Data Protection

Auftragsverarbeitungsvertr√§ge: Grundlagen f√ľr die Einhaltung des Datenschutzes (Teil 2)

Last Updated 06/03/2024

In unserem zweiten Blogbeitrag √ľber Auftragsverarbeitungsvertr√§ge (AVV) gehen wir weiter ins Detail und befassen uns mit praktischen F√§llen und zentralen Bestimmungen, aufbauend auf unserer fr√ľheren Betrachtung der wesentlichen Aspekte der EU-Datenschutzgrundverordnung (DSGVO) und des Schweizer Bundesgesetzes √ľber den Datenschutz (DSG). Dieses Mal konzentrieren wir uns auf praktische Tipps und Strategien aus unseren LEXR-Best-Practices, die dabei helfen, h√§ufige Stolperfallen zu vermeiden.¬†

Dateneigentum 

Die Festlegung des Eigentums an Daten kann auch in AVVs geregelt werden. In der Regel zielen diese Klauseln nur auf die Klarstellung ab, dass die personenbezogenen Daten Eigentum des Verantwortlichen bleiben, auch wenn sie vom Auftragsverarbeiter verarbeitet werden. Manchmal gehen diese Klauseln jedoch √ľber personenbezogene Daten hinaus und befassen sich auch mit dem potenziell sehr wertvollen “Eigentum” an nicht personenbezogenen Daten.¬†

In der Rechtswelt ist das Konzept des “Dateneigentums” ein kompliziertes, da Daten (personenbezogene oder andere) an sich nicht im traditionellen Sinne “im Eigentum” stehen. Im Mittelpunkt der Dateneigentumsklauseln in AVVs steht vielmehr die Frage, wer das Recht hat, Entscheidungen √ľber die verarbeiteten personenbezogenen Daten zu treffen und die Kontrolle dar√ľber auszu√ľben. In einem AVV nimmt der Verantwortliche diese Rolle ein, w√§hrend der Auftragsverarbeiter angewiesen wird, die personenbezogenen Daten innerhalb bestimmter Grenzen im Namen des Verantwortlichen zu verarbeiten.¬†

W√§hrend der AVV spezifische Details der Datenverarbeitung umrei√üt, sind die umfassenderen Rechte und Pflichten im Zusammenhang mit dem Eigentum an nicht personenbezogenen Daten meist besser in dem mit dem AVV verbundenen Hauptvertrag aufgehoben. Diese Trennung erm√∂glicht eine umfassendere Behandlung von Rechten und Pflichten, ohne den AVV √ľberfrachten, der sich speziell auf die Einzelheiten der Verarbeitung und die aus Sicht des Datenschutzes erforderlichen rechtlichen Klauseln konzentriert.¬†

Es wird jedoch empfohlen, im AVV ausdr√ľcklich festhalten, dass alle erhobenen und verarbeiteten Daten dem Verantwortlichen geh√∂ren. Dies ist darauf zur√ľckzuf√ľhren, dass nach den geltenden Datenschutzgesetzen den Verantwortlichen die Hautpflichten in Hinblick auf Datenschutzcompliance treffen. Der Auftragsverarbeiter muss sich strikt an die Weisungen des Verantwortlichen halten und die Daten nach Beendigung des Vertrags entweder zur√ľckgeben oder l√∂schen, wie wir in unserem fr√ľheren Blogbeitrag beschrieben haben.¬†

Der AVV muss daher unbedingt mit den im Hauptvertrag festgelegten Rollen und Rechten am Dateneigentum √ľbereinstimmen. Unstimmigkeiten zwischen den beiden Dokumenten k√∂nnen zu komplexen rechtlichen Auswirkungen f√ľhren. Problematisch sind Szenarien, in denen der Hauptvertrag einer Partei bestimmte Eigentumsrechte an personenbezogenen Daten einr√§umt, der AVV diese Partei aber als reinen Auftragsverarbeiter bezeichnet. Nehmen wir beispielsweise an, dass ein Anbieter von Newsletter-Diensten gem√§√ü des Hauptvertrags seine eigene Werbung an die Verteilerlisten seiner Kunden senden darf. Indem die Parteien dies im Hauptvertrag aufnehmen, machen sie den Auftragsverarbeiter f√ľr diese Werbezwecke automatisch zu einem Verantwortlichen. Die Abstimmung der Rollen ist daher von entscheidender Bedeutung, um unbeabsichtigte rechtliche Konsequenzen zu vermeiden.

Auditrechte

Auditrechte sind notwendig, um die Einhaltung der Datenschutzgesetze zu gew√§hrleisten und die Transparenz in den Datenverarbeitungsbeziehungen zu f√∂rdern.  

