Auftragsverarbeitung nach Datenschutzgrundverordnung

Zahlreiche Unternehmen lassen heutzutage personenbezogene Daten von externen Diensleistern erheben bzw. verarbeiten. Diese Auftragsverarbeitung oder auch Outsourcing ist in der modernen Welt Gang und Gebe, muss aber unter Berücksichtigung des Datenschutzes ordentlich geregelt sein. Über einen entsprechenden Vertrag zur Auftragsverarbeitung werden dabei die Verantwortlichkeiten zwischen Auftraggeber und Auftragnehmer klar definiert. Ist ein solcher Vertrag nicht vorhanden, kann es zu massiven Geldbußen seitens der Behörde kommen.

Mit in Kraft treten der EU-DSGVO zum 25.05.2018 wird sich die Auftragsverarbeitung dann nach Art. 28 ff. EU-DSGVO richten. Eine Datenverarbeitung im Auftrag ist, wenn sich der Verantwortliche einer Stelle bedient, die für ihn im Auftrag und weisungsabhängig personenbezogene Daten erhebt, verarbeitet, nutzt oder löscht. Im Klartext bedeutet das, immer wenn ein Unternehmen personenbezogene Daten von einem externen Dienstleister erheben bzw. verarbeiten lässt, handelt es sich um die sogenannte Auftragsverarbeitung. Als Beispiele sind hier z.B Lohnbüros, Rechenzentrumsdienstleistungen,  Callcenter oder Datenerfassungsbüros zu nennen. Auch Funktionen die auf vielen Webseiten genutzt werden wie die Einbindung von Google Analytics sind als Auftragsverarbeitung anzusehen.

Sie sind dazu verpflichtet mit jedem Ihrer Dienstleister, der für Sie personenbezogene Daten erhebt oder verarbeitet einen Vertrag zur Auftragsverarbeitung abzuschließen BEVOR Sie die Dienstleistung in Anspruch nehmen. Gleiches gilt auch, wenn Sie für Ihre Kunden als Auftragnehmer personenbezogene Daten erheben bzw. verarbeiten.

Welche Kriterien muss ein Auftragsverarbeiter erfüllen?

Ein Auftragsverarbeiter muss von einem Verantwortlichen sorgfältig und unter besonderer Berücksichtigung  der technisch und organisatorischen Maßnahmen  ausgesucht werden. Nach Art. 29 EU-DSGVO darf der Auftragsverarbeiter die Daten nur auf Weisung der Verantwortlichen verarbeiten.

Zukünftig kann auch ein Auftragsverarbeiter nach den Voraussetzungen des Art. 3 Abs. 2 lit. A und b EU-DSGVO außerhalb der EU in Anspruch genommen werden.

 

Was ist der Inhalt eines Vertrags zur Auftragsverarbeitung?

Die inhaltlichen Anforderungen eines Vertrags zur Auftragsverarbeitung richten sich stark nach den bereits bekannten Punkten nach § 11 Abs. 2 S. 2 BDSG-alt. Diese sind nun in Art. 28 Abs. 3 EU-DSGVO geregelt:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten / Kategorie der betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung zur Vertraulichkeit der zur Verarbeitung befugten Personen
  • Sicherstellung der technischen und organisatorischen Maßnahmen
  • Einsatz von Subunternehmen
  • Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
  • Unterstützung bei der Meldepflicht des für die Verantwortung Verantwortlichen
  • Rückgabe und Löschung der personenbezogenen Daten nach Ende der Auftragsdatenverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen
  • Duldungspflichten des Auftragsverarbeiters
  • Hinweispflicht des Auftragsverarbeiters wenn eine Weisung gegen den Datenschutz verstößt

Mehrere für die Verarbeitung Verantwortliche

In der Datenschutzgrundverordnung gibt es nun das sog. Joint Control, hierbei haben mehrere für die Verarbeitung Verantwortliche die Zwecke und Mittel festgelegt wie die personenbezogenen Daten erhoben bzw. verarbeitet werden. Dies geschieht gleichberechtigt und transparent; Art. 26 EU-DSGVO. Ein Betroffener kann sich in einem solchen Fall an jeden der für die Verarbeitung Verantwortlichen wenden um seine Rechte geltend zu machen. Eine solche Regelung ist auch eine Neuerung gegenüber der bisherigen Regelung im Bundesdatenschutzgesetz, wo eine solche Konstellation nicht vorhanden ist.

