Datenschutzerklärung

Checkliste zur Prüfung von Auftragsverarbeitungsvereinbarungen

Ein Gastbeitrag unserer studentischen Mitarbeiterin Mariya Popova 

Die Datenschutzaufsichtsbehörden von Bayern, Berlin, Niedersachsen, Rheinland-Pfalz, Sachsen und Sachsen-Anhalt haben eine Checkliste zur Prüfung von Auftragsverarbeitungsverträgen veröffentlicht. Hintergrund ist die geplante Überprüfung von Auftragsverarbeitungsverträgen von Webhosting-Unternehmen durch die Aufsichtsbehörden. Auslöser dafür war die Vielzahl rechtswidriger Verträge.

Webseiten und Online-Shops werden in der Regel nicht vom Betreiber selbst gehostet, sondern auf Servern eines externen Hosting-Dienstleisters. Beim Aufruf der Seite werden personenbezogene Daten der Besucher erhoben und verarbeitet, insbesondere dessen IP-Adresse. Da der Hosting-Dienstleister hierbei im Auftrag des verantwortlichen Website-Betreibers tätig ist, handelt es sich um eine Auftragsverarbeitung. Zwischen dem Seitenbetreiber und dem Webhoster ist deshalb in jedem Fall eine Auftragsverarbeitungsvereinbarung zu schließen. Dieser Vertrag muss natürlich den Vorschriften der DSGVO entsprechen.

Hierbei scheint es einige Unklarheiten zu geben, was oft zu rechtswidrigen Verträgen führt. So erhalten die Aufsichtsbehörden nach eigener Auskunft vermehrt Anfragen von Unternehmen, die von Webhostern Auftragsverarbeitungsverträge angeboten bekommen, die augenscheinlich nicht den Anforderungen der DSGVO entsprechen. Auch wir sehen in unserer täglichen Praxis immer wieder veraltete oder sonst ungeeignete Muster-Auftragsverarbeitungsvereinbarungen, die offenbar häufig ungelesen oder ungeprüft unterzeichnet werden.

Die Aufsichtsbehörden nehmen die Nachfragen von Betreibern nun zum Anlass, verstärkt die Standardverträge von Webhostern zu prüfen (Pressemitteilung des BayLDA). Zudem haben sie eine Checkliste veröffentlicht, die es sowohl den Verantwortlichen, als auch den Webhostern erleichtern soll, eine rechtskonforme Auftragsverarbeitung auszugestalten.

Für Unternehmen stellt die Checkliste einen sinnvollen Anknüpfungspunkt für eine rechtliche Prüfung von Auftragsverarbeitungsvereinbarungen dar. Da die Liste naturgemäß nicht alle problematischen Aspekte abdecken kann und für die Beantwortung einzelner Fragen rechtliche oder technische Expertise erforderlich ist, kann es im Zweifel trotzdem ratsam sein, sich externe Unterstützung hinzuzuziehen.

Im Folgenden werden die wichtigsten Punkte und Erkenntnisse der Checkliste zusammengefasst:

  • Eine Auftragsverarbeitungsvereinbarung kann auch in Allgemeinen Geschäftsbedingungen (AGB) des Hosting-Providers integriert sein.
  • In der Vereinbarung müssen technische und organisatorische Maßnahmen nicht konkret geregelt sein. Es reicht ein reiner Hinweis auf die Einhaltung der nach Art. 32 DSGVO erforderlichen Maßnahmen. Der Auftraggeber wird jedoch nicht von seiner Verpflichtung entbunden, sich ggf. durch vorherige Prüfungen davon zu überzeugen, dass die erforderlichen technischen und organisatorischen Maßnahmen vom Auftragnehmer umgesetzt werden.
  • Regelungen, die es dem Auftragnehmer ermöglichen, die Kosten einer Kontrolle durch den Auftraggeber in Rechnung zu stellen sind zulässig, soweit nicht eine Kontrolle wegen Gesetzes- oder Vertragsverstoß durch den Auftragnehmer erforderlich war.
  • Wird in der Vereinbarung auf weitere Dokumente verwiesen, die gesetzliche Pflichtinhalte der Auftragsverarbeitung enthalten, so müssen auch diese Dokumente den Formvorschriften entsprechen.
  • Werden in der Auftragsverarbeitungsvereinbarung Weisungsrechte beschränkt, so hat das lediglich Auswirkung auf die Frage ob die Ausführung der Weisung eine zusätzliche Vergütung auslösen kann.
  • Vertraulichkeitsverpflichtungen, die eine Offenlegung von Informationen gegenüber der Aufsichtsbehörde oder betroffenen Personen ausschließen, sind im Rahmen der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO unzulässig.
  • Ob die Auftragsdaten nach Ende der Verarbeitung gelöscht oder zurückgegeben werden, entscheidet der Auftraggeber, nicht der Auftragnehmer.

Weitere hilfreiche Informationen zur Auftragsverarbeitung finden Unternehmen auch auf einer Info-Seite des Bayerischen Landesamts für Datenschutzaufsicht.

Weitere Artikel zum Thema

Bußgeld für unzureichende DSGVO-Schulung von Mitarbeitern

Nach den Vorgaben der Datenschutzgrundverordnung sind Unternehmen verpflichtet, ihre Mitarbeiter im Umgang mit personenbezogenen Daten zu schulen und zu sensibilisieren. Verfügt der Verantwortliche über einen Datenschutzbeauftragten, gehört die Mitarbeiterschulung zu dessen zentralen Aufgaben (vgl. Art. 39 Abs. 1 lit. b DSGVO). Die rumänische Datenschutz-Aufsichtsbehörde hat nun gegen ein Unternehmen ein Bußgeld in Höhe von EUR 100.000,00 verhängt, weil dieses nicht nachweisen konnte, dass seine Mitarbeiter im Datenschutzrecht geschult wurden und an Schulungen auch aktiv teilgenommen haben.
Weiterlesen

Berufungsgericht Brüssel: Transparency & Consent Framework (TCF) des IAB Europe verstößt gegen Datenschutzrecht

Ein belgisches Berufungsgericht hat mit einer Entscheidung zum Transparency & Consent Framework (TCF) des IAB Europe für einen Paukenschlag gesorgt, der allerdings wenig überraschend kommt. Das TCF, welches die technische Grundlage für einen Großteil der Tracking-Einwilligungen auch großer Werbeanbieter wie Google oder Amazon ist, verstößt nach Auffassung der Richter gegen Vorgaben der DSGVO. Das Urteil und etwaige Folgeentscheidungen von Aufsichtsbehörden könnte weitreichende Konsequenzen für die Werbebranche haben. Die Art und Weise, wie heute tracking-basierte Ads ausgespielt werden, insbesondere durch “Real-Time-Bidding” auf Werbeplätze, könnte vor dem Aus stehen.
Weiterlesen

Jetzt beraten lassen

Kontaktieren Sie uns gerne für ein erstes unverbindliches Gespräch.

FX Data

Verhoevenstrasse 4
81739 München
Google Maps

E-Mail

info@fx-data.de

Telefon

+49 89 211 11 890