Praxistipp: In 12 Schritten zur sicheren Auftragsverarbeitung

Eberhard Häcker • 13. September 2021

Praxistipp Datenschutz 08|2021

Strichmännchen mit Auftragsverarbeitungsvertrag

So gut wie alle Unternehmen und Institutionen lagern ganz selbstverständlich bestimmte Prozesse oder Teile davon aus und beauftragen andere, diese für sie zu bearbeiten. So weit, so praktisch. Allerdings: Werden dabei personenbezogene Daten verarbeitet, gilt es, die Regeln der Auftragsverarbeitung zu beachten. Wir erklären die wichtigsten Grundlagen und zeigen die häufigsten Fehler im Umgang mit Auftragsverarbeitung. Wetten, dass Ihnen der eine oder andere bekannt vorkommen wird?

 


Privileg Auftragsverarbeitung


Die Datenschutz-Grundverordnung setzt bekanntermaßen strenge Vorgaben, wenn ein Verantwortlicher Daten an Dritte weitergibt. „Dritte“ sind jene, die nicht seiner unmittelbaren Verantwortung unterstehen. Auftragsverarbeiter jedoch betrachtet die DSGVO ausdrücklich nicht als „Dritte“ – rechtlich werden Daten bei der Auftragsverarbeitung also nicht nach extern weitergegeben. Entsprechend vereinfacht sind die Vorgaben beim Datenschutz. Auftragsverarbeitung ist also ein Privileg. Wer sie nutzt, muss allerdings einige Bedingungen erfüllen.


Bedingungen


Grundsätzlich müssen drei Voraussetzungen erfüllt sein, damit ein Dienstleistungsverhältnis rechtlich als Auftragsverarbeitung zählt.


Gültige Rechtsgrundlage


Oberster Grundsatz ist, dass dem Verantwortlichen die Verarbeitung an sich erlaubt ist. Oder umgekehrt: Was Sie nicht verarbeiten dürfen, das dürfen Sie auch nicht auslagern. Sie brauchen also eine gültige Rechtsgrundlage.


Personendaten


Ein weiterer wichtiger Grundsatz lautet, dass Personendaten Bestandteil des auszulagernden Prozesses sind. Der Auftragsverarbeiter verarbeitet also (auch) personenbezogene Daten.


Weisungsbefugnis


Dritte Bedingung: Der Auftragnehmer handelt weisungsgebunden. Heißt: Der Auftragsverarbeiter hat sich bei der Verarbeitung an die Weisungen des Verantwortlichen zu halten und nutzt die Auftragsdaten nicht für eigene Zwecke.


Sind die drei Bedingungen erfüllt, kann es losgehen mit der Auftragsverarbeitung. Was müssen Sie nun beachten?




Formale Regeln der Auftragsverarbeitung


Sorgfältige Auswahl


Die erste Vorgabe ist die sorgfältige Auswahl potentieller Auftragsverarbeiter. Da die Verantwortung für die Datenverarbeitung beim Verantwortlichen bleibt, also dem Auftraggeber, haftet dieser bei Fehlern, die im Zusammenhang mit der Auftragsverarbeitung geschehen. Deshalb muss grundsätzlich geprüft werden, ob der Auftragsverarbeiter in der Lage ist, ähnlich sorgfältig und datenschutzrechtlich sicher zu arbeiten wie der Verantwortliche.


Vertrag


Der nächste Schritt ist, die Auftragsverarbeitung vertraglich zu regeln. Beachten Sie die gesetzlichen Vorgaben, welche die DSGVO in Artikel 28 vorschreibt.


Regelmäßige Prüfungen


Verantwortliche sind verpflichtet, diesen Auftragsverarbeitungsvertrag regelmäßig zu überprüfen. Ermitteln Sie, ob der Auftragsverarbeiter die Vertragsvorgaben erfüllt – etwa, ob er die vereinbarten technischen und organisatorischen Maßnahmen einhält. Diese müssen bei Vertragsabschluss definiert sein, normalerweise in einer Anlage des Vertrags.


Vertragsende


Schließlich muss geklärt sein, was nach Beendigung des Vertrages mit den verarbeiteten Daten geschieht. Auch hier ist zu überprüfen, ob der Auftragnehmer die Vereinbarung einhält.


