Die Auftragsverarbeitung
Mit dem Softwareanbieter muss er geschlossen werden, mit dem Newsletterpartner ohnehin, aber wie sieht es bei Forschungsprojekten aus? Auftragsverarbeitungsverträge (AVV) und deren Gestaltung können schnell zu einem Gräuel werden. Mit wem müssen Hochschulen einen AVV abschließen? Wann sind sie Gemeinsame Verantwortliche und wann ist es egal? Wir geben Ihnen einen Leitfaden.
Sinn und Zweck eines Auftragsverarbeitungsvertrages
Bei einem Dienstleistungsvertrag mit einem externen Partner (Unternehmen, Hochschule) stellt sich immer die Frage, ob dem Dienstleistungsvertrag ein Datenverarbeitungsvertrag als Anlage beigefügt werden muss. Um dies zu beurteilen, sollten Sie sich zunächst folgende drei Fragen stellen:
Beinhaltet der Dienstleistungsvertrag die Verarbeitung von personenbezogenen Daten?
Wenn ja, stellt die Verarbeitung von personenbezogenen Daten einen Kernbereich der Dienstleistung dar oder ist dies nur ein Nebenaspekt?
Wenn ja, hat Ihr Vertragspartner bzgl. der Datenverarbeitung den Weisungen der Hochschule zu folgen oder besteht für ihn bei der Datenverarbeitung ein Ermessensspielraum?
Hat der Vertragspartner den Weisungen der Hochschule zu folgen ist ein Auftragsverarbeitungsvertrag (AVV) als Anlage zum Hauptvertrag erforderlich. Besteht für den Vertragspartner ein eigener Entscheidungsspielraum bzgl. der Datenverarbeitung ist ein Vertrag zur Gemeinsamen Verantwortung abzuschließen.
Bei einem Auftragsverarbeitungsvertrag (AVV) hat der Dienstleister den Weisungen der Hochschule zu folgen.
Beispiele für Dienstleistungen, die ein Auftragsverhältnis begründen: grds. ein Softwarevertrag, Clouds, Datenträgerentsorgung durch Dienstleister, Lohn und Gehaltsabrechnung durch externe Rechenzentren.
Voraussetzungen für einen AVV
Die Auftragnehmerin darf, die an sie übermittelten, personenbezogenen Daten grundsätzlich nur im Rahmen der zwischen der Hochschule und der Auftragnehmerin getroffenen Vereinbarungen verarbeiten. Ein eigenständiges Verarbeiten zu einem weiteren Zweck ist nicht gestattet.
Grundsätzlich muss die Hochschule, die gegenüber der Auftragnehmerin erteilten Weisungen schriftlich oder elektronisch erteilen. Sollten diese Weisungen zunächst mündlich erfolgt sein, müssen die Weisungen danach schriftlich oder elektronisch bestätigt werden.
Es müssen in diesem Zusammenhang auch die Mitarbeitenden, die bei der Hochschule weisungsberechtigt sind, und die Mitarbeitenden, die bei der Auftragnehmerin als Weisungsempfänger tätig sind, namentlich im AVV genannt werden. Weiter muss die Auftragnehmerin der Hochschule mitteilen, sobald sie der Auffassung ist, dass eine Weisung der Hochschule gegen geltendes Recht verstößt. Bis geklärt ist, ob diese Weisung rechtmäßig ist, kann die Auftragnehmerin die Ausführung der Weisung aussetzen.
Inhalt eines AVV
Im AVV müssen grundsätzlich erstmal die Kategorien von personenbezogenen Daten und Betroffenen genannt werden. Die vertragliche Dienstleistung und allgemein auch die Datenverarbeitungen müssen genauso bestimmt werden.
Technische und Organisatorische Maßnahmen (TOMs) sind erforderlich, um im Rahmen der Datensicherheit die personenbezogenen Daten zu schützen, insbesondere die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der die personenbezogenen Daten schützenden Systeme zu gewährleisten.
TOMs Auftragnehmerin
Die Hochschule muss sich darüber informieren und einen Nachweis dahingehend verlangen, dass die Auftragnehmerin der Hochschule ihre TOMs übermittelt. Die TOMs der Auftragnehmerin müssen dem AVV als Anlage beigefügt sein. Die Auftragnehmerin hat ihre TOMs auch jederzeit zu aktualisieren, so dass der aktuelle Stand der Technik im Bereich der Datensicherheit eingehalten wird. Bezüglich der TOMs ist es zu empfehlen in den AVV einzufügen, dass es sich bei den vereinbarten TOMs nur um das Minimum handelt, welches im Bereich Datensicherheit berücksichtigt werden muss.
