Auftragsverarbeiter auswählen
Praxisratgeber
Ein Auftragsverarbeiter verarbeitet Daten im Auftrag und für Zwecke des Vereins
Es gibt in jedem Verein Aufgaben, die nicht selbst durch den Verein übernommen werden, sondern durch einen beauftragten Dienstleister. Viele dieser Aufgabenübertragungen betreffen die Verarbeitung von personenbezogenen Daten direkt oder indirekt (z.B. Newsletterversand, Backup-Datenspeicherungen). In solchen Fällen kann es sich um eine sogenannte Auftragsverarbeitung handeln.
Ein Auftragsverarbeiter verarbeitet Daten im Auftrag und für Zwecke des Vereins. In den häufigsten Fällen übermittelt der Verein dazu personenbezogene Daten z.B. der Mitglieder oder Besucher an den Dienstleister. Je nach Art der Auftragsverarbeitung kann aber auch der Auftragsverarbeiter die Daten direkt vom Betroffenen erfassen und nach der Bearbeitung an den Verein übermitteln. Oder es handelt sich um eine bloße Offenlegung von Daten gegenüber Dritten.
Zu beachten ist: Alle Varianten stellen eine Auftragsverarbeitung dar und erfordern einen umfangreichen Vertrag. Die Mindestinhalte des Vertrages sind in Art. 28 DSGVO aufgeführt. Vertragsmuster sind außerdem abrufbar unter: https://www.lfd.niedersachsen.de/download/127630/Formulierungshilfe_zur_Auftragsverarbeitung_nach_Art._28_DS-GVO.pdf. Eine Offenlegung oder Weitergabe der Daten an Dritte ohne Abschluss des Vertrages stellt einen Verstoß gegen datenschutzrechtliche Vorgaben dar. Zudem regelt der Vertrag die Verantwortlichkeiten beider Vertragspartner und sollte auch im Interesse des Vereins unbedingt geschlossen werden.
Beispiele für die Auftragsverarbeitung
Beispiele
-
Übermittlung von Daten zu Sicherungszwecken an einen IT-Dienstleister
-
Übermittlung von Daten in eine Cloud (Sicherungszwecke oder Nutzung von cloudbasierter Software)
-
Auslagerung der Systemadministration
-
Nutzung von Analyse-Tools z.B. (Google-Analytics, Matomo)
-
Betreiben einer Webseite
-
Wartung der Hard- und Software durch Hersteller oder IT-Dienstleister
Bevor ein Verein mit einem Auftragsverarbeiter zusammenarbeitet, hat sich der Verein davon zu überzeugen, dass der Auftragsverarbeiter im Sinne der Datenschutzgesetze arbeitet. Die überlassenen personenbezogenen Daten des Vereins müssen bei dem Auftragsverarbeiter den notwendigen Schutz erfahren.
Hinweis: Der Verein muss den Auftragsverarbeiter sorgfältig auswählen, da er für die rechtmäßige Datenverarbeitung verantwortlich bleibt und haftet! Der Auftragsverarbeiter muss die Weisungen des Vereins befolgen.
Wie überzeugt sich ein Verein von der Gewährleistung des Schutzes?
Bestandteil eines wirksamen Datenschutzes ist auch ein funktionierendes IT-Sicherheitsmanagementsystem, welches dokumentiert werden muss. Dieses kann bspw. durch eine ISO 27001 Zertifizierung nachgewiesen werden. Dazu lassen sich die Vereine den gültigen Nachweis der Zertifizierung übermitteln. In diesen Fällen hat ein unabhängiges Institut (z.B. TÜV, DEKRA) die vorherrschenden Schutzmaßnahmen vor Ort geprüft. Dieses Zertifikat kann als (ein) Nachweis dafür dienen, dass der Verein den Auftragsverarbeiter sorgfältig ausgewählt hat.
Der Verein muss sich zumindest eine Auflistung aller technischen und organisatorischen Maßnahmen (TOMs) nach Art. 32 DSGVO übermitteln lassen. Diese Übersicht beschreibt stichpunktartig oder auch ausführlich, welche Schutzmaßnahmen der Dienstleister getroffen hat, um die Vereinsdaten zu schützen (Sicherheitskonzept des Dienstleisters). Es empfiehlt sich, diese Maßnahmen, etwa durch einen entsprechenden Verweis im Vertrag zur Auftragsdatenverarbeitung, zum Vertragsbestandteil zu machen. Die Schlüssigkeit der beschriebenen Maßnahmen muss seitens des Vereins beurteilt werden.
Beispielhafte Kriterien der Beurteilung
-
Hat der Dienstleister ein Back-Up Konzept oder mindestens eine Datensicherung?
-
Hat der Dienstleister seine Beschäftigten auf die Vertraulichkeit verpflichtet?
