03.03.2023 | Datenschutz & IT | ID: 1132140

Auftragsdatenbearbeitung: „Outsourcing“ als Idealmodell?

Lesen Sie in diesem Beitrag, welche rechtlichen Rahmenbedingungen und welche Pflichten nach der DSGVO beim Outsourcing unbedingt beachtet werden müssen.

In modernen Unternehmen werden nur selten alle Aufgaben selbstständig erledigt. In der Regel werden so manche, meist komplexere Tätigkeiten, an Drittanbieter „outgesourct“. Durch die Auslagerung der meisten Tätigkeiten geht im Zuge der digitalen Revolution meist ein Datentransfer zwischen dem Unternehmen und dem Dienstleister einher. Sollen in diesem Zusammenhang auch personenbezogene Daten weitergegeben werden, ist das Datenschutzrecht zu beachten, welches in Österreich durch das Datenschutzgesetz und die Datenschutzgrundverordnung geregelt ist. In diesem Zusammenhang muss geklärt werden, unter welchen Voraussetzungen die Datenübertragung zulässig ist, welche Informationspflichten einzuhalten sind und welche sonstigen Regeln vom Auftraggeber bzw Auftragnehmer einschlägig sind.

Warum „Outsourcing“? 

Outsourcing trägt dem Gedanken einer arbeitsteiligen Wirtschaft Rechnung und ist kaum wegzudenken, da durch die zahlreichen, immer dichter werdenden Prozesse und Vorschriften ein gänzliches Selbstmanagement oft beinahe unmöglich ist.

Überträgt ein Unternehmen die Buchhaltungsagenden einem Drittanbieter und übermittelt diesem zur Aufgabenerfüllung sämtliche steuerrechtlich relevanten Daten, liegt bereits eine datenschutzrechtlich relevante Auslagerung vor. Häufig übertragen Unternehmen ihren Marketingbereich an ein hierfür spezialisiertes Unternehmen, welches zur Erfüllung dieser Tätigkeiten diverse Kundendaten benötigt. Besonders relevant zur heutigen Zeit ist auch der gesamte Bereich der Cloud-Speicherung. Es werden hierbei Daten aller Art an einen Dienstleister übertragen, der diese zu Speicherungs- bzw Sicherungszwecken übertragen bekommt.

Rechtliche Grundlagen 

Die DSGVO enthält in den Bestimmungen in deren Artikel 28 ff detaillierte Regelungen, wobei hierbei die Begrifflichkeit der „Auftragsverarbeitung“ gewählt wurde. Die DSGVO bietet europaweit einheitlich die Möglichkeit zur Auftragsverarbeitung. Dabei handelt es sich um die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen des für die Datenverarbeitung Verantwortlichen auf Grundlage einer entsprechenden Vereinbarung.

Risiken und Anforderungen

Der Transfer von personenbezogenen Daten im Sinne der DSGVO an Dritte zwecks Erfüllung bestimmter Aufgaben ist innerhalb des Anwendungsbereiches der DSGVO grundsätzlich zulässig und erfordert keine explizite Information der betroffenen Personen. Damit verbunden sind jedoch teils nicht unerhebliche Risiken, wie etwa den unbefugten Zugriff auf die personenbezogenen Daten, Datenverlust oder unzureichende Datensicherheit.

Geschieht eine Verarbeitung im Auftrag eines Verantwortlichen, so müssen diese ausreichende Garantien dafür vorweisen können, dass geeignete technische und organisatorische Maßnahmen (TOMs) getroffen wurden, damit die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person sicherstellt.

Rechtsgrundlage oder Vertrag erforderlich

Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Die konkreten vertraglich festzuhaltenden Inhalte enthält Artikel 28 DSGVO.

Pflichten nach der DSGVO

Die Einhaltung folgender Pflichten ist insbesondere sicherzustellen:

• Integration technischer und organisatorischer Maßnahmen der Datensicherheit
• Bestellung eines Datenschutzbeauftragten, sofern nach der DSGVO erforderlich
• Pflicht, den Verantwortlichen zu informieren, wenn Weisungen nach Ansicht des Auftragsverarbeiters die DSGVO oder andere Datenschutzbestimmungen verletzten
• Pflicht zur Meldung von Datenschutzverletzungen an den Verantwortlichen

Der Verantwortliche ist zudem verpflichtet, allgemeine Grundsätze nach Artikel 5 DSGVO einzuhalten (Transparenz, Zweckbindung etc) und die technischen und organisatorischen Maßnahmen festzulegen. Zusätzlich zur Auswahl eines „zuverlässigen Auftragsverarbeiters“ iS der DSGVO darf der Verantwortliche beim Auftragsverarbeiter auch überprüfen, ob dieser die datenschutzrechtlichen Vorschriften korrekt einhält. Dies ist möglich mittels Überprüfung vor Ort oder durch die Forderung der Vorlage entsprechender Zertifikate des Auftragnehmers. Zusätzlich besteht die Verpflichtung der Dokumentation der erteilten Weisungen an den Auftragsverarbeiter.

Weitergabeverbot

Der Auftragsverarbeiter ist nicht berechtigt, einen weiteren Auftragsverarbeiter (Sub-Auftragsverarbeiter) ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen zu beauftragen. Im Falle einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit bekommt, gegen eine solche Änderung Einspruch zu erheben.

Auswahl des „richtigen“ Verarbeiters

Die DSGVO will sicherstellen, dass ein gewisses Mindestniveau im Datenschutz auch im Falle der Auslagerung von Datenverarbeitungen an Dienstleister nicht unterschritten wird. Aus Erwägungsgrund 81 zur DSGVO lässt sich erkennen, dass der Verantwortliche einen Auftragsverarbeiter heranziehen muss, der insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen hinreichende Garantien dafür bieten kann, dass technische und organisatorische Maßnahmen – auch für die Sicherheit der Verarbeitung – getroffen werden, die den Anforderungen der DSGVO genügen.

Auftragsdatenbearbeitungsvertrag (ADV)

Die inhaltlichen Anforderungen müssen im Vertrag enthalten sein, können aber einzelfallbezogen gestaltet werden und auf den konkreten Vertragspartner und dessen Tätigkeit adaptiert werden. In Artikel 28 Abs 3 DSGVO sind die erforderlichen Regelungsinhalte erforderlich enthalten.

Informationspflichten

Die „Betroffenen“ im Sinne der DSGVO haben Anspruch auf Informationen darüber zu erhalten,

• zu welchem Zweck die Datenverarbeitung erfolgt
• welche Daten bzw Datenkategorien betroffen sind
• wie lange das Unternehmen die Daten speichert und aufbewahrt
• ob eine Weitergabe und Übermittlung stattfindet
• welcher Empfänger gewählt wird
• welcher Grund für die Übermittlung vorliegt
• ob der Verantwortliche Daten ins Ausland übermittelt (mit Angabe des Empfängerlands und dem Zweck der Übermittlung)
• welche Rechte der Betroffene nach DSGVO hat
• woher die Daten stammen
• ob der Verantwortliche „Profiling“ betreibt
• wer die verantwortliche Stelle ist
• wie die Betroffenen den Datenschutzbeauftragten kontaktieren können und
• dass ihnen das Recht zusteht, bei der zuständigen Datenschutz-Aufsichtsbehörde Beschwerde einzulegen

Die DSGVO kennt keine bestimmte Form der Information. Diese kann in schriftlicher oder in anderer Form, gegebenenfalls auch elektronisch, erfolgen. Schriftlichkeit ist in den meisten Fällen dringend zu empfehlen.