Weiter muss die Auftragnehmerin der Hochschule auch zusichern, dass die Hochschule regelmäßig Inspektionen vor Ort entweder selber oder durch einen Dritten vornehmen kann, inwiefern die TOMs bei der Auftragnehmerin eingehalten werden. Die Auftragnehmerin muss zusichern, dass sie im Rahmen dieser Inspektionen unterstützend mitwirkt.
TOMs Subunternehmer
Auch die TOMs etwaiger Subunternehmer der Auftragnehmerin müssen der Auftraggeberin vorliegen. Diese müssen dem AVV auch als Anlage beigefügt werden. Inspektionen können auch bei den Subunternehmern erfolgen.
Bestandteil des AVV muss auch sein, dass die Auftragnehmerin nur einen Vertrag mit seinem Subunternehmer abschließen kann, wenn die Hochschule dies genehmigt. Dies gilt auch, wenn die Auftragnehmerin bereits einen Vertrag mit einem Subunternehmer abgeschlossen hat, dann aber einen Vertrag mit einem neuen Subunternehmer abschließen möchte.
Der Vertrag mit dem Subunternehmer muss der Hochschule auf Anfrage durch die Auftragnehmerin ausgehändigt werden. Die Auftragnehmerin haftet gegenüber der Hochschule dafür, wenn es beim Subunternehmer aufgrund nicht ausreichender TOMS zu einer Datenschutzverletzung kommt. Dem AVV müssen in einer Anlage die für die Auftragnehmerin tätigen Subunternehmer aufgeführt werden.
Grundsätzlich ist die Hochschule für die Bearbeitung von Beschwerden zu Betroffenenrechten zuständig. Dementsprechend hat die Auftragnehmerin Beschwerden von Betroffenen, die sie erhält, an die Hochschule weiterzuleiten. Die Auftragnehmerin hat die Hochschule aber bei der Bearbeitung von geltend gemachten Betroffenenrechten zu unterstützen. Wendet sich z.B. ein Betroffener an die Hochschule und möchte wissen, welche Daten über ihn gespeichert sind und die Hochschule kann eine solche Anfrage ohne die Unterstützung der Auftragnehmerin nicht beantworten, ist die Auftragnehmerin dazu verpflichtet, die entsprechenden Informationen an die Hochschule zu übermitteln.
Ist bei der Hochschule eine Datenpanne (z.B. eine Beeinträchtigung der Datensicherheit) erfolgt und die Hochschule kann ihre Verpflichtungen gegenüber der Aufsichtsbehörde nicht ohne die Unterstützung der Auftragnehmerin nachkommen, muss die Auftragnehmerin die Hochschule unterstützen.
Erfolgen Datenpannen bei der Auftragnehmerin, hat die Auftragnehmerin dies der Hochschule unverzüglich mitzuteilen. Diese Mitteilung hat spätestens 24 h nach Kenntnisnahme der Datenpanne zu erfolgen, damit die Hochschule ihren Verpflichtungen gegenüber der Aufsichtsbehörde noch fristgerecht nachkommen kann. Die Auftragnehmerin muss gegenüber der Hochschule die Datenpanne, ihre Folgen und die Maßnahmen zur Behebung der Datenpanne beschreiben. Gerade bezogen auf die Einschätzung, inwiefern die Grundrechte des Betroffenen durch die Datenpanne nachhaltig beeinträchtigt werden, hat die Auftragnehmerin die Hochschule zu unterstützen. Die nach Absprache mit der Hochschule zu treffenden Abhilfemaßnahmen nach Eintritt der Datenpanne müssen von der Auftragnehmerin unverzüglich und umfassend umgesetzt werden. Sollte als Folge der Datenpanne oder unabhängig davon ein Datenschutzaudit durch die Aufsichtsbehörde bei der Auftragnehmerin erfolgen, hat die Auftragnehmerin die Hochschule zu informieren.
Die Auftragnehmerin hat ein eigenes Verarbeitungsverzeichnis (VVT) zu erstellen, in welche sie die für die Hochschule ausgeführte Datenverarbeitung einträgt.
