In Teil 1 dieser Blog-Serie habe ich Ihnen erklärt, wie Sie einen Auftragsverarbeitungsvertrag auch digital abschließen können und worauf Sie achten müssen.
In Teil 2 geht es um die Frage
Erlaubt unser AVV überhaupt Home Office der Mitarbeiter?
Wir haben mittlerweile einige Auftragsverarbeitungsverträge (AVV) unserer Mandanten gesehen, in welchen geregelt ist, dass die Auftragsverarbeitung außerhalb von Betriebsstätten des Auftragsverarbeiters (z.B. Heim-/Telearbeit, Remotezugriff, Home Office) unzulässig ist.
Schaut man sich zB das Muster des BfDI (Der Bundesbeauftragte für den Datenschutz und die Datensicherheit) an, findet man eine ähnliche Passage hierzu in § 3 Abs. 9 des AVV-Musters:
(9) Der Auftragsverarbeiter stellt sicher, dass ihm unterstellte natürliche Personen, die Zugang zu Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten. Eine Verarbeitung von Daten außerhalb der Betriebsräume des Auftragsverarbeiters (z.B. Telearbeit, Heimarbeit, Home Office, mobiles Arbeiten) bedarf der vorherigen ausdrücklichen schriftlichen Zustimmung des Verantwortlichen, die erst nach Festlegung angemessener technischer und organisatorischer Maßnahmen für die Verarbeitungssituation erteilt werden kann.
Auch in anderen AVV ist zB der Standort der Verarbeitung explizit geregelt und Home Office ist ausgeschlossen. Sie sollten also Ihre AVV einmal überprüfen. Sollten Sie unser Muster verwendet haben und in Ihren technischen und organisatorischen Maßnahmen nichts anderes erklärt haben, müssen Sie sich über eine Erlaubnis Ihres Auftraggebers in Bezug auf das Home Office Ihrer Mitarbeiter keine Sorgen machen.
Home Office ohne Zustimmung des Auftraggebers?
Wenn Sie eine vertragliche Vereinbarung haben, dass Home Office nur mit Zustimmung des Auftraggebers erfolgen darf, sollten Sie sich einmal Art. 28 Abs. 10 DSGVO ansehen.
Hiernach gilt der Auftragsverarbeiter als Verantwortlicher, sofern er die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten selbst bestimmt. Neben der Haftung als Auftragsverarbeiter haften Sie nun auch als Verantwortlicher.
Wie so oft ist die Interpretation der Norm und auch der Vereinbarungen einzelfallabhängig. Denn viele werden sich fragen, ob es denn auf Standort des einzelnen Mitarbeiters ankommt, oder auf den Standort der tatsächlichen Verarbeitung, wenn der Mitarbeiter nur im Remote (Fernzugriff) auf die Serverdaten zugreift, die ja nach wie vor im Unternehmen selbst bzw. auf dessen Server liegen.
Dagegen könnte sprechen, dass ein Zugriff aus dem Netzwerk des Unternehmens am Standort des Unternehmens eine geringere Gefahr für die Datensicherheit darstellt, als im Wege des Remote Access. Der Auftraggeber wird genau diese Datenunsicherheit durch den Fernzugriff verhindern wollen, indem es den Standort der Verarbeitung festlegt. Und gerade auf die Intention des Auftraggebers kommt es in dem Vertrag an, der ja gerade weisungsbefugt ist und dies dadurch ausübt, dass er Home Office nur individuell und ausdrücklich zulassen möchte.
Es spricht viele dafür, gerade bei einer vertraglichen Einschränkung mit dem Auftraggeber eine Zusatzvereinbarung zu schließen und somit einer zusätzlichen Haftung und eventuellen Schadensersatzansprüchen des Auftraggebers zu entgehen.
- Prüfen Sie Ihre AV-Verträge (Ort der Datenverarbeitung, höhere Gewalt oder die nachträgliche Genehmigung von erforderlichen Maßnahmen)
- Sprechen Sie mit ihrem Auftraggeber und finden Sie eine gemeinsame Lösung im Rahmen einer Zusatzvereinbarung.
- Stellen Sie sicher, dass das Home Office datenschutzkonform erfolgt (Richtlinie für Mitarbeiter, Schulung der Mitarbeiter, datenschutzkonforme Einrichtung der mobilen Arbeitsgeräte, etc.) Siehe hierzu Teil 3 dieser Blog-Serie
Im dritten Teil befasse ich mich mit der Frage: