Unterstützungspflichten des Auftragsverarbeiters

So genannte Auftragsverarbeitungsvorgänge sind im Datenschutzrecht scheinbar allgegenwärtig. Sie liegen immer dann vor, wenn ein Dienstleister (oder auch eine andere Person oder ein Unternehmen) eine weisungsgebundene Verarbeitung personenbezogener Daten im Auftrag des eigentlich für die Daten Verantwortlichen vornimmt. Dies ist regelmäßig der Fall bei der Nutzung eines Dienstleisters für Newsletter (z.B. Mailchimp) oder eines Hosting Anbieters (z.B. AWS), aber auch bei vielen anderen Verarbeitungsvorgängen.

Hintergrund: Pflicht zur (vertraglichen) Regelung der Auftragsverarbeitung

Die europäische Datenschutz-Grundverordnung (DSGVO) begründet in Art. 28 Abs. 3 S. 1 die Pflicht zur vertraglichen Regelung jeder weisungsgebundenen Verarbeitung von Daten. Die weisungsgebundene Partei wird dabei „Auftragsverarbeiter“, der Weisungsgebende „Verantwortlicher“, genannt. Der zwischen Auftragsverarbeiter und Verantwortlichen abgeschlossene Vertrag wird „Auftragsverarbeitungsvertrag“ oder kurz „AV-Vertrag“ genannt.

Art. 28 Abs. 3 S. 2 DSGVO legt die Anforderungen an einen solchen AV-Vertrag fest. Diese umfassen unter anderem die Versicherung, dass der Auftragsverarbeiter personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet (Art. 28 Abs. 3 S. 2 lit. a) DSGVO), sowie die Verschwiegenheits-verpflichtung der beteiligten Personen (Art. 28 Abs. 3 S. 2 lit. b) DSGVO). Art. 28 Abs. 3 S. 2 DSGVO verpflichtet den Auftragsverarbeiter jedoch nicht lediglich zu eigenen Maßnahmen, sondern räumt dem Verantwortlichen auch bestimmte Rechte, wie ein Widerspruchsrecht bei der Einbeziehung von weiteren Subunternehmern (Art. 28 Abs. 3 S. 2 lit. d) DSGVO) oder das Recht sich vor Ort selbst ein Bild von den getroffenen Sicherheitsvorkehrungen zu machen (Art. 28 Abs. 3 S. 2 lit. h) DSGVO). Art. 28 Abs. 3 S. 2 DSGVO legt außerdem Unterstützungspflichten des Auftragsverarbeiters fest.

Kommt der Auftragsverarbeiter seinen (Unterstützungs-)Pflichten nicht nach, ist die Verarbeitung unrechtmäßig und es wird ein behördliches Bußgeld riskiert. Insbesondere im Hinblick auf die Unterstützungspflichten, sind Inhalt und Umfang dem Gesetzestext jedoch nicht ohne weiteres zu entnehmen. Um sie rechtmäßig erfüllen zu können, ist es folglich von zentraler Bedeutung, den Begriff der Unterstützung in

Zwei Arten von Unterstützungspflichten in Art. 28 Abs. 3 S. 2 DSGVO

Zunächst ist festzustellen, dass die Verpflichtung des Auftragsverarbeiters zur Unterstützung des Verantwortlichen in Art. 28 Abs. 3 S. 2 DSGVO an zwei Stellen zu finden ist:

1. 28 Abs. 3 S. 2 lit. e) DSGVO und
2. 28 Abs. 3 S. 2 lit. f) DSGVO.

In Art. 28 Abs. 3 S. 2 lit. e) DSGVO wird die Pflicht des Auftragsverarbeiters begründet, den Verantwortlichen „nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen“ dabei zu unterstützen seinen Pflichten aus Kapitel III der DSGVO (Rechte der betroffenen Person) nachzukommen.

In Art. 28 Abs. 3 S. 2 lit. f) DSGVO geht es dagegen, um die Verpflichtung den Verantwortlichen bei der Einhaltung der Art. 32 bis 36 DSGVO (Weitere Pflichten des Verantwortlichen wie die Garantie von Sicherheitsmaßnahmen, Informationspflichten im Fall einer Datenpanne und Pflichten im Zusammenhang mit einer Datenschutzfolgeabschätzung) zu unterstützen.