Gem√§√ü der DSGVO m√ľssen AVVs vorsehen, dass der Auftragsverarbeiter dem Verantwortlichen alle Informationen zur Verf√ľgung stellt, die erforderlich sind, um die Einhaltung der DSGVO-Verpflichtungen nachzuweisen. Dazu geh√∂rt auch die Erleichterung und Mitwirkung bei Audits und Inspektionen, unabh√§ngig davon, ob diese vom Verantwortlichen oder einem von ihm beauftragten Pr√ľfer durchgef√ľhrt werden.¬†

Dabei m√ľssen sich jedoch die Partein dar√ľber im Klaren sein, dass sie das Recht des Verantwortlichen auf ein Audit zwar nicht aufheben, aber durch die Festlegung bestimmter Elemente dieses Recht weiter pr√§zisieren k√∂nnen:¬†

  • Umfang der Audits: Es ist ratsam, den Umfang der Auditrechte im AVV klar zu definieren. Dazu geh√∂rt die Festlegung, ob Audits vor Ort zul√§ssig sind oder ob sich die Auditrechte auf den Zugang zu und die Einsichtnahme in Unterlagen des Auftragsverarbeiters beschr√§nken, wie z.B. die Unterlagen zu Verarbeitungst√§tigkeiten und Verzeichnisse der Empf√§nger personenbezogener Daten.¬†
  • Kosten: Die Aufteilung der Auditkosten ist entscheidend f√ľr die praktische Umsetzung. Der AVV kann Regeln vorsehen, dass der Verantwortliche die Auditkosten, einschlie√ülich der Kosten f√ľr einen unabh√§ngigen Pr√ľfer, zu tragen hat. Unabh√§ngig davon, wie die Kosten aufgeteilt werden, d√ľrfen die Parteien keine Klauseln aufnehmen, die unverh√§ltnism√§√üige oder √ľberh√∂hte Kosten vorsehen und damit das Recht des Verantwortlichen auf ein Audit untergraben. Bei der Formulierung dieser Klauseln sollten die Parteien also darauf achten, dass die Kosten f√ľr den Verantwortlichen nicht so hoch sind, dass er in der Praxis von der Aus√ľbung seines Auditrechts abgehalten wird.¬†
  • Beschr√§nkung des Informationszugangs: Um die Vertraulichkeit des Auftragsverarbeiters zu sch√ľtzen, sollte der AVV festlegen, welche Informationen bei Audits zug√§nglich sind. Der Zugang sollte auf Informationen beschr√§nkt werden, die f√ľr die Zwecke des AVV erforderlich sind, wobei Gesch√§ftsgeheimnisse und andere gesch√ľtzte Informationen des Auftragsverarbeiters zu wahren sind.¬†
  • H√§ufigkeit der Audits und Ank√ľndigung: Der AVV kann die H√§ufigkeit der Audits und die Frist zur Ank√ľndigung vor der Durchf√ľhrung eines Audits festlegen. Dies schafft Vorhersehbarkeit und erm√∂glicht es dem Auftragsverarbeiter, sich angemessen auf ein Audit vorzubereiten. Der AVV kann z.B. festlegen, dass der Verantwortliche nur eine bestimmte Anzahl von Audits pro Jahr durchf√ľhren darf und dass vor Beginn eines Audits eine Ank√ľndigungsfrist von einer bestimmten Anzahl von Tagen eingehalten werden muss.¬†

Umfang mit Haftung, Schadenersatzklausel und Risikoverteilung

Die Risikoverteilung zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann ein kritischer Punkt im AVV sein. Typischerweise gibt es zwei Schl√ľsselklauseln zur Risikoverteilung:¬†

  • Haftungsklauseln: In Haftungsklauseln wird festgelegt, unter welchen Umst√§nden und in welchem Umfang eine Partei f√ľr die Sch√§den aufkommen muss, die sie der anderen Partei verursacht. In der Regel einigen sich die Parteien bereits im Hauptvertrag auf eine Haftungsregelung, die auch f√ľr den AVV gilt. Es ist jedoch √ľblich, dass die Haftungsobergrenzen nicht f√ľr Verst√∂√üe gegen Datenschutzgesetze gelten, so dass die Haftung oft unbegrenzt ist.¬†
  • Schadensersatzklausel: Schadensersatzklauseln sind weiter gefasst als Haftungsklauseln und √ľbertragen in der Regel das Risiko von Anspr√ľchen Dritter, wie z.B. Anspr√ľche von betroffenen Personen oder Bu√ügelder von Aufsichtsbeh√∂rden, auf eine Partei. Nach der gesetzlichen Regelung von Art. 82 DSGVO k√∂nnen sowohl der Verantwortliche als auch der Auftragsverarbeiter direkt gegen√ľber den betroffenen Personen haften. Hat jedoch z.B. der Auftragsverarbeiter der betroffenen Person den Schaden in voller H√∂he ersetzt, obwohl er nach den Weisungen des Verantwortlichen gehandelt hat, kann der Auftragsverarbeiter den Schaden vom Verantwortlichen zur√ľckfordern. Die interne Risikoverteilung des Art. 82 DSGVO kann z.B. dahingehend erweitert werden, dass nicht nur der Schaden, sondern auch die entstandenen Rechtskosten zu ersetzen sind. 

