Auswirkungen von Covid-19 auf Auftragsverarbeitungsverträge

Die Verarbeitung von Daten außerhalb der Betriebsräume bedarf der schriftlichen Zustimmung und angemessener technischer und organisatorischer Maßnahmen. [...]

Die Vertragsparteien gehen mit einem AVV ein Auftragsverarbeitungsverhältnis ein. Sofern es sich bei den Verarbeitungstätigkeiten um PbD (Personen-bezogene-Daten) handelt, muss der Vertrag DSGVO-konform ausgestaltet werden (vgl. Art 28 DSGVO). Im Vertrag werden daher üblicherweise folgende Punkte geregelt:

• Anwendungsbereich
• Konkretisierung des Auftragsinhalts
• Verantwortlichkeit und Weisungsbefugnis
• Beachtung zwingender gesetzlicher Pflichten durch den Auftragsverarbeiter
• Technisch-organisatorische Maßnahmen und deren Kontrolle
• Mitteilung bei Verstößen durch den Auftragsverarbeiter
• Löschung und Rückgabe von Daten
• Subunternehmen
• Datenschutzkontrolle
• Schlussbestimmungen

Ort der Auftrags Verarbeitung

Manche AVV regeln die Verarbeitung von Daten außerhalb der Betriebsräume des Auftragsverarbeiters (z.B. Telearbeit, Heimarbeit, Home-Office, mobiles Arbeiten) durch gesonderte Bestimmungen.

Beispiel:

Die Verarbeitung von Daten außerhalb der Betriebsräume des Auftragsverarbeiters bedarf der vorherigen ausdrücklichen schriftlichen Zustimmung des Verantwortlichen, die erst nach Festlegung angemessener technischer und organisatorischer Maßnahmen für die Verarbeitungssituation erteilt werden kann (§ 3 Abs. 9).

Erfolgt eine Verlagerung der Datenverarbeitung trotz obiger Regelung eigenmächtig  ins Home-Office stellt sich die Frage, inwieweit die jetzige Situation überhaupt von der Home-Office-Klausel im Mustervertrag ihrem Sinn und Zweck nach erfasst ist – vgl. https://www.bfdi.bund.de/DE/Datenschutz/DatenschutzGVO/Aktuelles/Aktuelles_Artikel/Muster_Auftragsverarbeitung.html  

Aus Sicht der IT-Sicherheit stellt jeder Fernzugriff auf Daten ein Risiko dar, das durch die entsprechende Klausel im Vertrag gerade adressiert werden soll. Dem Auftraggeber soll dadurch Gelegenheit verschafft werden die technischen und organisatorischen Maßnahmen, die seine Daten bei Verarbeitung im Home-Office schützen, zu überprüfen. 

DSGVO-konforme Home-Office-Regelung

Art. 28 Abs. 3 lit. a DSGVO enthält keine Regelungen zum Home-Office, solche Regelungen sind zwar kein zwingender Vertragsbestandteil zwischen den Parteien entsprechend den Vorgaben nach Art. 28 Abs. 3 DSGVO. Jedoch kann es sich hier um das Hinwegsetzen über die Weisungen des Auftraggebers handeln, auch wenn die Regelung nicht gesetzlich vorgeschrieben ist.

Vor diesem Hintergrund stellt sich die Frage, wie Auftragsverarbeiter, die von der hier zitierten oder einer ähnlichen Klausel betroffen sind, vorgehen können, um schnellstmöglich wieder Compliance mit der DSGVO herzustellen.

Sieht der Vertrag beispielsweise eine Regelung für höhere Gewalt oder die Möglichkeit einer nachträglichen Genehmigung vor, kann diese Alternative zur Anwendung kommen. Enthält der Vertrag keine entsprechende Regelung, kann der eventuell vorliegende Verstoß nach hiesiger Ansicht dennoch durch die nachträgliche Genehmigung geheilt werden und der Auftragsverarbeiter dadurch seine Rolle vollumfänglich zurückerlangen. Erteilt der Auftraggeber diese Genehmigung nicht, könnte dies unter den gegebenen Umständen und mit Blick auf die arbeitsrechtliche Fürsorgepflicht des Auftragsverarbeiters für seine Mitarbeiter problematisch sein, was allerdings im Einzelfall zu evaluieren ist. 

Wie zahlreiche Beispiele belegen, wird der Datenschutz in der Praxis durch die Corona-Situation in eine Nebenrolle gedrängt. Die Autoren empfehlen jedenfalls, bei Vorliegen einer Auftragsverarbeitung aus dem Home-Office, Einvernehmen mit dem Auftraggeber herzustellen. Im Zweifelsfall genügt ein Bestätigungs-Mail des Auftraggebers, um sich formal abzusichern.

Das Tagebuch wird zur Verfügung gestellt von 

DSGVO Datenschutz Ziviltechniker GmbH

www.dsgvo-zt.at