 

Mirko Tasch – Datenschutz-Auditor

Kontaktieren Sie uns, sollten Sie Fragen zu diesem Thema haben. Unser Experte zur Auftragsverarbeitung, Herr Mirko Tasch, unterstützt Sie gerne bei Fragen zur Auftragsverarbeitung und bei der Erstellung passender Verträge. Auch bei geplanten Audits bei Ihren Dienstleistern stehen wir Ihnen zur Seite.

Zum Kontaktformular


Welche Konsequenzen drohen bei Datenschutzverstößen?

Nach Art. 82 Abs. 1 und 4 EU-DSGVO haften der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter gesamtschuldnerisch. Anzumerken ist jedoch, dass sich die Haftung des Auftragsverarbeiter nur nach der Maßgabe der ihn betreffenden obliegenden Pflichten bemisst. Zudem stehen beiden Parteien die Möglichkeit der Exkulpation zu. Dazu tragen die beiden Parteien die Beweislast hinsichtlich, dass sie jeweils nicht für den eingetretenen Schaden verantwortlich sind.

 

Welche besonderen Pflichten gibt es für den Auftragsverarbeiter?

Der Auftragsverarbeiter ist nun verpflichtet ein entsprechendes Verzeichnis zu führen, wie wir es bereits aus dem BDSG kennen. Dies musste bisher nur die Verantwortliche Stelle bzw. die zur Verarbeitung Verantwortlichen führen Die Regelung ist entsprechend in Art. 30 Abs. 2 der DSGVO zu finden. Es heißt natürlich nicht, dass speziell pro Kunde ein solches Verzeichnis geführt werden muss. Sind die Zwecke und Mittel bei den Kunden gleich, so reicht selbstverständlich ein Verzeichnis für alle.

Was ändert sich gegenüber dem BDSG?

Bisher mussten auch Verträge zur Auftragsdatenverarbeitung mit Dienstleistern abgeschlossen werden, wenn diese Einsicht in personenbezogene Daten hatten. Dieser Passus ist weder in der EU-DSGVO noch im BDSG-2018 mehr vorhanden. Dies impleziert, dass mit Dienstleistern, wie z.B. der IT-Dienstleister, der die Systeme im Unternehmen wartet kein entsprechender Vertrag mehr abzuschliessen ist.

Wir empfehlen in diesen Fällen mit den entsprechenden Dienstleistern, die Einsicht haben könnten zumindest eine passende Geheimhaltungsvereinbarung abzuschliessen.

Welche Strafen wird es zukünftig geben?

Die Strafen oder Sanktionen der EU-DSGVO sind bei weitem härter als sie bisher im BDSG-alt geregelt waren. Kommt es zu entsprechenden Verstößen gegen die Verpflichtungen aus Art. 28 ff. EU-DSGVO drohen der für die Verarbeitung Verantwortlichen sowie dem Auftragsverarbeiter nach Art. 83 Abs. 4 EU-DSGVO. Geldbußen in Höhe von bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes des Vorjahres. Dabei ist immer der höhere Betrag maßgebend.

 

Was ist eine Funktionsübertragung?

Abzugrenzen von der Auftragsverarbeitung war bisher die sogenannte Funktionsübertragung. Eine Funktionsübertragung liegt immer dann vor, wenn der Auftragnehmer bei der Datenverarbeitung nach dem mit dem Auftraggeber getroffenen Absprachen eigenverantwortliche Entscheidungen treffen kann.

Klassische Beispiele für eine Funktionsübertragung ist der Forderungseinzug eines Inkassounternehmens oder die Anfertigung von Steuererklärungen durch eine Steuerkanzlei. Liegt ein solcher Fall einer Funktionsübertragung vor, so ist kein Auftrag zur Datenverarbeitung  zu schließen.

Fraglich ist jedoch, wie sich nach EU-DSGVO eine Funktionsübertragung gestaltet. Ausdrücklich genannt ist sie in der EU-DSGVO nicht. Lediglich in Art. 26 Abs. 1 S. 1 und 2 EU-DSGVO lässt sich eine eigenverantwortliche Tätigkeit ableiten.

Es wird zukünftig schwieriger eine Auftragsdatenverarbeitung von einer Funktionsübertragung abzugrenzen, da die EU-DSGVO nicht auf die Eigenverantwortlichkeit des Auftragnehmers und die Weisungsrechte des Auftragsgebers abstellt, sondern nur auf das Auftragsverhältnis an sich.

 

Auftragsdatenverarbeitung BDSG

 

 

0

Your Cart