In unserem zweiten Blogbeitrag über Auftragsverarbeitungsverträge (AVV) gehen wir weiter ins Detail und befassen uns mit praktischen Fällen und zentralen Bestimmungen, aufbauend auf unserer früheren Betrachtung der wesentlichen Aspekte der EU-Datenschutzgrundverordnung (DSGVO) und des Schweizer Bundesgesetzes über den Datenschutz (DSG). Dieses Mal konzentrieren wir uns auf praktische Tipps und Strategien aus unseren LEXR-Best-Practices, die dabei helfen, häufige Stolperfallen zu vermeiden.
Dateneigentum
Die Festlegung des Eigentums an Daten kann auch in AVVs geregelt werden. In der Regel zielen diese Klauseln nur auf die Klarstellung ab, dass die personenbezogenen Daten Eigentum des Verantwortlichen bleiben, auch wenn sie vom Auftragsverarbeiter verarbeitet werden. Manchmal gehen diese Klauseln jedoch über personenbezogene Daten hinaus und befassen sich auch mit dem potenziell sehr wertvollen “Eigentum” an nicht personenbezogenen Daten.
In der Rechtswelt ist das Konzept des “Dateneigentums” ein kompliziertes, da Daten (personenbezogene oder andere) an sich nicht im traditionellen Sinne “im Eigentum” stehen. Im Mittelpunkt der Dateneigentumsklauseln in AVVs steht vielmehr die Frage, wer das Recht hat, Entscheidungen über die verarbeiteten personenbezogenen Daten zu treffen und die Kontrolle darüber auszuüben. In einem AVV nimmt der Verantwortliche diese Rolle ein, während der Auftragsverarbeiter angewiesen wird, die personenbezogenen Daten innerhalb bestimmter Grenzen im Namen des Verantwortlichen zu verarbeiten.
Während der AVV spezifische Details der Datenverarbeitung umreißt, sind die umfassenderen Rechte und Pflichten im Zusammenhang mit dem Eigentum an nicht personenbezogenen Daten meist besser in dem mit dem AVV verbundenen Hauptvertrag aufgehoben. Diese Trennung ermöglicht eine umfassendere Behandlung von Rechten und Pflichten, ohne den AVV überfrachten, der sich speziell auf die Einzelheiten der Verarbeitung und die aus Sicht des Datenschutzes erforderlichen rechtlichen Klauseln konzentriert.
Es wird jedoch empfohlen, im AVV ausdrücklich festhalten, dass alle erhobenen und verarbeiteten Daten dem Verantwortlichen gehören. Dies ist darauf zurückzuführen, dass nach den geltenden Datenschutzgesetzen den Verantwortlichen die Hautpflichten in Hinblick auf Datenschutzcompliance treffen. Der Auftragsverarbeiter muss sich strikt an die Weisungen des Verantwortlichen halten und die Daten nach Beendigung des Vertrags entweder zurückgeben oder löschen, wie wir in unserem früheren Blogbeitrag beschrieben haben.
Der AVV muss daher unbedingt mit den im Hauptvertrag festgelegten Rollen und Rechten am Dateneigentum übereinstimmen. Unstimmigkeiten zwischen den beiden Dokumenten können zu komplexen rechtlichen Auswirkungen führen. Problematisch sind Szenarien, in denen der Hauptvertrag einer Partei bestimmte Eigentumsrechte an personenbezogenen Daten einräumt, der AVV diese Partei aber als reinen Auftragsverarbeiter bezeichnet. Nehmen wir beispielsweise an, dass ein Anbieter von Newsletter-Diensten gemäss des Hauptvertrags seine eigene Werbung an die Verteilerlisten seiner Kunden senden darf. Indem die Parteien dies im Hauptvertrag aufnehmen, machen sie den Auftragsverarbeiter für diese Werbezwecke automatisch zu einem Verantwortlichen. Die Abstimmung der Rollen ist daher von entscheidender Bedeutung, um unbeabsichtigte rechtliche Konsequenzen zu vermeiden.
Auditrechte
Auditrechte sind notwendig, um die Einhaltung der Datenschutzgesetze zu gewährleisten und die Transparenz in den Datenverarbeitungsbeziehungen zu fördern.
