EU-Datenschutz-Grundverordnung und Auftragsdatenverarbeitung

Während bisher die Auftragsdatenverarbeitung in § 11 Bundesdatenschutzgesetz geregelt war, ist nach der neuen EU-Datenschutz-Grundverordnung (DS-GVO) mit Neuregelungen zu rechnen. Diese sollen im Frühjahr 2018 in Kraft treten und dann für alle Mitgliedsstaaten und damit auch für alle Behörden und Unternehmen in der Bundesrepublik Deutschland gelten.

Eine sprachliche Neuerung ergibt die DS-GVO: Zukünftig wird nicht mehr von Auftragsdatenverarbeitung gesprochen, sondern von „Auftragsverarbeiter“. Ähnlich wie bereits in § 11 Abs. 1 Satz BDSG hat der für die Verarbeitung Verantwortliche für die Einhaltung der datenschutzrechtlichen Regelungen zu sorgen. Dies ergibt sich aus Art. 5 Abs. 2 und Art. 22 DS-GVO. Dabei ist, wie bisher nach deutschem Recht, der Auftragsverarbeiter sorgfältig auszuwählen. Die technischen und organisatorischen Schutzmaßnahmen, die ein Auftragsverarbeiter zum Schutz der personenbezogenen Daten ergreift, sind besonders in Augenschein zu nehmen.

Ein Auftragsverarbeiter darf Daten nur entsprechend der erteilten Weisungen verarbeiten, wie es in Art. 26 Abs. 4 DS-GVO geregelt ist.

Zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter ist ein Vertrag zu schließen. Anders als nach dem BDSG muss dieser nicht schriftlich abgeschlossen werden, sondern es genügt ein elektronisches Format. Einzelheiten sind auch in Art. 26 festgelegt. Nicht nur Art und Zweck der Verarbeitung sowie weitere Details sind im Vertrag festzuhalten, sondern auch Kontrollrechte des für die Verarbeitung Verantwortlichen. Hier ist gegenüber den deutschen Regelungen keine erhebliche Veränderung festzustellen.

Soweit Unterauftragnehmer vom Auftragsverarbeiter eingesetzt werden, bedarf es der vorherigen Zustimmung des für die Verarbeitung Verantwortlichen (Art. 26 Abs. 1 a DS-GVO). Weiterhin wird gefordert, dass die gleichen Datenschutzpflichten, denen der Auftragsverarbeiter unterliegt, auch an den Unterauftragnehmer weitergegeben werden sollen. Dies könnte in der Praxis einige Mühe machen, da nicht alle Unterauftragnehmer entsprechenden Pflichten unterworfen werden können.

Für Auftragsverarbeiter ergeben sich Dokumentationspflichten, die stark an die Anforderungen des BDSG an Verfahrensverzeichnisse erinnern. Hier muss der Auftragsverarbeiter zukünftig gemäß Art. 28 Abs. 2 a DS-GVO ein eigenes Verzeichnis von Verarbeitungstätigkeiten führen. Er hat auch Meldepflichten bei Datenpannen. Hier hat er den für die Verarbeitung Verantwortlichen unverzüglich zu informieren.

Die Haftung bei Datenschutzverstößen ist weiter als die bisherigen Regelungen nach dem BDSG. Art. 77 Abs. 1 DS-GVO legt fest, dass bei Datenschutzverstößen die betroffene Person Schadenersatzansprüche auch direkt gegen dem Auftragsverarbeiter geltend machen kann. Allerdings entfällt ein Haftungsanspruch, wenn der Auftragsverarbeiter nachweisen kann, dass er nicht verantwortlich ist.

Neu ist die Regelung in Art. 24 DS-GVO, die eine gleichberechtigte Zusammenarbeit bei der Datenverarbeitung ermöglicht. Zwei Unternehmen können beispielsweise Mittel und Zwecke der Verarbeitung gemeinsam festlegen und auf Basis einer zulässigen rechtlichen Grundlage Daten verarbeiten. Dann entsteht für beide Unternehmen auch eine entsprechende Verantwortlichkeit für die Einhaltung der gesetzlichen Regelungen. Eine Besonderheit ist allerdings zu beachten: Die wesentlichen Inhalte dieser Vereinbarung über die gemeinsame Datenverarbeitung muss betroffenen Personen zugänglich gemacht werden. Hier könnte es im Einzelfall Abgrenzungsfragen geben, was genau zu den wesentlichen Inhalten der Vereinbarung gehört.

Insgesamt ist festzustellen, dass die Regelungen der DS-GVO zur Auftragsdatenverarbeitung und zum Outsourcing in vielen Fällen Parallelen zu den bisherigen Regelungen des § 11 BDSG aufweisen. Gerade bei den Meldepflichten empfiehlt sich aber, zukünftig bessere organisatorische Abläufe einzurichten, da der Gesetzgeber mit seiner Pflicht zur Meldung von Datenschutzpannen innerhalb von 72 Stunden sehr enge zeitliche Grenzen festgelegt hat.

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*