III Auftragsverarbeitung

1.) Im Netz kursieren Hinweise darauf, dass IT- Unternehmen, die Support-/ Wartungsleistungen erbringen, keine Verträge zur Auftragsverarbeitung benötigen. Das ist glatt falsch und wird auch so nicht mehr von dem DSK vertreten. Mit dem Wegfallen des § 11 Abs.5 BDSG entfällt zwar das Erfordernis der Bearbeitung personenbezogener Daten in den Fällen, in denen…..

2.) Immer dann, wenn Sie im Rahmen der Durchführung von Support, Softwarepflege, Projekt, SaaS, oder anderen Verträgen mit personenbezogenen Daten der Mitarbeiter der Kunden und/oder anderen Menschen, deren personenbezogene Daten Sie im Rahmen der Durchführung des Vertrags erhalten, „in Kontakt kommen“ (das Gesetz spricht dann von dem Terminus der „Verarbeitung“ personenbezogener Daten), stellt sich die Frage nach der Rechtfertigung. Die DSGVO stellt die Verarbeitung personenbezogener Daten unter einen Rechtfertigungsvorbehalt. Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn ein Erlaubnistatbestand vorliegt. Dieser Erlaubnistatbestand besteht vorrangig in der Erlaubnis der betroffenen Personen. Diese werden Sie aber nicht haben. Die Mitarbeiter, Lieferanten etc. Ihrer Kunden werden Ihnen nicht singuläre Einwilligungserklärungen gegeben haben, nach deren Inhalt das Stellen einer Supportanfrage auch die Erlaubnis zur Verarbeitung der betroffenen E-Mail Adresse beinhaltet. Noch klarer wird es, wenn Sie darüber nachdenken, dass Sie teilweise auch mit Content von Endkunden in Kontakt kommen, als Screenshots oder Datenbanken, die personenbezogene Daten von Personen enthalten, die der Kunde ihres Kunden erhoben hat.

Die erforderliche Erlaubnis kann durch das Bestehen einer gesetzlichen Erlaubnisnorm ersetzt werden. Diese besteht in Form des Art. 28 DSGVO. Dieser setzt voraus, dass zwischen Ihrem Unternehmen und dem Unternehmen des Kunden ein Vertrag zur Auftragsverarbeitung abgeschlossen ist. Der Vertrag besagt inhaltlich, dass die eigentlich erforderliche Erlaubnis der Betroffenen deshalb entbehrlich ist, weil der Kunde ihrem Unternehmen gegebenüber Weisungs- und Kontrollrechte erhält, die denen eines Arbeitgebers gegenüber den Angestellten zu vergleichen sind.

Besteht der Vertrag nicht, ist ein Ordnungsgeld zu verhängen. Auch hier bewirkt die Transparenz dessen, dass die Behörde nur ein Dokument abfordern muss, die Dringlichkeit der Handlung. Mit jedem Kunden, bei dem ein Tatbestand der Auftragsverarbeitung besteht, ist zwingend ein solcher Vertrag abzuschließen. Mit Bestandskunden ebenso wie mit Neukunden.

3.) Die ewig gestellte Frage, wer denn eigentlich hier auf wen zukommen müsse, führt inhaltlich nicht weiter, weil beide Unternehmen ebenso wie die verantwortlich Handelnden haften. Gesetze sollen eingehalten werden und keiner von beiden Vertragsparteien kann sich darauf berufen, der andere habe auch nichts getan.

4.) Der Vertrag weist den Kerngehalt auf, der vom Gesetz vorgegeben ist. Die BitKom oder die der GDD hält solche Formulare bereit. Achten Sie aber darauf, dass die DSGVO bestimmte Supportpflichten der IT- Unternehmen begründet. Das Gesetz besagt nicht, dass diese Pflichten kostenlos zu erfüllen sind. Da man den Umfang der Pflichten kaum absehen kann, empfiehlt sich eine Regelung, nach deren Inhalt die Kosten nach Aufwand abzurechnen sind. – Und natürlich haben wir die besseren Dokumente, weil wir „Auftragnehmer-freundliche“ Varianten besitzen und auch gleich Vorgaben für die Struktur und Inhalte der Anlagen 1 und 2 haben, auf die sich der Vertrag bezieht. –

5.) Der Inhalt der Anlage 1 ergibt sich aus dem Verarbeitungsverzeichnis (Zweck, Datenkategorien und Beschreibung der Betroffenen). Die Anlage 2 ist ein technisch organisatorisches Maßnahmenkonzept (TOM), das aus einer generellen Beschreibung der Absicherung aller Prozesse in Ihrem Unternehmen besteht und dann – je nach dem Inhalt des jeweils relevanten Verarbeitungsverzeichnisses – auch noch spezielle technische und organisatorische Maßnahmen aufführen muss. Grundsätzlich ist die TOM das  Ergebnis einer Analyse. Wenn Sie bis zum Lesen dieses Artikels keine Verarbeitungsverzeichnisse angelegt hatten, müssen Sie diesen Schritt schleunigst nachholen. Dessen Missachtung ist nicht so transparent wie das Fehlen der Verträge zur Auftragsverarbeitung etc., aber nach der DSGVO ist nachzuweisen, dass Sie den Ist-Zustand aufgenommen haben, auf der Basis des Ist-Zustands eine Analyse durchgeführt haben, wie die Daten und Verarbeitungsvorgänge angemessenen zu schützen sind und dann ist die TOM das Resultat dessen, was an Überlegungen vorher stattgefunden hat. Das Gesetz verfolgt eine ganz simple Prozesslogik, deren Einhaltung man nachweisen muss.

6.) Subunternehmer sind in der Anlage 3 namentlich aufzuführen. Wenn man will, kann man eine Vertragsstrafe für den Fall vereinbaren, dass der Kunde einen Vertrag direkt mit dem Subunternehmer abschließt.

7.) Der Vertrag ist zumindest in Textform nach § 126b abzuschließen. Bedeutet, man muss ihn nicht schriftlich (beide Parteien mit eigenhändiger Unterschrift) abschließen. Aber es muss bewiesen werden können, dass eine zur Leistung der Unterschrift berechtigte Person eine Erklärung abgegeben hat und zwar in einer „dauerhaften“ Form, also z.B. per PDF. Der geläufigste Weg besteht darin, dass die Kunden eine von Ihnen unterschriebene PDF erhalten, diese ausdrucken und unterschreiben und Ihnen als PDF zurückschicken.

8.) Noch mal ganz klare Warnung: Das Gesetz sagt, dass eine Verarbeitung von personenbezogenen Daten ohne Vorliegen dieses Vertrags rechtswidrig ist.