schriftlich ausformulierter Vertrag in einen anderen Vertrag eingebunden wird. Dabei kann es sich beispielsweise um einen Vertrag handeln, in dem eine Dienstleistung vereinbart wird. Damit leicht nachgewiesen werden kann, dass dabei die Datenschutzgrundverordnung eingehalten wird, rät der Europäische Datenschutzausschuss dazu, die von Art. 28 geforderten Vertragsbestandteile in einem speziellen Passus zusammenzufassen und als eben solche zu kennzeichnen.
Individuelle Verträge möglich
Auch wenn Verantwortliche und Auftragsverarbeiter einen eigenen Vertrag aushandeln, der sämtliche Elemente enthält, die obligatorisch sind, um der DSGVO zu genügen, oder der bezüglich der Pflichten lauf Art. 28 zum Teil oder in Gänze auf standardisierten Vertragsklauseln beruht, können sie damit der Verpflichtung zum Vertragsschluss nachkommen.
Standardvertragsklauseln – auch Teil von Zertifizierungen
Die sogenannten Standardvertragsklauseln, die – dem Kohärenzverfahren folgend – auch von einer Aufsichtsbehörde oder aber von der Kommission angenommen worden sein können, können Bestandteil von Zertifizierungen sein, die Auftragsverarbeitern oder Verantwortlichen erteilt werden. Grundlage sind hier die Art. 42 oder 43 DSGVO.
Rolle der Standardvertragsklauseln
Vom Europäischen Datenschutzausschuss wurde deutlich gemacht, dass Auftragsverarbeiter und Verantwortliche bei der Vertragserstellung keineswegs verpflichtend auf Standardvertragsklauseln zurückgreifen müssen. Ebenso wenig verhält es sich so, dass die Vertragspartner diese Klauseln einem individuell ausgehandelten Vertrag vorziehen müssen. Beide Vorgehensweisen können, wenn jedoch mit ihnen den Forderungen aus Art. 28 Abs 3 DSGVO Folge geleistet wird, je nach Einzelfall geeignet sein, die Vorgaben des Datenschutzrechts einzuhalten.
Anwendung der Standardvertragsklauseln
Wollen Verantwortlicher und Auftragsdatenverarbeiter Standardvertragsklauseln in ihrer Vereinbarung nutzen, ist vorgegeben, dass die Datenschutzklauseln der Vereinbarung mit den Standardvertragsklauseln identisch sind. Die oft in Standardvertragsklauseln vorzufindenden Auslassungen können von den Vertragspartnern ergänzt werden. Außerdem können die Parteien bestimmte Optionen auswählen. Wie oben dargelegt, können Standardvertragsklauseln in umfassendere Verträge integriert werden, mit denen beispielsweise weitere Vertragsgegenstände oder wirtschaftliche Fragen festgelegt beziehungsweise geklärt werden. Es können weitere Klauseln ergänzt werden – etwa zum Gerichtsstand. Allerdings dürfen diese den Standardvertragsklauseln weder unmittelbar noch mittelbar widersprechen. Sie dürfen auch den Schutz nicht infrage stellen, den die DSGVO beziehungsweise die Datenschutzvorgaben der EU und ihrer Mitgliedstaaten gewähren sollen.
Verträge dürfen von einer Partei abgefasst werden
Die Verträge über die Auftragsverarbeitung dürfen auch einseitig von den Verantwortlichen oder den Auftragsverarbeitern abgefasst werden. Wer den Vertrag abfasst, hängt oft von der Marktposition sowie der Vertragsmacht der Parteien, der Verfügbarkeit einer Rechtsberatung und auch von ihrem technischen Fachwissen ab. Manche Dienstleister präferieren es, standardisierte Bedingungen zu definieren – darunter auch Auftragsverarbeitungsverträge.
