Auftragsverarbeitung nach der DSGVO

Einleitung

Die Auftragsdatenverarbeitung erfolgt in Deutschland nach den Vorschriften des Bundesdatenschutzgesetzes (BDSG). Mit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) am 24. Mai 2016 und deren Wirksamwerden am 25. Mai 2018 gelten aber ab diesem Datum auch hinsichtlich der Auftragsverarbeitung die Regelungen der DSGVO unmittelbar in Deutschland. Diese lösen die nationalen Regelungen für die Datenverarbeitung im Auftrag ab. Doch worum geht es überhaupt bei der Auftragsverarbeitung? Hierbei geht es um die Einbindung Dritter in die Verarbeitung von personenbezogenen Daten. Werden personenbezogene Daten ausschließlich weisungsgebunden im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist dies eine Auftragsverarbeitung. Der Anwendungsbereich erstreckt sich dabei auf alle Formen der Verarbeitung personenbezogener Daten durch Dienstleister, wie bspw. externe Rechenzentren.

Auftrags(daten)verarbeitung nach altem Recht

Die Auftrags(daten)verarbeitung ist in § 11 BDSG geregelt. Die Voraussetzungen nach § 11 BDSG sind, dass der Auftragsverarbeiter strikt nach den Weisungen des Auftraggebers vorgegebene Tätigkeiten in Bezug auf die personenbezogenen Daten ausführt. Die Verantwortlichkeit für die Verarbeitung bleibt daher vollständig beim Auftraggeber. Des Weiteren wird eine Vereinbarung entsprechend den inhaltlichen Vorgaben des § 11 BDSG geschlossen. Die Verarbeitung erfolgte bisher in einem Mitgliedstaat der EU oder des Europäischen Wirtschaftraums. Zudem sollen Vereinbarungen der Schriftform genügen. Ein brisanter Punkt ist, dass die Auftragsverarbeitung bisher privilegiert war im BDSG, was in der DSGVO streitig ist. Entsprechend der Regelungen des aktuellen BDSG wird ein Auftragsverarbeiter nicht als Dritter, sondern vielmehr als Teil der verantwortlichen Stelle angesehen.

Auftragsverarbeitung nach neuem Recht

Die DSGVO regelt in Art. 28 die Auftragsverarbeitung. Die DSGVO bringt eine Änderung in der Bezeichnung. Der Begriff hat sich von Auftragsdatenverarbeitung zu Auftragsverarbeitung geändert. Die DSGVO bringt aber nicht nur diese Änderung, sondern auch inhaltliche Änderungen gegenüber §11 BDSG. Die DSGVO ist am 24.5.2016 in Kraft getreten und ab dem 25.5.2018 als unmittelbar geltendes Recht in den EU-Mitgliedstaaten anzuwenden. Anders als bei Richtlinien bedarf es keines nationalen Umsetzungsgesetzes. Das bedeutet vor allem auch, dass diese Datenschutzregelungen nicht in einem nationalen Verständnis, sondern unionsweit einheitlich ausgelegt werden müssen. Es kann daher nicht einfach an Begriffsverständnisse und Grundsätze des BDSG angeknüpft werden. Die DSGVO ist aus sich heraus eigenständig auszulegen. Ab dem 25.5.2018 gibt es keinen Bestandsschutz für Alt-Fälle. Plastisch gesagt gilt für den Anwendungsbereich der DSGVO: Ab dem 25.5.2018 ist nur noch datenschutzkonform, was der DSGVO entspricht. Das bedeutet, dass nicht nur zukünftige, sondern auch bereits jetzt bestehende Auftragsverarbeitungen hieran anzupassen sind. Aktuell ist in Deutschland umstritten, ob die Auftragsverarbeitung nach der DSGVO ebenfalls eine sog. Privilegierungswirkung hat. Hier bedarf es daher einer abschließenden Erläuterung seitens der EU. Es wird jedoch davon ausgegangen, dass die Privilegierung weiterhin besteht, solange inhaltliche Anforderungen des Art. 28 DSGVO eingehalten werden. Inhaltliche Anforderungen sind

Auswahl der Auftragsverarbeiter: Der Auftraggeber darf nur Auftragsverarbeiter heranziehen, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen getroffen werden und der Schutz der Rechte der betroffenen Personen gewährleistet ist. Bei der Beauftragung von Unterauftragnehmern muss festgelegt werden:

  • der Zustimmungsvorbehalt des Auftraggebers bei Beauftragung weiterer Auftragsverarbeiter,
  • Widerspruchsmöglichkeit bei vorheriger allgemeiner Genehmigung zur Beauftragung weiterer Auftragsverarbeiter,
  • oder Verbot von weiteren Auftragsverarbeitern.

