Auftragsverarbeitung im Verein

zuletzt aktualisiert am: 9. Juni 2021

Was ist Auftragsverarbeitung nach Art. 28 DSGVO?

Auftragsverarbeitung (AV) gab es schon vor der DSGVO. Damals hieß es noch Auftragsdatenverarbeitung (ADV). Der Artikel 28 DSGVO sieht vor, dass die

Verarbeitung durch einen Auftragsverarbeiter (…) auf der Grundlage eines Vertrags (erfolgt) (Art. 28, Abs. 3 DSGVO)

Dabei darf der Verantwortliche

nur mit Auftragsverarbeitern (zusammenarbeiten), die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung (d.h. DSGVO) erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. (Art. 28, Abs. 1 DSGVO)

Der Verantwortliche muss also bei der Wahl seiner Dienstleister genau aufpassen. Doch dazu später mehr. Zunächst einmal klären wir die spannende Frage:

Wann liegt eine Auftragsverarbeitung (AV) vor?

Nicht jede Beauftragung eines Dienstleisters ist eine Auftragsvereinbarung. Laut DSGVO ist ein Auftragsverarbeiter

eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO)

Schön. Nachdem wir das geklärt haben, fragen wir uns: Was ist eine Datenverarbeitung im Auftrag? Dafür gibt es leider keine genaue Definition. Der Artikel 28 DSGVO bestimmt jedoch, dass „personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen (…) verarbeitet“ werden dürfen.

Entscheidend ist die Frage: Wer bestimmt den Zweck/ die Zwecke der Verarbeitung?

Ein Auftragsverarbeiter hat keine Verfügungsbefugnis über die personenbezogenen Daten. Er darf die ihm anvertrauten Daten nur für die vom Auftraggeber (Verantwortlichen) festgelegten Zwecke und auf dessen Anweisung verarbeiten. Eine Verarbeitung darüber hinaus (z.B. für eigene Marketingzwecke) ist nicht gestattet. Er hat allerdings Spielräume bei der Entscheidung über die Technisch-Organisatorischen Maßnahmen (TOMs).

Wenn also die Verarbeitung personenbezogener Daten das Kernelement der Dienstleistung ist, der Dienstleister lediglich (i.d.R. technische) Hilfs- bzw. Unterstützungsfunktion hat und selbst nicht die Verarbeitungszwecke festlegt, liegt eine AV vor.

Beispiele für Auftragsverarbeitung im Verein und in kleinen Unternehmen

  • Website-Host und E-Mail-Provider (z.B. Strato, 1&1)
  • Newsletter-Dienst (z.B. Mailchimp, newsletter2go)
  • Cloud-Anbieter (z.B. Microsoft, Dropbox, luckycloud)
  • online Vereinssoftware (z.B. vereine-online.de)
  • Video-Chat-Dienst (z.B. Zoom)
  • Messenger-Dienste (außerhalb des privaten Gebrauchs)
  • externe Druckdienstleistungen, z.B. Lettershops
  • ….

Privilegierung der Auftragsverarbeitung

Voraussetzung ist, dass Auftragsverarbeiter die Daten nicht für eigene Zwecke nutzt! Der Auftragsverarbeiter ist kein „Dritter“ im Sinne der DSGVO. Er genießt also eine Sonderstellung. Der Verantwortliche braucht zur Datenübertragung keine Rechtsgrundlage nach Artikel 6 ff. DSGVO. Dennoch darf man nicht einfach so personenbezogenen Daten übermitteln.

Rechtsgrundlage bei Auftragsverarbeitung im Verein

Damit pbD im Auftrag  verarbeitet werden dürfen, muss der Verein/ das Unternehmen zwingend einen entsprechenden Vertrag schließen. Damit ist dann der Auftragnehmer weisungsgebunden und sozusagen ein Teil der Organisation des Vereins. Der Auftragsverarbeiter ist dennoch ein Empfänger. Als solcher muss er natürlich im Verzeichnis für Verarbeitungstätigkeiten (VVT) dokumentiert sein. Zudem gehört er als Datenempfänger in die Information nach Artikel 12ff.

Auftragsverarbeitungsvereinbarung (AVV)

Die DSGVO schreibt im Artikel 28 ziemlich genau vor, was alles im AV-Vertrag geregelt sein muss. Es gibt hierzu jede Menge Muster und viele Anbieter haben bereits eigene Verträge. Oftmals reicht es sogar, diese Verträge mit nur einem einzigen Klick anzunehmen. Das ist absolut ausreichend.

AV-Vertragsmuster der GDD

Formulierungshilfe für einen Auftragsverarbeitungsvertrag des LfDI BW

Muster für einen AV-Vertrag von activemind

Wie wählt man einen geeigneten Dienstleister aus?

Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen. Die Rechte der betroffenen Personen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Schadensersatz sind in diesem Fall gegenüber dem Verantwortlichen geltend zu machen. (§62 BDSG)

Dieser Satz hat es in sich. Wenn der Verantwortliche nämlich einen ungeeigneten Anbieter auswählt, haftet er selbst. Besonders die Betroffenenrechte (z.B. das Recht auf Löschung) sind bei Drittland-Übermittlungen, beispielsweise in die USA, nicht immer vollumfänglich gewährleistet.