Pflichten und Vorschriften


Bei der Gestaltung von Auftragsverarbeitungsverhältnissen lauern also einige Tücken. Nicht überraschend, dass dabei immer wieder Fehler passieren. Schnell wird eine Verpflichtung übersehen oder eine datenschutzrechtliche Vorschrift missachtet.


Drohende Geldbußen


Wie so oft im Datenschutzrecht werden Verstöße bei der Auftragsverarbeitung von Aufsichtsbehörden angemessen sanktioniert. Das kann zu Geldbußen in der für die Datenschutz-Grundverordnung üblichen Höhe führen, also (bei einfachen Verstößen) 10 Millionen Euro oder 2 Prozent des Vorjahresumsatzes oder (bei komplexeren Verstößen) 20 Millionen Euro oder 4 Prozent des Vorjahresumsatzes. Ist „nur“ Artikel 28 zur Auftragsverarbeitung betroffen und lassen sich keine weiteren Datenschutzverletzungen feststellen, greift der kleinere Bußgeldrahmen. Damit es dazu gar nicht erst kommt, sollten Sie die häufigsten Fehler kennen, die Verantwortlichen in der Praxis unterlaufen.




Mögliche Fehler bei der Auftragsverarbeitung


Fehlende Verträge


Es kann vorkommen, dass Mitarbeitende betroffener Bereiche, etwa im Produktmanagement, das Wesen der Auftragsverarbeitung nicht kennen oder nicht bemerken, dass Auftragsverarbeitung vorliegt. Versäumen sie, den Vertrag gesetzeskonform zu schließen, fehlt der Datenverarbeitung die rechtliche Grundlage. Dem können Sie vorbeugen. Führen Sie Schulungen durch mit allen, die von Auftragsverarbeitung betroffen sein können.


Keine sorgfältige Auswahl


Was immer wieder vergessen wird: die sorgfältige Auswahl der Verarbeiters. Das passiert etwa, wenn ein Betrieb bereits in anderen Belangen mit einem Dienstleister zusammenarbeitet und nicht daran denkt (manchmal auch nicht daran denken will), dass für die Auftragsverarbeitung eigene Rechtsgrundsätze gelten.


Vertrag unvollständig oder falsch


Immer wieder ist zu beobachten, dass zwar ein Vertrag über Auftragsverarbeitung geschlossen wird, dieser jedoch nicht vollständig ist oder nicht die notwendigen Inhalte hat – und damit nicht den Vorgaben durch die DSGVO entspricht.


Keine Überprüfungen


Ebenfalls verbreitet und sicher einer der häufigeren Fehler bei der Auftragsverarbeitung: Der Auftraggeber versäumt regelmäßige Kontrollen, ob sich der Auftragnehmer an die vertraglichen Vereinbarungen hält.


Haftung im Innenverhältnis


Viele Verantwortliche sind sich der Pflicht zur Haftung nicht bewusst. Im Vertrag fehlen Regelungen im Innenverhältnis zwischen den Vertragspartnern, die den Auftragsverarbeiter bei von ihm verschuldeten Fehlern zu Schadenersatz verpflichten.


Zusammenwirken bei Datenpannen


Das kann leider vorkommen: Im Zuge der Auftragsverarbeitung kommt es zu einem meldepflichtigen Datenschutzvorfall. Ärgerlich, wenn der Auftragsverarbeiter nicht bei der Abwicklung unterstützt – die Folgen treffen nämlich den Auftraggeber.


Know-how beim Auftragnehmer


Oft vergessen wird auch zu klären, ob die beteiligten Mitarbeiter beim Auftragsverarbeiter alle relevanten Regelungen zum Datenschutz kennen. Von besonderer Bedeutung ist dieser Punkt bei Aufträgen in Ländern außerhalb der EU.


Betroffenenanfragen


Was regelmäßig zu Ärger mit den Aufsichtsbehörden führt: Der Auftragsverarbeiter versäumt, bei ihm eingehende Betroffenenanfragen an den Verantwortlichen weiterzugeben.


Verzeichnis der Verarbeitungstätigkeiten


Mancher Auftragsverarbeiter übersieht die gesetzliche Verpflichtung, die angepasste Form des Verarbeitungsverzeichnisses vorzuhalten, und führt das Verzeichnis nicht oder nicht richtig.


Technische und organisatorische Maßnahmen


Die notwendigen Maßnahmen zum Schutz der überlassenen Daten durch den Auftragsverarbeiter sind vertraglich festgeschrieben. Wenn er oder seine Mitarbeitenden sie missachten, besteht das Risiko, dass sich in der Verarbeitung Fehler einschleichen. Das kann Datenpannen nach sich ziehen.