Anforderung an die Gestaltung der Auftragsverarbeitung: Die inhaltlichen Anforderungen an die Beauftragung eines Auftragsnehmers regelt Artikel 28 Abs.3 DSGVO. Die Verarbeitung hat auf der Grundlage eines Vertrages oder eines anderen Rechtsinstruments zu erfolgen. Darin sind festzulegen:

  • Gegenstand und Dauer des Auftrag,
  • Art und Zweck der Verarbeitung,
  • Art der personenbezogenen Daten,
  • Kategorien betroffener Personen,
  • Pflichten und Rechte des Auftraggebers,
  • Mindestinhalt der Pflichten des Auftragnehmers

Zudem ist der Mindestinhalt der Pflichten des Auftragsverarbeiters aus Art. 28 Abs. 3 S. 2 DSGVO zu beachten

  • Formerfordernis: Der Vertrag oder ein anderes Rechtsinstrument sind schriftlich abzufassen. Dies ist in Art 28 Abs. 9 DSGVO geregelt,
  • Auftragsverarbeitung im Ausland: Nach alter Rechtslage war die Privilegierungswirkung beschränkt auf Auftragsverarbeitung in der EU oder im Europäische Wirtschaftsraum. Die neue Rechtslage erfordert keine räumliche Begrenzung der Privilegierungswirkung.
Vergleich zum BDSG

Artikel 28 DSGVO geht über die Regelungstiefe des § 11 BDSG hinaus. Nicht jeder dem § 11 BDSG genügende Vertrag genügt damit automatisch auch den Anforderungen des Artikel 28 DSGVO. Aber anderseits ist in der Praxis keine der in Artikel 28 Absatz 3 DS-GVO genannten Regelungsmaterien vollkommen neu. Je nach konkreter Gestaltung der Verträge kommt es daher in Betracht, dass bereits unter der Ägide des BDSG geschlossene Verträge den Anforderungen des Artikels 28 DSGVO genügen. Das bedarf aber grundsätzlich der Prüfung im jeweiligen konkreten Einzelfall.

Haftung für Datenschutzverstöße bei Auftragsverarbeitung

Die Haftung für Datenschutzverstöße nach Art. 82 DSGVO ändert sich im Vergleich zum bisherigen Datenschutz-Schadensersatzrecht grundlegend. Aktuell haftet gem. § 7 BDSG nur die verantwortliche Stelle gegenüber den Betroffenen für Schäden aus der Verletzung des Datenschutzrechts. Künftig haftet auch der Auftragsverarbeiter direkt im Verhältnis zu dem Geschädigten. Damit ist der zivilrechtliche Normalzustand hergestellt, dass gegen den Verantwortlichen unmittelbar geklagt werden kann. Artikel 82 Absatz 4 DS-GVO geht aber darüber hinaus und ordnet die gesamtschuldnerische Haftung des Auftraggebers und des Auftragsverarbeiters an. Gesamtschuldnerische Haftung bedeutet, dass jeder im Außenverhältnis auf den gesamten Schaden haftet.

Sanktionen

Zudem drohen bei Verstößen gegen die Verpflichtungen der Art. 28 ff. DSGVO für die Verarbeitung den Verantwortlichen und den Auftragsverarbeitern nach Art. 83 EU-DSGVO Geldbußen in Höhe von bis zu 10 Millionen Euro oder 2% des gesamten weltweit erzielten Jahresumsatzes. Je nachdem welcher Betrag hieraus höher ist wird herangezogen. Dies ist eine empfindliche Verschärfung. Unternehmen sollten daher ein besonderes Augenmerk auf eine rechtskonforme Ausgestaltung legen.

 

Haben Sie Fragen? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M. Leistung: Anwaltliche Beratung

Tags: , , , , , , , , , , , , ,

Comments are closed.