Auftragsverarbeitung im Fokus der Datenschutzaufsicht

Kommen externe Dienstleister ins Spiel, kann eine Auftragsverarbeitung vorliegen. Lesen Sie, warum dieses Thema gerade jetzt besonders aktuell ist.

Ausgangspunkt sind Webhosting-Verträge

Kein Unternehmen kommt heute ohne Internetauftritt aus. Viele Unternehmen haben auch einen Online-Shop. Gerade in der Krise haben sich Online-Shops vielfach als unverzichtbar erwiesen. Um Webseiten und Online-Shops professionell betreiben zu können, wird in der Regel ein externer Dienstleister, ein Webhoster, beauftragt. Dieser arbeitet auf der Grundlage eines Webhosting-Vertrages.

Webhosting ist Auftragsdatenverarbeitung

Es ist allgemein anerkannt, dass Webhosting eine Auftragsverarbeitung im Sinne der DSGVO darstellt. Denn der Auftraggeber macht dem Webhoster genaue Vorgaben, wie seine Internetseite oder sein Onlineshop betrieben werden soll. In der Sprache des Datenschutzrechts handelt es sich dabei um Weisungen des Auftraggebers an den Auftragsverarbeiter.

Aufsichtsbehörden oft unzufrieden

Die Datenschutzaufsichtsbehörden haben grundsätzlich nichts gegen die Auftragsverarbeitung einzuwenden. Sie bemängeln aber häufig, dass aus ihrer Sicht wichtige Details in den Verträgen zur Auftragsverarbeitung fehlen. Außerdem bemängeln sie immer wieder, dass zwar auf dem Papier alles korrekt aussieht, es aber an einer ausreichenden praktischen Umsetzung der vertraglichen Regelungen mangelt.

Sie führen deshalb eine gemeinsame Kontrollaktion durch

Ob die Kritik der Aufsichtsbehörden immer berechtigt ist, sei dahingestellt. Viel entscheidender ist, dass sich gleich sechs Aufsichtsbehörden darauf verständigt haben, das Thema „Auftragsverarbeitung beim Webhosting“ gemeinsam anzugehen. Es handelt sich um die Aufsichtsbehörden von Bayern, Berlin, Niedersachsen, Rheinland-Pfalz, Sachsen und Sachsen-Anhalt. Seit Mitte 2022 führen sie eine sogenannte koordinierte Prüfung durch. Das heißt, sie haben eine gemeinsame Checkliste entwickelt. Auf deren Grundlage gehen sie auf die Unternehmen zu und stellen detaillierte Fragen.

Unternehmen können Anfragen nicht ignorieren

Die beteiligten Aufsichtsbehörden schreiben eine Vielzahl von Unternehmen an und fordern sie auf, zunächst einen umfangreichen Fragebogen auszufüllen. Dies ist mit erheblichem Aufwand verbunden. Viele Fragen können nicht sorgfältig beantwortet werden, ohne zuvor die Prozesse im Unternehmen umfassend zu durchleuchten. Das betrifft dann oft auch Abteilungen, die zum Beispiel mit dem Online-Shop an sich direkt nichts zu tun haben. Aber es geht nicht anders. Denn wer die Fragen unvollständig oder gar falsch beantwortet, riskiert ein Bußgeld.

Die Testaktion hat eine Art Fernwirkung

Jedem Fachmann ist klar: Wenn die Prüfaktion Webhosting aus Sicht der Aufsichtsbehörden relevante Erkenntnisse bringt, werden ähnliche Prüfaktionen folgen. Dabei wird es jeweils um andere Formen der Auftragsverarbeitung gehen. Das ist der Grund, warum das Thema Auftragsverarbeitung insgesamt derzeit einige Wellen schlägt.

Ohne Vertrag keine Auftragsverarbeitung

Nicht selten kommt es vor, dass eine Auftragsverarbeitung vorliegt und ein zuverlässiger Auftragsverarbeiter auch als Dienstleister tätig ist. Ein schriftlicher Vertrag liegt jedoch nicht vor. Vielmehr wird angenommen, dass entsprechende Auftragsscheine und Abrechnungen ausreichen. Die DSGVO sieht das anders:

  1. Sie legt fest, dass ein ausdrücklicher Vertrag erforderlich ist.
  2. Sie macht genaue Vorgaben zu dessen Inhalt.
  3. Sie verlangt einen dokumentierten Vertragstext (schriftlich oder elektronisch).

Das Thema „Subcontracting“ erfordert besondere Aufmerksamkeit

Beim Thema „Unterauftrag“ ist die DSGVO ebenfalls klar und eindeutig. Sie legt fest, dass ein Auftragsverarbeiter nur dann einen weiteren Auftragsverarbeiter einsetzen darf, wenn der Auftraggeber dem schriftlich zugestimmt hat. Ohne Schriftform geht es also nicht. Manchmal gibt es einen Vertrag, der keine Unterauftragsvergabe vorsieht. Dann ergibt sich aber kurzfristig die Notwendigkeit, einen Unterauftragnehmer einzuschalten. Der Vertrag muss also nicht unbedingt geändert werden. Eine schriftliche Genehmigung ist aber in jedem Fall erforderlich.

Bitte geduldig bleiben

Anfragen zum Thema Auftragsverarbeitung können lästig sein, vor allem, wenn gerade viel zu tun ist. Sie haben aber angesichts des Vorgehens der Aufsichtsbehörden gute Gründe. Bitte kooperieren Sie daher.