Zu behandelnde Punkte
Vereinbarungen zwischen Auftragsverarbeitern einerseits und Verantwortlichen andererseits müssen den Anforderungen von Art. 28 Datenschutzgrundverordnung gerecht werden. Denn so kann sichergestellt werden, dass personenbezogene Daten von Auftragsverarbeitern entsprechend der Vorgaben der Datenschutzgrundverordnung verarbeitet werden. Insbesondere sollten Vereinbarungen dieser Art die Verantwortlichkeiten von Auftragsverarbeitern und Verantwortlichen konkret benennen und berücksichtigen. Art. 28 umfasst eine Auflistung der im Vertrag zu behandelnden Punkte. Diese sollen zwar in jedem Vertrag, der die Beziehung von Auftragsverarbeitern und Verantwortlichen regelt, berücksichtigt werden. Dennoch bleibt den Vertragsparteien ein Verhandlungsspielraum, den sie nach eigenen Vorstellungen aushandeln können.
Unterschiedliche Verhandlungsstärke
In manchen Fällen sind Auftragsverarbeiter und Verantwortlicher in unterschiedlich starken Verhandlungspositionen. In solch einer Situation kann auf Standardvertragsklauseln – entsprechend Art. 28 Abs. 7 und 8 – zurückgegriffen werden. Das trägt möglicherweise dazu bei, die Verhandlungspositionen der Parteien wieder auszugleichen und leistet einen Beitrag dazu, dass die Verträge den Anforderungen der Datenschutzgrundverordnung entsprechen.
Ungleiche Machtverhältnisse
Es ist vom Grundsatz her nicht problematisch, wenn der Auftragsverarbeitungsvertrag vom Dienstleister, also dem Auftragsverarbeiter, erarbeitet wird und nicht durch den Verantwortlichen. Allein aus dieser Tatsache kann nicht abgeleitet werden, dass der Diensteanbieter nun als Verantwortlicher betrachtet wird. Es ist zudem auch angesichts ungleich verteilter Vertragsmacht nicht zu rechtfertigen, dass ein kleiner Verantwortlicher Vertragsbedingungen und Klauseln eines mächtigeren großen Diensteanbieters akzeptiert, die mit den Vorgaben des Datenschutzes nicht kompatibel sind. Eine solche Situation entbindet den Verantwortlichen nämlich keineswegs von datenschutzrechtlichen Verpflichtungen. Dem Verantwortlichen obliegt es, die Bedingungen der Vereinbarung zu überprüfen. Akzeptiert er diese Bedingungen freiwillig und nimmt er die Dienstleistung in Anspruch, trägt er damit die Verantwortung dafür, dass die Datenschutzgrundverordnung eingehalten wird.
Änderungen von Vereinbarungen
Schlägt ein Auftragsverarbeiter eine Änderung von Vereinbarungen zur Datenverarbeitung vor, die Bestandteil der allgemeinen Bedingungen des Vertrags sind, so sollte dies dem Verantwortlichen auf direktem Wege mitgeteilt werden. Der Verantwortliche wiederum sollte die Änderung genehmigen. Dabei ist allerdings zu bedenken, welcher Spielraum dem Auftragsverarbeiter zur Verfügung steht, wenn es um Elemente der Mittel geht, die als nicht wesentlich einzustufen sind. Auf keinen Fall ist die einfache Veröffentlichung datenschutzrelevanter Änderungen im Rahmen des Internetauftritts des Auftragsverarbeiters im Sinne von Art. 28 DSGVO hinreichend.
Mehr Informationen zum Vertrag mit Auftragsverarbeitern
Zu dem Bereich der Vertragsgestaltung zwischen Auftragsverarbeitern und Verantwortlichen haben Sie noch Fragen? Dann rufen Sie uns gern unter Telefon 09122 6937302 an. Oder senden Sie uns Ihre Nachricht. Wir freuen uns, Sie kennenzulernen und Ihre Fragen zu klären!
Ihr Team von Datenschutz Prinz
Mehr zum Thema Auftragsverarbeitung:
- Rolle und Auswahl der Auftragsverarbeiter
- Vertrag oder sonstiges Rechtsinstrument: Inhalte
- Verarbeitung nur nach dokumentierter Weisung
Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.
Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!
Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.
