Die Auftragsverarbeitung (früherer Begriff: Auftragsdatenverarbeitung) ist nunmehr in Art. 28 DSGVO geregelt. Der Begriff des Auftragsverarbeiters ist in Art. 4 Nr. 8 DSGVO legal definiert. Danach ist Auftragsverarbeiter eine natürliche oder juristische Person, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten. Beispiel: Cloud-Anbieter, Call-Center, Webseiten-Betreiber, Datenträgerentsorger
Um die Einhaltung des Datenschutzes beidseitig sicher zu stellen, hat der Gesetzgeber in Art. 28 Abs. 3 DSGVO vorgeschrieben, dass ein entsprechender Vertrag oder ein anderes Rechtsinstrument geschaffen werden muss. Dabei sind die dort genannten Mindestinhalte zu erfüllen. Dazu gehören: Gegenstand/Dauer des Auftrags; Umfang, Art und Zweck der Datenverarbeitung; welche Art von Daten betroffen ist; die Angabe der Kategorien betroffener Personen; die Gewährleistung der Betroffenenrechte; Rechte und Pflichten des Auftraggebers; der Umfang der Weisungsbefugnisse des Auftraggebers; die Kontrollrechte des Auftraggebers inkl. der Duldungs- und Mitwirkungsrechte des Auftragsverarbeiters; die Pflichten des Auftragnehmers; das Recht des Auftragnehmers zum Einsatz von Subunternehmern; die Regelung wie und in welcher Form Verstöße mitzuteilen sind bis hin zur Regelung, wie Datenträger zurückgegeben werden müssen.
Die Einhaltung dieser Mindestinhalte ist von besonderer Bedeutung, da der Gesetzgeber eine "gesamtschuldnerische Haftung" der Vertragsparteien begründet hat. Das heißt, selbst die ordnungsgemäße Auswahl des Auftragsverarbeiters entbindet den Auftraggeber nicht von der Haftung.
Praxistipp:
Aufgrund der bestehenden gesamtschuldnerischen Haftung ist im Rahmen der vertraglichen Regelungen immer die "Freizeichnung" zu prüfen. Dies vor allem für die Bereiche, auf die der Auftraggeber keinen oder einen nur geringen Einfluss hat. Auch wenn er beispielsweise verlangen kann, dass ihm der Auftragsverarbeiter nachweist, dass seine Mitarbeiter entsprechend geschult und sich in den Erklärungen zur Einhaltung des Datenschutzes verpflichtet haben.
Der Vertrag ist schriftlich abzufassen; die Vereinbarung per E-Mail ist aber ausreichend (§ 126b BGB).
Praxistipp:
Beabsichtigt eine Kommune ein Inkassounternehmen zur Beitreibung privatrechtlicher Forderungen einzuschalten, so stellt sich die Frage der Auftragsverarbeitung nicht. Denn das Inkassounternehmen hat hier bei der Umsetzung seiner Aufgaben einen nicht unerheblichen Spielraum und ist regelmäßig weisungsfrei. Insoweit ist hier wie auch bei Rechtsanwälten, Steuerberatern oder Rechnungsprüfern eher von einer neuen Verantwortlichkeit auszugehen.