Auftragsverarbeitung im Fokus der Datenschutz-Aufsicht
Kommen externe Dienstleister ins Spiel, kann eine Auftragsverarbeitung vorliegen. Lesen Sie, warum dieses Thema gerade jetzt besonders aktuell ist.
Ausgangspunkt sind Webhosting-Verträge
Ohne Internetseite kommt heute kein Unternehmen mehr aus. Zahlreiche Unternehmen haben außerdem einen Online-Shop. Gerade während Corona haben sich Online-Shops vielfach als unentbehrlich erwiesen. Um Webseiten und Online-Shops professionell betreiben zu können, wird in aller Regel ein externer Dienstleister eingeschaltet, also ein Webhoster. Er arbeitet auf der Basis eines Webhosting-Vertrags.
Webhosting ist Auftragsverarbeitung
Dass Webhosting eine Auftragsverarbeitung im Sinn der DSGVO darstellt, ist allgemeine Meinung. Denn der Auftraggeber macht dem Webbrowser genaue Vorgaben dafür, wie seine Internetseite oder sein Online-Shop betrieben werden sollen. In der Sprache des Datenschutzrechts handelt es sich dabei um Weisungen des Auftraggebers an den Auftragsverarbeiter.
Die Aufsichtsbehörden sind vielfach unzufrieden
Die Datenschutz-Aufsichtsbehörden haben prinzipiell nichts gegen Auftragsverarbeitung. Allerdings rügen sie häufig, dass aus ihrer Sicht in den Verträgen über die Auftragsverarbeitung wichtige Details fehlen. Außerdem beanstanden sie immer wieder, dass zwar von der Papierform her alles korrekt wirkt, es aber an einer ausreichenden praktischen Umsetzung der vertraglichen Regelungen fehlt.
Sie führen deshalb eine gemeinsame Prüfaktion durch
Ob die Kritik der Aufsichtsbehörden immer wirklich berechtigt ist, kann dahinstehen. Viel entscheidender ist, dass gleich sechs Aufsichtsbehörden vereinbart haben, das Thema „Auftragsverarbeitung beim Webhosting“ gemeinsam aufzugreifen. Dabei handelt es sich um die Aufsichtsbehörden von Bayern, Berlin, Niedersachsen, Rheinland-Pfalz, Sachsen und Sachsen-Anhalt. Seit Mitte 2022 führen sie eine sogenannte koordinierte Prüfung durch. Dies bedeutet, dass sie eine gemeinsame Checkliste entwickelt haben. Auf ihrer Basis treten sie an Unternehmen heran und stellen eingehende Fragen.
Unternehmen dürfen Anfragen nicht ignorieren
Die beteiligten Aufsichtsbehörden schreiben eine große Zahl von Unternehmen an und fordern sie auf, zunächst einen umfassenden Fragebogen auszufüllen. Dies löst beträchtlichen Aufwand aus. Viele Fragen lassen sich nicht sorgfältig beantworten, ohne vorher die Abläufe im Unternehmen umfassend durchzugehen. Dies berührt dann oft auch Abteilungen, die beispielsweise mit dem Online-Shop an sich unmittelbar nichts zu tun haben. Es geht aber nicht anders. Denn ein Unternehmen, das Fragen unvollständig oder sogar falsch beantwortet, riskiert eine Geldbuße.
Die Prüfaktion hat so etwas wie Fernwirkungen
Jedem Fachmann ist klar: Falls die Prüfaktion zum Webhosting aus der Sicht der Aufsichtsbehörden relevante Erkenntnisse bringt, werden ähnliche Prüfaktionen folgen. Dabei wird es jeweils um unterschiedliche Formen der Auftragsverarbeitung gehen. Das ist der Grund dafür, warum das Thema Auftragsverarbeitung insgesamt momentan einige Wellen schlägt.
Ohne Vertrag ist Auftragsverarbeitung nicht erlaubt
Gar nicht selten kommt es vor, dass eine Auftragsverarbeitung vorliegt und auch ein zuverlässiger Auftragsverarbeiter als Dienstleister tätig ist. Einen schriftlichen Vertrag gibt es allerdings nicht. Man meint vielmehr, entsprechende Auftragsscheine und Abrechnungen würden ausreichen. Das sieht die DSGVO allerdings anders:
- Sie legt fest, dass ein ausdrücklicher Vertrag nötig ist.
- Sie macht genaue Vorgaben zu seinem Inhalt.
- Sie fordert einen dokumentierten Vertragstext (schriftlich oder elektronisch).
Das Thema „Unterauftrag“ verlangt besondere Aufmerksamkeit
Beim Thema „Unterauftrag“ ist die DSGVO ebenso klar und eindeutig. Sie legt fest, dass ein Auftragsverarbeiter nur dann einen weiteren Auftragsverarbeiter einschalten darf, wenn der Auftraggeber dies schriftlich genehmigt hat. Hier geht es also nicht ohne Schriftform. Manchmal liegt ein Vertrag vor, der Unteraufträge nicht vorsieht. Dann entsteht aber trotzdem kurzfristig der Bedarf, einen Unterauftragnehmer einzuschalten. Der Vertrag muss deshalb nicht unbedingt geändert werden. Nötig ist dann aber jedenfalls eine schriftliche Erlaubnis.
Bitte bleiben Sie geduldig
Nachfragen zum Thema Auftragsverarbeitung können durchaus nerven, vor allem wenn gerade viel los ist. Angesichts der Aktionen der Aufsichtsbehörden haben sie allerdings gute Gründe. Deshalb kooperieren Sie bitte.