Ist auf Seiten der Hochschule eine Datenschutzfolgeabschätzung erforderlich, hat die Auftragnehmerin an der Erstellung der Datenschutzfolgeabschätzung mitzuwirken, wenn die Hochschule die Datenschutzfolgeabschätzung nicht ohne Unterstützung der Auftragnehmerin ausführen kann.
Mit Beendigung des Vertragsverhältnisses hat die Auftragnehmerin je nach Weisung der Hochschule die übermittelten personenbezogenen Daten entweder zu löschen oder der Hochschule wieder auszuhändigen. Eine Vertragsbeendigung kann auch durch ein außerordentliches Kündigungsrecht ausgelöst werden, wenn es zu beträchtlichen Datenschutzverletzungen durch eine der beiden Parteien gekommen ist.
Die Auftragnehmerin und ihre Mitarbeitenden müssen sich dazu verpflichten, die Vorgaben zur Geheimhaltung einzuhalten. Dahingehend muss die Auftragnehmerin gegenüber der Hochschule auch nachweisen, dass sie die einzelnen Mitarbeitenden mit den Bestimmungen zur Verschwiegenheit vertraut gemacht hat.
Sollte für die Auftragnehmerin ein Datenschutzbeauftragter bestellt sein, muss die Auftragnehmerin diesen der Hochschule mitteilen.
Weiter trägt die Auftragnehmerin im Rahmen der Haftung die Beweislast dafür, dass ein Schaden nicht von einem Verhalten der Auftragnehmerin verursacht wurde, wenn eine Datenschutzverletzung während der Datenverarbeitung durch die Auftragnehmerin erfolgt ist. Die Auftragnehmerin haftet gegenüber der Hochschule auch für eine Datenschutzverletzung des Subunternehmers.
Eine Datenverarbeitung durch einen Mitarbeitenden in einer Privatwohnung ist nur nach Zustimmung der Hochschule gestattet. Es müssen in diesem Fall Maßnahmen getroffen werden, um die TOMs auch im Rahmen der Tätigkeit in der Privatwohnung sicherzustellen.
Drittland
Eine Datenübermittlung in Drittländern liegt z.B. vor, wenn der Server, auf dem die personenbezogenen Daten gespeichert werden, in einem Drittland liegt.
Z.B. bei einem Softwareunternehmen, das personenbezogene Daten der Studierenden oder Mitarbeitenden der Hochschule in einem Drittland (Nicht-EU-Staat) verarbeitet, ist dem Hauptvertrag und dem AVV keine weitere Anlage beizufügen, wenn zu diesem Drittland ein Angemessenheitsbeschluss der Europäischen Kommission besteht. Durch einen Angemessenheitsbeschluss wird durch die Europäische Kommission anerkannt, dass in dem Drittland ein der DSGVO gleichwertiges Datenschutzniveau vorliegt. Angemessenheitsbeschlüsse bestehen für Japan, Kanada, Uruguay, die Schweiz, Argentinien und Neuseeland.
Besteht kein Angemessenheitsbeschluss, müssen Garantien vorliegen, mit denen sichergestellt wird, dass das datenschutzrechtliche Niveau in dem Einzelfall der Vertragsbeziehung entsprechend dem Niveau der DSGVO gleichgestellt ist.
Die entscheidendsten Garantien sind die Standardvertragsklauseln, die dem Dienstleistungsvertrag und dem AVV mit dem betreffenden Unternehmen in dem Drittland als Anlage beigefügt werden. Hierbei handelt es sich um von der Europäischen Kommission in dem Beschluss 2010/87 vorgegebene Vertragsklauseln, welche die Verpflichtungen im Rahmen der Datenverarbeitung zwischen einem Verantwortlichen in der EU und einem Auftragsverarbeiter in einem Drittland festlegen.
Die Standardvertragsklauseln für AVVs sind den Seiten 6-14 des Beschlusses 2010/87 der Europäischen Kommission zu entnehmen. Diese Seiten 6-14 bestehen aus den Standardvertragsklauseln und zwei obligatorischen Anhängen. Die Seiten 6 und 11 der Standardvertragsklauseln und der Anhang 1 auf den Seiten 12 und 13, sowie der Anhang 2 auf der Seite 14 müssen ausgefüllt werden. Die Standardvertragsklauseln müssen dem Dienstleistungsvertrag und dem AVV wortwörtlich beigefügt werden und dürfen nicht verändert werden.
