Auftragsdatenverarbeitung nach der DSGVO

Auch in der Datenschutzgrundverordnung, die am 25.05.2016 in Kraft treten wird, wird es eine Auftragsdatenverarbeitung geben, die dann entsprechend eu-weit geregelt ist. Die Umstellung der Auftragsdatenverarbeitung vom BDSG §11 auf die DSGVO ist für in Deutschland agierende Unternehmen nicht so gravierend wie für Unternehmen in anderen Ländern, da sich die Datenschutzgrundverordnung inhaltlich sehr nahe am BDSG §11 orientiert.

Trotzdem sollten Unternehmen sich schon heute die neuen Regelungen ansehen und ihre Verträge prüfen an welchen Stellen Änderungen vorzunehmen sind. Auch in Hinblick auf neue abzuschliessende Verträge sollte man die neue kommende Rechtslage gleich berücksichtigen.

Wo ist die Auftragsdatenverarbeitung beschrieben?

Die neuen Regelungen zur Auftragsdatenverarbeitung sind im Art. 28 ff. der EU-DSGVO beschrieben und wird gesetzlich geregelt. Vorher war eu-weit nur eine ansatzweise Regelung im Art. 17 der Datenschutzrichtlinie vorhanden.

Welche Punkte müssen die neuen Verträge haben und was ändert sich?

Im Art. 28 Abs. 3 der EU-Datenschutzgrundverordnung ist beschrieben, welche Punkte geregelt sein müssen. Dabei ist zu beachten, dass sich dabei auch bei der verwendeten Wortwahl ein paar Sachen ändern und zwar spricht die DSGVO nun von einem für die Verarbeitung Verantwortlichen und von einem Auftragsverarbeiter. Diese Begriffe gab es entsprechend im BDSG bisher nicht.

Des Weiteren muss der Auftragsdatenverarbeiter sehr genau darauf achten, dass er die Daten nur auf Weisung der für die Verarbeitung Verantwortlichen verarbeitet. Bestimmt der Auftragsdatenverarbeiter jedoch die Zwecke selbst und verstößt damit gegen die Regelungen, so wird er in diesem Fall selbst zum Verarbeitung Verantwortlichen wie es in Art. 28  Abs. 10 beschrieben ist.

Inhalte des Vertrages:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten / Kategorien der betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung zur Vertraulichkeit der zur Verarbeitung befugten Personen
  • Sicherstellung der technischen und organisatorischen Maßnahmen
  • Einsatz von Subunternehmen
  • Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
  • Unterstützung bei der Meldepflicht des für die Verarbeitung Verantwortlichen
  • Rückgabe und Löschung der personenbezogenen Daten nach Ende der Auftragsdatenverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen
  • Duldungspflichten des Auftragsverarbeiters
  • Hinweispflicht des Auftragsverarbeiters wenn eine Weisung gegen den Datenschutz verstößt

Mehrere für die Verarbeitung Verantwortliche

In der Datenschutzgrundverordnung gibt es nun das sog. Joint Control, hierbei haben mehrere für die Verarbeitung Verantwortliche die Zwecke und Mittel festgelegt wie die personenbezogenen Daten verarbeitet werden. Dies geschieht gleichberechtigt und transparent. Ein Betroffener kann sich in einem solchen Fall an jeden der für die Verarbeitung Verantwortlichen wenden um seine Rechte geltend zu machen. Eine solche Regelung ist auch eine Neuerung gegenüber der bisherigen Regelung im Bundesdatenschutzgesetz, wo eine solche Konstellation nicht vorhanden ist.

Was passiert bei Datenschutzverstößen?

In Art. 82 der DSGVO ist beschrieben, dass nun nicht nur der für die Verarbeitung Verantwortliche haftet, sondern auf der Auftragsverarbeiter. Es findet also nun eine gemeinsame Haftung gegenüber dem Betroffenen statt, wo bisher nur der Auftraggeber die Haftung hatte.

Der Auftragsverarbeiter haftet selbstverständlich dabei nur bei Verstößen gegen seine zu erfüllenden Pflichten.

Führung eines Verzeichnisses durch den Auftragsverarbeiter

Der Auftragsverarbeiter ist nun verpflichtet ein entsprechendes Verzeichnis zu führen, wie wir es bereits aus dem BDSG kennen. Dies musste bisher nur die Verantwortliche Stelle bzw. die zur Verarbeitung Verantwortlichen führen Die Regelung ist entsprechend in Art. 30 Abs. 2 der DSGVO zu finden.

Es heißt natürlich nicht, dass speziell pro Kunde ein solches Verzeichnis geführt werden muss. Sind die Zwecke und Mittel bei den Kunden gleich, so reicht selbstverständlich ein Verzeichnis für alle.

Strafen

Die Strafen oder Sanktionen der DSGVO sind bei weitem härter als sie bisher im BDSG geregelt waren. Kommt es zu entsprechenden Verstößen gegen die Verpflichtungen aus Art. 28 ff. drohen der für die Verarbeitung Verantwortlichen sowie dem Auftragsverarbeiter nach Art. 83 Geldbußen in Höhe von bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes des Vorjahres. Dabei wird immer der höhere Betrag heran gezogen.

Mirko Tasch - Datenschutz-Auditor

Mirko Tasch – Datenschutz-Auditor

Unser Experte für die DSGVO, Herr Mirko Tasch, unterstützt Sie gerne bei der Überprüfung bzw. Neugestaltung Ihrer Verträge zur Auftragsdatenverarbeitung. Wir würden uns über eine Kontaktaufnahme Ihrerseits freuen.

Zum Kontaktformular