In Zeiten von New Work arbeiten viele Beschäftigte im Home-Office bzw. mobil. Problematisch kann es jedoch bei einer Auftragsverarbeitung außerhalb von Geschäftsräumen des Dienstleisters werden. Worauf müssen Auftragsverarbeiter also achten, wenn personenbezogene Daten im Home-Office verarbeitet werden sollen?
Hinweis: Diese Anleitung hilft Dienstleistern, Auftragsverarbeitung im Home-Office zu ermöglichen. Verantwortliche finden hier einen Ratgeber, wie sie ihr Kontrollrecht bei der Auftragsverarbeitung im Home-Office wahren.
Zulässige Orte für die Auftragsverarbeitung im AV-Vertrag
Lässt ein Verantwortlicher personenbezogene Daten durch einen Dienstleister im Auftrag verarbeiten, müssen beide Parteien einen Auftragsverarbeitungs-Vertrag (AV-Vertrag) nach Art. 28 Abs. 3 S. 1 DSGVO abschließen. Damit wird eine rechtlich ausreichende Basis für die Weitergabe der Daten an einen Dienstleister geschaffen. Zugleich verpflichtet der AV-Vertrag den Auftragsverarbeiter auf die Einhaltung datenschutzrechtlicher Vorgaben der DSGVO. Konsequenter Weise sollte der AV-Vertrag deshalb auch regeln, ob eine Verarbeitung der personenbezogenen Daten außerhalb der normalen Geschäftsräume des Dienstleisters erfolgen darf.
Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit geht in seiner Mustervereinbarung für die Auftragsverarbeitung genau auf diese Punkte ein und empfiehlt, eine Verarbeitung von Daten außerhalb der Betriebsräume des Auftragsverarbeiters (z.B. Home-Office und mobiles Arbeiten) nur nach einer vorherigen ausdrücklichen schriftlichen Zustimmung des Verantwortlichen durchzuführen.
Der Verantwortliche sollte diese Zustimmung wiederum erst nach einer Festlegung angemessener technischer und organisatorischer Maßnahmen für die Verarbeitungssituation erteilen.
Vorgehen bei neuen AV-Verträgen
Wenn Sie als Auftragsverarbeiter wollen, dass Ihre Mitarbeiter entsprechende Dienstleistungen auch im Home-Office erbringen können, sollten Sie zu schließende AV-Verträge um konkrete Regelungen fürs Home-Office ergänzen.
Legen Sie dem Auftraggeber die technischen und organisatorischen Maßnahmen vor, die Ihre Mitarbeiter im Home-Office zum Schutz personenbezogener Daten zu befolgen haben. Diese Maßnahmen können Sie z.B. in einer Richtlinie zum Datenschutz im Home-Office festlegen. Lassen Sie sich vor Beginn der Datenverarbeitung vom Auftraggeber eine ausdrückliche schriftliche Zustimmung zur Leistungserbringung außerhalb der Betriebsräume geben.
Vorgehen bei Home-Office in laufenden AV-Vertragsverhältnissen
Aufgrund der aktuellen Maßnahmen zur Eingrenzung der Corona-Pandemie arbeiten in vielen Unternehmen die Mitarbeiter im Moment von zuhause aus. Diese Umstellung erfolgte oft erst kurzfristig. Sind Sie also Dienstleister und verarbeiten Ihre Mitarbeiter personenbezogene Daten im Auftrag außerhalb Ihrer Geschäftsräume, sollten Sie folgende Punkte beachten:
- Prüfen Sie zunächst, ob im bestehenden AV-Vertrag eine Regelung zur Verarbeitung von Daten außerhalb der Betriebsräume (z.B. Home-Office und mobiles Arbeiten) besteht. Eventuell enthält der AV-Vertrag eine Klausel zur Auftragsverarbeitung bei höherer Gewalt oder die Option einer nachträglichen Genehmigung. Dann wäre zu prüfen, ob diese Regelung im konkreten Fall anwendbar ist.
- In den meisten AV-Verträgen wird es an einer solchen Klausel fehlen. Möglicherweise existiert auch eine solche Regelung und Sie haben dennoch dagegen verstoßen, weil Sie keine vorherige Zustimmung oder nachträgliche Genehmigung eingeholt haben. Eventuell ist die Datenverarbeitung außerhalb der Betriebsräume auch ganz verboten.
- Liegt einer dieser Fälle vor, besteht ein Verstoß des Auftragsverarbeiters gegen die vertraglich vereinbarten Pflichten. Ein solcher Verstoß gegen Art. 28 DSGVO kann von den Aufsichtsbehörden mit Bußgeld (Art. 83 Abs. 4 lit. a DSGVO) und von den Betroffenen mit Schadensersatzansprüchen (Art. 82 DSGVO) begegnet werden.
- Hier sollten Sie mit dem Auftraggeber zügig Kontakt aufnehmen und eine Regelung finden. Im besten Fall wird er die Verarbeitung z.B. im Home-Office nachträglich genehmigen. Diese Genehmigung kann natürlich auch zeitlich begrenzt werden, etwa für die Dauer der Corona-Pandemie.
- Belegen Sie die Einhaltung des Datenschutzes auch bei der Verarbeitung von Daten im Home-Office z.B. durch die vorgegebenen Maßnahmen in einer Richtlinie.
- Ein Merkmal der Auftragsverarbeitung ist gem. 28 Abs. 3 lit. h DSGVO, dass der Dienstleister dem Auftraggeber die Überprüfung der Einhaltung der datenschutzrechtlichen Vorgaben ermöglicht. Auch dieses Kontrollrecht kann im Home-Office erfolgen, etwa durch Ansicht per Videoanruf. Hierin müssen aber der Mitarbeiter und sämtliche mit diesem in häuslicher Gemeinschaft lebende Personen einwilligen. Um eine Kontrolle zu vermeiden, empfiehlt es sich ausreichende technischen und organisatorischen Maßnahmen zu dokumentieren, mit denen gewährleistet wird, dass eine vertragskonforme Verarbeitung stattfindet.
- Überprüfen Sie Ihre AV-Verträge, ob diese für Änderungen am Vertrag die Schriftform vorsehen. Sofern dies der Fall ist, muss auch die Zusatzvereinbarung zur Auftragsverarbeitung im Home-Office unterzeichnet und dann im Original an die jeweils andere Vertragspartei gesendet werden. Eine bloße Übermittlung per E-Mail oder Fax ist in diesem Fall nicht ausreichend.
Fazit: Auftragsverarbeitung im Home-Office ist keine Selbstverständlichkeit
Verarbeiten Dienstleister bzw. deren Mitarbeiter personenbezogene Daten im Auftrag außerhalb der normalen Geschäftsräumlichkeiten, muss der Verantwortliche dem ausdrücklich schriftlich zustimmen. Bestehende AV-Verträge sollten unbedingt dahingehend überprüft werden, ob eine Verarbeitung der Daten durch Mitarbeiter im Home-Office zulässig ist. Der Auftraggeber sollte dem nur zustimmen, wenn er sich davon überzeugt hat, dass die verarbeiteten Daten auch im Home-Office entsprechend geschützt werden.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!