Auftragsverarbeitung

Als Auftragsverarbeitung wird die Einschaltung von Dienstleistern bei der Verarbeitung von personenbezogenen Daten im Auftrag und nach Weisung des Verantwortlichen bezeichnet.

Die Auslagerung von Datenverarbeitungstätigkeiten eröffnet Unternehmen die Möglichkeit externes Know-How zu nutzen und die IT-Infrastruktur in Umgebungen mit höheren Sicherheitsstandards zu verlagern. Effizienz und Flexibilität können gesteigert und Hochverfügbarkeiten (24 Std./365 Tage) hergestellt werden.

Auftragsverarbeitungsvereinbarung oder nicht?

Liegt Auftragsverarbeitung vor, so ist eine – den gesetzlichen Vorgaben genügende – Vereinbarung zwischen Auftragnehmer und Auftraggeber (AVV) zu schließen.

Die hierfür entscheidende Frage, ob Autragsverarbeitung vorliegt oder nicht, ist jedoch gerade bei Dienstleistungen im Bereich des IT-Supports nicht immer leicht zu beantworten.

Abgrenzung

Folgende Kriterien können dabei helfen zu entscheiden, ob bei Abschluss eines neuen oder Verlängerung eines bestehenden Dienstvertrages auch der Abschluss einer AVV erforderlich wird.

Klassische Beispiele

Auftragsverarbeigung liegt typischerweise vor, wenn folgende Leistungen erbracht werden sollen:

  • Backup –Services, Cloud- Services, exerne Rechenzentren
  • Datenerfassung, Datenumsetzung, Datenarchivierung
  • Löschung und Vernichtung von Datenträgern
Kontrollfragen (Bitkom)

Sofern die folgenden Fragen mit „Ja” beantwortet werden können, handelt es sich ebenfalls üblicherweise um eine Auftragsverarbeitung:

  • Ist das wesentliche Element der Dienstleistung auf die Verarbeitung personenbezogener Daten für Zwecke des Auftraggebers gerichtet und besteht kein eigenes Interesse des Auftragnehmers an diesen Daten?
  • Entscheidet der Auftraggeber im Wesentlichen über die Mittel und Zwecke der Datenverarbeitung?
  • Ist die Funktion des Auftragnehmers ausschließlich eine (in der Regel technische) Hilfs- oder Unterstützungsfunktion?
Selbstwahrnehmung des Auftragnehmers oder in der Vergangenheit bereits geschlossene Vereinbarung

Da auch dem Auftragnehmer bei Nichtabschluss einer AVV trotz Vorliegens der Voraussetzungen ein Bußgeld droht, beurteilt dieser auch für sich selbst, ob er als Auftragsverarbeiter tätig wird oder nicht.

Auch wenn man der Selbsteinschätzung nicht in jedem Fall folgen muss, ist es jedoch durchaus ein starkes Indiz für das Vorliegen von Auftragsverarbeitung, wenn der Vertragspartner mit dem Ansinnen auf Sie zukommt, eine AVV abzuschließen.

Bei der Verlängerung von bestehenden Verträgen spricht das Bestehen einer (in der Vergangenheit noch unter dem Namen ADV-Vereinbarung) geschlossenen Vereinbarung über die Datenverarbeitung ebenso für das Vorliegen von Auftragsverarbeitung.

Abgrenzung zu Nebenleistungen

Keine Auftragsverarbeitung liegt vor, wenn es sich um reine Nebenleistungen handelt.

Nebenleistungen in diesem Sinne meint Tätigkeiten, die im eigentlichen Kern nicht die Verarbeitung von personenbezogenen Daten betreffen. Vielmehr stehen andere Tätigkeiten im Vordergrund in deren Rahmen ein Umgang mit (oder Kontakt zu) personenbezogenen Daten ggf. jedoch unvermeidbar ist. Dies gilt z.B. bei Reinigungsdienstleistungen, oder im Bereich des Wachschutzes.

Nebenleistungen sind i.d.R auch solche, die in spezielleren Gesetzen geregelt sind, wie z.B. Telekommunikations- oder Postdienstleistungen.

Auftragsverarbeitung im IT-Bereich

Im Bereich der IT-Dientstleistungen wird von Aufischtsbehörden und Branchenverbänden derzeit noch unterschiedlich beurteilt, wann Auftragsverarbeitung vorliegt und wann nicht, so dass eine individuelle Betrachtung erfolgen muss.

Verträge, welche die Wartung oder Prüfung von IT-Systemen oder die Programmentwicklung oder -anpassung betreffen, stellen häufig keine Auftragsverarbeitungen dar (es sei denn, der IT-Support betrifft z.B. gerade den Umgang mit Datensätzen die personenbezogene Daten enthalten).

Ich empfehle Ihnen daher in diesen Fällen die (frühzeitige) Einbindung des Datenschutzbeauftragten und der betroffenen Fachabteilung. Gerade wenn es darum geht zu beurteilen, ob Sie selbst als Auftragsverarbeiter tätig werden oder nicht, ist eine belastbar begründete Einordnung von ganz entscheidender Bedeutung (Aufwand, Haftung etc.).

Verschwiegenheitsverpflichtung

Auch wenn Sie zu dem Ergebnis kommen, dass der Abschluss einer AVV nicht erforderlich ist, muss die Erbringung der Leistung natürlich trotzdem so organisiert und geregelt werden, dass personenbezogene Daten dem jeweiligen Risiko entsprechend angemessen geschützt sind.

Häufig bietet sich in derartigen Konstellationen der Abschluss einer Verschwiegenheitsverpflichtung an.