Der Datenschutz in Europa wird mit der Datenschutz-Grundverordnung vereinheitlicht. In unserer Beitragsreihe stellen wir Ihnen die wichtigsten Änderungen vor, die in der ersten Jahreshälfte 2018 für alle verpflichtend werden.

Die Auftragsdatenverarbeitung wird mit der Datenschutz-Grundverordnung in Europa erstmals detailliert geregelt werden. In der Datenschutz-Richtlinie 95/46/EG findet sich in Art. 17 – anders als im nationalen Recht in § 11 BDSG – nur eine rudimentäre Regelung. Inhaltlich orientieren sich die Bestimmungen der Datenschutz-Grundverordnung zur Auftragsdatenverarbeitung an der bekannten Regelung des § 11 BDSG. In einigen Punkten bestehen jedoch Abweichungen zum bisher geltenden Recht.

Die Auftragsdatenverarbeitung in der Datenschutz-Grundverordnung

Die im deutschen Recht angelegte Privilegierung der Auftragsdatenverarbeitung (vergleiche hierzu § 3 Abs. 4 Nr. 3, Abs. 8 Satz 3 BDSG) übernimmt die Datenschutz-Grundverordnung nicht. Dies liegt im Wesentlichen daran, dass die Datenschutz-Grundverordnung – wie zuvor schon die Datenschutz-Richtlinie – in Art. 4 Nr. 2 DSGVO von einem umfassenden Verarbeitungsbegriff ausgeht. Die im Bundesdatenschutzgesetz angelegte Differenzierung zwischen den einzelnen Verarbeitungsschritten Erheben, Verarbeiten und Nutzen von personenbezogenen Daten kennt die Datenschutz-Grundverordnung nicht. Daher ist ohne Bedeutung, ob der Datenaustausch mit dem Auftragsverarbeiter eine bloße „Weitergabe“ oder „Übermittlung“ im Sinne von § 3 Abs. 4 Nr. 3 BDSG darstellt. In der Welt der Datenschutz-Grundverordnung handelt es sich in allen Fällen um eine „Verarbeitung“.

Praktische Bedeutung dürfte dem Wegfall der Privilegierung der Auftragsdatenverarbeitung nicht zukommen. Erfüllt der für die Verarbeitung Verantwortliche die in der Datenschutz-Grundverordnung niedergelegten Anforderungen an die Auftragsdatenverarbeitung, wird die Datenweitergabe an den Auftragsverarbeiter regelmäßig aufgrund der Interessenabwägung gemäß Art. 6 Abs. 1 lit. f DSGVO zulässig sein.

Der räumliche Anwendungsbereich der Auftragsdatenverarbeitung ist – anders als noch im Bundesdatenschutzgesetz, vgl. § 3 Abs. 8 Satz 2 BDSG – nicht mehr auf das Gebiet der Europäischen Union bzw. des Europäischen Wirtschaftsraums begrenzt. Er richtet sich nunmehr nach Art. 3 DSGVO. Danach ist die Datenschutz-Grundverordnung auf alle Verarbeitungen anzuwenden, an denen ein für die Verarbeitung Verantwortlicher oder Auftragsverarbeiter mit Sitz in der EU beteiligt ist, und zwar unabhängig davon, ob die Verarbeitung in der EU stattfindet.

Auswahl- und Überwachungspflicht des für die Verarbeitung Verantwortlichen

Ähnlich wie in § 11 Abs. 1 Satz 1 BDSG wird auch nach den Regelungen der Datenschutz-Grundverordnung der für die Verarbeitung Verantwortliche für die Einhaltung der wesentlichen datenschutzrechtlichen Vorschriften verantwortlich sein. Dies legen Art. 5 Abs. 2, 24 DSGVO fest.

Wie bereits in § 11 Abs. 2 Satz 1 BDSG festgelegt, ist der für die Verarbeitung Verantwortliche nach Art. 28 Abs. 1 DSGVO verpflichtet, den Auftragsverarbeiter sorgfältig auszuwählen. Besonderes Augenmerk ist dabei auf die von dem Auftragsverarbeiter getroffenen technischen und organisatorischen Schutzmaßnahmen und die Gewährleistung der Rechte der betroffenen Personen zu legen.

