Die Auftragsverarbeitung ist eine in Art. 28 der Datenschutz-Grundverordnung (DSGVO) vorgesehene Möglichkeit, personenbezogene Daten durch einen Dritten verarbeiten zu lassen. Dabei erhebt, verarbeitet, speichert oder nutzt der Auftragsverarbeiter auf Grundlage eines Vertrages personenbezogene Daten gemäß den Weisungen des für die Datenverarbeitung Verantwortlichen. Die Auftragsverarbeitung war in Deutschland bisher als sogenannte “Auftragsdatenverarbeitung” in § 11 des alten Bundesdatenschutzgesetzes geregelt.
Kennzeichnendes Merkmal ist die weisungsgebundene Verarbeitung. Der Auftragsverarbeiter hat keine eigene Entscheidungsfreiheit, denn der Auftraggeber legt die Zwecke und Mittel der Datenverarbeitung fest, sie erfolgt in seinem Interesse und auch, nach außen hin, in seiner Verantwortung. Hiervon zu unterscheiden ist die Konstellation der “gemeinsam Verantwortlichen” nach Art. 26 DSGVO, bei der (mindestens) zwei Verantwortliche zusammen die Zwecke und die Mittel der Datenverarbeitung festlegt werden und für diese auch gemeinsam einzustehen haben. Die Abgrenzung kann im Einzelfall problematisch sein, da es im Tagesgeschäft natürlich illusorisch ist, wegen jeder Detailfrage beim Auftraggeber Rücksprache zu halten. Eine Auftragsverarbeitung kann jedoch auch dann vorliegen, wenn der Auftragsverarbeiter innerhalb eines ihm vom Auftraggeber, dem Verantwortlichen, zuvor im Vertrag eingeräumten Entscheidungsspielraums agiert. Als Faustregel kann gelten, je stärker die Zusammenarbeit der Parteien als Über-/Unterordnungsverhältnis ausgelegt ist, desto leichter lässt sich eine Auftragsverarbeitung begründen und umso schwerer wird es, eine gemeinsame Verantwortlichkeit zu bejahen.
Die Auftragsverarbeitung erfordert in der Regel eine vertragliche Vereinbarung, Art. 28 Abs. 3 DSGVO, und ausnahmsweise könnten es andere Rechtsinstrumente wie z.B. eine Rechtsverordnung sein, die es in Deutschland allerdings zurzeit noch nicht gibt.
Ar.t 28 Abs. 3 DSGVO gibt auch inhaltliche Mindestanforderungen an Vertrag bzw. Rechtsinstrument vor. So muss darin u.a. geregelt sein, welche Arten von personenbezogenen Daten verarbeitet werden, sowie was Gegenstand und Zweck der Verarbeitung sind. Der Auftragsverarbeiter hat darüber hinaus weitere Pflichten, z.B. muss er ein eigenes Verzeichnis über die Verarbeitungstätigkeiten führen, welche den Namen und die Kontaktdaten jedes Verantwortlichen umfasst, in dessen Auftrag er tätig ist sowie die Kategorien von Verarbeitungen, die dabei durchgeführt werden. Es reicht also nicht aus, dem Auftraggeber lediglich die Informationen bereitzustellen, die der Auftraggeber für sein eigenes Verzeichnis der Verarbeitungstätigkeiten benötigt! Außerdem umfasst das Verzeichnis eine gegebenenfalls erfolgende Übermittlung von personenbezogenen Daten in Länder außerhalb der EU/des EWR, sogenannte “Drittländer”, und eine Beschreibung der vom Auftragsverarbeiter ergriffenen technischen und organisatorischen Maßnahmen zum Schutz der Daten nach Art. 32 DSGVO.
Der Verantwortliche hingegen muss den Auftragsverarbeiter sorgfältig auswählen, denn dieser muss hinreichende Garantien dafür bieten, dass dieser geeignete technische und organisatorische Maßnahmen implementiert hat, um die Daten zu schützen und die Vorschriften der DSGVO bei der Verarbeitung reinzuhalten.
Nach dem bisherigen BDSG war alleine der Auftraggeber als “Verantwortliche Stelle” Ansprechpartner für Betroffene, und haftete für die Einhaltung der gesetzlichen Vorgaben zum Datenschutz. Das Prinzip gilt bei der DSGVO weiterhin, allerdings ist der Auftragsverarbeiter nicht völlig frei von Haftung. Der Auftragsverarbeiter haftet prinzipiell gemeinsam mit dem Auftraggeber, Art. 82 DSGVO. Zwar beschränkt sich die Haftung des Auftragsverarbeiters auf Verstöße gegen die ihm auferlegten Pflichten. Allerdings muss der Auftragsverarbeiter dann den Negativbeweis antreten, d.h. nachweisen, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Eine interessante und womöglich nur gerichtlich zu beantwortende Frage wird sein, ob sich Auftragsverarbeiter zumindest im Verhältnis zu ihrem Auftraggeber mittels vertraglicher Vereinbarungen etwa in AGB diese Haftung erleichtern lassen können.
Bei grenzüberschreitenden Sachverhalten ist zu beachten, dass die Vorschriften zur Auftragsverarbeitung schon dann Anwendung finden, wenn die Verarbeitung nur einen Zusammenhang mit Tätigkeiten einer Niederlassung einer der Parteien in der EU aufweist. Das bedeutet, dass es ausreichend ist, wenn entweder der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung in der EU betreibt und die Auftragsverarbeitung mit dieser zusammenhängt.
Die Begriffe “Auftragsverarbeitung” bzw. “Auftragsverarbeiter” kommen, entsprechend ihrer Bedeutung für die Praxis, sehr häufig in der DSGVO vor. Wichtigste Regelungen sind Art. 4 DSGVO (Begriffsbestimmungen); zum Vertrag Art. 28 DSGVO (Auftragsverarbeiter und Art. 29 DSGVO (Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters); als eigene Pflicht Art. 30 DSGVO (Verzeichnis von Verarbeitungstätigkeiten); in Bezug auf Zertifikate, Codes-of-Conduct und andere Standards die Art. 40 DSGVO (Verhaltensregeln) und Art. 42 DSGVO (Zertifizierung); bei internationalen Sachverhalten Art. 44 DSGVO (Allgemeine Grundsätze der Datenübermittlung); Art. 45 DSGVO (Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses); Art. 46 DSGVO (Datenübermittlung vorbehaltlich geeigneter Garantien); und natürlich zur Haftung Art. 82 DSGVO (Haftung und Recht auf Schadenersatz).