Datenschutz

Auftragsverarbeitungsvertr├Ąge: Grundlagen f├╝r die Einhaltung des Datenschutzes (Teil 2)

Aktualisiert am 06/03/2024

In unserem zweiten Blogbeitrag ├╝ber Auftragsverarbeitungsvertr├Ąge (AVV) gehen wir weiter ins Detail und befassen uns mit praktischen F├Ąllen und zentralen Bestimmungen, aufbauend auf unserer fr├╝heren Betrachtung der wesentlichen Aspekte der EU-Datenschutzgrundverordnung (DSGVO) und des Schweizer Bundesgesetzes ├╝ber den Datenschutz (DSG). Dieses Mal konzentrieren wir uns auf praktische Tipps und Strategien aus unseren LEXR-Best-Practices, die dabei helfen, h├Ąufige Stolperfallen zu vermeiden.┬á

Dateneigentum 

Die Festlegung des Eigentums an Daten kann auch in AVVs geregelt werden. In der Regel zielen diese Klauseln nur auf die Klarstellung ab, dass die personenbezogenen Daten Eigentum des Verantwortlichen bleiben, auch wenn sie vom Auftragsverarbeiter verarbeitet werden. Manchmal gehen diese Klauseln jedoch ├╝ber personenbezogene Daten hinaus und befassen sich auch mit dem potenziell sehr wertvollen “Eigentum” an nicht personenbezogenen Daten. 

In der Rechtswelt ist das Konzept des “Dateneigentums” ein kompliziertes, da Daten (personenbezogene oder andere) an sich nicht im traditionellen Sinne “im Eigentum” stehen. Im Mittelpunkt der Dateneigentumsklauseln in AVVs steht vielmehr die Frage, wer das Recht hat, Entscheidungen ├╝ber die verarbeiteten personenbezogenen Daten zu treffen und die Kontrolle dar├╝ber auszu├╝ben. In einem AVV nimmt der Verantwortliche diese Rolle ein, w├Ąhrend der Auftragsverarbeiter angewiesen wird, die personenbezogenen Daten innerhalb bestimmter Grenzen im Namen des Verantwortlichen zu verarbeiten. 

W├Ąhrend der AVV spezifische Details der Datenverarbeitung umrei├čt, sind die umfassenderen Rechte und Pflichten im Zusammenhang mit dem Eigentum an nicht personenbezogenen Daten meist besser in dem mit dem AVV verbundenen Hauptvertrag aufgehoben. Diese Trennung erm├Âglicht eine umfassendere Behandlung von Rechten und Pflichten, ohne den AVV ├╝berfrachten, der sich speziell auf die Einzelheiten der Verarbeitung und die aus Sicht des Datenschutzes erforderlichen rechtlichen Klauseln konzentriert. 

Es wird jedoch empfohlen, im AVV ausdr├╝cklich festhalten, dass alle erhobenen und verarbeiteten Daten dem Verantwortlichen geh├Âren. Dies ist darauf zur├╝ckzuf├╝hren, dass nach den geltenden Datenschutzgesetzen den Verantwortlichen die Hautpflichten in Hinblick auf Datenschutzcompliance treffen. Der Auftragsverarbeiter muss sich strikt an die Weisungen des Verantwortlichen halten und die Daten nach Beendigung des Vertrags entweder zur├╝ckgeben oder l├Âschen, wie wir in unserem fr├╝heren Blogbeitrag beschrieben haben. 

Der AVV muss daher unbedingt mit den im Hauptvertrag festgelegten Rollen und Rechten am Dateneigentum ├╝bereinstimmen. Unstimmigkeiten zwischen den beiden Dokumenten k├Ânnen zu komplexen rechtlichen Auswirkungen f├╝hren. Problematisch sind Szenarien, in denen der Hauptvertrag einer Partei bestimmte Eigentumsrechte an personenbezogenen Daten einr├Ąumt, der AVV diese Partei aber als reinen Auftragsverarbeiter bezeichnet. Nehmen wir beispielsweise an, dass ein Anbieter von Newsletter-Diensten gem├Ąss des Hauptvertrags seine eigene Werbung an die Verteilerlisten seiner Kunden senden darf. Indem die Parteien dies im Hauptvertrag aufnehmen, machen sie den Auftragsverarbeiter f├╝r diese Werbezwecke automatisch zu einem Verantwortlichen. Die Abstimmung der Rollen ist daher von entscheidender Bedeutung, um unbeabsichtigte rechtliche Konsequenzen zu vermeiden.

Auditrechte

Auditrechte sind notwendig, um die Einhaltung der Datenschutzgesetze zu gew├Ąhrleisten und die Transparenz in den Datenverarbeitungsbeziehungen zu f├Ârdern.  

