DRS

Auftragsverarbeitung, § 29 KDG

§ 29 KDG behandelt die Verarbeitung personenbezogener Daten (pbD) im Auftrag.

Auftragsverarbeitung im Sinne des Datenschutzrechts bedeutet die Verarbeitung pbD durch einen Auftragsverarbeiter (regelmäßig ein entsprechender Dienstleister) im Auftrag des Verantwortlichen. Die Auftragsverarbeitung erleichtert arbeitsteiliges Handeln. Dabei wird dem Auftragsverarbeiter nicht die eigentliche (Verwaltungs-) Aufgabe übertragen, sondern nur eine Hilfstätigkeit.

Der Verantwortliche (im Sinne der Definition des § 4 Nr. 9 KDG) lagert dabei in der Regel Teilprozesse, die er sonst selbst vornehmen müsste und bei denen personenbezogene Daten verarbeitet werden, an einen externen Dienstleister (= Auftragsverarbeiter im Sinne der Definition des § 4 Nr. 10 KDG) aus („Outsourcing“).

Typische Tätigkeiten von Auftragsverarbeitern sind externe Lohn- oder Gehaltsabrechnungen, Datenträgerentsorgung, externe Dienstleister mit "Remote-Zugriff" (Server, Wartungsverträge, Softwarepflege) sowie Cloud-Computing (inkl. Webhosting).

Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Verarbeitung pbD im Vordergrund steht bzw. bei denen die Verarbeitung pbD nicht zumindest einen wichtigen (Kern-) Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.

Die auftraggebende Stelle bleibt für die Einhaltung der Bestimmungen des KDG und anderer Vorschriften über den Datenschutz verantwortlich. Nach § 30 KDG ist der als Auftragsverarbeiter tätige Dienstleister an die Weisungen der verantwortlichen Stelle gebunden.

Nach § 29 Abs. 1 KDG ist der Auftragnehmer (Dienstleister), der pbD im Auftrag des Auftraggebers (Einrichtung) verarbeitet, sorgfältig auszuwählen. Dabei sind die vom Dienstleister getroffenen technischen und organisatorischen Maßnahmen zu Datenschutz und Datensicherheit gemäß § 26 KDG zu prüfen. Die Überprüfung kann durch einen Termin vor Ort, über eine schriftliche Validierung der Umsetzung (z.B. per Fragebogen) oder durch Vorlage entsprechender Zertifizierungen des Auftragsverarbeiters erfolgen.

Der Vertrag zur Datenverarbeitung im Auftrag (Auftragsverarbeitungsvertrag, AV-Vertrag) kann schriftlich oder in einem elektronischen Format abgefasst sein und muss die Anforderungen des § 29 KDG erfüllen. Folgende Punkte müssen in dem Vertrag - oder in einer entsprechenden anderen, z. B gesetzlichen,  Rechtsgrundlage - aufgeführt werden:

  • Gegenstand und Dauer des Vertrages
    Der Auftrag der Verarbeitung muss verständlich bezeichnet werden. Auch wenn nicht einzelne Verarbeitungsschritte benannt werden müssen, so muss aber deutlich gemacht werden, welchen Umfang die Arbeiten haben, die vom Auftragnehmer erledigt werden.
  • Regelung von Umfang, Art und Zweck
    Im Auftragsdatenverarbeitungsvertrag sind konkrete Weisungen im Hinblick auf die Verarbeitung zu treffen, dies kann auch einzelne Verarbeitungsschritte betreffen. Im Vertrag sollten die Möglichkeiten aber auch die Grenzen der Datenverarbeitung durch den Auftragnehmer deutlich werden.
    Der Zweck der Verarbeitung der Daten ist im Vertag zu benennen. Die Art der Daten ist genau zu beschreiben (hier helfen die Angaben aus den Verfahrensverzeichnissen). Der Kreis der Betroffenen ist so konkret wie möglich zu erfassen.
  • Festlegung der zu treffenden technischen und organisatorischen Maßnahmen
    Der Vertrag muss konkrete Regelungen beinhalten, welche technischen und organisatorischen Maßnahmen vom Auftragnehmer bei der Durchführung des Auftrages eingehalten werden müssen. Diese Maßnahmen sind konkret zu bezeichnen.
  • Regelungen zu Berichtigung, Löschung und Sperrung von Daten im Auftrag
    Der Vertrag sollte Regelungen enthalten, aus denen sich Berichtigung, Löschung und Sperren von Daten durch den Auftraggeber ergeben. Diese Maßnahmen dürfen nur auf Weisung des Auftraggebers erfolgen.
  • Regelungen zu den Pflichten des Auftragnehmers
    Im Vertrag sind die gesonderten Anforderungen an den Auftragnehmer auszuführen, z. B. Verpflichtung auf das Datengeheimnis, Bestellung eines betrieblichen Datenschutzbeauftragten etc.
  • Regelungen zu Untervertragsverhältnisses
    Es ist zu regeln, ob und wie eine Beauftragung von Unterauftragnehmern durch den Auftragnehmer bei der Verarbeitung von Daten erfolgen kann. Diese können Support- und Entwicklungsangebote großer Softwarefirmen sein (24h-Dienstleistung; Tochterfirmen im Ausland).
  • Regelungen zu Kontrollrechten des Auftraggebers und entsprechenden Duldungspflichten des Auftragnehmers
    Um eine wirksame Kontrolle des Auftragnehmers vornehmen zu können, müssen Kontrollrechte vertraglich vereinbart werden. Damit gehen entsprechende Duldungspflichten des Auftragnehmers einher (Zugang zu den Geschäftsräumen).
  • Regelungen zu Informationspflichten des Auftragnehmers bei Verstößen gegen Datenschutzvorschriften oder Pflichten gegenüber dem Auftraggeber
    Bei Unregelmäßigkeiten bzw. Verstößen gegen Rechtsvorschriften oder vertragliche Pflichten ist der Auftraggeber zu informieren.
  • Regelung des Weisungsrechts
    Aus dem Vertrag muss sich ergeben, dass die dort getroffenen Regelungen abschließenden Charakter haben. Ergänzende Weisungsrechte des Auftraggebers sind genau zu regeln (Wer kann Weisungen aussprechen? In welcher Form werden diese kommuniziert?).
  • Regelungen zur Rückgabe bzw. Löschung der Daten nach Auftragsbeendigung
    Es muss gewährleistet sein, dass nach Beendigung des Auftrags keine personenbezogenen Daten mehr beim Auftragnehmer verbleiben.
     

Kirchlicher Auftraggeber und nicht-kirchlicher Auftragsverarbeiter

Datenschutzrechtlich gelten für den nicht-kirchlichen Auftragsverarbeiter die Vorschriften der Datenschutz- Grundverordnung (DSGVO), während der kirchliche Rechtsträger dem KDG unterliegt.

Gemäß => Beschluss der Konferenz der Diözesandatenschutzbeauftragten vom 04. April 2019 soll bei Abschluss von Verträgen kirchlicher Einrichtungen mit Stellen, die nicht dem KDG unterliegen, zumindest eine Bezugnahme auf das aktuelle KDG in den Vertragstext aufgenommen werden.

Hat der Vertragspartner einen Vertrag, der ausreichende Regelungen zu Datenschutz enthält, aber auf die entsprechenden Normen der DSGVO verweist, sollte zumindest ein pauschaler Verweis auf das Kirchliche Datenschutzgesetz in den Vertrag aufgenommen werden, siehe unsere => Zusatzvereinbarung zum Auftragsverarbeitungsvertrag gemäß § 29 KDG.

Ist auch dieser pauschale Verweis nicht möglich, sollte in einem Begleitschreiben zum Vertrag auf das Kirchliche Datenschutzrecht (KDG) hingewiesen werden. Auch hier müssen aber ausreichende Regelungen zum Datenschutz im Vertrag vorhanden sein.

Unser Muster eines Vertrags über die Auftragsverarbeitung:
=> Muster Auftragsverarbeitungsvertrag gemäß § 29 KDG

Hier ist ein Link zu einem aktuellen Mustervertrag (nach DSGVO) des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI):
=> Mustervertrag LfDI Baden-Württemberg