Weisungsgebundenheit des Auftragsverarbeiters

Keine Überraschungen enthält die Datenschutz-Grundverordnung im Hinblick auf die Weisungsgebundenheit des Auftragsverarbeiters. Art. 29 DSGVO sieht vor, dass der Auftragsverarbeiter Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten darf. Diese Vorschrift findet sich so bereits in § 11 Abs. 3 Satz 1 BDSG wieder.

Verarbeitet ein Auftragsverarbeiter Daten entgegen den erteilten Weisungen zu eigenen Zwecken, gilt er gemäß Art. 28 Abs. 10 DSGVO insoweit als für die Verarbeitung Verantwortlicher.

Vertragliche Festlegungen

Für die Begründung eines Auftragsdatenverarbeitungsverhältnisses ist auch künftig ein Vertrag zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter erforderlich. Anders als heute ist der Vertrag nicht mehr zwingend schriftlich zu schließen. Art. 28 Abs. 9 DSGVO lässt neben der Schriftform auch die Vereinbarung in einem elektronischen Format zu. Damit dürfte die Vereinbarung in Textform zukünftig ausreichend sein.

Der Vertrag muss – das ist aus § 11 Abs. 2 Satz 2 BDSG bekannt – bestimmte inhaltliche Anforderungen erfüllen. Hierzu gehören Festlegungen zu folgenden Punkten:

  • Gegenstand und Dauer des Verarbeitung,
  • Art und Zweck der Verarbeitung,
  • Art der personenbezogenen Daten,
  • Kategorien von betroffenen Personen,
  • Verarbeitung nur auf dokumentierte Weisung des für die Verarbeitung Verantwortlichen,
  • Verpflichtung der Beschäftigten zur Vertraulichkeit (ähnlich dem heutigen Datengeheimnis),
  • Treffen angemessener technischer und organisatorischer Schutzmaßnahmen,
  • Regelung des Einsatzes von Unterauftragnehmern,
  • Unterstützung des für die Verarbeitung Verantwortlichen bei der Wahrnehmung der Rechte der betroffenen Personen,
  • Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldung von Datenpannen und der Durchführung von Datenschutz-Folgenabschätzungen,
  • Rückgabe oder Löschung personenbezogener Daten nach Beendigung des Auftrags,
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und entsprechende Duldungs- und Mitwirkungspflichten des Auftragsverarbeiters,
  • Hinweispflicht bei Weisungen, die gegen datenschutzrechtliche Vorschriften verstoßen.

Einsatz von Unterauftragnehmern

Der Auftragsverarbeiter darf zur Erfüllung des Auftrags seinerseits Unterauftragnehmer einsetzen. Dazu bedarf es gemäß Art. 28 Abs. 2 DSGVO jedoch der vorherigen Zustimmung des für die Verarbeitung Verantwortlichen.

Die Zustimmung kann entweder in jedem Einzelfall gesondert erteilt werden. Das bringt im Vertragsmanagement des Auftragsverarbeiters jedoch einigen Aufwand mit sich. Sie kann aber auch in allgemeiner Form im Vertrag erteilt werden. In diesem Fall muss der Auftragsverarbeiter über jeden Wechsel des Unterauftragnehmers informieren. Der für die Verarbeitung Verantwortliche kann dem Einsatz des neuen Unterauftragnehmers widersprechen.

In der Praxis problematisch könnte die Pflicht des Art. 28 Abs. 4 DSGVO sein, wonach Auftragsverarbeiter jedem weiteren Auftragsverarbeiter „dieselben Datenschutzpflichten“ auferlegen müssen, wie sie in dem Vertrag mit dem für die Verarbeitung Verantwortlichen festgelegt sind. Sollte die Vorschrift tatsächlich dahin ausgelegt werden, dass zwischen Auftragsverarbeiter und Unterauftragnehmer derselbe Vertrag wie mit dem für die Verarbeitung Verantwortlichen zu vereinbaren ist, könnte dies den Einsatz mehrerer Unterauftragnehmer nahezu unmöglich machen. Abhilfe könnte in diesem Fall der Einsatz von Standardverträgen schaffen, wie er in Art. 28 Abs. 6, 7 DSGVO vorgesehen ist.

Sonstige Pflichten

Die Datenschutz-Grundverordnung legt Auftragsverarbeitern weitere Pflichten auf, die im Folgenden skizziert werden.

