FAQ zur Auftragsverarbeitung – das müssen Sie wissen - dampf.consulting GmbH

9. September 2021by Thorsten Dampf

Thorsten Dampf

Geschäftsführer, Datenschutzbeauftragter (IHK)

FAQ zur Auftragsverarbeitung – das müssen Sie wissen

Wenn eine Kommune Ihre Daten durch einen Dienstleister verarbeiten lässt, kommt häufig der Begriff der Auftragsverarbeitung ins Spiel. Was das ist und was es im Sinne des Datenschutzes zu beachten gibt, erklären wir Ihnen nachfolgend.

Wenn Sie mit Daten arbeiten – und das dürfte in jeder Behörde der Fall sein – sind Sie die laut DSGVO sog. Verantwortliche Stelle oder der Verantwortliche.

Doch nicht immer nimmt jeder Verantwortliche die Datenverarbeitung selbst vor. Wenn Sie Ihre Daten an einen Dienstleister weiter geben, damit dieser die Daten für Sie verarbeitet, dann nennt man das Auftragsverarbeitung. Ihr Dienstleister ist dann der Auftragsverarbeiter für Sie.

Das ist u.a. häufig dann der Fall, wenn Sie externe IT-Leistungen beziehen, z.B. aus der Cloud, einem Rechenzentrum oder von einem IT-Dienstleister.

 

Habe ich mit Auftragsverarbeitern zu tun?

Vermutlich ja. Uns ist zumindest keine Kommune bekannt, die nicht mit einem oder mehreren Auftragsverarbeitern arbeitet. Da ist zuallererst z.B. das kommunale Rechenzentrum zu nennen.

 

Was ist ein AV-Vertrag?

Wenn Sie Ihre Daten an Ihren Dienstleister weiter geben, bleiben Sie dennoch für die Daten verantwortlich. Also müssen Sie mit Ihrem Dienstleister einige Dinge regeln: Wie er mit Ihren Daten umgeht, dass Ihre Daten ausreichend abgesichert sind oder dass Ihr Dienstleister Sie im Falle eines Datenverlustes umgehend informiert. Das alles sind Vorgaben aus der DSGVO. Sind diese nicht erfüllt, dürfen Sie die Daten nicht an den Auftragsverarbeiter weiter geben.

Die vertragliche Grundlage dazu nennt man Auftragsverarbeitungsvertrag, AV-Vertrag oder Vertrag zur Auftragsverarbeitung. Früher war auch der Begriff „Auftragsdatenverarbeitung“ gebräuchlich, dieser Begriff wird heute aber nicht mehr benutzt. Der AV-Vertrag kann ein Anhang an Ihrem Hauptvertrag sein, der die Zusammenarbeit mit Ihrem Dienstleister regelt, oder ein eigenständiges Dokument, das i.d.R. dann auf den Hauptvertrag verweist.

Welche gängigen Auftragsverarbeitungen gibt es?

Hier sind einige Verarbeitungssituationen aufgeführt, die bei Kommunen immer wieder anzutreffen sind, um Ihnen ein paar Beispiele zu geben:

  • Kommunale Rechenzentren für Fachanwendungen
  • Kommunale IT-Dienstleister
  • Regionale IT-Dienstleister, die Support für Hard- und Software leisten
  • Software für den Kindergarten
  • Die Feuerwehr-Software „FLORIX“ in Hessen
  • Software zur Verwaltung der Ferienspiele
  • Ratsinformationssysteme & Sitzungsdienstsoftware
  • Webhosting für Ihre Internetseite (in manchen Fällen)
  • Geoinformationssysteme
  • Bausoftware zur Verwaltung des Bau- und Servicehofs
  • Software und Dienstleister zum Auslesen von digitalen Wasserzählern
  • Betrieb und Wartung von Videoüberwachungsanlagen
  • Zeiterfassungsysteme

Eine hilfreiche Übersicht hat das Bayrische Landesamt für Datenschutzaufsicht in seinem FAQ-Dokument erstellt.

 

Was ist mit unserem IT-Dienstleister? Der macht doch nur Support für uns und verarbeitet keine Daten…

Häufig ist es tatsächlich so, dass ein Dienstleister nur Support leistet, aber keine Daten bei sich auf eigenen Systemen verarbeitet. Es wird meistens nur Fernwartung gemacht, es werden Updates installiert oder Fehler behoben.

Trotzdem handelt es sich hier in den meisten Fällen um Auftragsverarbeitung. Die Datenschutzkonferenz der Bundesländer hat sich dazu in einem Kurzpapier klar positioniert und gesagt, dass Wartung und Fernzugriffe unter den Begriff der Auftragsverarbeitung fallen.

 

Was muss mit den AV-Verträgen passieren?

Zunächst ist es wichtig, dass mit allen Auftragsverarbeitern ein AV-Vertrag abgeschlossen ist. Die Verträge sollten auf Richtigkeit geprüft sein an einer zentralen Stelle im Datenschutzmanagement abgelegt sein.

Da viele Anwendungen in Städten oder Gemeinden schon sehr lange im Einsatz sind, existieren die entsprechenden Verträge schon sehr lange. In der Praxis ist es bei vielen Kommunen so, dass die Verträge in den entsprechenden Fachabteilungen existieren. Als die DSGVO im Jahr 2018 in Kraft trat, haben viele Dienstleister von sich aus die aktualisieren AV-Verträge an die Kunden verschickt. Die Kunden haben die Verträge (im schlechtesten Fall ungeprüft, weil „das ist ja was mit Datenschutz, das müssen wir ja unterschreiben“) gegengezeichnet und zurück geschickt. So kann es sein, dass die AV-Verträge im ganze Haus „verstreut“ sind und niemand einen richtigen Überblick hat.

 

Wie bekomme ich Ordnung in meine AV-Verträge?

Zunächst sollten Sie sich einen Überblick verschaffen, welche Dienstleister es in den einzelnen Abteilungen oder Fachämtern überhaupt gibt. Erfragen Sie diese und erfassen Sie sie in einer Liste. Anschließend prüft Ihre Datenschutzbeauftragte (DSB), ob es sich um ein Auftragsverarbeitungsverhältnis handelt (nicht jeder Dienstleister ist automatisch auch Auftragsverarbeiter. Auftragsverarbeitung ist nur dann gegeben, wenn auch Daten verarbeitet werden.)

Danach prüfen Sie, wieder mit den Fachabteilungen gemeinsam, ob mit den Dienstleistern, bei denen es sich um Auftragsverarbeiter handelt, ein AV-Vertrag vorhanden ist. Falls ja, muss dieser Vertrag von Ihrer DSB geprüft werden. Ist das nicht der Fall, gibt es zwei Möglichkeiten:

  1. Sie Fragen den Dienstleister nach seinem AV-Vertrag. Ein guter Dienstleister, der sich seiner Rolle aus Auftragsverarbeiter bewusst ist, wird Ihnen hier schnell weiter helfen können. Dieser Vertrag wird dann von der DSB geprüft und von der Behördenleitung unterschrieben.
  2. Ihr Dienstleister hat keinen AV-Vertrag. Dann erstellen Sie das entsprechende Dokument und schicken es zur Unterschrift an den Dienstleister. Ihre DSB kann hier helfen.

 

Weitere Informationen

Habt ihr noch Fragen?
Gerne sind wir für euch da!
dampf.consulting GmbH
Am Lermetsrain 9, 35327 Ulrichstein
Cookie Consent mit Real Cookie Banner