Gemäss der DSGVO müssen AVVs vorsehen, dass der Auftragsverarbeiter dem Verantwortlichen alle Informationen zur Verfügung stellt, die erforderlich sind, um die Einhaltung der DSGVO-Verpflichtungen nachzuweisen. Dazu gehört auch die Erleichterung und Mitwirkung bei Audits und Inspektionen, unabhängig davon, ob diese vom Verantwortlichen oder einem von ihm beauftragten Prüfer durchgeführt werden.
Dabei müssen sich jedoch die Partein darüber im Klaren sein, dass sie das Recht des Verantwortlichen auf ein Audit zwar nicht aufheben, aber durch die Festlegung bestimmter Elemente dieses Recht weiter präzisieren können:
- Umfang der Audits: Es ist ratsam, den Umfang der Auditrechte im AVV klar zu definieren. Dazu gehört die Festlegung, ob Audits vor Ort zulässig sind oder ob sich die Auditrechte auf den Zugang zu und die Einsichtnahme in Unterlagen des Auftragsverarbeiters beschränken, wie z.B. die Unterlagen zu Verarbeitungstätigkeiten und Verzeichnisse der Empfänger personenbezogener Daten.
- Kosten: Die Aufteilung der Auditkosten ist entscheidend für die praktische Umsetzung. Der AVV kann Regeln vorsehen, dass der Verantwortliche die Auditkosten, einschließlich der Kosten für einen unabhängigen Prüfer, zu tragen hat. Unabhängig davon, wie die Kosten aufgeteilt werden, dürfen die Parteien keine Klauseln aufnehmen, die unverhältnismäßige oder überhöhte Kosten vorsehen und damit das Recht des Verantwortlichen auf ein Audit untergraben. Bei der Formulierung dieser Klauseln sollten die Parteien also darauf achten, dass die Kosten für den Verantwortlichen nicht so hoch sind, dass er in der Praxis von der Ausübung seines Auditrechts abgehalten wird.
- Beschränkung des Informationszugangs: Um die Vertraulichkeit des Auftragsverarbeiters zu schützen, sollte der AVV festlegen, welche Informationen bei Audits zugänglich sind. Der Zugang sollte auf Informationen beschränkt werden, die für die Zwecke des AVV erforderlich sind, wobei Geschäftsgeheimnisse und andere geschützte Informationen des Auftragsverarbeiters zu wahren sind.
- Häufigkeit der Audits und Ankündigung: Der AVV kann die Häufigkeit der Audits und die Frist zur Ankündigung vor der Durchführung eines Audits festlegen. Dies schafft Vorhersehbarkeit und ermöglicht es dem Auftragsverarbeiter, sich angemessen auf ein Audit vorzubereiten. Der AVV kann z.B. festlegen, dass der Verantwortliche nur eine bestimmte Anzahl von Audits pro Jahr durchführen darf und dass vor Beginn eines Audits eine Ankündigungsfrist von einer bestimmten Anzahl von Tagen eingehalten werden muss.
Umfang mit Haftung, Schadenersatzklausel und Risikoverteilung
Die Risikoverteilung zwischen dem Datenverantwortlichen und dem Auftragsverarbeiter kann ein kritischer Punkt im AVV sein. Typischerweise gibt es zwei Schlüsselklauseln zur Risikoverteilung:
- Haftungsklauseln: In Haftungsklauseln wird festgelegt, unter welchen Umständen und in welchem Umfang eine Partei für die Schäden aufkommen muss, die sie der anderen Partei verursacht. In der Regel einigen sich die Parteien bereits im Hauptvertrag auf eine Haftungsregelung, die auch für den AVV gilt. Es ist jedoch üblich, dass die Haftungsobergrenzen nicht für Verstöße gegen Datenschutzgesetze gelten, so dass die Haftung oft unbegrenzt ist.