Diese Pflichten zu unterscheiden, fällt am leichtesten, wenn man sich den Unterschied zwischen einem Verantwortlichen und einem Auftragsverarbeiter vergegenwärtigt. Der Verantwortliche beherrscht die Verarbeitung und ihre Zwecke. Er veranlasst, verändert und beendet sie. Der Auftragsverarbeiter ist dagegen in der Lage die Mittel der Verarbeitung zu beherrschen. Es kommt bei der Bewertung verschiedener Unterstützungspflichten somit immer auf die Frage an, ob eine Beherrschung der Mittel der Verarbeitung notwendig ist, um die jeweilige Pflicht zu erfüllen.

In Kapitel III der DSGVO werden die Rechte der von einer Verarbeitung betroffenen Person festgelegt. Es geht somit um Rechte, die die betroffene Person gegenüber dem Verantwortlichen hat und auch ihm gegenüber geltend machen kann.  Der Inhalt des Betroffenenrechts (z.B. die Bereitstellung von Informationen zu den Zwecken oder Rechtsgrundlagen der Verarbeitung) ergibt sich regelmäßig aus der (vertraglichen) Beziehung zwischen dem Verantwortlichen und der betroffenen Person. Indem der Auftragsverarbeiter häufig überhaupt keinen Zugriff auf solche Informationen hat, erschöpft sich die Unterstützungspflicht hier darin im Falle einer Anfrage einer betroffenen Person, diese Person an die verantwortliche Stelle zu verweisen. Außerdem muss die Durchsetzung der Betroffenenrechte (beispielsweise die Löschung aller Daten einer Person auf Weisung des Verantwortlichen) technisch durch den Auftragsverarbeiter ermöglicht werden.

Eingrenzung des Inhalts und Umfangs der Unterstützungspflichten bei Erfüllung der Pflichten nach Art. 32 bis 36 DSGVO.

Die Unterstützung bei der Einhaltung der Pflicht nach Art. 32 DSGVO – der Pflicht des Verantwortlichen einen angemessenen Schutz durch geeignete technische und organisatorische Maßnahmen zu gewährleisten – muss vor allem durch das Ergreifen bestimmter technischer und organisatorischer Maßnahmen durch den Auftragsverarbeiter erfüllt werden. Dies ist besonders dann zu beachten, wenn nur der Auftragsverarbeiter die Möglichkeit hat diesen Schutz sicherzustellen (z.B. bei Cloud Anbietern). Eignung und erforderlicher Umfang der zu ergreifenden technischen und organisatorischen Maßnahmen für den Gegenstand der Auftragsverarbeitung, liegt in der Regel in der Expertise des Auftragsverarbeiters. Das ist auch regelmäßig der Grund, weshalb ein Verantwortlicher für die Umsetzung der Datenverarbeitung auf die Unterstützung eines Auftragsverarbeiters zurückgreift.

Art. 33 und 34 DSGVO beziehen sich auf Melde- und Informationspflichten im Falle einer sog. „Datenpanne“ also einer Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO. Solche Datenpannen können sich unter Umständen unmittelbar im Risikobereich des Auftragsverarbeiters ereignen, beispielsweise indem unrechtmäßig auf Daten auf Servern eines Hosting Anbieters zugegriffen wird.

Zwar obliegen die Melde- und Informationspflichten im Zusammenhang mit Datenpannen gem. Art. 33 und 34 DSGVO dem Verantwortlichen, sollte sich jedoch der Datenschutzvorfall (wie oben beschrieben) im Zuständigkeitsbereich des Auftragsverarbeiters ereignet haben, wird in der Regel lediglich der Auftragsverarbeiter die notwendigen Informationen zur Erfüllung dieser Pflichten haben. Darüber hinaus wird er aufgrund seiner Expertise mögliche Risiken für betroffene Personen besser bewerten können, wenn von ihm ergriffene technische und organisatorische Maßnahmen versagen. Es ist somit von zentraler Bedeutung für die Erfüllung der Pflichten, dass der Auftragsverarbeiter ausführliche Informationen in Bezug auf die Datenpanne bereitstellt.

