Deut­sche Behör­den: Check­li­ste für ADV; hohe Anfor­de­run­gen an Auftragsbearbeitungsvereinbarungen

Die Auf­sichts­be­hör­den der Bun­des­län­der Ber­lin, Nie­der­sach­sen, Rhein­land-Pfalz, Sach­sen, Sach­sen-Anhalt und Bay­ern haben Auf­trags­be­ar­bei­tungs­ver­trä­ge (ADV) von Web­ho­sting-Anbie­tern geprüft. Für die­se Prü­fung haben sie gemein­sam eine Check­li­ste erstellt, die nun ver­öf­fent­licht wurde:

Die Check­li­ste zeigt eine stren­ge Hal­tung, die vor allem zu Lasten der Auf­trags­be­ar­bei­ter geht. Diver­se Klau­seln, die ver­brei­tet ein­ge­setzt wer­den, sol­len nicht zuläs­sig sein. Nicht alle die­ser Anfor­de­run­gen fin­den im Wort­laut von Art. 28 (Abs. 3) DSGVO eine Stüt­ze, wer­den aber aus dem Zweck der Bestim­mung abge­lei­tet, die Kon­trol­le des Ver­ant­wort­li­chen trotz Aus­la­ge­rung umfas­send sicherzustellen.

Der Check­li­ste lässt sich ent­neh­men, dass die genann­ten Auf­sichts­be­hör­den fol­gen­de Klau­seln für zwin­gend halten:

  • Die ADV wird schrift­lich oder elek­tro­ni­scher Form geschlos­sen, ist recht­lich für den oder die Auf­trags­be­ar­bei­ter ver­bind­lich und gilt zeit­lich für alle Bear­bei­tun­gen. Wird die ADV elek­tro­nisch über­mit­telt, muss sie alle Anla­gen und Pflicht­in­hal­te ent­hal­ten und muss vom Ver­ant­wort­li­chen eben­falls gespei­chert werden.
  • Die ADV kann auf wei­te­re Doku­men­te ver­wei­sen, für die die Form­vor­schrif­ten dann aber eben­falls gel­ten (ein­schliess­lich der Anfor­de­rung, dass sie der Ver­ant­wort­li­che speichert).
  • Gegen­stand, Art und Dau­er der Bear­bei­tung kön­nen durch Ver­wei­sung auf einen Haupt­ver­trag umschrie­ben wer­den, aber nur, soweit die­ser aus­rei­chen­de Anga­ben ent­hält. Das­sel­be gilt für die Kate­go­rien der betrof­fe­nen Per­so­nen und die Art der Personendaten.
  • Das Wei­sungs­recht muss voll­stän­dig und auch für Daten­ex­por­te abge­bil­det sein. Wei­sun­gen über den Ver­trags­in­halt hin­aus kön­nen kosten­pflich­tig sein. Wei­sun­gen dür­fen aber nicht gene­rell kosten­pflich­tig sein (eigent­lich eine aus­schliess­lich kom­mer­zi­el­le Fra­ge, sofern der Ver­ant­wort­li­che für Wei­sun­gen nicht vor­lei­stungs­pflich­tig ist).
  • Die Bear­bei­tung zu eige­nen Zwecken darf dem Auf­trags­be­ar­bei­ter grund­sätz­lich nicht zuge­stan­den wer­den. Dazu Fin­det sich fol­gen­de Anmer­kung: “Betrifft auch sog. Tele­me­trie­da­ten. Im Ein­zel­fall kön­nen beson­de­re Kon­stel­la­tio­nen denk­bar sein, in denen bestimm­te Daten durch den AN in eige­ner Ver­ant­wort­lich­keit ver­ar­bei­tet wer­den kön­nen. Dies erfor­dert jedoch sehr kom­pli­zier­te Gestal­tun­gen und sehr genaue Prü­fun­gen und ist im Regelfall”.
  • Wenn Daten nach dem anwend­ba­ren Recht wei­sungs­wid­rig zu bear­bei­ten sind, z.B. bei Behör­den­zu­grif­fen, darf nur das Recht eines Mit­glied­staats vor­be­hal­ten wer­den. Das ist ein Design­feh­ler der DSGVO – es müss­te auch das Recht ande­rer Staa­ten mit ange­mes­se­nem Schutz­ni­veau sein, und anders kann eine ADV für die Schweiz auch nicht umge­setzt wer­den, wenn ein Auf­trags­be­ar­bei­ter schwei­ze­ri­schem Recht unterliegt.