In allen genannten Fällen können Ermittlungen durch die Aufsichtsbehörden sowie möglicherweise Geldbußen die Folge sein. Es gehört zu den Aufgaben von Datenschutzbeauftragten, Geschäftsprozesse rund um die Auftragsverarbeitung genau unter die Lupe zu nehmen. 


Auftragsverarbeitung in der EU und in Drittländern

Definition, Verträge, Ablauf, Überprüfungen.

Das Webinar. Jetzt anmelden.

Alle Infos


12 Schritte zur sicheren Auftragsverarbeitung


  1. Wenn Datenverarbeitung ausgelagert werden soll, müssen betroffene Verarbeitungstätigkeiten sorgfältig beschrieben sein. Stellen Sie sicher, dass dies vor der Auslagerung erfolgt.
  2. Auftragsverarbeitung muss im Betrieb zuverlässig erkannt und angemessen dokumentiert werden.
  3. Im beauftragenden Betrieb muss eine Richtlinie für Auftragsverarbeitung vorliegen.
  4. Dasselbe gilt für Auftragnehmer. Die Richtlinie muss im beauftragten Betrieb allen beteiligten Personen bekannt sein.
  5. Für Auftraggeber: Bestimmen Sie Kriterien für die sorgfältige Auswahl von Auftragsverarbeitern. Für Auftragsverarbeiter: Prüfen Sie anhand der vorgegebenen Kriterien, ob Sie diese angemessen erfüllen können.
  6. Vergewissern Sie sich, dass der unterschriebene Vertrag vollständig und rechtlich einwandfrei ist. Alle geforderten Anlagen müssen vorhanden und vollständig sein. Gegebenenfalls muss eine angemessene Prüfung erfolgen und dokumentiert werden.
  7. Vereinbaren Sie, wie Datenschutzverstöße und Betroffenenanfragen vom Auftragsverarbeiter an den Verantwortlichen übermittelt werden. Geben Sie vor, dass dies unverzüglich zu geschehen hat.
  8. Stellen Sie sicher, dass die jeweiligen Ansprechpartner definiert sind.
  9. Sorgen Sie dafür, dass Meldewege feststehen und erprobt sind.
  10. Leiten Sie regelmäßige Überprüfungen in die Wege. Diese müssen angekündigt, vorgenommen und dokumentiert werden. Falls unangekündigte Überprüfungen vereinbart sind, müssen diese ebenfalls durchgeführt und dokumentiert werden.
  11. Legen Sie fest, ab welchem Grad an Verstößen das Vertragsverhältnis nicht mehr fortgesetzt werden kann. Definieren Sie für kleinere Verstöße, welche Reaktion zu erfolgen hat.
  12. Treffen Sie klare Vereinbarungen, was nach Ende der Auftragsverarbeitung mit den verarbeiteten Daten geschieht. Stellen Sie sicher, dass der Auftragsverarbeiter die Daten zurückgibt und angemessen löscht.




Fazit


Bei der Auftragsverarbeitung lauert manche Fehlerquelle, doch wer die typischen Stolperfallen kennt, kann sie gezielt umgehen. Mit unseren 12 Schritten legen Sie die Grundlage für sichere und alltagstaugliche Auftragsverarbeitung. Weitere Tipps zur Auftragsverarbeitung folgen in den nächsten Datentipps von Team Datenschutz.




Rechtsquellen zum Nachlesen


  • Zur Gestaltung des Auftragsverarbeitungsvertrags: Art. 28 Abs. 3 DSGVO 
  • Zum Verarbeitungsverzeichnis für Auftragsverarbeiter: Art. 30 Abs. 2 DSGVO


Lösungen zur sicheren und alltagsnahen Auftragsverarbeitung? Fragen Sie uns.
Webinare, persönliche Beratung, passgenaue Umsetzung. Mit Team Datenschutz sind Sie in Sachen Datenschutz und Informationssicherheit einen Schritt voraus.

Hier gibts den Praxistipp als kostenlosen PDF-Download.

zum Praxistipp


Hat Ihnen der Praxistipp gefallen? Empfehlen Sie ihn weiter!

