Wie sich die Auftragsdatenverarbeitung mit der DSGVO verändern wird

Bisheriger Stand unter BDSG

Die Auftragsdatenverarbeitung wurde bis jetzt von § 11 BDSG geregelt und verweist auf die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragnehmer im Auftrag der Verantwortlichen. Die Regelung basiert auf der Vorstellung, dass der Auftragnehmer ausschließlich nach den Weisungen des Auftraggebers handelt und dabei keine Verantwortung für die Verarbeitung trägt. Zur Übermittlung der personenbezogenen Daten an Dritten ist nach dem jetzigen Stand des Gesetzes die Einwilligung der betroffenen Person oder eine gesetzlich geregelte Erlaubnis nötig. Jedoch besagt § 3 Abs. 8 Satz 3 BDSG, dass Personen und Stellen, die personenbezogene Daten „im Auftrag“ erheben, verarbeiten oder nutzen, keine Dritten sind. Nach dieser erleichterten Anforderung bedarf die Übermittlung keiner weiteren datenschutzrechtlichen Erlaubnis. Dieses gilt aber nur in den Fällen, wenn es sich bei der Auftragsbeziehung um eine zulässige Datenverarbeitung handelt. Weiterhin ist darauf zu achten, dass es nicht um eine Funktionsübertragung geht, bei der der Auftragnehmer selbst Entscheidungen über die Verarbeitung treffen kann und dabei eine Verantwortung dafür trägt.

Anforderungen unter DSGVO

Die Datenschutz-Grundverordnung regelt die Auftragsdatenverarbeitung in Kapitel IV und entspricht zum größten Anteil die bislang gültigen Anforderungen des BDSG. Wie unter dem BDSG ist die Auftragsverarbeitung auch bei der Verordnung durch die Verteilung der Verantwortungen zwischen dem Verantwortlichen und dem Auftragsverarbeiter, der Auswahl- und Überwachungspflichten und der Gebundenheit des Auftragsverarbeitenden gegenüber den Aufträgen des Verantwortlichen. Es bestehen aber einige Änderungen, die die Situation für die Auftragsverarbeiter wesentlich beeinflussen.

Räumlicher Anwendungsbereich

Gemäß Art. 3 Abs. 1 umfasst der räumliche Anwendungsbereich nun auch alle Verarbeitungen personenbezogener Daten durch Verantwortliche oder Auftragsverarbeiter, die unabhängig von dem Ort der Verarbeitung von einer Niederlassung in der Europäischen Union durchgeführt werden. Damit ist die im § 3 Abs. 8 Satz 2 enthaltene Regelung jetzt obsolet. Aber nach Auffassung der deutschen Aufsichtsbehörden müssen die im Drittland ansässigen Auftragsverarbeiter bei Übermittlungen bereits die Anforderungen des § 11 BDSG zusätzlich erfüllen, damit die betroffenen Personen nicht in einer schlechteren Position sind im Vergleich zu einer Auftragsverarbeitung in der Europäischen Union. Darüber hinaus wird in Art. 3 Abs. 2 DSGVO geregelt, dass die Verordnung auch auf einen Auftragsverarbeiter anwendbar ist, der nicht in einem EU Land niedergelassen ist, wenn das Anbieten von Waren oder Dienstleistungen oder die Beobachtung von Verhaltensweisen der EU-Bürger, insbesondere durch Profiling, Gegenstand der Verarbeitung ist.

Vertreter in der EU

In den obengenannten Fällen, bei denen die Auftragsdatenverarbeitung von nicht in der EU ansässigen Auftragsverarbeiter erfüllt wird, verlangt die Verordnung in Art. 27 Abs. 1, dass der Auftragsverarbeiter schriftlich einen Vertreter in der Union bestellt. Weiterhin liegt in Art. 27 Abs. 3 die Anforderung, dass dieser Vertreter in einer der Europäischen Mitgliedstaaten niedergelassen ist, in denen sich die von der Verarbeitung betroffene Person befindet. Die Hauptaufgabe dieses Vertreters besteht daraus, als Ansprechpartner die Fragen von Aufsichtsbehörden und Betroffenen zu beantworten und für ihnen zur Verfügung zu stehen. Letztendlich muss er die Einhaltung der Datenschutz-Grundverordnung gegenüber dem Auftragsverarbeiter durchsetzen.

Vertragliche Anforderung

Zur Auftragsdatenverarbeitung ist es nötig, dass ein Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossen wird. Die Anforderungen zu dem Inhalt eines solchen Vertrags in Art. 28 Abs. 3 stimmen mit der bisherigen Vorgaben des § 11 Abs. 2 BDSG überein und enthalten Gestaltungserfordernisse in Bezug auf Dauer, Umfang, Art der Daten, Meldepflichten usw. Im Vergleich zu dem bisherigen Stand ist es gemäß Art. 28 Abs. 9 DSGVO jetzt auch möglich, einen Auftragsdatenverarbeitungsvertrag nicht nur in Schriftform, sondern auch in elektronischer Form zu schließen. Eine besondere Regelung der Verordnung sieht vor, dass die Kommission oder eine Aufsichtsbehörde das Recht haben, Standardvertragsklauseln für die Auftragsdatenverarbeitung zu bestimmen.

