Externe Dienstleister - Besonderheiten im Datenschutz

Arbeiten Sie in Ihrem Unternehmen mit externen Dienstleistern, die personenbezogene Daten verarbeiten? Dann müssen Sie bestimmte Spielregeln in Bezug auf den Datenschutz beachten. Was das genau ist, erfahren Sie in diesem Artikel

Externe Dienstleister oder auch “Auftragsverarbeiter” genannt

Im Datenschutzrecht heißen externe Dienstleister, die mit personenbezogenen Daten arbeiten oder Zugriff darauf haben “Auftragsverarbeiter”. Der Begriff setzt sich zusammen aus “Auftrag”, weil er von Ihnen beauftragt wurde und “Verarbeiter” wegen der Datenverarbeitung.

Wer ist alles Auftragsverarbeiter?

Nach der EU-Datenschutzgrundverordnung (DSGVO) ist jemand Auftragsverarbeiter, wenn er personenbezogene Daten einer anderen Firma verarbeitet und dabei weisungsgebunden ist. Soll heißen: Der Auftraggeber darf in weiten Teilen genau bestimmen, wie die Daten verarbeitet werden sollen (Entscheidungshoheit über Zwecke und Mittel der Datenverarbeitung). Ganz wichtig: Der Auftragsverarbeiter darf die Daten nicht für eigene Zwecke verwenden und muss die Daten von seinen eigenen Daten strikt getrennt halten.

Das ist alles sehr abstrakt, daher schauen wir uns bestimmte Beispiele an:

• Der Webhoster: Er ist ein typischer Auftragsverarbeiter, wenn er nicht nur Speicherplatz anbietet, sondern auch dazugehörende Dienstleistungen. Weil die Daten auf seinen Systemen liegen, hat er meist Zugriff auf diese.
• Der Cloud-Softwareanbieter: Er ist ebenfalls typischer Auftragsverarbeiter. Die Daten liegen auf seinen Systemen und er verarbeitet diese Daten mit seiner Software.
• Newsletter-Anbieter: Auftragsverarbeiter, wenn die Datenverarbeitung im Internet oder in der Cloud stattfindet.

Wer ist kein Auftragsverarbeiter?

Bestimmte externen Dienstleister sind nicht als Auftragsverarbeiter einzustufen. Darunter fallen beispielsweise Berufsgruppen mit berufsrechtlichen Verschwiegenheitspflichten, also typischerweise Rechtsanwälte und Steuerberater. Der Hauptgrund liegt dabei darin, dass diese Berufsgruppen nicht weisungsgebunden seitens ihrer Auftraggeber sind.

Solche Dienstleister, die nicht weisungsgebunden sind, nennt man auch “Dritte”. Ebenfalls sind solche Dienstleister Dritte, wenn diese die Daten auch für eigene Zwecke verarbeiten. Allerdings ist hier zu beachten: Sie benötigen eine Erlaubnis für die Verarbeitung (also eine Rechtsgrundlage), die personenbezogenen Daten an einen Dritten geben zu dürfen. Gibt es diese nicht, ist die Weitergabe verboten.

Kein Auftragsverarbeiter und kein Dritter?

Es gibt tatsächlich auch solche Konstellationen, in denen ein Dienstleister weder Auftragsverarbeiter noch Dritter ist. Dann könnte eine sog. “Gemeinsame Verantwortung” vorliegen. Das berühmteste Beispiel in der bisherigen Rechtsprechung zum Datenschutz ist das Verhältnis von Meta (ehem. Facebook) zu den Betreibern einer Facebook-Fanpage. Beide Parteien sind gemeinsam Verantwortliche hinsichtlich der sog. Insights-Daten, also der Statistikdaten über die Nutzung des Profils auf Facebook. Das entschied bereits der Europäische Gerichtshof durch Urteil vom 05.06.2018. Die Besonderheit ergibt sich daraus, dass beide Parteien für einen bestimmten Teil der Datenverarbeitung selbst verantwortlich sind. In solchen Fällen einer "gemeinsamen Verantwortlichkeit" muss ein besonderer datenschutzrechtlicher Vertrag abgeschlossen werden. Dieser muss die Anforderungen nach Art. 26 DSGVO erfüllen.