Bei der Aufnahme dieser Klauseln in den AVV ist zu beachten, dass es nicht m√∂glich ist, eine der Parteien von ihrer Verantwortung nach der DSGVO zu entbinden. Art. 82 DSGVO legt Mindeststandards f√ľr die Schadensersatzpflicht fest. In mehreren j√ľngeren Entscheidungen hat der Gerichtshof der Europ√§ischen Union (EuGH) einige Aspekte dieser Standards gekl√§rt. In Bezug auf den AVV hat der EuGH beispielsweise entschieden, dass ein Verantwortlicher nicht haftet, wenn ein Auftragsverarbeiter personenbezogene Daten f√ľr seine eigenen Zwecke verarbeitet, wenn er in einer Weise handelt, die mit dem AVV unvereinbar ist, oder wenn man vern√ľnftigerweise davon ausgehen kann, dass der Verantwortliche der Verarbeitung nicht zugestimmt hat. In diesem Fall wird der Auftragsverarbeiter wie ein Verantwortlicher behandelt und haftet f√ľr sein eigenes Handeln.¬†

Klare und wohldefinierte Haftungs- und Entsch√§digungsklauseln sch√ľtzen die Interessen beider an der Datenverarbeitung beteiligter Parteien und bieten einen Rahmen f√ľr die Regelung der Verantwortlichkeit im Falle von Problemen mit der Einhaltung von Vorschriften. Diese Klauseln m√ľssen jedoch im Einklang mit den Datenschutzgesetzen sowie den geltenden nationalen zivilrechtlichen Bestimmungen, die sich von Land zu Land unterscheiden k√∂nnen, gut formuliert werden.¬†

Zeitrahmen

W√§hrend die DSGVO spezifische Fristen f√ľr bestimmte Ma√ünahmen vorschreibt, wie z. B. die Meldung von Datenschutzverletzungen innerhalb von 72 Stunden an die Aufsichtsbeh√∂rden, wenn diese ein Risiko f√ľr die betroffenen Personen darstellen, m√ľssen viele andere Detailfragen von Fall zu Fall entschieden werden. Vor diesem Hintergrund gibt es bestimmte Elemente, die die Parteien bei der Festlegung der angemessenen Fristen in ihrem AVV als Best Practices ber√ľcksichtigen k√∂nnen:¬†