Gem├Ąss der DSGVO m├╝ssen AVVs vorsehen, dass der Auftragsverarbeiter dem Verantwortlichen alle Informationen zur Verf├╝gung stellt, die erforderlich sind, um die Einhaltung der DSGVO-Verpflichtungen nachzuweisen. Dazu geh├Ârt auch die Erleichterung und Mitwirkung bei Audits und Inspektionen, unabh├Ąngig davon, ob diese vom Verantwortlichen oder einem von ihm beauftragten Pr├╝fer durchgef├╝hrt werden. 

Dabei m├╝ssen sich jedoch die Partein dar├╝ber im Klaren sein, dass sie das Recht des Verantwortlichen auf ein Audit zwar nicht aufheben, aber durch die Festlegung bestimmter Elemente dieses Recht weiter pr├Ązisieren k├Ânnen: 

  • Umfang der Audits: Es ist ratsam, den Umfang der Auditrechte im AVV klar zu definieren. Dazu geh├Ârt die Festlegung, ob Audits vor Ort zul├Ąssig sind oder ob sich die Auditrechte auf den Zugang zu und die Einsichtnahme in Unterlagen des Auftragsverarbeiters beschr├Ąnken, wie z.B. die Unterlagen zu Verarbeitungst├Ątigkeiten und Verzeichnisse der Empf├Ąnger personenbezogener Daten. 
  • Kosten: Die Aufteilung der Auditkosten ist entscheidend f├╝r die praktische Umsetzung. Der AVV kann Regeln vorsehen, dass der Verantwortliche die Auditkosten, einschlie├člich der Kosten f├╝r einen unabh├Ąngigen Pr├╝fer, zu tragen hat. Unabh├Ąngig davon, wie die Kosten aufgeteilt werden, d├╝rfen die Parteien keine Klauseln aufnehmen, die unverh├Ąltnism├Ą├čige oder ├╝berh├Âhte Kosten vorsehen und damit das Recht des Verantwortlichen auf ein Audit untergraben. Bei der Formulierung dieser Klauseln sollten die Parteien also darauf achten, dass die Kosten f├╝r den Verantwortlichen nicht so hoch sind, dass er in der Praxis von der Aus├╝bung seines Auditrechts abgehalten wird. 
  • Beschr├Ąnkung des Informationszugangs: Um die Vertraulichkeit des Auftragsverarbeiters zu sch├╝tzen, sollte der AVV festlegen, welche Informationen bei Audits zug├Ąnglich sind. Der Zugang sollte auf Informationen beschr├Ąnkt werden, die f├╝r die Zwecke des AVV erforderlich sind, wobei Gesch├Ąftsgeheimnisse und andere gesch├╝tzte Informationen des Auftragsverarbeiters zu wahren sind. 
  • H├Ąufigkeit der Audits und Ank├╝ndigung: Der AVV kann die H├Ąufigkeit der Audits und die Frist zur Ank├╝ndigung vor der Durchf├╝hrung eines Audits festlegen. Dies schafft Vorhersehbarkeit und erm├Âglicht es dem Auftragsverarbeiter, sich angemessen auf ein Audit vorzubereiten. Der AVV kann z.B. festlegen, dass der Verantwortliche nur eine bestimmte Anzahl von Audits pro Jahr durchf├╝hren darf und dass vor Beginn eines Audits eine Ank├╝ndigungsfrist von einer bestimmten Anzahl von Tagen eingehalten werden muss. 

Umfang mit Haftung, Schadenersatzklausel und Risikoverteilung

Die Risikoverteilung zwischen dem Datenverantwortlichen und dem Auftragsverarbeiter kann ein kritischer Punkt im AVV sein. Typischerweise gibt es zwei Schlüsselklauseln zur Risikoverteilung: 

  • Haftungsklauseln: In Haftungsklauseln wird festgelegt, unter welchen Umst├Ąnden und in welchem Umfang eine Partei f├╝r die Sch├Ąden aufkommen muss, die sie der anderen Partei verursacht. In der Regel einigen sich die Parteien bereits im Hauptvertrag auf eine Haftungsregelung, die auch f├╝r den AVV gilt. Es ist jedoch ├╝blich, dass die Haftungsobergrenzen nicht f├╝r Verst├Â├če gegen Datenschutzgesetze gelten, so dass die Haftung oft unbegrenzt ist. 
  • Schadensersatzklausel: Schadensersatzklauseln sind weiter gefasst als Haftungsklauseln und ├╝bertragen in der Regel das Risiko von Anspr├╝chen Dritter, wie z.B. Anspr├╝che von betroffenen Personen oder Bu├čgelder von Aufsichtsbeh├Ârden, auf eine Partei. Nach der gesetzlichen Regelung von Art. 82 DSGVO k├Ânnen sowohl der Verantwortliche als auch der Auftragsverarbeiter direkt gegen├╝ber den betroffenen Personen haften. Hat jedoch z.B. der Auftragsverarbeiter der betroffenen Person den Schaden in voller H├Âhe ersetzt, obwohl er nach den Weisungen des Verantwortlichen gehandelt hat, kann der Auftragsverarbeiter den Schaden vom Verantwortlichen zur├╝ckfordern. Die interne Risikoverteilung des Art. 82 DSGVO kann z.B. dahingehend erweitert werden, dass nicht nur der Schaden, sondern auch die entstandenen Rechtskosten zu ersetzen sind. 