- Schadensersatzklausel: Schadensersatzklauseln sind weiter gefasst als Haftungsklauseln und übertragen in der Regel das Risiko von Ansprüchen Dritter, wie z.B. Ansprüche von betroffenen Personen oder Bußgelder von Aufsichtsbehörden, auf eine Partei. Nach der gesetzlichen Regelung von Art. 82 DSGVO können sowohl der Verantwortliche als auch der Auftragsverarbeiter direkt gegenüber den betroffenen Personen haften. Hat jedoch z.B. der Auftragsverarbeiter der betroffenen Person den Schaden in voller Höhe ersetzt, obwohl er nach den Weisungen des Verantwortlichen gehandelt hat, kann der Auftragsverarbeiter den Schaden vom Verantwortlichen zurückfordern. Die interne Risikoverteilung des Art. 82 DSGVO kann z.B. dahingehend erweitert werden, dass nicht nur der Schaden, sondern auch die entstandenen Rechtskosten zu ersetzen sind.
Bei der Aufnahme dieser Klauseln in den AVV ist zu beachten, dass es nicht möglich ist, eine der Parteien von ihrer Verantwortung nach der DSGVO zu entbinden. Art. 82 DSGVO legt Mindeststandards für die Schadensersatzpflicht fest. In mehreren jüngeren Entscheidungen hat der Gerichtshof der Europäischen Union (EuGH) einige Aspekte dieser Standards geklärt. In Bezug auf den AVV hat der EuGH beispielsweise entschieden, dass ein Verantwortlicher nicht haftet, wenn ein Auftragsverarbeiter personenbezogene Daten für seine eigenen Zwecke verarbeitet, wenn er in einer Weise handelt, die mit dem AVV unvereinbar ist, oder wenn man vernünftigerweise davon ausgehen kann, dass der Verantwortliche der Verarbeitung nicht zugestimmt hat. In diesem Fall wird der Auftragsverarbeiter wie ein Verantwortlicher behandelt und haftet für sein eigenes Handeln.
Klare und wohldefinierte Haftungs- und Entschädigungsklauseln schützen die Interessen beider an der Datenverarbeitung beteiligter Parteien und bieten einen Rahmen für die Regelung der Verantwortlichkeit im Falle von Problemen mit der Einhaltung von Vorschriften. Diese Klauseln müssen jedoch im Einklang mit den Datenschutzgesetzen sowie den geltenden nationalen zivilrechtlichen Bestimmungen, die sich von Land zu Land unterscheiden können, gut formuliert werden.
Zeitrahmen
Während die DSGVO spezifische Fristen für bestimmte Maßnahmen vorschreibt, wie z. B. die Meldung von Datenschutzverletzungen innerhalb von 72 Stunden an die Aufsichtsbehörden, wenn diese ein Risiko für die betroffenen Personen darstellen, müssen viele andere Detailfragen von Fall zu Fall entschieden werden. Vor diesem Hintergrund gibt es bestimmte Elemente, die die Parteien bei der Festlegung der angemessenen Fristen in ihrem AVV als Best Practices berücksichtigen können:
- Zeitrahmen für die Löschung/Rückgabe personenbezogener Daten nach Kündigung der Vereinbarung: Die Parteien können vereinbaren, dass die Daten unmittelbar nach der Kündigung des Vertrags oder innerhalb eines bestimmten Zeitrahmens, z. B. einer Woche oder eines Monats, zurückgegeben werden. Es ist auch wichtig zu beachten, dass Auftragsverarbeiter möglicherweise Daten für längere Zeiträume aufbewahren müssen, um anderen rechtlichen Verpflichtungen nachzukommen;
- Information des Verantwortlichen über Datenschutzverletzungen: Eine rasche Reaktion auf Datenschutzverletzungen ist von größter Bedeutung. Während der Verantwortliche nach der DSGVO die Aufsichtsbehörden teilweise innerhalb von 72 Stunden informieren muss, sollte der Auftragsverarbeiter den Verantwortlichen unverzüglich benachrichtigen, wenn er von einer Datenschutzverletzung Kenntnis erlangen. Die Aufnahme eines bestimmten Zeitrahmens in den AVV (in der Regel zwischen 24 und 48 Stunden), innerhalb dessen der Auftragsverarbeiter den Verantwortlichen informieren muss, erhöht die Transparenz und gewährleistet eine rechtzeitige Reaktion auf mögliche Datenschutzverletzungen;