Der Autor

Hier schreibt Eberhard Häcker, Externer Datenschutzbeauftragter, Datenschutzberater, Fachautor und Kongressredner, Geschäftsführer der TDSSG GmbH – Team Datenschutz Services – und der HäckerSoft GmbH (Datenschutz-Software DATSIS und Lernplattform Optilearn.de). Er ist überzeugt, „den spannendsten Beruf der Welt“ zu haben, denn Datenschutz unter der DSGVO ist „wie die Besiedlung Amerikas – weißes Land, das es zu entdecken und sinnvoll zu füllen gilt“. (Eberhard Häcker) 

Auftragsverarbeitung in der EU und in Drittländern

Definition, Verträge, Ablauf, Überprüfungen 

Das Webinar. Jetzt anmelden.

Alle Infos

Transkription in Videokonferenzen: Datenschutz richtig umsetzen

von Eberhard Häcker 9. April 2025
Transkription im Online-Meeting? Warum das ohne Einwilligung zum Datenschutzproblem wird – und welche Regeln Unternehmen jetzt brauchen.
Laptoptastatur mit leuchtenden Tasten

Webinar-Reihe: IT-Sicherheit & Datenschutz 2025

von Team Datenschutz 4. April 2025
Entdecken Sie unsere Webinar-Reihe 2025 zu IT-Sicherheit & Datenschutz: KI, NIS2 & ISMS verständlich erklärt. Jetzt anmelden & praxisnah profitieren!

10 Tipps für den sicheren Einsatz von Copilot V3.5 in Microsoft 365

von Eberhard Häcker 28. März 2025
Microsoft Copilot V3.5: 10 wichtige Risiken, die Sie kennen müssen, und 10 Tipps für den sicheren Einsatz! Erfahren Sie, wie Sie Copilot optimal nutzen, Datenschutzrisiken vermeiden und Compliance-Anforderungen erfüllen.

Copilot in Edge: Datenschutzrisiken & sichere Nutzung im Unternehmen

von Eberhard Häcker 3. März 2025
Microsoft Copilot in Edge bietet viele Vorteile – birgt aber auch Gefahren für den Datenschutz. Wir zeigen 10 wichtige Risiken beim Einsatz von Copilot in Edge und geben 10 Tipps für mehr Sicherheit.

Spannende Datenschutz-Schulungen mit DATSIPrUse

von Team Datenschutz 17. Februar 2025
Unsere unterhaltsamen Datenschutz-Schulungen bringen Datenschutz mit charmanten Geschichten direkt in Ihr Unternehmen. Der Außerirdische DATSIPrUse und Datenschützer Eberhard erklären Datenschutz spannend und verständlich. Ideal, um Ihr Team spielerisch und praxisnah zu sensibilisieren. Jetzt mehr erfahren!

Der Datenschutz-Adventskalender 2024

von Team Datenschutz 28. November 2024
Die Adventszeit steht vor der Tür! Um die Zeit bis Weihnachten auf unterhaltsame und lehrreiche Weise zu verkürzen, wartet auch in diesem Jahr wieder der Datenschutz-Adventskalender mit brandneuen Abenteuern von DATSIPrUse!

Gelungenes Event: Das war das Datenschutz-Update 2024

von Team Datenschutz 22. November 2024
Auch in diesem Jahr hat das Tagesseminar „Datenschutz-Update“ wieder zahlreiche Interessierte aus Datenschutz und Informationssicherheit zusammengebracht. Mit rund 40 Teilnehmenden fand das virtuelle Event regen Zuspruch und bot spannende Einblicke in die Herausforderungen und Chancen, die 2025 und darüber hinaus auf Unternehmen und Datenschutzbeauftragte zukommen.

Team Datenschutz auf der IDACON 2024

von Team Datenschutz 1. Oktober 2024
Auch in diesem Jahr ist Team Datenschutz wieder bei der 24. IDACON 2024 mit dabei. Vom 5. bis 7. November dreht sich auf dem hybriden Kongress für Datenschutz in München alles um aktuelle Entwicklungen und praxisnahe Lösungen im Datenschutz.
Interieur eines Autos

Sensoren, Aktoren und der Datenschutz

von Eberhard Häcker 23. August 2024
Sensoren und Aktoren stecken in Autos, im Smart Home, in Industrie, Medizintechnik und mehr. Sie sammeln und verarbeiten Daten, die oft mit Menschen in Verbindung stehen. Klarer Fall für den Datenschutz. 10 Tipps, um Datenpannen zu vermeiden.
Mehr anzeigen