Auftragsverarbeitung nach Datenschutz-Grundverordnung (DSGVO)

Ab dem 25. Mai 2018 beginnt die Gültigkeit der europäische Datenschutz-Grundverordnung (DSGVO). Diese Verordnung bringt viele Grundsätze und einzuhaltende Vorschriften mit sich. Eine der Pflichten ist die korrekte Ausführung der Auftragsverarbeitung. Dieses Thema möchten wir nun genauer betrachten. Was also verstehen wir unter einer Auftragsverarbeitung und wie ist diese rechtskonform durchzuführen?

Definitionen: Verantwortlicher, Auftragsverarbeiter

Betrachten wir zuerst den Begriff des Verantwortlichen. Als Verantwortlicher gilt jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Abs. 7 DSGVO).

Ein Auftragsverarbeiter ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Abs. 8 DSGVO).

Was ist bei einer Auftragsverarbeitung zu beachten?

In Art. 28 DSGVO sind einige Vorgaben zur Ausführung von Auftragsverarbeitungen aufgeführt. Ein Verantwortlicher darf eine Verarbeitung im Auftrag nur dann veranlassen, wenn der betroffene Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen (TOMs) vorweist, sodass die Verarbeitung der personenbezogenen Daten gemäß der DSGVO durchgeführt werden kann und somit der Schutz der Rechte der Betroffenen gewährleistet ist. Die Nachweise dieser Maßnahmen werden als hinreichende Garantien bezeichnet.

Auftragsverarbeitungsvertrag (AV-Vertrag) – Inhalt

Diese Auftragsverarbeitung hat immer auf der Grundlage eines Vertrages (AV-Vertrag) zwischen dem Verantwortlichen und dem Auftragsverarbeiter zu beruhen. Der Vertrag ist schriftlich abzufassen, was nun auch in einem elektronischen Format erfolgen kann. Solch ein Vertrag hat folgende Punkte zu beinhalten:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien der betroffenen Personen
  • Pflichten und Rechte des Verantwortlichen

Zudem sind in einem AV-Vertrag einige Vorgaben für den Auftragsverarbeiter festzulegen:

  • Personenbezogene Daten dürfen nur auf dokumentierte Weisung des Verantwortlichen verarbeitet werden, außer der Auftragsverarbeiter ist rechtlich dazu verpflichtet.
  • Es muss gewährleistet sein, dass alle mit der Verarbeitung der personenbezogenen Daten beschäftigten Personen zur Vertraulichkeit verpflichtet
  • Die Sicherheit der Verarbeitung muss gemäß Art. 32 DSGVO mittels geeigneter Maßnahmen gewährleistet sein. Dazu zählen bspw.
    • die Pseudonymisierung und Verschlüsselung der personenbezogenen Daten,
    • die Fähigkeit zur dauerhaften Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung,
    • die Fähigkeit zur raschen Wiederherstellung der Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall, und
    • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Jeder Verantwortliche sollte sich darüber im Klaren sein, dass sobald z. B. ein externer Dienstleister, dem personenbezogene (Kunden-)Daten zur Verarbeitung übermittelt werden, beauftragt wird, eine Auftragsverarbeitung vorliegt, die zwingend einer
AV-vertraglichen Regelung unterliegt.

Änderungen durch die DSGVO – Auftragsverarbeitung auch außerhalb der EU möglich

Der räumliche Anwendungsbereich der DSGVO sich nicht auf die Europäische Union (EU) beschränkt. Unter bestimmen Voraussetzungen spielt der Verarbeitungsort von personenbezogenen Daten keine Rolle. Diese bestimmten Voraussetzungen sind zum einen das Anbieten von Waren und Dienstleistungen an betroffene Personen in der Union, zum anderen das Beobachten des Verhaltens von betroffenen Personen, sofern das Verhalten in der Union erfolgt (Art. 3 DSGVO).

Folglich ist eine Auftragsverarbeitung auch außerhalb der EU möglich und somit können AV-Verträge auch mit Dienstleistern außerhalb der EU geschlossen werden.

Zu beachten sind in solchen Fällen selbstverständlich die Anforderungen zur Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen (Kapitel 5 DSGVO). Diese möchten wir nun kurz erläutern.

