Ein Auftragsverarbeitungsvertrag ist erforderlich, wenn personenbezogene Daten im Auftrag an Dritte weitergegeben werden. Die Daten werden anschließend verarbeitet und genutzt. Was man unter einer Auftragsverarbeitung und einem Auftragsverarbeitungsvertrag genau versteht und was es in diesem zu regeln gilt, beantwortet Ihnen Dr. Julia Klatil, Rechtsanwältin im Vertrags- und Datenschutzrecht.
Ich bin gebürtige Villacherin und hier als Rechtsanwältin seit 2008 selbstständig tätig. Davor habe ich mehrjährige Berufserfahrung im Fürstentum Liechtenstein als Anwältin gesammelt. Meine beruflichen Schwerpunkte sind Erb- und Pflichtteilsrecht, Abwicklung von Verlassenschaften, Testamentserrichtung, Testamentsvollstreckung, Familienrecht, Stiftungsrecht, Gesellschaftsrecht, Vertragsrecht, Datenschutzrecht. Ich bin auch zertifizierte Datenschutzbeauftragte, und die einzige Gerichtssachverständige Österreichs für Aufsichtsrechte und -pflichten. Daraus ergeben sich Vorträge und Lehrtätigkeiten.
Das Wichtigste – aus Erfahrung – ist die Informationsgewinnung. Zuhören ist für mich unabdingbar für professionelles Arbeiten. Ich wende dafür bewusst viel Zeit auf und widme mich gerne den persönlichen Anliegen der Klientin bzw. des Klienten, um eine Einschätzung zu bekommen, was gebraucht und benötigt wird. Das schafft Vertrauen. Das erspart letztlich der Klientin bzw. dem Klienten viel Zeit, denn dann gehe ich in die zielgenaue Umsetzung und liefere ein juristisch einwandfreies Vertragswerk, das die Auftraggeberin bzw. den Auftraggeber auf Anhieb zufriedenstellt.
Die Datenschutzgrundverordnung (DSGVO) ist seit 25.5.2018 in Kraft. Es gab auch davor schon ein Datenschutzgesetz, doch dieses musste aufgrund der schnell fortschreitenden Digitalisierung EU-weit dringend angepasst werden. Die DSGVO nimmt Unternehmen juristisch und auch technisch-organisatorisch in die Pflicht. Jeder Unternehmer verarbeitet Daten, von Kunden, Lieferanten, Mitarbeiterin etc. Dies muss transparent sein, korrekt und technisch sicher ablaufen.
Die Aufgaben und Pflichten werden dem primären Datenempfänger zugewiesen, das ist der Unternehmer als der Verantwortliche im Sinne der DSGVO. Der Verantwortliche hat zu gewährleisten, dass er eine hinreichende Rechtsgrundlage für die Datenverarbeitung hat. Mit Daten ist im Grunde alles gemeint, was eine natürliche noch lebende Person identifiziert – Vorname, Nachname, Geburtsdatum, Adresse, Ausweiskopie, E-Mail-Adresse. Datenverarbeitung ist als ein umfassender Begriff zu verstehen; Daten werden gespeichert, systematisiert, abgelegt, gelöscht, etc.
Eine hinreichende Rechtsgrundlage ist ein Vertrag oder ein Auftrag, zu diesem Zwecke dürfen die Daten des Kunden verarbeitet werden, sprich der Verantwortliche legt ein Adressverzeichnis an. Weiters muss der Verantwortliche den Kunden darüber informieren, dass er seine Daten verarbeitet, zu welchem Zweck er dies unternimmt, wer noch die Daten allenfalls bekommt und wie lange diese aufbewahrt und gespeichert werden. Dazu muss der Verantwortliche ein Verarbeitungsverzeichnis anlegen, das den Datenfluss transparent und umfassend darstellt und er muss auf technischer Ebene alles unternehmen, dass die Daten sicher sind. Weiters muss er organisatorisch gewährleisten, dass die Datenverarbeitung rechtens verläuft.
Ein Beispiel für eine Datenverarbeitung: ein Unternehmer ist Handwerker. Dieser bekommt einen Auftrag zur Herstellung eines Esstisches. Er darf auf der Grundlage des Auftrages die Daten des Auftraggebers verarbeiten, wenn er Mitarbeiter hat, sind auch deren Datenverarbeitungen sicherzustellen, der Holzlieferant ist ebenfalls erfasst. Die Rechnung sieht der Steuerberater, der die Buchhaltung und den Jahresabschluss erstellt. Die Daten werden solange aufbewahrt, wie der Auftrag dauert plus der gesetzlichen Aufbewahrungspflicht. Wir Anwälte dürfen grundsätzlich sogar 30 Jahre lang Daten aufbewahren wegen der langen Verjährungsfrist bei Schadenersatz.
Ich empfehle einen Ordner anzulegen, in dem sich das Stammdatenblatt, die Mitarbeitererklärungen und deren Informationen, die Informationen der Kunden und Lieferanten, das Verarbeitungsverzeichnis sowie der Auftragsverarbeiter befinden.
