Tipp KW 33 – 2016

Auftragsdatenverarbeitung nach der Datenschutz-Grundverordnung

Die Auftragsdatenverarbeitung wird in der Datenschutz-Grundverordnung europaweit einheitlich geregelt. Die neuen Regelungen sind dem bekannten § 11 BDSG ähnlich, dennoch sind einige Unterschiede zu beachten.

Bisher ist die Auftragsdatenverarbeitung nach dem BDSG definiert als die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragnehmer gemäß den Weisungen der verantwortlichen Stelle (Auftraggeber) auf Grundlage eines schriftlichen Vertrags. Bisher existierte eine entsprechende europaweite Vorschrift in Art. 17 der Datenschutzrichtlinie nur ansatzweise. Mit Art. 28 ff. EU-DSGVO erfolgt nun auch für die Auftragsdatenverarbeitung eine detaillierte gesetzliche Regelung auf europäischer Ebene.

Zu beachten sind zunächst einige sprachliche Änderungen. Die Verordnung spricht von dem für die Verarbeitung Verantwortlichen und dessen Auftragsverarbeiter. Auch weiterhin ist eine vertragliche Regelung erforderlich, die nicht mehr zwingend schriftlich vorliegen muss, sondern auch in elektronischer Form geschlossen werden kann.

Wie bisher muss der Auftragsverarbeiter sorgfältig und unter besonderer Berücksichtigung der technischen und organisatorischen Maßnahmen ausgesucht werden. Weiterhin darf der Auftragsverarbeiter nach Art. 29 EU-DSGVO die Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten. Der Auftragsverarbeiter wird nach Art. 28 Abs. 10 EU-DSGVO selbst zum Verantwortlichen, wenn er dagegen verstößt, z.B. indem er Zwecke der Verarbeitung selbst bestimmt.

Abweichend von der bisherigen Regelung kann eine Datenverarbeitung im Auftrag nun auch außerhalb der EU stattfinden. Nach Art. 3 EU-DSGVO findet sie

„Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.“

Die inhaltlichen Anforderungen an eine Vereinbarung zur Auftragsdatenverarbeitung orientieren sich stark an den in Deutschland bereits bekannten Punkten. Gemäß Art. 28 Abs. 3 EU-DSGVO sind zu regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten & Kategorien von betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen & organisatorischen Maßnahmen
  • Hinzuziehung von Subunternehmern
  • Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
  • Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Auch zukünftig wird der für die Verarbeitung Verantwortliche und nicht der Auftragsverarbeiter erster Ansprechpartner für Betroffene und für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich sein.

Anders als im BDSG, wo gegenüber den Betroffenen nur eine Haftung des Auftraggebers auf Schadensersatz vorgesehen ist, finden sich in Art. 82 EU-DSGVO insbesondere für Auftragsverarbeiter schärfere Haftungsregeln:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder moralischer Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter.“

Grundsätzlich haftet der für die Verarbeitung Verantwortliche gemeinsam mit dem Auftragsverarbeiter gegenüber dem Betroffenen. Die Haftung des Auftragsverarbeiters beschränkt sich jedoch auf Verstöße gegen speziell den Auftragsverarbeitern auferlegten Pflichten. Beiden Parteien haben die Möglichkeit zur Exkulpation, sofern sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.

Da die Regelungen der EU-DSGVO die derzeitigen Anforderungen des BDSG nahezu vollständig übernehmen, ergeben sich für deutsche Unternehmen, die Auftragsverarbeiter einsetzen, keine besonderen neuen Verpflichtungen.

Auftragsverarbeiter jedoch haben zukünftig einige neue Regelungen und Pflichten zu beachten. Gemäß Art. 30 Abs. 2 DSGVO müssen sie ein Verzeichnis über die Verarbeitungstätigkeiten führen, die sie für den für die Verarbeitung Verantwortlichen durchführen. Dieses Verzeichnis, das inhaltlich mit dem aus dem BDSG bekannten Verfahrensverzeichnis vergleichbar ist, musste bislang nur von Auftraggebern geführt werden. Die bekannten Meldepflichten aus dem BDSG bestehen grundsätzlich fort.

Bis zum 25. Mai 2018 sollte jeder Verantwortliche, der Auftragsverarbeiter einsetzt (z.B. als Callcenter Dienstleister) prüfen, ob die Übermittlung personenbezogener Daten an den Auftragsverarbeiter auf einen der Erlaubnistatbestände des Art. 6 Abs. 1 DS-GVO gestützt werden kann. Jede Beziehung zu Auftragsverarbeitern muss geprüft werden. Falls die Übermittlung nicht zulässig ist oder entsprechend ausgestaltet werden kann, liegt eine unzulässige Verarbeitung personenbezogener Daten vor. Für bisher zulässige Datenverarbeitungen gibt es keinen Bestandsschutzes oder vergleichbare Rechte, ohne nähere Prüfung und Abgleich mit den Vorgaben der DS-GVO. Den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern drohen bei Verstößen gegen die Verpflichtungen der Art. 28 ff. EU-DSGVO nach Art. 83 EU-DSGVO Geldbußen in Höhe von bis zu 10 Millionen Euro oder 2% des gesamten weltweit erzielten Jahresumsatzes, je nachdem welcher Betrag höher ist.

– Felix Prömel (Junior Berater)
junokai