Risiken in der Auftragsverarbeitung

Ganz klar, es bestehen Risiken in der Auftragsverarbeitung, aber es gibt dazu auch mögliche Lösungen.

Wichtig: Sie müssen sich mit der Auftragsverarbeitung beschäftigen.

Gerade im Zusammenhang mit dem Brexit, und dem Schrems II Urteil, das zum Kippen des Privacy Shield Abkommens zwischen der EU und den USA beigetragen hat, sollten Sie Ihr Wissen über die Auftragsverarbeitung festigen.

Sicherheit und Rechtmäßigkeit bei der Auftragsverarbeitung

Wenn Sie personenbezogene Daten an einen externen Dienstleister zur Verarbeitung (in Auftrag) weitergeben, bleiben Sie weiterhin dafür verantwortlich. Konkret müssen Sie auch dann für die Sicherheit und die rechtmäßige Verarbeitung der personenbezogenen Daten sorgen. Das gilt für die gesamte Dienstleistungskette, also Auftragsverarbeiter und  Dienstleister (Unterauftragnehmer). Folglich also für jeden Unterauftragnehmer, sowie Unter-Unterauftragnehmer, usw.

Ihre Rechte bezüglich der Kontrolle (Kontrollrechte) haben Sie im Auftragsverarbeitungsvertrag festgelegt. Festlegen alleine reicht nicht aus, Sie müssen diese auch wahrnehmen und ggf. durchsetzen.

In diesem Zusammenhang lassen Sie sich die Umsetzung durch den Dienstleister nachweisen. Fordern Sie Nachweise an, denn Sie benötigen diese für Ihre eigene Dokumentation.

Risiken in der Auftragsverarbeitung: Haftung

Bei Verfehlungen in der Auftragsverarbeitung können Haftungsrisiken entstehen. Hierbei haften neben dem Auftraggebern unter Umständen auch der Auftragnehmer und die Unterauftragnehmer. Im Zweifel erstreckt sich dieses Hatfungsrisiko auch bis zu den Unter-Unterauftragnehmern. Die Auflistung der Unterauftragnehmer können Sie unendlich fortführen.

Bei Verfehlungen in der Auftragsverarbeitung ist es im Prinzip ganz einfach:

Wer Schuld ist, haftet!

(Bitte verwechseln Sie die Verantwortung nicht mit der Haftung, denn die trägt gegenüber der Betroffenen die Verantwortliche Stelle.)

Für den Auftragsverarbeiter gilt dies nur, wenn er seinen

  • auferlegten Pflichten nicht nachgekommen ist oder
  • den Weisungen des Auftraggebers, also des Verantwortlichen, nicht folge leistet.

Genau aus diesem Grund sind die Weisungs- und Kontrollrechte so wichtig! Diese Rechte ergeben sich aus dem Auftragsverarbeitungsvertrag. Auch wenn es einem Auftragnehmer mal sauer aufstößt.

Üben Sie Ihre Kontrollrechte immer aus.

Halten Sie Weisungen an die Auftragnehmer zudem klar und verständlich.

Nur so reduzieren Sie Risiken bei der Verarbeitung von personenbezogenen Daten, und damit in der Auftragsverarbeitung.

Nachweis der Schuld bei Verfehlungen

Kommt es zu Verfehlungen bei der Auftragsverarbeitung, müssen die betroffenen Personen den Schuldigen hierfür nicht selbst suchen. Sie können ihre Ansprüche entweder direkt an die Verantwortliche Stelle, aber auch an den Auftragsverarbeiter richten.

Grund ist eine Art Beweislastumkehr.

Eine Beweislastumkehr ist eine Ausnahme vom rechtlichen Grundsatz. Im Normalfall liegt die Beweislast bei der Partei, für die die Rechtslage günstig ist. Einfach gesagt, wer den Vorteil hat, muss ihn auch beweisen. Im Falle der Beweislastumkehr ist es genau anders herum. Der Schuldige, muss seine Unschuld beweisen – in unserer Betrachtung die Verantwortliche Stelle, oder aber auch die Auftragsverarbeiter.

Durch die Beweislastumkehr müssen Auftraggeber, Auftragnehmer, Unterauftragnehmer und auch Unter-Unterauftragnehmer, usw. ihre Unschuld beweisen.

Die Ansprüche der betroffenen Personen werden innerhalb der Dienstleistungskette einfach weitergereicht. Am Ende trifft es denjenigen, der keinen Nachweis für seine Unschuld hat, bzw. nicht darlegen kann, dass er „alles notwendige“ getan hat.

Risiken in der Auftragsverarbeitung: Unterauftragnehmer

Ein weiteres Risiko können, müssen aber nicht, Unterauftragnehmer sein!

Wie schon dargestellt können je nach Vereinbarung Auftragnehmer auch Unterauftragnehmer beauftragen.

Für Unterauftragnehmer gelten nach Auftragsverarbeitungsvertrag idR die gleichen Vorgaben wie für den Auftragsverarbeiter.

