Da die Datenschutzgrundverordnung immer wieder Thema in der alltäglichen Beratung ist, kommt auch regelmäßig die Frage nach der Erforderlichkeit einer Vereinbarung über die Auftragsdatenverarbeitung aus.

Mit der Realisierung von vielen unternehmerischen Projekten geht häufig auch eine Verarbeitung von personenbezogenen Daten (Art. 4 Nr. 1 DSGVO) einher. Sei es das Mitarbeiterdaten, oder aber Kundendaten des Vertragspartners, zwangsläufig mitverarbeitet werden.

Das kann nicht nur bei einer langfristigen Zusammenarbeit der Fall sein, sondern auch bereits bei dem einmaligen Software-Projekt, bei dem schon vorhandene Daten zur Vorlage genommen wenden, um im neuen Projekt Einzug finden sollen.

Insgesamt handelt es sich dann um eine Auftragsverarbeitung nach Art. 28 DSGVO (Die zuvor geltenden Regelungen des Bundesdatenschutzgesetzes sprachen noch von Auftragsdatenverarbeitung, die DSGVO spricht nun von Auftragsverarbeitung). Viele Auftragnehmer kümmert dies zunächst wenig, da die Pflicht zur Wahrung des Datenschutzes ja zunächst den Auftraggeber trifft. Der wird ja schließlich selbst von seinen Kunden und Mitarbeiter als erstes In Haftung genommen, wenn etwas schiefläuft.

Jedoch ist der Auftraggeber seinerseits datenschutzrechtlich verpflichtet, nur mit Unternehmen zusammenzuarbeiten, die die DSGVO ordnungsgemäß achten (Art. 28 Abs. 1 Satz 1 DSGVO). Daher trifft ihn auch die Pflicht mit allen seinen Partnern DSGVO-entsprechende Vereinbarungen zu treffen. Diese Vereinbarungen haben zudem einen nicht zu unterschätzenden Umfang, der den gesetzlichen Anforderungen genügen muss. Außerdem sind entsprechende Verarbeitungsverzeichnisse zu führen, die bei aufsichtsbehördlichen Kontrollen vorgelegt werden müssen.

Hinzu kommt, dass bei Prüfungen durch die zuständigen Aufsichtsbehörden entsprechende Prüfungen und Maßnahmen auch gegenüber dem Auftrags(daten)verarbeiter in Betracht kommen. Zudem gilt ein Auftragsverarbeiter, der die DSGVO nicht achtet, selbst als Verantwortlicher und unterliegt der vollen Haftung eines unmittelbaren Verantwortlichen (Art. 28 Abs. 10 DSGVO).

Insoweit dürfte es nicht nur Im Interesse des Auftraggebers sein, dass hier eine geeignete Regelung vereinbart wird, die eindeutig klärt unter welchen Bedingungen die (für den Auftragsverarbeiter fremden) Daten verarbeitet werden.  Insoweit ist es auch von wirtschaftlichem Vorteil, seinen Auftraggebern Datenschutzkonforme Vertragsvorlagen von vorn herein bieten zu können.

In der Vereinbarung wird festgelegt, welche Daten, in welcher Weise auf Weisung des Auftraggebers verarbeitet werden, und ob die Daten beispielsweise anderen Dienstleistern bekannt gemacht werden. Das ist häufig dann schon der Fall, wenn man als Auftragnehmer z.B. einen Hoster beauftragt, auf dem man seine Software-Testumgebung, oder die Website für den Kunden erstellt und dort Daten einpflegt.

Gerade wegen der Weisungsbefugnis des Auftraggebers ist es letztlich unerlässlich dieser einen gesetzeskonformen Rahmen zu bieten. Schlussendlich wird es im „WorstCase“, also wenn Daten abhandengekommen sind, darauf ankommen, ob der Auftraggeber hier einen Fehler gemacht hat, oder aber ob der Auftragsverarbeiter entgegen den Weisungen gehandelt hat. Insoweit ist diese Vereinbarung ein Stück weit auch als Enthaftung zu sehen. Der Auftraggeber bekommt dadurch die Chance zu erkennen, auf welches datenschutzrechtliche Risiko er sich einlässt.

Zudem muss die Vereinbarung auch auf den konkreten Fall abgestimmt sein. Insbesondere, wenn Daten nicht in der Regelung aufgeführt werden, kann das später zu Problemen und Auseinandersetzungen führen.

Zudem erleichtert die Regelung auch die Handhabung gegenüber Vertragspartnern, falls doch einmal unerwartet Daten kompromittiert wurde, was bei einem Hack auf das ein Internet-System schnell passiert ist.

Insoweit sollte sich nicht darauf verlassen werden, dass der Auftraggeber seine Pflichten kennt und selbst einen Vertrag oder ein eigenes Muster vorschlägt. Häufig kann das Anbieten entsprechender Regelungen bereits den entscheidenden Wettbewerbsvorteil bieten.