  • Wei­sun­gen sind zu doku­men­tie­ren, wobei unklar bleibt, was damit genau gemeint ist: “Eine schrift­li­che Bestä­ti­gung einer Wei­sung wie auch eine schrift­li­che Wei­sung an sich führt nicht not­wen­dig dazu, dass die Wei­sung auch doku­men­tiert wird.” Jeden­falls kann die Doku­men­ta­ti­on aber durch den Auf­trags­be­ar­bei­ter oder durch den Ver­ant­wort­li­chen erfolgen.
  • Es braucht natür­lich eine Pflicht zur Ver­trau­lich­keit des Auftragsbearbeiters.
  • Sicher­heits­mass­nah­men – TOMs – müs­sen nicht in der ADV auf­ge­führt wer­den, eine Ver­wei­sung auf DSGVO 32 kann aus­rei­chen. Aber Ver­ant­wort­li­che müs­sen TOMs ken­nen und prü­fen und müs­sen die Prü­fung nach dem Accoun­ta­bi­li­ty-Grund­satz auch nachweisen.
  • Bei der Unter­stüt­zung zur Erfül­lung der Betrof­fe­nen­rech­te kann z.B. der Geset­zes­text dazu in DSGVO 28 über­nom­men wer­den, falls nicht eine aus­rei­chen­de kon­kre­te Rege­lung ver­ein­bart wird.
  • Das­sel­be gilt bei der Unter­stüt­zung zur Daten­si­cher­heit und zu DSFA.
  • Bei der Löschung der Auf­trags­da­ten, ein Kern­punkt, kann der Geset­zes­text aus DSGVO 28 voll­stän­dig über­nom­men wer­den. Die Par­tei­en kön­nen die Wahl Löschung oder Rück­ga­be und Löschung auch im Vor­aus ver­trag­lich fest­le­gen. Unzu­läs­sig wäre aber bspw., eine Umset­zungs­frist zur Löschung zu gewäh­ren, ausser sie ist kurz bemes­sen und es ist sicher­ge­stellt, dass der ADV wäh­rend die­ser Zeit wei­ter­hin gilt. Unzu­läs­sig wäre fer­ner ein Vor­be­halt, dass Daten gemäss anwend­ba­rem Recht wei­ter­hin gespei­chert blei­ben dür­fen, wenn hier das Recht eines Nicht-EWR-Staats vor­be­hal­ten bleibt (s. Anm. oben).
  • Die Pflicht zum Nach­weis der Ein­hal­tung der Pflich­ten des Auf­trags­be­ar­bei­ters muss gere­gelt wer­den, und es reicht nicht, nur ein Audit­recht vor­zu­se­hen. Man kann auch hier den Geset­zes­wort­laut von DSGVO 28 übernehmen.
  • Zum Audit­recht:
    • Das Audit­recht kann dadurch beschränkt wer­den, dass ein exter­ner Prü­fer kein unmit­tel­ba­rer Kon­kur­rent des Auf­trags­be­ar­bei­ters sein darf und dass Kon­trol­len den Geschäfts­ab­lauf nicht über­mä­ssig beein­träch­ti­gen darf.
    • Unzu­läs­sig wäre es aber, ein Audit­recht nur durch einen Drit­ten vor­zu­se­hen, oder es auf die Ein­sicht in vor­ge­leg­te Unter­la­gen zu beschrän­ken, oder ein eigent­li­ches Audit unter die Bedin­gung zu stel­len, dass bereit­ge­stell­te Unter­la­gen wie z.B. Zer­ti­fi­zie­run­gen nicht genü­gend sind, oder eine Beschrän­kung der Dau­er oder Häu­fig­keit oder auf bestimm­te Orte oder auf Stich­pro­ben­kon­trol­len oder auf eine Kon­trol­le mit Ankün­di­gungs­frist oder mit Anmel­dung (ausser es steht, das zumin­dest im Aus­nah­me­fall eine Kon­trol­le ohne Ankün­di­gung mög­lich bleibt).
    • Unzu­läs­sig wäre auch eine Kosten­tra­gungs­pflicht des Ver­ant­wort­li­chen, die nicht zumin­dest eine Geset­zes- oder Ver­trags­ver­let­zung des Auf­trags­be­ar­bei­ters vorbehält.
    • Eben­falls unzu­läs­sig wäre eine Pflicht des Ver­ant­wort­li­chen, zuvor ein NDA zu unterzeichnen.