Unterauftragnehmer verpflichten sich zur

  • Kontrolle,
  • Einhaltung und
  • Durchsetzung

der Vorgaben des Auftraggebers.

Genauer heißt das für den (Unter)Auftragnehmer, die Weisungen und Maßnahmen die sein Auftraggeber festgelegt hat, gelten auch bei Unterrauftragnehmern und müssen kontrolliert werden.

Nennung von Unterauftragnehmern im Auftragsverarbeitungsvertrag

Auftragsverarbeitung ist in gewisser Weise der Tod von White Label Lösungen.

Viele Auftragsverarbeiter lassen sich ungern in die Karten schauen. Gerade, wenn es um die Nennung ihrer Unterauftragnehmer geht. Manchmal werden Dienstleistung  lediglich vermittelt.

Wissen aber Verantwortliche und Auftraggeber nicht, wer Unterauftragnehmer ist, entstehen  Risiken in der Auftragsverarbeitung. Verantwortliche wissen im Zweifel nicht, wo die Datenverarbeitung der Unterauftragnehmer stattfindet, zum Beispiel in einem unsicheren Drittland außerhalb der EU, oder in der EU.

Eine Ausnahme von der Nennung der Unterauftragnehmer gibt es nicht. Im Auftragsverarbeitungsvertrag sind sämtliche Unterauftragnehmer zu benennen. Ohne wenn und aber!

Anzugeben sind dabei:

  • Unternehmen
  • Anschrift
  • Auftragsverhältnis

Sicht der Auftragsverarbeiter

Für  Auftragsverarbeiter sind die geforderten Rechte der Auftraggeber sehr umfangreich. Natürlich möchten Auftraggeber für  Verfehlungen anderer nicht haften – vor allem nicht ohne Mitspracherecht.

Schwierig wird es in der Auftragsverarbeitung immer dann, wenn Vertragspartnern der Sinn und die Hintergründe nicht klar sind.

Hierdurch entstehen unwissentlich Haftungsrisiken! Zum Beispiel bei der Beauftragung eines Unterauftragnehmers.

Risiken in der Auftragsverarbeitung: Sicherheit der Verarbeitung

Für die Sicherheit bei der Verarbeitung von personenbezogenen Daten gibt es zwei praktische Möglichkeiten:

  • der Auftraggeber gibt dem Auftragnehmer geeignete Maßnahmen vor (Weisung) oder
  • der Auftragnehmer teilt dem Auftraggeber mögliche Maßnahmen mit.

In der Theorie gibt der Auftraggeber dem Auftragnehmer die Maßnahmen vor, bzw. stimmt den Maßnahmen zu.

In allen Fällen kontrolliert der Auftraggeber die Maßnahmen auf deren Eignung. Die Umsetzung der Maßnahmen weist der Auftragnehmer dem Auftraggeber nach. Damit kommt der Auftraggeber seiner Kontrollpflicht nach.

(Die Einhaltung kann der Verantwortliche auch vor Ort überprüfen. In der Praxis vermeiden das gerade die kleineren Unternehen, da sie die Kosten und auch Ergebnisse scheuen.)

Mit der Kontrolle wird die Sicherheit der Verarbeitung gewährleiste. Das Haftungsrisiko sinkt.

Nehmen Sie die Kontrollrechte als Auftraggeber immer in Anspruch und bestehen Sie darauf!

Auftragsverarbeitungsverträge

Bestimmt der Auftraggeber über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten alleine, liegt eine Auftragsverarbeitung vor.

Keinen Auftragsverarbeitungsvertrag zu schließen, ändert an der Situation nichts. Es werden schließlich personenbezogene Daten in Auftrag verarbeitet. Damit liegt eine Auftragsverarbeitung vor.

Wird kein Auftragsverarbeitungsvertrag geschlossen,

  • werden nötige Anforderungen nicht erfüllt,
  • gibt der Auftraggeber Daten unerlaubt und ohne Rechtsgrundlage an Dritte weiter, und
  • hat auch der Auftragnehmer keine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten.

Auch hier entstehen weitere Haftungsrisiken für alle Beteiligten, und möglicherweise sogar Sicherheitslücken.

Schließen Sie deshalb einen Auftragsverarbeitungsvertrag sobald eine Auftragsverarbeitung vorliegt.

Kurz gesagt…

  • Prüfen Sie jede Datenweitergabe und Zugriffe
  • Schließen Sie Auftragsverarbeitungsverträge
  • Prüfen Sie JEDEN Auftragsverarbeitungsvertrag nach den Vorgaben des Art. 28 DSGVO
  • Achten Sie besonders auf Datenübertragungen in Drittländer (und aus Drittländern)
  • Weisen Sie Ihre Auftragnehmer zur Kontrolle der Unterauftragnehmer an
  • Kontrollieren Sie Ihre Dienstleister regelmäßig (alle zwei Jahre)
  • Bedenken Sie, dass die Maßnahmen der Dienstleister teil Ihrer Maßnahmen werden (TOM)
  • Dokumentieren Sie Ihre Kontrollen
  • Suchen Sie ggf. nach Alternativen Anbietern