  • Dokumentationspflicht: Anders als heute muss gemäß Art. 30 Abs. 2 DSGVO zukünftig auch der Auftragsverarbeiter ein Verzeichnis von Verarbeitungstätigkeiten (ähnlich dem heutigen Verfahrensverzeichnis) führen, welche er für den für die Verarbeitung Verantwortlichen durchführt.
  • Meldepflicht bei Datenpannen: Erhält der Auftragsverarbeiter Kenntnis von einer Datenpanne, hat er den für die Verarbeitung Verantwortlichen unverzüglich hierüber zu informieren.
  • Bestellung eines Datenschutzbeauftragten: Der Auftragsverarbeiter ist verpflichtet, einen Datenschutzbeauftragten zu bestellen, wenn die Bestellvoraussetzungen des Art. 37 DSGVO gegeben sind oder das nationale Datenschutzrecht dies verlangt.

Haftung bei Datenschutzverstößen

Die Haftung des Auftragsverarbeiters gegenüber den betroffenen Personen und den Aufsichtsbehörden ist in der Datenschutz-Grundverordnung verschärft worden. Die Regelungen des Bundesdatenschutzgesetzes sehen bislang vor, dass das Recht auf Schadensersatz dem für die Verarbeitung Verantwortlichen gegenüber geltend zu machen ist (§ 11 Abs. 1 Satz 2 BDSG). Gegenüber den betroffenen Personen ist der Auftragsverarbeiter also grundsätzlich nicht haftbar.

Nach Art. 82 Abs. 1 DSGVO haften der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter zukünftig gemeinsam für Datenschutzverstöße gegenüber den betroffenen Personen, wenn diese durch den Datenschutzverstoß einen Schaden erlitten haben. Eine Haftung scheidet allerdings aus, wenn entweder der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter nachweisen können, für den eingetretenen Schaden nicht verantwortlich zu sein. Die neuen Regelungen helfen insbesondere den betroffenen Personen, ihre Ansprüche leichter durchzusetzen.

Datenverarbeitung in Joint Control

Das Bundesdatenschutzgesetz kennt die Rechtsfigur der gemeinsam für die Verarbeitung Verantwortlichen („joint control“) nicht, obwohl diese in Art. 2 lit. d DS-RL angelegt war. Art. 26 DSGVO führt diese Rechtsfigur nun ausdrücklich ein.

Wesentlicher Unterschied zur Auftragsdatenverarbeitung ist, dass die an der Verarbeitung Beteiligten grundsätzlich gleichberechtigt sind. Sie legen Mittel und Zwecke der Verarbeitung gemeinsam fest. Innerhalb von Unternehmensgruppen und Konzernen kann die Datenverarbeitung in Joint Control ein geeignetes Mittel sein, um den Austausch personenbezogener Daten zwischen selbstständigen rechtlichen Einheiten zu rechtfertigen. Die in diesem Zusammenhang stattfindenden Datenübermittlungen werden sich dabei allerdings in dem von der Datenschutz-Grundverordnung vorgegebenen Rahmen bewegen müssen. Insbesondere wird für jeden Datenaustausch eine rechtliche Grundlage erforderlich sein.

Art. 26 DSGVO enthält konkrete Vorgaben für die Datenverarbeitung in Joint Control. Die gemeinsam für die Verarbeitung Verantwortlichen müssen in einer Vereinbarung festlegen, wer von ihnen welche datenschutzrechtlichen Aufgaben erfüllt. Das betrifft insbesondere die Wahrnehmung der Informationspflichten und der Rechte der betroffenen Personen. Die wesentlichen Inhalte der Vereinbarung müssen den betroffenen Personen zugänglich gemacht werden.

Fazit

Die Regelungen der Datenschutz-Grundverordnung zur Auftragsdatenverarbeitung orientieren sich inhaltlich weitgehend an den bekannten Bestimmungen des § 11 BDSG. Unternehmen werden mit Inkrafttreten also nicht mit völlig veränderten Bestimmungen konfrontiert. Für Auftragsverarbeiter bringt die Datenschutz-Grundverordnung dennoch einige Neuerungen mit sich. Das betrifft insbesondere die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (Verfahrensverzeichnis) sowie die veränderten Haftungsregelungen. Auftragsverarbeiter sind daher gut beraten, ihr Datenschutzmanagement einer internen Revision zu unterziehen und sich frühzeitig auf die neuen Regeln einzustellen.

Weitere Beiträge zur DSGVO in unserem Blog.

Update 11.4.2016: Der Artikel wurde an die konsolidierte Fassung der DSGVO vom 6.4.2016 angepasst.

| | | , , ,