  • Der Auf­trags­be­ar­bei­ter muss sich ver­pflich­ten, den Ver­ant­wort­li­chen unver­züg­lich zu infor­mie­ren, wenn er meint, dass eine Wei­sung gegen das Recht eines Mit­glied­staats verstösst.
  • Zum Bei­zug von Unter­auf­trags­be­ar­bei­tern:
    • Zunächst ist dar­auf zu ach­ten, dass alle Unter­auf­trags­be­ar­bei­ter kon­kret inkl. aus­rei­chend kon­kre­ter Anga­ben zu ihren Auf­ga­ben zu bezeich­nen. Unzu­läs­sig ist eine Ver­wei­sung auf eine Liste auf einer Web­site, was häu­fig vor­kommt. Bei der Vor­ab­ge­neh­mi­gung mit Veto­recht des Ver­ant­wort­li­chen dar­auf zu ach­ten, dass der Ver­ant­wort­li­che aktiv und voll­stän­dig über den geplan­ten Bei­zug infor­miert wird und min­de­stens 14 Tage Zeit für ein Veto hat. Zuge­las­sen wird aber ein Wider­spruchs­recht nur aus sach­li­chen Gründen.
    • Im Wider­spruchs­fall darf der Auf­trags­be­ar­bei­ter nicht mit einer Frist von weni­ger als 14 Tagen kün­di­gen, wobei die Frist im Ein­zel­fall auf Ersetz­bar­keit der Lei­stung abzu­stim­men ist. Falls das Veto direkt zur Ver­trags­be­en­di­gung führt, d.h. falls der Ver­ant­wort­li­che nur durch Kün­di­gung wider­spre­chen kann, muss die Frist bis zum Lei­stungs­en­de min­de­stens 28 Tage betra­gen (wobei es auch hier auf den Ein­zel­fall ankommt).
    • Allen Unter­auf­trags­be­ar­bei­tern müs­sen alle Daten­schutz­pflich­ten aus der ADV über­tra­gen wer­den. Das muss auch bspw. im Kon­zern­ver­hält­nis des Auf­trags­be­ar­bei­ters gelten.
    • Vor­läu­fig wird zuge­las­sen, dass die Pflicht zur Über­bin­dung sich nur auf “im Wesent­li­chen die­sel­ben Daten­schutz­pflich­ten” bezieht. Nicht zuläs­sig wäre eine stär­ke­re Rela­ti­vie­rung z.B. eine Ver­pflich­tung, nur “gleich­wer­ti­ge” Pflich­ten zu übertragen.
    • Es muss auch ein Audit­recht ggü. Unter­auf­trags­be­ar­bei­tern gel­ten, wobei nicht klar­ge­stellt wird, ob die­ses Audit­recht auch für den Ver­ant­wort­li­chen gel­ten muss oder ob es auf den Auf­trags­be­ar­bei­ter – im Auf­trag des Ver­ant­wort­li­chen – begrenzt wer­den darf. Mut­mass­lich wäre letz­te­res aus Sicht der Behör­den nicht ausreichend.
  • Bei der Bekannt­ga­be ins Aus­land sagt die Check­li­ste nicht all­zu viel, aber die alten SCC dür­fen gemäss der dabei gel­ten­den Fri­stig­kei­ten nicht mehr ein­ge­setzt wer­den. Die SCC dür­fen durch die ADV aber nicht begrenzt wer­den. Hier­zu die Behör­den: “Ein­schrän­kung liegt auch vor, wenn Vor­rang­klau­sel zu Gun­sten der SCC besteht. Denn eine Vor­rang­re­ge­lung ent­hal­ten bereits die Stan­dard­ver­trags­klau­seln selbst, sodass ohne­hin jede Ein­schrän­kung zivil­recht­lich unwirk­sam ist; den­noch kön­nen nur unver­än­der­te Stan­dard­ver­trags­klau­seln für den Daten­ex­port her­an­ge­zo­gen wer­den. Zuläs­sig sind nur Ergän­zun­gen, die weder unmit­tel­bar noch mit­tel­bar im Wider­spruch zu den SCC ste­hen und die Grund­rech­te oder Grund­frei­hei­ten der betrof­fe­nen Per­so­nen nicht beschnei­den”. Unzu­läs­sig wäre des­halb – ! – auch eine Beschrän­kung der Haf­tung des Impor­teurs, an sich wie­der­um eine kom­mer­zi­el­le Frage.