-
Wie wird der Zugriff zu den Daten für Unbefugte verhindert?
-
Hat der Dienstleister geeignete Prozesse, um den Verein im Falle einer Datenpanne umgehend zu informieren?
-
Wählt der Auftragsverarbeiter seine eigenen Auftragsverarbeiter (falls vorhanden) sorgfältig aus? Liegt eine Liste aller Unterauftragnehmer vor?
-
Werden die Daten nur innerhalb der Europäischen Union oder innerhalb des europäischen Wirtschaftraumes gespeichert?
Antwort „Nein“: Siehe Drittstaatentransfer
Wichtige Inhalte im Vertrag zur Auftragsverarbeitung
Die formellen Mindestinhalte im Vertrag zur Auftragsverarbeitung findet ihr in der Checkliste. Vereine können auch auf fertige Vertragsmuster der Aufsichtsbehörden (Vertrag zur Auftragsverarbeitung, abrufbar beispielsweise unter: https://www.lfd.niedersachsen.de/download/127630/Formulierungshilfe_zur_Auftragsverarbeitung_nach_Art._28_DS-GVO.pdf) zurückgreifen oder sie nutzen den vorverfassten Vertrag des Dienstleisters.
Hinweis: Sofern ihr den vorverfassten Vertrag des Dienstleisters nutzt, seid ihr dennoch zur Prüfung verpflichtet und müsst sicherstellen, dass dieser den gesetzlichen Anforderungen entspricht.
Achtet auf aktuelle Kontaktdaten im Vertrag (besonders nach Wechsel des Vorstands). Im Falle eines Zwischenfalls müssen Ansprechpartner im Verein schnell und zuverlässig erreichbar sein.
Prüft den Vertrag auf nachteilige Klauseln.
Denkt an eine notwendige Kündigung des Vertrages. Häufig wird nur der reine Dienstleistungsvertrag (z.B. Softwarenutzung) gekündigt und der Vertrag zur Auftragsverarbeitung läuft unabhängig davon weiter. Je nach Vertragsinhalt muss der Vertrag zur Auftragsverarbeitung separat gekündigt werden. Unter Umständen muss eine zusätzliche Löschung der Daten beim Auftragsverarbeiter beauftragt werden.
Muss nach Wechsel des Vorstands ein neuer Vertrag mit dem Auftragsverarbeiter geschlossen werden?
Nein. Der Vertrag wurde zwischen dem Verein und dem Auftragsverarbeiter geschlossen. Der gewählte Vorstand war zum Zeitpunkt des Vertragsabschlusses für den Verein Vertretungsberechtigt. Somit behält der Vertrag seine Gültigkeit bis zur Kündigung oder bis zum Fristablauf (falls vereinbart).
In welcher Form muss der Vertrag zur Auftragsverarbeitung abgeschlossen werden?
Schriftlich oder elektronisch. Anbieter von Apps, Tools oder einer Software stellen den Vertrag zur Auftragsverarbeitung häufig nur elektronisch zur Verfügung. Dieser kann in einigen Fällen im Benutzermenü aufgerufen werden. Es empfiehlt sich die Vertragsversion zum Zeitpunkt des Vertragsabschlusses zu speichern oder auszudrucken, da einige Anbieter die Vertragsinhalte im Laufe der Vertragszeit unbemerkt anpassen.
Hinweis Denkt daran, dass ihr für die Prüfung des Vertrags zur Auftragsverarbeitung verantwortlich seid. Verstöße können mit Geldbußen sanktioniert werden und Betroffene können Schadensersatzansprüche geltend machen.
Müssen die Betroffenen (z.B. Mitglieder) über die Auftragsverarbeitung informiert werden?
Ja. Die Auftragsverarbeitung stellt zeitgleich eine Offenlegung oder auch Übermittlung von Betroffenendaten an den Auftragsverarbeiter dar. Diese Offenlegung/Übermittlung muss den Betroffenen gegenüber transparent kommuniziert werden (Informationspflicht Art. 13 DSGVO). Dies erfolgt gewöhnlich über die Datenschutzhinweise.
Datenübermittlung in Drittländer
Einige Auftragsverarbeiter speichern oder verarbeiten die personenbezogenen Daten des Vereins möglicherweise außerhalb der europäischen Grenzen. In diesen Fällen muss der Verein zunächst prüfen, welche Rechtsgrundlage ihm (dem Verantwortlichen) diese Datenübermittlung erlaubt. In diesem Falle kann eine Datenübermittlung aufgrund des Abschlusses von so genannten Standardvertragsklauseln in Betracht kommen, die von der Europäischen Kommission verabschiedet wurden; abrufbar hier.
Autorin: Jacqueline Vogel
…oder in verwandten Einträgen