- Widerspruchs- / Zulassungsfrist für neue Unterauftragsverarbeiter: Erteilen Verantwortliche eine allgemeine Zulassung für die Nutzung bestimmter Unterauftragsverarbeiter, so sollten Änderungen unverzüglich mitgeteilt werden. Die Festlegung einer bestimmten Mitteilungsfrist, die Verantwortlichen Zeit für einen Widerspruch lässt, ist von entscheidender Bedeutung. Auch wenn die angemessene Frist von Fall zu Fall unterschiedlich sein kann, wird als Ausgangspunkt empfohlen, dem Verantwortlichen eine Frist von 30 Tagen zu setzen, bevor der Auftragsverarbeiter einen neuen Unterauftragsverarbeiter einschaltet. Erhebt der Verantwortliche innerhalb dieser Frist keinen Einspruch, kann der Auftragsverarbeiter mit dem neuen Unterauftragsverarbeiter fortfahren. Damit haben die Verantwortlichen eine angemessene Frist, um die geplanten Änderungen zu bewerten und dagegen Einspruch zu erheben. Da die Folgen eines Widerspruchs in der DSGVO nicht ausdrücklich geregelt sind, ist es außerdem wichtig, sie in den AVV aufzunehmen. Dazu kann beispielsweise die Möglichkeit gehören, dass der Verantwortliche den Hauptvertrag kündigen kann, wenn der Auftragsverarbeiter nicht in der Lage ist, einen anderen Unterauftragsverarbeiter einzusetzen. Das Gleiche gilt für Fälle, in denen der Verantwortliche dem Auftragsverarbeiter eine spezielle Vorabgenehmigung für eine Liste von Unterauftragsverarbeitern erteilt, statt einer allgemeinen Genehmigung im Rahmen des AVV. Der Hauptunterschied besteht darin, dass es sich bei dieser Frist nicht um eine Einspruchsfrist, sondern um eine Genehmigungsfrist handelt. In der Praxis bedeutet dies, dass, wenn der Verantwortliche dem Auftragsverarbeiter nach Ablauf der festgelegten Frist keine Genehmigung für den Einsatz eines bestimmten Unterauftragsverarbeiters erteilt hat, der Auftragsverarbeiter entsprechend von dessen Einsatz absehen muss.
Fazit
Es kann eine Herausforderung sein, AVVs schlank, aber gleichzeitig rechtlich fundiert und praktisch wirksam zu halten. Zusätzlich zu den in den Datenschutzgesetzen vorgeschriebenen Klauseln (die wir im ersten Teil dieser Serie erörtert haben), sollten AVVs auch die folgenden Themen behandeln:
- Dateneigentum: Betont werden sollte, dass der Verantwortliche trotz der Verarbeitung durch den Auftragsverarbeiter das Recht behält, Entscheidungen über die personenbezogenen Daten zu treffen. Obwohl Details zur Frage des “Eigentums” und der Nutzungsrechte besser im Hauptvertrag behandelt werden, ist es zwingend erforderlich, die in diesen beiden Dokumenten (AVV und Hauptvertrag) definierten Rollen und Rechte aufeinander abzustimmen, um Unstimmigkeiten und komplexe rechtliche Probleme zu vermeiden;
- Auditrechte: Auch wenn der Verantwortliche im AVV nicht auf seine Audit-Rechte verzichten kann, kann die Festlegung von Einzelheiten wie Umfang, Kosten, Informationszugang und Häufigkeit der Audits die Transparenz erhöhen und langwierige Diskussionen im Falle der Ausübung dieses Rechts durch den Verantwortlichen vermeiden;
- Regelung der Haftung: Die Aufnahme detaillierter Schadensersatz- und Haftungsklauseln in AVVs schafft für beide Parteien zusätzliche Klarheit. In diesen Klauseln werden die Verantwortlichkeiten und die potenziellen finanziellen Auswirkungen bei Nichteinhaltung der Vorschriften festgelegt;
- Zeitrahmen: Es sollten bestimmte Fristen für die Löschung/Rückgabe von Daten, die Meldung von Datenschutzverletzungen und die Genehmigung von Unterauftragsverarbeitern festgelegt werden. Diese Zeitrahmen sind für die operative Klarheit von wesentlicher Bedeutung und sollten die tatsächlichen betrieblichen Möglichkeiten beider Parteien widerspiegeln.