Das Softwareunternehmen muss die Hochschule über sämtliche Anfragen von Studierenden informieren, die direkt von diesen an das Softwareunternehmen gerichtet wurden. Das Softwareunternehmen muss der Hochschule in Deutschland mitteilen, wenn in dem Drittland ein Gesetz erlassen wurde, welches die DSGVO-konforme Datenübermittlung nicht mehr möglich macht.
Im Anhang 1 müssen auch die von dem Softwareunternehmen in dem Drittland ausgeführten Verarbeitungstätigkeiten aufgeführt werden.
Im Rahmen der Datenschutzerklärung muss die Hochschule auch den Studierenden mitteilen, dass ihre personenbezogenen Daten in ein Drittland übermittelt werden. Letztlich muss in einem Verarbeitungsverzeichnis angegeben werden, dass die personenbezogenen Daten der Betroffenen in ein Drittland übermittelt werden und auf der Grundlage von welcher Garantie diese übermittelt werden.
Derzeit ist ein Verfahren vor dem Europäischen Gerichtshof (EuGH) bezüglich der Rechtmäßigkeit der Standardvertragsklauseln allgemein anhängig. Im Augenblick ist die Verwendung der Standardvertragsklauseln jedoch noch rechtmäßig.
Gemeinsame Verantwortlichkeit
Bei einer gemeinsamen Verantwortlichkeit stellen beide Vertragspartner Verantwortliche dar, da sie beide über eine Entscheidungsbefugnis bzgl. der Datenverarbeitung verfügen. Ein Beispiel für eine gemeinsame Verantwortlichkeit besteht darin, dass eine Hochschule personenbezogene Daten von Studierenden an eine weitere Hochschule zwecks Erstellung einer Studie weiterleitet. Da es der zweiten Hochschule obliegt, wie sie die Studie gestalten wird, erstellt die zweite Hochschule die Studie inhaltlich nicht auf Weisung der ersten Hochschule und eine gemeinsame Verantwortlichkeit ist gegeben.
Im Außenverhältnis ist jeder Verantwortliche z.B. bezüglich der Betroffenenrechte auch gegenüber der Aufsichtsbehörde verantwortlich. Aufgrund anderer Verantwortlichkeiten im Innenverhältnis muss jedoch auch bei einer gemeinsamen Verantwortlichkeit dem Dienstleistungsvertrag ein Datenverarbeitungsvertrag als Anlage beigefügt werden.
Inhalt eines Vertrages über eine Gemeinsame Verantwortlichkeit
In dem Vertrag zur gemeinsamen Verantwortlichkeit muss aufgeführt sein, welche datenschutzrechtlichen Verantwortlichkeiten von welchem Vertragspartner im Innenverhältnis übernommen werden.
Der Betroffene kann seine Betroffenenrechte gegenüber jedem Verantwortlichen geltend machen. Eine mögliche Aufteilung der Verantwortlichkeiten betrifft jedoch z.B. die Bearbeitung von Beschwerden von Betroffenen, die eine Datenauskunft oder einen Löschanspruch bzgl. ihrer verarbeiteten personenbezogenen Daten geltend machen. Dabei muss weiter berücksichtigt werden, dass ein Verantwortlicher bei der Bearbeitung von Beschwerden durch Betroffene auch dem anderen Verantwortlichen die aus seinem Wirkbereich erforderlichen Informationen zur Verfügung stellen muss.
Grundsätzlich kann die Aufteilung auch nur einen Teil der jeweiligen Verarbeitungstätigkeit betreffen. Beide Parteien müssen jedoch die Rechtmäßigkeit der Datenverarbeitung gewährleisten. Auch beide Parteien müssen über die erforderlichen TOMs verfügen.
Im Rahmen einer Datenpanne obliegen beiden Parteien die erforderlichen Meldepflichten an die Aufsichtsbehörde und etwaige Meldepflichten an den Betroffenen. Inhaltlich kann jedoch geregelt werden, wie die Übermittlung von für die Meldung einer Datenpanne entscheidenden Informationen aus dem Wirkbereich des einen Verantwortlichen an den anderen erfolgen kann.
Die Parteien haben sich weiter gegenseitig zu informieren, wenn sie als Subunternehmer AVVe abschließen. Beide Parteien haben die dem Dienstleistungsvertrag zugrundeliegenden datenschutzrechtlichen Verarbeitungstätigkeiten in ein Verarbeitungsverzeichnis einzutragen. Unabhängig von der Haftung im Außenbereich haften die Parteien im Innenverhältnis nur für die Datenschutzverletzungen in ihrem Wirkbereich.