Einsatz von Unterauftragsverarbeitern

Auch wenn der Auftragsdatenverarbeiter einen Teil seiner Aufgaben an einem Unterauftragsdatenverarbeiter übertragen will, müssen bestimmte Regelungen der Verordnung erfüllt werden. Folglich darf der Auftragsdatenverarbeiter gemäß Art. 28 Abs. 2 DSGVO keine weitere Auftragsverarbeiter nehmen, ohne zuerst die Zustimmung des Verantwortlichen dafür zu bekommen. Diese Regelung gilt ausgenommen der Situationen, in denen der Einsatz eines weiteren Auftragsverarbeiters vorher vertraglich verabredet wurde und der Verantwortliche genau über die konkrete Situation informiert und damit einverstanden ist. Und obwohl die elektronische Form für den Vertrag der Auftragsdatenverarbeitung erlaubt ist, wird in Bezug auf den weiteren Vertrag nur die Schriftform in Art. 28 Abs. 2 erwähnt. Unter diesem Auftragsdatenverarbeitungsvertrag ist der weitere Auftragsdatenverarbeiter verpflichtet, dieselben Verantwortungen zu übernehmen, die der Auftragsverarbeiter schon unter seinem Vertrag mit dem Verantwortlichen zu tragen hatte. Dabei haftet aber nur der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der datenschutzrechtlichen Pflichten des Unterauftragsverarbeiters.

Verzeichnis von Verarbeitungstätigkeiten

Die Datenschutz-Grundverordnung führt auch eine neue Pflicht für den Auftragsverarbeiter oder seinen Vertreter auf, die in Art. 30 Abs. 2 geregelt ist. Dabei besteht der Bedarf ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, das eine bestimmte Liste von Informationen enthalten muss. Diese Anforderungen entsprechen die in §§ 4g Abs. i.V.m. 4e Satz  Nr. 1 bis 8 BDSG enthaltene Pflicht zur Verarbeitungsübersicht. Diese neue Pflicht für den Auftragsverarbeiter ist nicht so umfassend wie im Fall des Verantwortlichen und besteht nur aus 4 Elementen: die Namen und Kontaktdaten, die Kategorien von Verarbeitungen, die Übermittlungen von personenbezogenen Daten an ein Drittland und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. Noch einmal erlaubt die Verordnung die Einführung eines Dokuments in elektronischer Form im Zusatz zu der Schriftform. Diese Verzeichnis ist dann nach Anforderung gemäß Art. 30 Abs. 4 der Aufsichtsbehörden zu schicken oder generell zur Verfügung zu stellen.

Weitere Pflichten

Neben den oben beschriebenen Pflichten für den Auftragsverarbeiter bestehen noch eine Reihe von weiteren Aufgaben, die er erfüllen muss, um die Anforderungen der Verordnung zu erfüllen. Gemäß Art. 31 DSGVO ist der Auftragsverarbeiter dazu verpflichtet, mit der Aufsichtsbehörden zusammenzuarbeiten. Zusätzlich muss der Auftragsverarbeiter wie der Verantwortliche, alle technischen und organisatorischen Maßnahmen zur Datensicherheit ergreifen (Art. 32 Abs. 1 DSGVO). Was sich mit der Datenschutz-Grundverordnung ändert ist, dass jetzt auch die Auftragsverarbeiter einen betrieblichen Datenschutzbeauftragten einstellen müssen (Art. 37 Abs. 1 DSGVO). Letztendlich gilt Art. 44 DSGVO auch für den Auftragsverarbeiter in Bezug auf die Übertragung von personenbezogenen Daten in Drittländer und er muss diese beachten.

Haftung

Die Datenschutz-Grundverordnung verändert die Regelungen über die Haftung des Auftragsverarbeiters in einer strikteren Richtung. Während nach dem BDSG (§§ 6, 7, 11) Schadensersatzansprüche nur gegenüber dem Verantwortlichen möglich sind, haftet nach Art. 82 Abs. 1, 1 DSGVO der Auftragsverarbeiter gemeinsam mit dem Verantwortlichen gegenüber der betroffenen Person bei einem Datenschutzverstoß während der Verarbeitung ihrer Daten. Infolgedessen kann der Betroffene seinen ganzen Schaden sowohl von dem Verantwortlichen als auch von dem Auftragsverarbeiter verlangen. Eine Ausnahme dazu besteht nur dann, wenn der Auftragsverarbeiter beweisen kann, dass er für den Schaden nicht verantwortlich ist (Art. 82 Abs. 3 DSGVO).

Was sich aus den neuen Vorschriften über den Auftragsverarbeiter ergibt ist, dass er jetzt einen größeren Teil der Verantwortungen und Pflichten in Bezug auf Verarbeitungen erfüllen muss und seine Position nähert sich zu der des Verantwortlichen. Sehr wichtig ist es dabei während der Verarbeitung von personenbezogenen Daten eng mit dem Verantwortlichen zusammenzuarbeiten.

 
1 Star2 Stars3 Stars4 Stars5 Stars 6 Bewertung(en), durchschnittlich: 4,33 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*