Einblicke aus der Praxis
Heute möchte ich einen Denkanstoß mit Ihnen teilen: Was verrät ein Vertrag zur Auftragsverarbeitung über ein Unternehmen? Und wie kann das Vertrauen in ein Unternehmen bereits durch ein paar Seiten Papier zerstört werden?
Zunächst eine Vorbemerkung: Es ist erstaunlich, wie schlecht einige Verträge zur Auftragsverarbeitung vorbereitet sind. Falsche Anhänge und unstrukturierter Text können schnell das Aus im Auswahlverfahren bedeuten!
Zur Erinnerung: Der Gesetzgeber schreibt vor, dass Auftraggeber nur mit Dienstleistern zusammenarbeiten dürfen, die hinreichende Garantien für eine datenschutzkonforme Verarbeitung bieten. Dazu ist unter anderem ein Vertrag erforderlich, der die wesentlichen Regelungen zur Auftragsverarbeitung festlegt.
Es ist üblich, dass Auftragsverarbeiter einen auf ihren Tätigkeitsbereich zugeschnittenen Vertragsentwurf bereithalten. Dies ist besonders wichtig, da bei der Verarbeitung häufig Unterauftragnehmer eingebunden sind, die bekannt sein sollten, und technische sowie organisatorische Maßnahmen zum Schutz der Daten festgelegt werden müssen.
Für die Erstellung eines solchen Vertrages stehen verschiedene Optionen zur Verfügung: Man kann auf Vorlagen aus dem Internet zurückgreifen, wie beispielsweise den Entwurf des Bitkom, die Standardvertragsklauseln der EU verwenden, oder den Entwurf eines fachkundigen Datenschutzbeauftragten nutzen – sofern man einen solchen an seiner Seite hat.
Klar ist: Ein guter Vertrag schützt nicht vor Rückfragen. Unklarheiten treten immer wieder auf, besonders wenn der Entwurf tatsächlich gelesen wird. So hatten wir kürzlich Rückfragen zu einem von uns erstellten Vertrag, der derzeit bei der DATEV eG geprüft wird. Solche Rückfragen sind völlig normal.
Nun aber zum Kern der Sache: Nicht normal hingegen sind manche der Entwürfe, die mir zur Prüfung vorgelegt werden.
Beispiele, wie es nicht laufen sollte:
Häufig findet man in den Listen der Unterauftragnehmer den eigenen Steuerberater, Mobilfunkanbieter oder den Dienstleister für den Wartungsvertrag der Buchhaltungssoftware. Diese Angaben sind in den meisten Fällen schlichtweg falsch! Solche „Dienstleister“ haben selten einen tatsächlichen Einfluss auf die vereinbarte Verarbeitung personenbezogener Daten. Warum ein Steuerberater, der regelmäßig bereits berufsrechtlich kein Auftragsverarbeiter ist, Teil der Auftragsverarbeitung eines IT-Dienstleisters sein sollte, ist mir völlig unverständlich.
Dann gibt es die Verträge, die offensichtlich aus verschiedenen Quellen zusammenkopiert wurden, ohne dass sich jemand über den Inhalt Gedanken gemacht hat – oder die inhaltlich einfach falsch sind. Erst letzte Woche hatte ich einen Vertrag zur Prüfung vor mir, der auf den ersten vier Seiten einen guten Eindruck machte – doch dann… Ab Seite fünf folgten drei Seiten unstrukturierter Text mit widersprüchlichen Angaben und ohne klare Struktur. Zu allem Überfluss wollte sich der IT-Dienstleister bei der Einhaltung der datenschutzrechtlichen Vorgaben allein auf anerkannte Verhaltensregeln gemäß Art. 40 DSGVO berufen. Verhaltensregeln sind sicherlich wünschenswert, aber für IT-Dienstleister sind mir keine anerkannten und genehmigten Verhaltensregeln bekannt.
Damit komme ich zurück zur Ausgangsfrage:
Wie viel Vertrauen kann man in die datenschutzkonforme Verarbeitung haben, wenn der Vertrag zur Auftragsverarbeitung so schlecht ist, dass er pures „Unwissen“ nahelegt, anstatt den üblichen „Interpretationsspielraum“?
Konsequent zu Ende gedacht: Wenn ein Dienstleister erst nach mehreren Anläufen eine brauchbare Liste seiner Unterauftragnehmer oder der technischen und organisatorischen Maßnahmen vorlegen kann, oder einen Vertragsentwurf liefert, der scheinbar nie vollständig gelesen wurde – welche hinreichenden Garantien habe ich als Auftraggeber dann noch? In solchen Fällen sollte man ernsthaft überlegen, ob dieser Dienstleister überhaupt in Betracht kommt.
Geschrieben von René Floitgraf, Geschäftsführer CompliPro GmbH