Die DSGVO sieht „geeignete Garantien“ vor, falls es für ein Drittland keinen Angemessenheitsbeschluss gibt. (Das Datenschutzniveau der Schweiz beispielsweise gilt als angemessen). Generell sollte man bei AVV europäische Lösungen bevorzugen. Weitere „geeignete Garantien“ sind die so genannten Standardvertragsklauseln oder aber auch das „Privacy Shield“-Abkommen mit den USA. Gerade dieses steht in der Kritik, doch solange es keine gegenteilige Aussage gibt, prüfen Sie unbedingt bevor Sie einen US-Anbieter wählen, ob er privacy-shield-zertifiziert ist. 

+++ Aktualisierung August 2020: Nach dem Wegfall des Privacy Shields, steht die Datenübermittlung in die USA auf ganz wackeligen Füßen. Zwar dürften formal über Standardvertragsklauseln noch Daten in ein Drittland übermitteln werden, aber die Rechtslage in den USA widerspricht den europäischen Freiheitsrechten, so dass hier seitens der Behörden noch weiterer Klärungsbedarf besteht. +++

Art. 28 DSGVO und §62 BDSG sagen aber auch, dass im Grunde alle Dienstleister ausfallen, mit denen man keine (adequate) AVV schließen kann. Dies ist gern bei gratis-Tools der Fall, die eher an Privatkunden gerichtet sind (z.B. Whatsapp).

Was ist keine Auftragsverarbeitung?

Wenn die Verarbeitung personenbezogener Daten nicht die zentrale Aufgabe, sondern nur eine untergeordnete Rolle der eigentlichen Dienstleistung ist, so liegt i.d.R. keine Auftragsverarbeitung vor.

Im alten BDSG gab es die sogenannte „Funktionsübertragung“. Hierbei hat der Datenempfänger gewisse Entscheidungsspielräume. Die DSGVO sieht diese Unterscheidung jedoch nicht vor: Entweder ist ein Dienstleister ein Auftragsverarbeiter oder er ist (ggf. gemeinsam) verantwortlich. Dabei muss keine gleichberechtigte Verantwortung vorhanden sein oder gar der gemeinsame Wille, wie das Facebook-Urteil gezeigt hat. (mehr dazu in meinem Facebook-Artikel)

Bei gemeinsam Verantwortlichen braucht der Verein zur Übermittlung von personenbezogenen Daten unbedingt eine Rechtsgrundlage nach Artikel 6 DSGVO. Das ist regelmäßig das „berechtigte Interesse“. Aber Vorsicht: Beim berechtigten Interesse muss vorher eine nachweisbare Abwägung stattgefunden haben, weshalb das Interesse des Verantwortlichen höher ist als die Freiheitsrechte des Betroffenen. Eine Einwilligung ist als Rechtsgrundlage möglich, bedeutet aber, dass der Betroffene seine Einwilligung freiwillig geben muss und das Recht hat, diese jederzeit zu widerrufen. Wichtig bei der gemeinsamen Verantwortung ist, dass die Betroffenen informiert werden!

Auch wenn es, wie eben gesagt, die „Funktionsübertragung“ nicht mehr gibt, so gibt es dennoch weiterhin die „Inanspruchnahme fremder Fachleistungen“. Das sind zum Beispiel:

  • Steuerberater
  • Rechtsanwälte
  • Inkassobüros
  • Bankinstitut für Geldtransfer
  • Zahlungsdienstleister für elektronischen Geldtransfer
  • Postdienstleister für Brieftransport

Diese unterliegen selbst beruflichen Geheimhaltungspflichten und müssen daher nicht über einen AV-Vertrag oder einen Vertrag zur gemeinsamen Verantwortung gebunden werden. Auch diese Empfänger gehören jedoch in das Verzeichnis für Verarbeitungstätigkeiten sowie in die Information der Betroffenen nach Artikel 12ff.

Gemeinsame Verantwortung/ Joint Controllership

Eine gemeinsame Verantwortung nach Art. 26 DSGVO basiert auf faktischem Verhalten. Wenn mehr als ein Verantwortlicher über Zwecke und Mittel der Verarbeitung personenbezogenen Daten entscheiden, muss man die gemeinsame Verantwortung vertraglich regeln, zB. wer informiert nach Art. 13/ 14 DSGVO.

Ein klassisches Beispiel für eine gemeinsame Verantwortung sind Personaldienstleister. Aber auch Google Analytics oder eine Facebook-Fanpage gehört hierzu.

Pflichten als Auftragsverarbeiter

In meiner bisherigen Betrachtung ging ich von einem typischen Verein/ kleinen Handwerks-/ Dienstleistungsbetrieb aus, der selbst Verantwortlicher ist und bestimmte Aufgaben nach außen vergibt. Doch was ist mit Unternehmen, die selbst Auftragsverarbeiter sind?

Zunächst einmal sind Aufragsverarbeiter verpflichtet, eine Datenschutzbeauftragten zu bestellen. Sobald ein Auftragnehmer selbst Aufträge an Unterauftragnehmer vergibt, muss es dies mit dem Auftraggeber abstimmen. Wichtig ist auch, die Führung eines speziellen Verzeichnisses für Verarbeitungstätigkeiten. Tiefer möchte ich an dieser Stelle nicht einsteigen. Das wäre ein eigener Artikel.

Quellen:

Bitkom: Leitfaden „Begleitende Hinweise zu der Anlage Auftragsverarbeitung“

DSK: Kurzpapier Nr. 13 

Bildquellen

  • Vertrag: Pixabay: Mohamed Hassan