Die Aufsichtsbehörden der Bundesländer Berlin, Niedersachsen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Bayern haben Auftragsbearbeitungsverträge (ADV) von Webhosting-Anbietern geprüft. Für diese Prüfung haben sie gemeinsam eine Checkliste erstellt, die nun veröffentlicht wurde:
Die Checkliste zeigt eine strenge Haltung, die vor allem zu Lasten der Auftragsbearbeiter geht. Diverse Klauseln, die verbreitet eingesetzt werden, sollen nicht zulässig sein. Nicht alle dieser Anforderungen finden im Wortlaut von Art. 28 (Abs. 3) DSGVO eine Stütze, werden aber aus dem Zweck der Bestimmung abgeleitet, die Kontrolle des Verantwortlichen trotz Auslagerung umfassend sicherzustellen.
Der Checkliste lässt sich entnehmen, dass die genannten Aufsichtsbehörden folgende Klauseln für zwingend halten:
- Die ADV wird schriftlich oder elektronischer Form geschlossen, ist rechtlich für den oder die Auftragsbearbeiter verbindlich und gilt zeitlich für alle Bearbeitungen. Wird die ADV elektronisch übermittelt, muss sie alle Anlagen und Pflichtinhalte enthalten und muss vom Verantwortlichen ebenfalls gespeichert werden.
- Die ADV kann auf weitere Dokumente verweisen, für die die Formvorschriften dann aber ebenfalls gelten (einschliesslich der Anforderung, dass sie der Verantwortliche speichert).
- Gegenstand, Art und Dauer der Bearbeitung können durch Verweisung auf einen Hauptvertrag umschrieben werden, aber nur, soweit dieser ausreichende Angaben enthält. Dasselbe gilt für die Kategorien der betroffenen Personen und die Art der Personendaten.
- Das Weisungsrecht muss vollständig und auch für Datenexporte abgebildet sein. Weisungen über den Vertragsinhalt hinaus können kostenpflichtig sein. Weisungen dürfen aber nicht generell kostenpflichtig sein (eigentlich eine ausschliesslich kommerzielle Frage, sofern der Verantwortliche für Weisungen nicht vorleistungspflichtig ist).
- Die Bearbeitung zu eigenen Zwecken darf dem Auftragsbearbeiter grundsätzlich nicht zugestanden werden. Dazu Findet sich folgende Anmerkung: “Betrifft auch sog. Telemetriedaten. Im Einzelfall können besondere Konstellationen denkbar sein, in denen bestimmte Daten durch den AN in eigener Verantwortlichkeit verarbeitet werden können. Dies erfordert jedoch sehr komplizierte Gestaltungen und sehr genaue Prüfungen und ist im Regelfall”.
- Wenn Daten nach dem anwendbaren Recht weisungswidrig zu bearbeiten sind, z.B. bei Behördenzugriffen, darf nur das Recht eines Mitgliedstaats vorbehalten werden. Das ist ein Designfehler der DSGVO – es müsste auch das Recht anderer Staaten mit angemessenem Schutzniveau sein, und anders kann eine ADV für die Schweiz auch nicht umgesetzt werden, wenn ein Auftragsbearbeiter schweizerischem Recht unterliegt.
- Weisungen sind zu dokumentieren, wobei unklar bleibt, was damit genau gemeint ist: “Eine schriftliche Bestätigung einer Weisung wie auch eine schriftliche Weisung an sich führt nicht notwendig dazu, dass die Weisung auch dokumentiert wird.” Jedenfalls kann die Dokumentation aber durch den Auftragsbearbeiter oder durch den Verantwortlichen erfolgen.
- Es braucht natürlich eine Pflicht zur Vertraulichkeit des Auftragsbearbeiters.
- Sicherheitsmassnahmen – TOMs – müssen nicht in der ADV aufgeführt werden, eine Verweisung auf DSGVO 32 kann ausreichen. Aber Verantwortliche müssen TOMs kennen und prüfen und müssen die Prüfung nach dem Accountability-Grundsatz auch nachweisen.
- Bei der Unterstützung zur Erfüllung der Betroffenenrechte kann z.B. der Gesetzestext dazu in DSGVO 28 übernommen werden, falls nicht eine ausreichende konkrete Regelung vereinbart wird.
- Dasselbe gilt bei der Unterstützung zur Datensicherheit und zu DSFA.
- Bei der Löschung der Auftragsdaten, ein Kernpunkt, kann der Gesetzestext aus DSGVO 28 vollständig übernommen werden. Die Parteien können die Wahl Löschung oder Rückgabe und Löschung auch im Voraus vertraglich festlegen. Unzulässig wäre aber bspw., eine Umsetzungsfrist zur Löschung zu gewähren, ausser sie ist kurz bemessen und es ist sichergestellt, dass der ADV während dieser Zeit weiterhin gilt. Unzulässig wäre ferner ein Vorbehalt, dass Daten gemäss anwendbarem Recht weiterhin gespeichert bleiben dürfen, wenn hier das Recht eines Nicht-EWR-Staats vorbehalten bleibt (s. Anm. oben).
