DSGVO im B2B: Der Auftragsverarbeitungsvertrag

Nicht immer ist ein Unternehmer in der Lage oder gewillt, bestimmte Leistungen selbst zu erfüllen – oftmals wird ein etwaiger Kundenservice an externe Callcenter ausgelagert oder die Lohnbuchhaltung an ein Rechenzentrum. Auch in diesen Fällen werden personenbezogene Daten verarbeitet – allerdings durch einen Dritten und im Auftrag des Verantwortlichen. Und auch hier müssen Daten geschützt werden, weshalb es in vielen Fällen eines sog. Auftragsverarbeitungsvertrags bedarf.

Was ist der Vertrag und wann ist er nötig?

Personenbezogene Daten werden in fast jedem Unternehmen verarbeitet. Dazu gehören etwa Namen und Adressen von Kunden, aber auch deren E-Mail-Adressen. Selbst IP-Adressen von Webseiten-Besuchern können personenbezogene Daten darstellen, was auch im Hinblick auf die Nutzung von Diensten wie Google Analytics wichtig ist. Wurden einem Unternehmen bestimmte Daten übergeben, zum Beispiel im Rahmen einer Newsletter-Anmeldung, gilt es datenschutzrechtlich als Verantwortlicher. Dieser kann die Verarbeitung auslagern und muss sie so nicht zwingend selbst durchführen. In seiner Rolle als Verantwortlicher bleibt das Unternehmen dennoch:
Wird die Datenverarbeitung im Wege eines Auftrags an einen externen Dienstleister übertragen, muss dem der Auftragsverarbeitungsvertrag zu Grunde liegen. Ob dieser nötig ist, sollte geprüft werden, sobald der Auftragnehmer bereits nur die schlichte Möglichkeit hat, im Rahmen des Auftrags auf personenbezogene Daten zuzugreifen. Da der Auftragnehmer gegenüber dem Verantwortlichen, bzw. dem Auftraggeber weisungsgebunden ist, behält dieser die Hoheit über die Daten und ist hauptverantwortlich. Dies ist nötig, da mit der Übermittlung personenbezogener Daten schließlich auch ein besonderes Risiko für den Betroffenen einhergeht.

Was muss enthalten sein?

An einen solchen beide Seiten bindenden Vertrag werden diverse Anforderungen geknüpft. Was Gegenstand des Vertrages ist, muss detailliert benannt werden, dazu gehört:

• Gegenstand, Dauer, Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten
• Kategorie der betroffenen Personen
• Pflichten und Rechte des Verantwortlichen

Daneben müssen diverse weitere Aspekte berücksichtigt werden. Unter anderem muss gewährleistet werden, dass sich die zur Verarbeitung der Daten befugten Personen zur Verschwiegenheit verpflichtet haben oder einer (angemessenen) gesetzlichen Verschwiegenheitspflicht unterliegen. Daneben muss vereinbart werden, dass geeignete Maßnahmen zur Wahrung der Sicherheit der personenbezogenen Daten getroffen werden, wie es Art. 32 DSGVO vorsieht. Sollten Subunternehmern durch den Auftragnehmer genutzt werden können, müssen die Umstände hierzu ebenfalls geklärt werden. Grundsätzlich haftet der erste Auftragnehmer für die Einhaltung der Pflichten von weiteren Auftragnehmern – der Verantwortliche bleibt jedoch insgesamt in seiner Position und kann sich durch die Beauftragung eines Auftragsverarbeiters grundsätzlich nicht aus seiner Verantwortung entziehen. Verstößt ein Auftragnehmer allerdings gegen die Pflicht, Daten weisungsgebunden zu verarbeiten, indem er unter Verstoß gegen die DSGVO die Zwecke und Mittel der Verarbeitung selbst bestimmt, gilt er in Bezug auf die damit in Verbindung stehende Verarbeitung selbst als Verantwortlicher und muss etwa entsprechende Rechte des Betroffenen erfüllen.

Die Vorgaben zum Inhalt eines Auftragsverarbeitungsvertrages sind darüber hinaus sehr umfangreich, sodass nicht alle Notwendigkeiten hier geschildert werden können – Art. 28 Abs. 3 DSGVO hilft hier jedoch weiter und listet einiges auf, was im Rahmen der Vertragsgestaltung berücksichtigt werden muss. Neben dem Inhalt spielt aber auch die Form des Vertrages eine Rolle: War nach der alten Rechtslage immer ein schriftlicher Auftragsverarbeitungsvertrag nötig, ist dieser jetzt auch in elektronischer Form möglich. Wichtig ist zudem, Betroffene im Rahmen einer Datenschutzerklärung über die Verarbeitung ihrer Daten präzise aufzuklären.

Kein Vertrag – Was droht?

Fehlt ein Auftragsverarbeitungsvertrag dort, wo er nötig wäre, kann dies zu herben Konsequenzen folgen. Grundsätzlich sieht die DSGVO Bußgelder in Höhe von bis zu 20 Millionen Euro vor. Werden Pflichten im unmittelbaren Zusammenhang mit der Auftragsverarbeitung verletzt, droht ein Bußgeld in Höhe von bis zu 10 Millionen, maximal aber 2 % des weltweit erzielten Umsatzes des Unternehmens im Vorjahr. Nicht ungewöhnlich für mittelständige Unternehmen sind dabei Bußgelder im vierstelligen Bereich.

Bisher ist nicht klar, ob und inwiefern Verstöße gegen die Vorgaben der DSGVO wettbewerbrechtlich abmahnfähig sind. Es gab zwar bereits eine Handvoll von Urteilen bezüglich dieser Frage, eine einheitliche Rechtsprechung hat sich bislang jedoch nicht herauskristallisiert. Hier muss noch eine höchstrichterliche Klärung abgewartet werden. Betroffene haben außerdem die Möglichkeit, Schadensersatz geltend zu machen.

Tipp!

Bei der Gestaltung eines Auftragsverarbeitungsvertrags spielen die Umstände des Einzelfalls immer eine wichtige Rolle – diese sollten auch im Vertrag berücksichtigt werden. Als Grundlage kann dennoch ein Muster-Vertrag herangezogen werden, wie ihn etwa der Händlerbund zur Verfügung stellt. Eine Übersicht über bisher verhängte Bußgelder findet sich außerdem hier (GDPR Enforcement Tracker).

Der Händlerbund hilft!

Die rechtliche Absicherung ihrer Internetpräsenzen verursacht vielen Online-Händlern einen enormen Mehraufwand. Der Händlerbund steht Ihnen bei juristischen Fragen als kompetenter Partner zur Seite. Wenn Sie sich als Händler jetzt für die umfangreichen Rechtsdienstleistungen des Händlerbundes entscheiden, erhalten Sie mit dem Rabattcode P1030#2017 einen Nachlass von 3 Monaten auf das Mitgliedschaftspaket Ihrer Wahl. Jetzt informieren!

Über den Autor

Melvin Dreyer ist seit Mitte 2018 als juristischer Fachredakteur für den Händlerbund tätig. Während er sich im Studium besonders mit Steuerrecht auseinander gesetzt hat, berichtet und berät der Diplom-Jurist nun regelmäßig zu rechtlichen Neuigkeiten und Fragestellungen rund um E-Commerce, IT- und Europarecht.