Bei Übermittlung der personenbezogenen Daten an Drittländer, worunter Länder außerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) fallen, besteht die Möglichkeit, dass die EU-Kommission in solchen Ländern oder Gebieten bzw. spezifischen Sektoren dieser Länder, ein angemessenes Datenschutzniveau mit Hilfe eines Angemessenheitsbeschlusses feststellt. Wird solch ein Angemessenheitsbeschluss veröffentlicht, so gilt dort, wie auch innerhalb der EU und des EWR zur Datenübermittlung einzig die Rechtmäßigkeit der Verarbeitung gemäß Art. 6 DSGVO. Bei Datenübermittlung in andere Länder gibt es weitere Möglichkeiten zur Rechtmäßigkeit der Verarbeitung und Übermittlung der personenbezogenen Daten (Art. 46, 47, 49 DSGVO), auf die wir hier nicht detailliert eingehen möchten, da sie sehr speziell sind. Es lohnt sich jedoch zu betrachten, dass in Art. 46 Abs. 2 DSGVO von erlaubter Datenübermittlung die Rede ist, sofern „geeignete Garantien“ existieren. Diese können u. a. aus von der EU-Kommission erlassenen Standarddatenschutzklauseln bestehen. Es gibt aktuell sogenannte EU-Standardvertragsklauseln, die zusätzlich zu einem AV-Vertrag geschlossen werden können und somit die Datenübermittlung an Auftragsverarbeiter in Drittländern rechtmäßig macht. Solange es nicht von der Kommission verboten wird, sollte es erlaubt sein die
EU-Standardvertragsklauseln als Standarddatenschutzklauseln fort zu verwenden.

Wichtig jedoch ist, dass diese Verträge nicht die Zulässigkeit der Verarbeitung im Allgemeinen erlauben. Es wird einzig ein angemessenes Datenschutzniveau hergestellt. Trotzdem muss wie bei jeder Verarbeitung von personenbezogenen Daten geprüft werden, ob die Datenverarbeitung generell zulässig ist.

Änderungen durch die DSGVO – Verzeichnis von Verarbeitungstätigkeiten

Bisher musste nur der Verantwortliche ein Verfahrensverzeichnis führen. Nun unterliegt gemäß Art. 30 DSGVO jeder Verantwortliche und jeder Auftragsverarbeiter der Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Weitere Informationen zu diesem Thema finden sie hier.

Änderungen durch die DSGVO – Haftung bei Verstößen

Das Bundesdatenschutzgesetz hat bei Datenschutzverstößen bzgl. der Auftragsverarbeitung bisher den Verantwortlichen und nicht den Auftragsverarbeiter als haftende Partei bestimmt. Nun ist in Art. 82 DSGVO festgelegt, dass jede betroffene Person, bei einem Verstoß gegen die DSGVO, der einen materiellen oder immateriellen Schaden nach sich zieht, Anspruch auf Schadenersatz gegen den Verantwortlichen oder den Auftragsverarbeiter hat. Jedoch haftet ein Auftragsverarbeiter nur dann, wenn er seinen vom Verantwortlichen DSGVO-konformen aufgelegten Pflichten nicht nachkommt oder gegen die rechtmäßigen Anweisungen des Verantwortlichen handelt bzw. diese Anweisungen bei der Handlung nicht beachtet.

Kann ein Verantwortlicher oder Auftragsverarbeiter nachweisen, dass er in keinerlei Hinsicht für das Entstehen des Schadens verantwortlich ist, so kann dieser von der Haftung befreit werden (Art. 82 Abs. 3 DSGVO).

Fazit

Die Anforderungen an die Auftragsverarbeitung sind hoch und sollten in keinem Fall unterschätzt werden. Bei Verstößen drohen Geldstraften bis zu 10.000.000 € oder 2% des weltweiten Jahresumsatzes Ihres Unternehmens. Somit ist Vorsicht geboten. Die Verwendung eines korrekten und datenschutzkonformen AV-Vertrags sollte, sofern ein solcher noch nicht existiert, schnellstmöglich umgesetzt und eingeführt werden. Denn jede Auftragsverabreitung unterliegt einem solchen AV-Vertrag. Außerdem sind bestehende Verträge, die nicht den Anforderungen der DSGVO genügen, ab dem 25. Mai 2018 nicht mehr gültig und somit anzupassen. Möglich ist nun auch eine Auftragsverarbeitung mit Dienstleistern in Drittländern. Hierzu sollten die oben aufgeführten Vorschriften eingehalten werden. Zudem ist jeder Verantwortliche und jeder Auftragsverarbeiter dazu verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen.

Benötigen Sie Unterstützung bei der Einhaltung dieser Pflichten, wie z. B. der Erstellung einer datenschutzkonformen
AV-Vertragsvorlage oder des Verzeichnisses von Verarbeitungstätigkeiten?

Wir beraten Sie gern!

Rufen Sie uns an oder kontaktieren uns über das Kontaktformular, um einen ersten Kennenlern- und Beratungstermin zu vereinbaren. Gern können Sie mit uns auch Kontakt über die sozialen Netzwerke oder per E-Mail aufnehmen.

Ihr Name

Ihre E-Mail-Adresse (Pflichtfeld)

Betreff

Ihre Nachricht

Von |2018-04-08T12:37:20+00:00April 6th, 2018|Allgemein|0 Kommentare

Hinterlassen Sie einen Kommentar