Auftragsverarbeitung: Orientierungshilfe zum Einsatz von Dienstleistern
Vorbemerkung
Die nachstehenden Hinweise dienen als erste Orientierung für Sie. Unsere Ausführungen stehen unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung des Europäischen Datenschutzausschusses sowie weiterer Auslegungen der Datenschutzbehörden. Eine Haftung für den Inhalt, die Vollständigkeit oder auch die Wirkung der Ausführungen wird nicht übernommen.
Einleitung
Bei der Beauftragung von Dienstleistern ist zu prüfen, auf welcher Rechtsgrundlage dieser die personenbezogenen Daten für den Auftraggeber (Vermittler) verarbeitet (z.B. beim Maklerpool, Vergleicher, Callcenter, Betreiber des genutzten externen Rechenzentrums, Beauftragter zur Wartung der Datenverarbeitungsanlagen, Unternehmen zur Entsorgung von Altpapier und elektronischen Datenträgern). Wenn ein Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO die Rechtsgrundlage bilden soll, sind die gesetzlichen Anforderungen an die Auswahl des Dienstleisters und die Vertragsinhalte zu beachten, weil Verstöße hiergegen bußgeldpflichtig sind.
AVV als Rechtsgrundlage
Der AVV ist eine Rechtsgrundlage für die Übermittlung der Daten vom Auftraggeber zum Auftragnehmer und zur Verarbeitung der Daten durch den Auftragnehmer. Der Auftragsverarbeiter wird dem Auftraggeber als dem für die Datenverarbeitung Verantwortlichen zugerechnet, weil er durch den AVV und die dort enthaltenen Vorgaben des Auftraggebers eng an den Auftraggeber gebunden ist, so dass dieser letztlich Herr der Datenverarbeitung beim Dienstleister ist.Wegen des nicht unerheblichen Bußgeld- und Haftungsrisikos des Auftraggebers ist es ratsam zu prüfen, ob keine andere Rechtsgrundlagen für die Datenverarbeitung herangezogen werden können, wie z.B. die direkte Einwilligung des Betroffenen.
AVV und Funktionsübertragung
Die Aufsichtsbehörden haben in der Vergangenheit zwischen AVV und einer Funktionsübertragung unterschieden. Wenn ganze Funktionen des Auftraggebers auf einen Dienstleister verlagert werden (z.B. die Schadenbearbeitung), war dies bisher keine Auftragsdatenverarbeitung. Die Datenschutzkonferenz (DSK) hat in ihrem Kurzpapier 13 die Unterscheidung zwischen Auftragsdatenverarbeitung und Funktionsübertragung nunmehr aufgegeben. Im Ergebnis kann die Datenverarbeitung durch einen Dienstleister zukünftig grundsätzlich auf einen AVV gestützt werden, auch wenn ganze Funktionen des Vermittlers vom Dienstleister übernommen werden.
Intermediäre und Maklerpools
Wenn Sie als Makler mit Dienstleistern, wie z.B. Vergleichern, Online-MVP-Systemen oder Maklerpools zusammenarbeiten, die in Ihrem Auftrag Kundendaten verarbeiten, empfiehlt es sich, dass der Vermittler mit dem Dienstleister eine AVV abschließt, um die Verarbeitung der Kundendaten durch den Dienstleister zu legitimieren und sich die erforderlichen Weisungs- und Kontrollrechte zu sichern. Ein übersichtliches Vertragsmuster für eine AVV hat die Gesellschaft für Datenschutz und Datensicherheit (GDD) entwickelt. Üblicherweise wird Ihnen aber der Dienstleister eine AVV zur Verfügung stellen, die inhaltlich abgestimmt werden sollte. Soweit ein Vermittler Dienstleister einsetzt, um seine Systeme und Anwendungen warten zu lassen, ist nach dem bisher geltenden BDSG eine Auftragsdatenverarbeitungsvereinbarung mit dem Wartungsunternehmen zwingend. Obwohl eine entsprechende ausdrückliche Vorgabe in der DSGVO nicht mehr besteht, ist es weiterhin ratsam, mit dem Wartungsunternehmen einen Auftragsverarbeitungsvertrag abzuschließen, um ein ggf. unbefugtes Offenbaren von Kundendaten gegenüber dem eingesetzten Wartungspersonal zu vermeiden.
Informationspflichten
Bei dem Einsatz von Dienstleistern sind die Informationspflichten zu beachten. Denn der Vermittler ist gem. Art. 13 DSGVO verpflichtet, seine Kunden über Empfänger oder Kategorien von Empfängern zu informieren, denen er Daten übermittelt – hierfür dient die Einwilligungserklärung. Diese Informationspflichten entfallen aber, wenn der Kunde hierüber bereits z.B. im Rahmen eines Maklerauftrags unter Beifügung entsprechender Datenschutzinformationen informiert wurde. Falls der Dienstleister, wie z.B. ein Maklerpool die Daten für eigene Zwecke verarbeitet, hat er direkte Informationspflichten gegenüber den Kunden.
Auswahl des Auftragsverarbeiters und Vertragsgestaltung
Der Vermittler darf nur solche Auftragsverarbeiter einsetzen, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass eine Verarbeitung im Einklang mit der DSGVO und dem Schutz der Rechte der Betroffenen gewährleistet ist. Wenn der Makler mit am Markt etablierten Unternehmen zusammen arbeitet (z.B. aus dem Bereich Vergleicher, MVP oder Pool), sollte er davon ausgehen, dass technische und organisatorischen Maßnahmen gem. DSGVO ausreichend sind. Sollte darüber hinaus ein regionaler oder kleiner Dienstleister beauftragt werden, ist die DSGVO-Konformität sicherzustellen.
Dies bedeutet, dass der Dienstleister zuvor in Bezug auf die Gewährleistung der datenschutzrechtlichen Anforderungen zu überprüfen ist. Zum Nachweis hinreichender Garantien kann unter Umständen die Einhaltung genehmigter Verhaltensregelungen oder der Nachweis eines geeigneten Zertifizierungsverfahrens herangezogen werden. Die Datenschutzkonferenz (DSK) hat hierzu das Kurzpapier Nr. 9 herausgegeben. Entsprechende Zertifizierungsstellen und Standards müssen allerdings von den Aufsichtsbehörden erst noch definiert werden. Die Durchführung der Dienstleisterauswahl und die Prüfung des Dienstleisters sind zu dokumentieren. Der Auftragsverarbeitungsvertrag muss den gesetzlichen Anforderungen entsprechen. Er muss alle in Art. 28 Abs. 3 DSGVO enthaltenen Vorgaben enthalten und bedarf der Schriftform, wobei auch ein elektronisches Format genügt. Es bietet sich deshalb an, bewährte Musterverträge wie z. B, von der GDD zu nutzen. Die nach bisherigem Recht abgeschlossenen Auftragsdatenverarbeitungsverträge sind zu überprüfen und an die Anforderungen der DSGVO anzupassen. In der Regel dürfte eine komplette Neufassung zweckmäßig sein.