Bei der Aufnahme dieser Klauseln in den AVV ist zu beachten, dass es nicht m├Âglich ist, eine der Parteien von ihrer Verantwortung nach der DSGVO zu entbinden. Art. 82 DSGVO legt Mindeststandards f├╝r die Schadensersatzpflicht fest. In mehreren j├╝ngeren Entscheidungen hat der Gerichtshof der Europ├Ąischen Union (EuGH) einige Aspekte dieser Standards gekl├Ąrt. In Bezug auf den AVV hat der EuGH beispielsweise entschieden, dass ein Verantwortlicher nicht haftet, wenn ein Auftragsverarbeiter personenbezogene Daten f├╝r seine eigenen Zwecke verarbeitet, wenn er in einer Weise handelt, die mit dem AVV unvereinbar ist, oder wenn man vern├╝nftigerweise davon ausgehen kann, dass der Verantwortliche der Verarbeitung nicht zugestimmt hat. In diesem Fall wird der Auftragsverarbeiter wie ein Verantwortlicher behandelt und haftet f├╝r sein eigenes Handeln. 

Klare und wohldefinierte Haftungs- und Entsch├Ądigungsklauseln sch├╝tzen die Interessen beider an der Datenverarbeitung beteiligter Parteien und bieten einen Rahmen f├╝r die Regelung der Verantwortlichkeit im Falle von Problemen mit der Einhaltung von Vorschriften. Diese Klauseln m├╝ssen jedoch im Einklang mit den Datenschutzgesetzen sowie den geltenden nationalen zivilrechtlichen Bestimmungen, die sich von Land zu Land unterscheiden k├Ânnen, gut formuliert werden. 

Zeitrahmen

W├Ąhrend die DSGVO spezifische Fristen f├╝r bestimmte Ma├čnahmen vorschreibt, wie z. B. die Meldung von Datenschutzverletzungen innerhalb von 72 Stunden an die Aufsichtsbeh├Ârden, wenn diese ein Risiko f├╝r die betroffenen Personen darstellen, m├╝ssen viele andere Detailfragen von Fall zu Fall entschieden werden. Vor diesem Hintergrund gibt es bestimmte Elemente, die die Parteien bei der Festlegung der angemessenen Fristen in ihrem AVV als Best Practices ber├╝cksichtigen k├Ânnen: 