Verstöße gegen die DSGVO werden von der Datenschutzbehörde (DSB) in Wien geprüft und geahndet. Es handelt sich um eine völlig autonome Behörde, deren Entscheidungen nur vom Verwaltungsgerichtshof überprüft werden können. Dort herrscht Anwaltspflicht. Die Strafen sind Ermessensentscheidungen der DSB. Sie macht es vom Umsatz abhängig, es sollen empfindliche Strafen sein, das heißt, der Unternehmer muss seine Umsätze der DSB auch offenlegen. Ich sage immer, das Geld könnte man für andere sinnvolle Zwecke verwenden. Wenn jemand glaubt, er werde nicht geprüft, dem sei versichert, niemand ist sicher. Die Kunden wissen über die DSGVO Bescheid und um ihre Auskunfts- und Beschwerderechte. Der Unternehmer hat darüber den Kunden sogar zu informieren. Das geschieht in der Regel über eine ausführliche Datenschutzerklärung auf der Homepage. Zur Kenntnis bringen muss er es. Querulanten gibt es immer mehr, Anwälte spezialisieren sich darauf, Beschwerden zu führen. Das ist leicht verdientes Geld, auf beiden Seiten, auf Kosten des Unternehmers. Daher lohnt es sich, mit einem Datenschutzexperten die Unterlagen zu errichten. Womöglich sind Investitionen in die technisch-organisatorischen Maßnahmen erforderlich (sogenannten „TOMs“), das gehört unbedingt abgeklärt.
Wie erwähnt ist Verantwortlicher in der Regel der Unternehmer bzw. derjenige der die Daten aufgrund eines Auftrags oder Vertrags vom Kunden bekommt und verarbeitet. Bei der Auftragsdatenverarbeitung beauftragt ein Unternehmen (Auftraggeber) externe Dritte (Auftragnehmer) weisungsgebunden personenbezogene Daten zu verarbeiten. Die Verantwortung für die ordnungsgemäße Datenverarbeitung verbleibt dabei beim Auftraggeber.
Für gewöhnlich lagert der Unternehmer Bereiche der Datenverarbeitung aus, zum Beispiel bedient er sich eines EDV-Unternehmens, das die Daten auf den Computern wartet und wo gelegentlich auch der Server steht.
Der Verantwortliche hat in diesem Zusammenhang dafür zu sorgen, dass die DSGVO lückenlos angewendet wird. Daher hat er sicherzustellen, dass der Auftragsverarbeiter DSGVO-konform die Datenverarbeitung juristisch, technisch und organisatorisch korrekt durchführt und abwickelt. Dazu hat er zu prüfen, an wen er sich bindet. Ein allfälliges Auswahlverschulden, wenn sich der Verantwortliche einer unzuverlässigen Person bedient, z.B. jemand, der wegen Datendiebstahl, Betruges und dergleichen vorbestraft ist, würde den Verantwortlichen sonst teuer zu stehen kommen. Es ist ein Verarbeitungsvertrag schriftlich abzuschließen, der die Pflichten des Auftragsverarbeiters grundsätzlich festlegt. Der Auftragsverarbeitungsvertrag ist in der Regel an den Hauptvertrag gekoppelt.
Der externe Dritte wird bei der Auftragsdatenverarbeitung unterstützend tätig und ist als verlängerter Arm anzusehen. Erfolgt eine Datenverarbeitung im Auftrag durch einen externen Dritten, muss der Auftragsdatenverarbeiter alle Garantien dafür bieten, dass er die geeigneten technisch-organisatorischen Maßnahmen hat und diese so einsetzt, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet ist.
Er hat eine schriftliche Vereinbarung mit dem Auftraggeber abzuschließen, man nennt dies den Auftragsverarbeitungsvertrag bzw. Auftragsverarbeitungsvereinbarung.
Grundsätzlich ist ein schriftlicher Verarbeitungsvertrag abzuschließen, Vertragsparteien sind der Verantwortliche und der Auftragsdatenverarbeiter.
Mindestinhalt:
Generell dürfen Vertragsänderungen nie einseitig erfolgen, sondern sie sind schriftlich von Auftraggeber und Auftragnehmer zu vereinbaren. Empfehlenswert ist eine Klausel im Auftragsverarbeitungsvertrag, dass Änderungen des Vertrages der Schriftform bedürfen.
Die DSGVO schreibt ausdrücklich eine schriftliche Vereinbarung vor. Existiert eine solche nicht, wird die Auftragsverarbeitung nur de facto ausgeführt. Der Verantwortliche riskiert, von der DSB dafür abgestraft zu werden, weil er gegen geltendes Gesetz und Verordnung verstößt.
Natürlich gibt es im Internet viele Vorlagen.
Genau davor warne ich entschieden.
Der Vertrag muss auf das Unternehmen maßgeschneidert zugeschnitten sein, andernfalls ist er rechtlich nicht richtig und die DSB kann ihre Strafen verhängen. Ich sehe das in der Praxis häufig bei AGBs, die der Kunde irgendwo kopiert hat und meint, damit sei er abgesichert. Nicht korrekt erstellte AGBs sind schädlicher als keine zu haben. Analog halte ich es mit Auftragsverarbeitungsverträgen. Lassen Sie sich diese juristisch prüfen oder von einem Anwalt erstellen. Lieber einmal einen ehrlichen 1000er zahlen, als am falschen Ort zu sparen und später 5000 oder mehr zahlen müssen. Der Anwalt haftet im Übrigen auch für sach- und fachgerechte Arbeit.
Herzlichen Dank, dass Sie sich für das Interview Zeit genommen haben
Sie möchten einen Vertrag prüfen lassen oder benötigen rechtlichen Rat bei der Errichtung eines solchen? Dr. Julia Klatil, Ihre erfahrene Rechtsanwältin im Vertragsrecht, steht Ihnen hierbei gerne zur Seite. Kontaktieren Sie die Kanzlei in 9500 Villach und vereinbaren Sie einen Termin zu einem Erstberatungsgespräch. Weitere Informationen und Kontaktdaten entnehmen Sie bitte dem Profil von Rechtsanwältin und Expertin im Vertragsrecht, Dr. Julia Klatil, auf anwaltfinden.at.