Wie entscheide ich richtig?

Die einfachste Möglichkeit für Sie ist, den Dienstleister selbst zu fragen, ob er sich als Auftragsverarbeiter sieht. Alternativ geben die Aufsichtsbehörden für den Datenschutz Hilfestellungen bei der Unterscheidung. Beispielsweise hat die bayerischen Aufsichtsbehörde eine  Tabelle veröffentlicht, die hier abrufbar ist: https://www.lda.bayern.de/media/veroeffentlichungen/FAQ_Abgrenzung_Auftragsverarbeitung.pdf

Was ist datenschutzrechtlich zu beachten?

Setzen Sie nun einen echten Auftragsverarbeiter ein (bzw. planen Sie dies), bestimmt die DSGVO, dass mit diesem Unternehmen ein Vertrag zur Auftragsverarbeitung geschlossen werden muss. Dieser muss die Anforderungen nach Art. 28 DSGVO erfüllen.

Mein Tipp an dieser Stelle: Lassen Sie sich im Rahmen der Dienstleisterauswahl bereits den Vertrag zur Auftragsverarbeitung vorlegen und prüfen Sie diesen. Das Datenschutzrecht spricht von der Verpflichtung einer “sorgfältigen Auswahl”.

Der Vertrag wird meist vom Dienstleister zur Verfügung gestellt. Ergibt sich nach der Prüfung aber ein Änderungsbedarf, scheuen Sie sich nicht, dies vom Dienstleister zu verlangen.

Übrigens, die Prüfung des Vertrags mit dem Ergebnis sollte unbedingt dokumentiert werden. Dies ist eine zentrale Verpflichtung aus der DSGVO.

Checkliste zur Auftragsverarbeitung

Datenschutzrechtlich haben Unternehmen folgende Punkte zu beachten:

1. Bei der Dienstleisterauswahl ist zu prüfen, ob es sich um einen Auftragsverarbeiter, einen gemeinsam Verantwortlichen oder einen Dritten handelt.
2. Wenn es ein Auftragsverarbeiter ist, muss ein Vertrag zur Auftragsverarbeitung vorliegen.
3. Dieser ist vor Beauftragung der Dienstleisters zur prüfen und zu dokumentieren.
4. Es ist vorab zu prüfen, ob die technischen und organisatorischen Maßnahmen (sog. TOM) des Dienstleisters ausreichen, um die relevanten personenbezogenen Daten sicher zu verarbeiten.
5. Während der Vertragslaufzeit müssen der Dienstleister und seine TOM`s regelmäßig immer wieder geprüft werden. Die Prüfungen und Ergebnisse sind zu dokumentieren.
6. Sie als Auftraggeber können dem Dienstleister auch Weisungen erteilen. Diese sind ebenfalls zu dokumentieren.
7. Endet der Einsatz des Auftragsverarbeiters, sind die entsprechenden Daten beim Dienstleister zu löschen oder er hat sie Ihnen auszuhändigen. Er selbst darf keine Kopie mehr davon behalten und diese auch nicht für eigene Zwecke verwenden.

Kennen Sie schon meine anderen Beiträge zum Datenschutz?

Folgende Artikel sind auf anwalt.de bereits erschienen:

1. Wann benötige ich einen Datenschutzbeauftragten?
2. Cookies auf Webseiten - Alles gut oder teurer Spaß?
3. Datenschutzhinweis - Reicht der auf der Website?
4. IT-Sicherheit und Datenschutz -  best buddy`s?
5. Datenübermittlung in Drittländer: Gute Idee oder "no-go"?
6. Schulung der Beschäftigten - Muss das sein?
7. Bußgeld für Datenschutzverstoß - zahlen oder kämpfen?
8. Datenschutz-Doku - warum so unbeliebt?