Was ist Auftragsverarbeitung?
Die Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragnehmer gemäß den Weisungen der verantwortlichen Stelle (Auftraggeber) auf Grundlage eines schriftlichen Vertrags. Über die derzeit in § 11 BDSG geregelten Anforderungen können Sie sich hier informieren. Eine entsprechende europaweite Vorschrift existiert bislang in Art. 17 der Datenschutzrichtlinie nur ansatzweise. Mit Art. 28 ff. DSGVO erfährt nun auch die Auftragsverarbeitung eine detaillierte gesetzliche Regelung.
Was sind die grundsätzlichen Änderungen und Anforderungen?
Zunächst werden einige sprachliche Änderungen eingeführt. Die Verordnung spricht von Auftragsverarbeiter und dem für die Verarbeitung Verantwortlichen. Wie bisher ist eine vertragliche Regelung erforderlich, die nicht mehr ausschließlich schriftlich vorliegen muss sondern auch in einem elektronischen Format abgeschlossen werden kann.
Analog zu § 11 BDSG muss der Auftragsverarbeiter sorgfältig und unter besonderer Berücksichtigung der technischen und organisatorischen Maßnahmen ausgewählt werden. Wie bisher darf der Auftragsverarbeiter nach Art. 29 DSGVO die Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten. Verstößt der Auftragsverarbeiter dagegen, indem er z.B. Zwecke der Verarbeitung selbst bestimmt, wird er nach Art. 28 Abs. 10 DSGVO selbst zum Verantwortlichen.
Neu ist, dass eine Datenverarbeitung im Auftrag auch außerhalb der EU stattfinden kann. Nach Art. 3 DSGVO findet sie
„Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.“
Was muss in einem Vertrag zur Auftragsverarbeitung beachtet werden?
Auch die inhaltlichen Anforderungen an einen Vertrag zur Datenverarbeitung im Auftrag orientieren sich sehr stark an den in Deutschland bereits bekannten Punkten. Nach Art. 28 Abs. 3 EU-DSGVO sind zu regeln:
· Gegenstand und Dauer der Verarbeitung
· Art und Zweck der Verarbeitung
· Art der personenbezogenen Daten & Kategorien von betroffenen Personen
· Umfang der Weisungsbefugnisse
· Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
· Sicherstellung von technischen & organisatorischen Maßnahmen
· Hinzuziehung von Subunternehmern
· Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
· Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
· Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
· Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
· Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
Wer ist für die Datenverarbeitung verantwortlich?
Grundsätzlich wird auch künftig der für die Verarbeitung Verantwortliche und nicht der Auftragsverarbeiter erster Ansprechpartner für Betroffene und für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich sein.
Die Datenverarbeitung im Auftrag muss insoweit von den in Art. 26 DSGVO geregelten gemeinsam für die Verarbeitung Verantwortlichen, der sog. „Joint Control“ unterschieden werden. Hierbei legen zwei oder mehrere Verantwortliche die Zwecke und Mittel zur Verarbeitung personenbezogener Daten gleichberechtig und gemeinsam transparent fest. Bei diesem Modell, das dem BDSG unbekannt ist, kann der Betroffene seine Rechte gegenüber jedem für die Verarbeitung Verantwortlichen geltend machen.
Wer haftet bei Datenschutzverstößen?
Anders als im BDSG, wo gegenüber den Betroffenen nur eine Haftung des Auftraggebers auf Schadensersatz vorgesehen ist, finden sich in Art. 82 DSGVO insbesondere für Auftragsverarbeiter schärfere Haftungsregeln:
„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder moralischer Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter.“
Grundsätzlich haften der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter gegenüber dem Betroffenen gemeinsam. Jedoch beschränkt sich die Haftung des Auftragsverarbeiters auf Verstöße gegen speziell den Auftragsverarbeitern auferlegten Pflichten. Beiden Parteien steht die Möglichkeit der Exkulpation zur Verfügung. Dazu müssen sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.
Welche besonderen Pflichten hat der für die Verarbeitung Verantwortliche?
Für deutsche Unternehmen, die Auftragsverarbeiter einsetzen, ergeben sich keine besonderen neuen Verpflichtungen, da die Regelungen der DSGVO die derzeitigen Anforderungen des BDSG nahezu vollständig übernommen.
Welche besonderen Pflichten hat der Auftragsverarbeiter?
Für Auftragsverarbeiter werden künftig einige neue Regelungen und Pflichten zu beachten sein. Gemäß Art. 30 Abs. 2 DSGVO müssen auch Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen, die sie für den für die Verarbeitung Verantwortlichen durchführen. Dieses Verzeichnis, das inhaltlich dem aus dem BDSG bekannten Verfahrensverzeichnis ähnelt, musste bislang nur von Auftraggebern geführt werden. Daneben bestehen die bekannten Meldepflichten aus dem BDSG grundsätzlich fort.
Welche Sanktionen drohen Unternehmen?
Bei Verstößen gegen die Verpflichtungen der Art. 28 ff. DSGVO drohen den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern nach Art. 83 DSGVO Geldbußen in Höhe von bis zu 10 Millionen Euro oder 2% des gesamten weltweit erzielten Jahresumsatzes, je nachdem welcher Betrag höher ist. Dies ist eine empfindliche Verschärfung. Unternehmen sollten daher besonderes Augenmerk auf eine rechtskonforme Ausgestaltung legen.
Was sollten Unternehmen beachten?
Dazu sollten sie bereits in der Übergangsphase ihre bestehenden Prozesse und Verträge zur Datenverarbeitung im Auftrag überprüfen und erforderliche Änderungen vornehmen. Neu abzuschließende Verträge sollten dann bereits die künftige Rechtslage berücksichtigen.
Anlage:
 | Anlage 1 Checkliste Verarbeitungstätigkeiten Auftragsverarbeiter O1R15_DatSch_Anlage 1 Checkliste Verarbeitungstätigkeiten.docx (20.17KB) |
Checkliste Verarbeitungstätigkeiten Auftragsverarbeiter
| O1R15_DatSch_Anlage 1 Checkliste Verarbeitungstätigkeiten.docx (20.17KB) |
| Anlage 2 Mustervertrag Verarbeitungstätigkeiten Auftragsverarbeiter O1R15_DatSch_Anlage 2 Mustervertrag Verarbeitungstätigkeiten.docx (33.26KB) |
Mustervertrag Verarbeitungstätigkeiten Auftragsverarbeiter
| O1R15_DatSch_Anlage 2 Mustervertrag Verarbeitungstätigkeiten.docx (33.26KB) |