  • Zeitrahmen f├╝r die L├Âschung/R├╝ckgabe personenbezogener Daten nach K├╝ndigung der Vereinbarung: Die Parteien k├Ânnen vereinbaren, dass die Daten unmittelbar nach der K├╝ndigung des Vertrags oder innerhalb eines bestimmten Zeitrahmens, z. B. einer Woche oder eines Monats, zur├╝ckgegeben werden. Es ist auch wichtig zu beachten, dass Auftragsverarbeiter m├Âglicherweise Daten f├╝r l├Ąngere Zeitr├Ąume aufbewahren m├╝ssen, um anderen rechtlichen Verpflichtungen nachzukommen; 
  • Information des Verantwortlichen ├╝ber Datenschutzverletzungen: Eine rasche Reaktion auf Datenschutzverletzungen ist von gr├Â├čter Bedeutung. W├Ąhrend der Verantwortliche nach der DSGVO die Aufsichtsbeh├Ârden teilweise innerhalb von 72 Stunden informieren muss, sollte der Auftragsverarbeiter den Verantwortlichen unverz├╝glich benachrichtigen, wenn er von einer Datenschutzverletzung Kenntnis erlangen. Die Aufnahme eines bestimmten Zeitrahmens in den AVV (in der Regel zwischen 24 und 48 Stunden), innerhalb dessen der Auftragsverarbeiter den Verantwortlichen informieren muss, erh├Âht die Transparenz und gew├Ąhrleistet eine rechtzeitige Reaktion auf m├Âgliche Datenschutzverletzungen; 
  • Widerspruchs- / Zulassungsfrist f├╝r neue Unterauftragsverarbeiter: Erteilen Verantwortliche eine allgemeine Zulassung f├╝r die Nutzung bestimmter Unterauftragsverarbeiter, so sollten ├änderungen unverz├╝glich mitgeteilt werden. Die Festlegung einer bestimmten Mitteilungsfrist, die Verantwortlichen Zeit f├╝r einen Widerspruch l├Ąsst, ist von entscheidender Bedeutung. Auch wenn die angemessene Frist von Fall zu Fall unterschiedlich sein kann, wird als Ausgangspunkt empfohlen, dem Verantwortlichen eine Frist von 30 Tagen zu setzen, bevor der Auftragsverarbeiter einen neuen Unterauftragsverarbeiter einschaltet. Erhebt der Verantwortliche innerhalb dieser Frist keinen Einspruch, kann der Auftragsverarbeiter mit dem neuen Unterauftragsverarbeiter fortfahren. Damit haben die Verantwortlichen eine angemessene Frist, um die geplanten ├änderungen zu bewerten und dagegen Einspruch zu erheben. Da die Folgen eines Widerspruchs in der DSGVO nicht ausdr├╝cklich geregelt sind, ist es au├čerdem wichtig, sie in den AVV aufzunehmen. Dazu kann beispielsweise die M├Âglichkeit geh├Âren, dass der Verantwortliche den Hauptvertrag k├╝ndigen kann, wenn der Auftragsverarbeiter nicht in der Lage ist, einen anderen Unterauftragsverarbeiter einzusetzen. Das Gleiche gilt f├╝r F├Ąlle, in denen der Verantwortliche dem Auftragsverarbeiter eine spezielle Vorabgenehmigung f├╝r eine Liste von Unterauftragsverarbeitern erteilt, statt einer allgemeinen Genehmigung im Rahmen des AVV. Der Hauptunterschied besteht darin, dass es sich bei dieser Frist nicht um eine Einspruchsfrist, sondern um eine Genehmigungsfrist handelt. In der Praxis bedeutet dies, dass, wenn der Verantwortliche dem Auftragsverarbeiter nach Ablauf der festgelegten Frist keine Genehmigung f├╝r den Einsatz eines bestimmten Unterauftragsverarbeiters erteilt hat, der Auftragsverarbeiter entsprechend von dessen Einsatz absehen muss. 

Fazit

Es kann eine Herausforderung sein, AVVs schlank, aber gleichzeitig rechtlich fundiert und praktisch wirksam zu halten. Zus├Ątzlich zu den in den Datenschutzgesetzen vorgeschriebenen Klauseln (die wir im ersten Teil dieser Serie er├Ârtert haben), sollten AVVs auch die folgenden Themen behandeln: 

  • Dateneigentum: Betont werden sollte, dass der Verantwortliche trotz der Verarbeitung durch den Auftragsverarbeiter das Recht beh├Ąlt, Entscheidungen ├╝ber die personenbezogenen Daten zu treffen. Obwohl Details zur Frage des “Eigentums” und der Nutzungsrechte besser im Hauptvertrag behandelt werden, ist es zwingend erforderlich, die in diesen beiden Dokumenten (AVV und Hauptvertrag) definierten Rollen und Rechte aufeinander abzustimmen, um Unstimmigkeiten und komplexe rechtliche Probleme zu vermeiden; 
  • Auditrechte: Auch wenn der Verantwortliche im AVV nicht auf seine Audit-Rechte verzichten kann, kann die Festlegung von Einzelheiten wie Umfang, Kosten, Informationszugang und H├Ąufigkeit der Audits die Transparenz erh├Âhen und langwierige Diskussionen im Falle der Aus├╝bung dieses Rechts durch den Verantwortlichen vermeiden; 
  • Regelung der Haftung: Die Aufnahme detaillierter Schadensersatz- und Haftungsklauseln in AVVs schafft f├╝r beide Parteien zus├Ątzliche Klarheit. In diesen Klauseln werden die Verantwortlichkeiten und die potenziellen finanziellen Auswirkungen bei Nichteinhaltung der Vorschriften festgelegt; 
  • Zeitrahmen: Es sollten bestimmte Fristen f├╝r die L├Âschung/R├╝ckgabe von Daten, die Meldung von Datenschutzverletzungen und die Genehmigung von Unterauftragsverarbeitern festgelegt werden. Diese Zeitrahmen sind f├╝r die operative Klarheit von wesentlicher Bedeutung und sollten die tats├Ąchlichen betrieblichen M├Âglichkeiten beider Parteien widerspiegeln. 

By Sebastian Schneider

Head of Privacy & Digital Regulation, Legal Expert

Verwandt

Let’s Go!

Jetzt unverbindliches und kostenloses Erstgespr├Ąch buchen und erfahren, wie wir am besten bei der Erreichung eurer Unternehmensziele unterst├╝tzen k├Ânnen.

Oder alternativ eine E-mail an uns schreiben unter [email protected].

Kostenloses Gespr├Ąch buchen