- Die Pflicht zum Nachweis der Einhaltung der Pflichten des Auftragsbearbeiters muss geregelt werden, und es reicht nicht, nur ein Auditrecht vorzusehen. Man kann auch hier den Gesetzeswortlaut von DSGVO 28 übernehmen.
- Zum Auditrecht:
- Das Auditrecht kann dadurch beschränkt werden, dass ein externer Prüfer kein unmittelbarer Konkurrent des Auftragsbearbeiters sein darf und dass Kontrollen den Geschäftsablauf nicht übermässig beeinträchtigen darf.
- Unzulässig wäre es aber, ein Auditrecht nur durch einen Dritten vorzusehen, oder es auf die Einsicht in vorgelegte Unterlagen zu beschränken, oder ein eigentliches Audit unter die Bedingung zu stellen, dass bereitgestellte Unterlagen wie z.B. Zertifizierungen nicht genügend sind, oder eine Beschränkung der Dauer oder Häufigkeit oder auf bestimmte Orte oder auf Stichprobenkontrollen oder auf eine Kontrolle mit Ankündigungsfrist oder mit Anmeldung (ausser es steht, das zumindest im Ausnahmefall eine Kontrolle ohne Ankündigung möglich bleibt).
- Unzulässig wäre auch eine Kostentragungspflicht des Verantwortlichen, die nicht zumindest eine Gesetzes- oder Vertragsverletzung des Auftragsbearbeiters vorbehält.
- Ebenfalls unzulässig wäre eine Pflicht des Verantwortlichen, zuvor ein NDA zu unterzeichnen.
- Der Auftragsbearbeiter muss sich verpflichten, den Verantwortlichen unverzüglich zu informieren, wenn er meint, dass eine Weisung gegen das Recht eines Mitgliedstaats verstösst.
- Zum Beizug von Unterauftragsbearbeitern:
- Zunächst ist darauf zu achten, dass alle Unterauftragsbearbeiter konkret inkl. ausreichend konkreter Angaben zu ihren Aufgaben zu bezeichnen. Unzulässig ist eine Verweisung auf eine Liste auf einer Website, was häufig vorkommt. Bei der Vorabgenehmigung mit Vetorecht des Verantwortlichen darauf zu achten, dass der Verantwortliche aktiv und vollständig über den geplanten Beizug informiert wird und mindestens 14 Tage Zeit für ein Veto hat. Zugelassen wird aber ein Widerspruchsrecht nur aus sachlichen Gründen.
- Im Widerspruchsfall darf der Auftragsbearbeiter nicht mit einer Frist von weniger als 14 Tagen kündigen, wobei die Frist im Einzelfall auf Ersetzbarkeit der Leistung abzustimmen ist. Falls das Veto direkt zur Vertragsbeendigung führt, d.h. falls der Verantwortliche nur durch Kündigung widersprechen kann, muss die Frist bis zum Leistungsende mindestens 28 Tage betragen (wobei es auch hier auf den Einzelfall ankommt).
- Allen Unterauftragsbearbeitern müssen alle Datenschutzpflichten aus der ADV übertragen werden. Das muss auch bspw. im Konzernverhältnis des Auftragsbearbeiters gelten.
- Vorläufig wird zugelassen, dass die Pflicht zur Überbindung sich nur auf “im Wesentlichen dieselben Datenschutzpflichten” bezieht. Nicht zulässig wäre eine stärkere Relativierung z.B. eine Verpflichtung, nur “gleichwertige” Pflichten zu übertragen.
- Es muss auch ein Auditrecht ggü. Unterauftragsbearbeitern gelten, wobei nicht klargestellt wird, ob dieses Auditrecht auch für den Verantwortlichen gelten muss oder ob es auf den Auftragsbearbeiter – im Auftrag des Verantwortlichen – begrenzt werden darf. Mutmasslich wäre letzteres aus Sicht der Behörden nicht ausreichend.
- Bei der Bekanntgabe ins Ausland sagt die Checkliste nicht allzu viel, aber die alten SCC dürfen gemäss der dabei geltenden Fristigkeiten nicht mehr eingesetzt werden. Die SCC dürfen durch die ADV aber nicht begrenzt werden. Hierzu die Behörden: “Einschränkung liegt auch vor, wenn Vorrangklausel zu Gunsten der SCC besteht. Denn eine Vorrangregelung enthalten bereits die Standardvertragsklauseln selbst, sodass ohnehin jede Einschränkung zivilrechtlich unwirksam ist; dennoch können nur unveränderte Standardvertragsklauseln für den Datenexport herangezogen werden. Zulässig sind nur Ergänzungen, die weder unmittelbar noch mittelbar im Widerspruch zu den SCC stehen und die Grundrechte oder Grundfreiheiten der betroffenen Personen nicht beschneiden”. Unzulässig wäre deshalb – ! – auch eine Beschränkung der Haftung des Importeurs, an sich wiederum eine kommerzielle Frage.