Zudem ist denkbar, dass sich eine Aufsichtsbehörde (vor allem im Zusammenhang mit einer Datenpanne) direkt an einen Auftragsverarbeiter wendet, um weitere Informationen zu erhalten. Auch dies kann je nach Natur der Verarbeitung von den Unterstützungspflichten umfasst sein.

In Art. 35 DSGVO wird schließlich die Pflicht einer Datenschutz-Folgenabschätzung bei Verarbeitungsvorgängen, die ein besonders hohes Risiko für die betroffenen Personen darstellen, begründet. Art. 36 DSGVO regelt die vorangehende Konsultation einer Aufsichtsbehörde.

Bei den Pflichten nach Art. 35 und 36 DSGVO, muss der Verantwortliche feststellen, dass es sich überhaupt um eine besonders riskante Verarbeitung handelt. Geht es jedoch um die Einschätzung des konkreten Risikos (und wird bei der Verarbeitung auf Verarbeitungssysteme des Auftragsverarbeiters zurückgegriffen) ist der Auftragsverarbeiter ebenfalls in der Pflicht erforderliche Informationen (beispielsweise über getroffene technische und organisatorische Maßnahmen) zur Verfügung zu stellen.

Noch weiter führt die Übernahme einer gesamten Aufgabe durch den Auftragsverarbeiter. Dies gilt beispielsweise bei der Pflicht zur Durchführung einer Datenschutz-Folgeabschätzung nach Art. 35 DSGVO. Insbesondere, wenn lediglich der Auftragsverarbeiter in der Lage ist, die für die Risikobewertung relevanten Informationen zu erfassen und das Risiko entsprechend einzuschätzen.

In Art. 36 Abs. 2 DSGVO ist darüber hinaus festgehalten, dass sich die Aufsichtsbehörde auch an den Auftragsverarbeiter wenden kann, wenn sie der Auffassung ist, dass die (oder jedenfalls Teile der) Verarbeitung nicht rechtmäßig erfolgt. Solche weitreichenden Unterstützungspflichten stellen jedoch regelmäßig die Ausnahme dar.

Fazit:

Eine pauschale Antwort auf die Frage nach dem konkreten Umfang und Inhalt der Unterstützungspflichten des Auftragsverarbeiter ist nicht möglich. Vielmehr kommt es regelmäßig auf eine Bewertung im Einzelfall an. Dennoch lassen sich, wie oben gezeigt, einige Kriterien benennen, die für die Bestimmung des Umfangs im Einzelfall herangezogen werden können. Neben der grundsätzlichen Unterscheidung zwischen der Pflicht gem. Art. 28 Abs. 3 S. 2 lit. e) DSGVO, der Pflicht gem. Art. 28 Abs. 3 S. 2 lit. f) DSGVO, ist für die Unterstützungspflichten des Art. 28 Abs. 3 S. 2 lit. f) DSGVO, die Frage nach der tatsächlichen Möglichkeit, der gesetzlichen Pflicht nachzukommen entscheidend. Dies kann – je nach Gegenstand der Auftragsverarbeitung – in erster Linie der Auftragsverarbeiter selbst sein, sodass sich seine Unterstützungspflicht faktisch zu einer Übernahmepflicht erweitert.

Um zu einem späteren Zeitpunkt Konflikte zwischen den Vertragsparteien hinsichtlich des Umfangs der Unterstützungspflichten zu vermeiden, kann es sinnvoll sein, bereits bei Abschluss des AV-Vertrags klar festzulegen, was genau die Unterstützungspflichten des Auftragsverarbeiters umfassen.

Bei der Führung solcher Vertragsverhandlungen, sowie bei der Feststellung welche Unterstützungspflichten für Ihre Verarbeitung erforderlich sind und bei allen anderen Fragen, die sie rund um die Auftragsverarbeitung haben, helfen wir Ihnen selbstverständlich gerne weiter.