Checkliste zur Prüfung von Auftragsverarbeitungsvereinbarungen

Ein Gastbeitrag unserer studentischen Mitarbeiterin Mariya Popova 

Die Datenschutzaufsichtsbehörden von Bayern, Berlin, Niedersachsen, Rheinland-Pfalz, Sachsen und Sachsen-Anhalt haben eine Checkliste zur Prüfung von Auftragsverarbeitungsverträgen veröffentlicht. Hintergrund ist die geplante Überprüfung von Auftragsverarbeitungsverträgen von Webhosting-Unternehmen durch die Aufsichtsbehörden. Auslöser dafür war die Vielzahl rechtswidriger Verträge.

Webseiten und Online-Shops werden in der Regel nicht vom Betreiber selbst gehostet, sondern auf Servern eines externen Hosting-Dienstleisters. Beim Aufruf der Seite werden personenbezogene Daten der Besucher erhoben und verarbeitet, insbesondere dessen IP-Adresse. Da der Hosting-Dienstleister hierbei im Auftrag des verantwortlichen Website-Betreibers tätig ist, handelt es sich um eine Auftragsverarbeitung. Zwischen dem Seitenbetreiber und dem Webhoster ist deshalb in jedem Fall eine Auftragsverarbeitungsvereinbarung zu schließen. Dieser Vertrag muss natürlich den Vorschriften der DSGVO entsprechen.

Hierbei scheint es einige Unklarheiten zu geben, was oft zu rechtswidrigen Verträgen führt. So erhalten die Aufsichtsbehörden nach eigener Auskunft vermehrt Anfragen von Unternehmen, die von Webhostern Auftragsverarbeitungsverträge angeboten bekommen, die augenscheinlich nicht den Anforderungen der DSGVO entsprechen. Auch wir sehen in unserer täglichen Praxis immer wieder veraltete oder sonst ungeeignete Muster-Auftragsverarbeitungsvereinbarungen, die offenbar häufig ungelesen oder ungeprüft unterzeichnet werden.

Die Aufsichtsbehörden nehmen die Nachfragen von Betreibern nun zum Anlass, verstärkt die Standardverträge von Webhostern zu prüfen (Pressemitteilung des BayLDA). Zudem haben sie eine Checkliste veröffentlicht, die es sowohl den Verantwortlichen, als auch den Webhostern erleichtern soll, eine rechtskonforme Auftragsverarbeitung auszugestalten.

Für Unternehmen stellt die Checkliste einen sinnvollen Anknüpfungspunkt für eine rechtliche Prüfung von Auftragsverarbeitungsvereinbarungen dar. Da die Liste naturgemäß nicht alle problematischen Aspekte abdecken kann und für die Beantwortung einzelner Fragen rechtliche oder technische Expertise erforderlich ist, kann es im Zweifel trotzdem ratsam sein, sich externe Unterstützung hinzuzuziehen.

Im Folgenden werden die wichtigsten Punkte und Erkenntnisse der Checkliste zusammengefasst:

• Eine Auftragsverarbeitungsvereinbarung kann auch in Allgemeinen Geschäftsbedingungen (AGB) des Hosting-Providers integriert sein.
• In der Vereinbarung müssen technische und organisatorische Maßnahmen nicht konkret geregelt sein. Es reicht ein reiner Hinweis auf die Einhaltung der nach Art. 32 DSGVO erforderlichen Maßnahmen. Der Auftraggeber wird jedoch nicht von seiner Verpflichtung entbunden, sich ggf. durch vorherige Prüfungen davon zu überzeugen, dass die erforderlichen technischen und organisatorischen Maßnahmen vom Auftragnehmer umgesetzt werden.
• Regelungen, die es dem Auftragnehmer ermöglichen, die Kosten einer Kontrolle durch den Auftraggeber in Rechnung zu stellen sind zulässig, soweit nicht eine Kontrolle wegen Gesetzes- oder Vertragsverstoß durch den Auftragnehmer erforderlich war.
• Wird in der Vereinbarung auf weitere Dokumente verwiesen, die gesetzliche Pflichtinhalte der Auftragsverarbeitung enthalten, so müssen auch diese Dokumente den Formvorschriften entsprechen.
• Werden in der Auftragsverarbeitungsvereinbarung Weisungsrechte beschränkt, so hat das lediglich Auswirkung auf die Frage ob die Ausführung der Weisung eine zusätzliche Vergütung auslösen kann.
• Vertraulichkeitsverpflichtungen, die eine Offenlegung von Informationen gegenüber der Aufsichtsbehörde oder betroffenen Personen ausschließen, sind im Rahmen der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO unzulässig.
• Ob die Auftragsdaten nach Ende der Verarbeitung gelöscht oder zurückgegeben werden, entscheidet der Auftraggeber, nicht der Auftragnehmer.

Weitere hilfreiche Informationen zur Auftragsverarbeitung finden Unternehmen auch auf einer Info-Seite des Bayerischen Landesamts für Datenschutzaufsicht.

Photo by Glenn Carstens-Peters on Unsplash