DSGVO – Auftragsdatenverarbeitung

Die EU-Datenschutz-Grundverordnung regelt ab Mai 2018 die Auftragsdatenverarbeitung europaweit einheitlich. Die häufig genutzte Abkürzung ist die ADV. Dabei orientieren sich die neuen Regelungen an dem uns bekannten § 11 BDSG. Auf europäischer Ebene werden noch einige Vorgaben hinzugefügt. Die Neuregelungen wollen wir Ihnen aufzeigen. 

Was versteht man unter einer Auftragsdatenverarbeitung?

Die Auftragsdatenverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragnehmer gemäß den Weisungen der verantwortlichen Stelle auf Grundlage eines schriftlichen Vertrags. Verantwortliche Stelle ist als Auftraggeber häufig die Geschäftsführung. Eine der § 11 BDSG entsprechende europaweite Vorschrift gibt es bislang in Art 17 der Datenschutzrichtlinie nur im Ansatz. In Art. 28 ff. EU-DSGVO haben die Gesetzgeber nun auch der Auftragsdatenverarbeitung mehr Aufmerksamkeit gewidmet.

Änderungen und Anforderungen?

Die Gesetzgeber haben sprachliche Änderungen durchgeführt. Art. 28 ff. EU-DSGVO bezeichnet die Parteien nun Auftragsverarbeiter und dem für die Verarbeitung Verantwortlichen. Weiterhin ist auch jetzt noch ein Vertrag nötig. Anders als bisher darf dieser auch in einem elektronischen Format abgeschlossen werden und muss nicht ausschließlich in schriftlicher Form vorliegen.

Der Auftragsverarbeiter muss auch wie bisher sorgfältig und unter besonderer Berücksichtigung seiner technischen und organisatorischen Maßnahmen ausgewählt werden. Der Auftragsverarbeiter darf nach Art 29 EU-DSGVO die Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten. Er wird selbst nach Art. 28 Abs. 10 EU-DSGVO zum Verantwortlichen, wenn er über die Weisungen des Vertrages hinaus zu eigenen Zwecken tätig wird.

Die Datenverarbeitung im Auftrag kann nach der EU-DSGVO aber auch außerhalb der EU durchgeführt werden.

Nach Art. 3 EU-DSGVO findet sie

„Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.“

Inhalt einer Auftragsdatenverarbeitung?

Die inhaltlichen Anforderungen an einen Vertrag zur Datenverarbeitung im Auftrag wollen wir Ihnen gerne aufführen. Nach Art. 28 Abs. 3 EU-DSGVO müssen Sie folgende Punkte in einer ADV regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten sowie die Kategorien von betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit (vergleichbar mit derzeitigem § 5 BDSG)
  • Sicherstellung und Kontrolle von technischen & organisatorischen Maßnahmen des Auftragnehmers
  • hinzugezogene Subunternehmer sind zu erwähnen
  • Unterstützung des für die Verarbeitung Verantwortlichen bei:
    • Anfragen und Ansprüchen Betroffener
    • der Meldepflicht bei Datenschutzverletzungen
  • Herausgabe bzw. Löschpflicht bei den personenbezogenen Daten nach Beendigung der Auftragsdatenverarbeitung
  • Regelungen zu den Kontrollrechten des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
  • Meldepflicht für Verstöße gegen die Weisungen des für die Verarbeitung Verantwortlichen

Wer ist der Verantwortliche?

Betroffene müssen wie auch jetzt in Zukunft sich bei Anfragen an den für die Verarbeitung Verantwortlichen wenden. Dies ist wie bereits erwähnt in den meisten Fällen die Geschäftsführung des Unternehmens. Unterschiede gibt es nun in der EU-DSGVO. Es muss nach Art. 26 EU-DSGVO eine Unterscheidung bei gemeinsam für die Verarbeitung Verantwortlichen stattfinden. Hierbei zwei oder mehrere Verantwortliche gleichberechtigt die Zwecke und Mittel zur Verarbeitung personenbezogener Daten fest. Der Betroffene kann beim Joint Control Modell seine Rechte gegenüber jedem für die Verarbeitung Verantwortlichen geltend machen.

Wie ist die Haftung geregelt?

Die EU-DSGVO sieht im Gegensatz zum BDSG z.B. in Art 82 EU-DSGVO insbesondere für Auftragsverarbeiter schärfere Haftungsregeln:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder moralischer Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter.“

Somit entsteht nach der EU-DSGVO eine Haftung, bei der sich der geschädigte Betroffene seinen Ansprechpartner für die Schäden selbst aussuchen kann. Haftungsbeschränkungen liegen für den Auftragsverarbeiter bei den auferlegten Pflichten. Bei einem Verstoß haben sowohl Auftragsverarbeiter als auch der für die Verarbeitung Verantwortliche die Möglichkeit, sich durch geeignete Beweise schadlos zu halten. Dazu müssen sie dementsprechend nachweisen, dass sie in keinerlei Hinsicht für den Schaden verantwortlich sind.

Es ergeben sich insbesondere keine Änderungen an den Pflichten des für die Verarbeitung Verantwortlichen, da sich die Vorgaben der EU-DSGVO an denen des BDSG orientieren.

Änderungen für den Auftragsverarbeiter im Gegensatz zum BDSG?

Gemäß Art. 30 Abs. 2 DSGVO müssen auch Auftragsverarbeiter im Gegensatz zum bisher geltenden BDSG Regelung selbst ein Verzeichnis über die Verarbeitungstätigkeiten führen. Dieses Verzeichnis müssen sie für alle Aufträge erstellen, die sie für den für die Verarbeitung Verantwortlichen durchführen. Bisher mussten diese Verzeichnisse nach dem BDSG nur Auftraggeber anfertigen. Ebenso unterliegen Auftragsverarbeiter den aus dem BDSG bekannten Meldepflichten.

Welche Sanktionen drohen Unternehmen?

Die Sanktionen sind in Art. 83 EU-DSGVO geregelt:

  • Geldbußen in Höhe von bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes, je nachdem welcher Betrag höher ist.

Eine deutliche Verschärfung im Gegensatz zum BDSG.

Tips für Unternehmen bis Mai 2018

Wenn Sie derzeit noch keinen Datenschutzbeauftragten haben, sollten Sie sich eine Meinung zu ihrem derzeitigen Datenschutzstand einholen. Es ist nicht mehr viel Zeit, einige neue, von der EU-DSGVO geforderte Prozesse einzuführen. Doch dies benötigt Zeit. Sichern Sie ihr Unternehmen für die Zukunft ab.