  • Zeitrahmen f√ľr die L√∂schung/R√ľckgabe personenbezogener Daten nach K√ľndigung der Vereinbarung: Die Parteien k√∂nnen vereinbaren, dass die Daten unmittelbar nach der K√ľndigung des Vertrags oder innerhalb eines bestimmten Zeitrahmens, z. B. einer Woche oder eines Monats, zur√ľckgegeben werden. Es ist auch wichtig zu beachten, dass Auftragsverarbeiter m√∂glicherweise Daten f√ľr l√§ngere Zeitr√§ume aufbewahren m√ľssen, um anderen rechtlichen Verpflichtungen nachzukommen; 
  • Information des Verantwortlichen √ľber Datenschutzverletzungen: Eine rasche Reaktion auf Datenschutzverletzungen ist von gr√∂√üter Bedeutung. W√§hrend der Verantwortliche nach der DSGVO die Aufsichtsbeh√∂rden teilweise innerhalb von 72 Stunden informieren muss, sollte der Auftragsverarbeiter den Verantwortlichen unverz√ľglich benachrichtigen, wenn er von einer Datenschutzverletzung Kenntnis erlangen. Die Aufnahme eines bestimmten Zeitrahmens in den AVV (in der Regel zwischen 24 und 48 Stunden), innerhalb dessen der Auftragsverarbeiter den Verantwortlichen informieren muss, erh√∂ht die Transparenz und gew√§hrleistet eine rechtzeitige Reaktion auf m√∂gliche Datenschutzverletzungen;¬†
  • Widerspruchs- / Zulassungsfrist f√ľr neue Unterauftragsverarbeiter: Erteilen Verantwortliche eine allgemeine Zulassung f√ľr die Nutzung bestimmter Unterauftragsverarbeiter, so sollten √Ąnderungen unverz√ľglich mitgeteilt werden. Die Festlegung einer bestimmten Mitteilungsfrist, die Verantwortlichen Zeit f√ľr einen Widerspruch l√§sst, ist von entscheidender Bedeutung. Auch wenn die angemessene Frist von Fall zu Fall unterschiedlich sein kann, wird als Ausgangspunkt empfohlen, dem Verantwortlichen eine Frist von 30 Tagen zu setzen, bevor der Auftragsverarbeiter einen neuen Unterauftragsverarbeiter einschaltet. Erhebt der Verantwortliche innerhalb dieser Frist keinen Einspruch, kann der Auftragsverarbeiter mit dem neuen Unterauftragsverarbeiter fortfahren. Damit haben die Verantwortlichen eine angemessene Frist, um die geplanten √Ąnderungen zu bewerten und dagegen Einspruch zu erheben. Da die Folgen eines Widerspruchs in der DSGVO nicht ausdr√ľcklich geregelt sind, ist es au√üerdem wichtig, sie in den AVV aufzunehmen. Dazu kann beispielsweise die M√∂glichkeit geh√∂ren, dass der Verantwortliche den Hauptvertrag k√ľndigen kann, wenn der Auftragsverarbeiter nicht in der Lage ist, einen anderen Unterauftragsverarbeiter einzusetzen. Das Gleiche gilt f√ľr F√§lle, in denen der Verantwortliche dem Auftragsverarbeiter eine spezielle Vorabgenehmigung f√ľr eine Liste von Unterauftragsverarbeitern erteilt, statt einer allgemeinen Genehmigung im Rahmen des AVV. Der Hauptunterschied besteht darin, dass es sich bei dieser Frist nicht um eine Einspruchsfrist, sondern um eine Genehmigungsfrist handelt. In der Praxis bedeutet dies, dass, wenn der Verantwortliche dem Auftragsverarbeiter nach Ablauf der festgelegten Frist keine Genehmigung f√ľr den Einsatz eines bestimmten Unterauftragsverarbeiters erteilt hat, der Auftragsverarbeiter entsprechend von dessen Einsatz absehen muss.¬†

Fazit

Es kann eine Herausforderung sein, AVVs schlank, aber gleichzeitig rechtlich fundiert und praktisch wirksam zu halten. Zusätzlich zu den in den Datenschutzgesetzen vorgeschriebenen Klauseln (die wir im ersten Teil dieser Serie erörtert haben), sollten AVVs auch die folgenden Themen behandeln: 

  • Dateneigentum: Betont werden sollte, dass der Verantwortliche trotz der Verarbeitung durch den Auftragsverarbeiter das Recht beh√§lt, Entscheidungen √ľber die personenbezogenen Daten zu treffen. Obwohl Details zur Frage des “Eigentums” und der Nutzungsrechte besser im Hauptvertrag behandelt werden, ist es zwingend erforderlich, die in diesen beiden Dokumenten (AVV und Hauptvertrag) definierten Rollen und Rechte aufeinander abzustimmen, um Unstimmigkeiten und komplexe rechtliche Probleme zu vermeiden;¬†
  • Auditrechte: Auch wenn der Verantwortliche im AVV nicht auf seine Audit-Rechte verzichten kann, kann die Festlegung von Einzelheiten wie Umfang, Kosten, Informationszugang und H√§ufigkeit der Audits die Transparenz erh√∂hen und langwierige Diskussionen im Falle der Aus√ľbung dieses Rechts durch den Verantwortlichen vermeiden;¬†
  • Regelung der Haftung: Die Aufnahme detaillierter Schadensersatz- und Haftungsklauseln in AVVs schafft f√ľr beide Parteien zus√§tzliche Klarheit. In diesen Klauseln werden die Verantwortlichkeiten und die potenziellen finanziellen Auswirkungen bei Nichteinhaltung der Vorschriften festgelegt;¬†
  • Zeitrahmen: Es sollten bestimmte Fristen f√ľr die L√∂schung/R√ľckgabe von Daten, die Meldung von Datenschutzverletzungen und die Genehmigung von Unterauftragsverarbeitern festgelegt werden. Diese Zeitrahmen sind f√ľr die operative Klarheit von wesentlicher Bedeutung und sollten die tats√§chlichen betrieblichen M√∂glichkeiten beider Parteien widerspiegeln. 

By Sebastian Schneider

Head of Privacy & Digital Regulation, Legal Expert

Verwandt

Let’s Go!

Jetzt unverbindliches und kostenloses Erstgespr√§ch buchen und erfahren, wie wir am besten bei der Erreichung eurer Unternehmensziele unterst√ľtzen k√∂nnen.

Oder alternativ eine E-mail an uns schreiben unter [email protected].

Kostenloses Gespräch buchen