Auftragsdatenverarbeitung und Datenschutz-Grundverordnung

daten 10
Fachbeitrag

In der Datenschutz-Grundverordnung wird die Auftragsdatenverarbeitung europaweit einheitlich geregelt. Obwohl sich die neuen Regelungen inhaltlich an dem bekannten § 11 BDSG orientieren und diesen im Prinzip auf ein europäisches Level heben, sind einige Unterschiede zu beachten. Die Neuregelungen möchten wir nun einmal vorstellen. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

Was ist Auftragsdatenverarbeitung?

Die Auftragsdatenverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragnehmer gemäß den Weisungen der verantwortlichen Stelle (Auftraggeber) auf Grundlage eines schriftlichen Vertrags. Über die derzeit in § 11 BDSG geregelten Anforderungen können Sie sich hier informieren. Eine entsprechende europaweite Vorschrift existiert bislang in Art 17 der Datenschutzrichtlinie nur ansatzweise. Mit Art. 28 ff. EU-DSGVO erfährt nun auch die Auftragsdatenverarbeitung eine detaillierte gesetzliche Regelung.

Was sind die grundsätzlichen Änderungen und Anforderungen?

Zunächst werden einige sprachliche Änderungen eingeführt. Die Verordnung spricht von Auftragsverarbeiter und dem für die Verarbeitung Verantwortlichen. Wie bisher ist eine vertragliche Regelung erforderlich, die nicht mehr ausschließlich schriftlich vorliegen muss sondern auch in einem elektronischen Format abgeschlossen werden kann.

Analog zu § 11 BDSG muss der Auftragsverarbeiter sorgfältig und unter besonderer Berücksichtigung der technischen und organisatorischen Maßnahmen ausgewählt werden. Wie bisher darf der Auftragsverarbeiter nach Art 29 EU-DSGVO die Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten. Verstößt der Auftragsverarbeiter dagegen, indem er z.B. Zwecke der Verarbeitung selbst bestimmt, wird er nach Art. 28 Abs. 10 EU-DSGVO selbst zum Verantwortlichen.

Neu ist, dass eine Datenverarbeitung im Auftrag auch außerhalb der EU stattfinden kann. Nach Art. 3 EU-DSGVO findet sie

„Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.“

Was muss in einem Vertrag zur Auftragsdatenverarbeitung beachtet werden?

Auch die inhaltlichen Anforderungen an einen Vertrag zur Datenverarbeitung im Auftrag orientieren sich sehr stark an den in Deutschland bereits bekannten Punkten. Nach Art. 28 Abs. 3 EU-DSGVO sind zu regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten & Kategorien von betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen & organisatorischen Maßnahmen
  • Hinzuziehung von Subunternehmern
  • Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
  • Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Wer ist für die Datenverarbeitung verantwortlich?

Grundsätzlich wird auch künftig der für die Verarbeitung Verantwortliche und nicht der Auftragsverarbeiter erster Ansprechpartner für Betroffene und für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich sein.

Die Datenverarbeitung im Auftrag muss insoweit von den in Art. 26 EU-DSGVO geregelten gemeinsam für die Verarbeitung Verantwortlichen, der sog. „Joint Control“ unterschieden werden. Hierbei legen zwei oder mehrere Verantwortliche die Zwecke und Mittel zur Verarbeitung personenbezogener Daten gleichberechtig und gemeinsam transparent fest. Bei diesem Modell, das dem BDSG unbekannt ist, kann der Betroffene seine Rechte gegenüber jedem für die Verarbeitung Verantwortlichen geltend machen.

Wer haftet bei Datenschutzverstößen?

Anders als im BDSG, wo gegenüber den Betroffenen nur eine Haftung des Auftraggebers auf Schadensersatz vorgesehen ist, finden sich in Art 82 EU-DSGVO insbesondere für Auftragsverarbeiter schärfere Haftungsregeln:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder moralischer Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter.“

Grundsätzlich haften der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter gegenüber dem Betroffenen gemeinsam. Jedoch beschränkt sich die Haftung des Auftragsverarbeiters auf Verstöße gegen speziell den Auftragsverarbeitern auferlegten Pflichten. Beiden Parteien steht die Möglichkeit der Exkulpation zur Verfügung. Dazu müssen sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.

Welche besonderen Pflichten hat der für die Verarbeitung Verantwortliche?

Für deutsche Unternehmen, die Auftragsverarbeiter einsetzen, ergeben sich keine besonderen neuen Verpflichtungen, da die Regelungen der EU-DSGVO die derzeitigen Anforderungen des BDSG nahezu vollständig übernommen.

Welche besonderen Pflichten hat der Auftragsverarbeiter?

Für Auftragsverarbeiter werden künftig einige neue Regelungen und Pflichten zu beachten sein. Gemäß Art. 30 Abs. 2 DSGVO müssen auch Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen, die sie für den für die Verarbeitung Verantwortlichen durchführen. Dieses Verzeichnis, das inhaltlich dem aus dem BDSG bekannten Verfahrensverzeichnis ähnelt, musste bislang nur von Auftraggebern geführt werden. Daneben bestehen die bekannten Meldepflichten aus dem BDSG grundsätzlich fort.

Welche Sanktionen drohen Unternehmen?

Bei Verstößen gegen die Verpflichtungen der Art. 28 ff. EU-DSGVO drohen den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern nach Art. 83 EU-DSGVO Geldbußen in Höhe von bis zu 10 Millionen Euro oder 2% des gesamten weltweit erzielten Jahresumsatzes, je nachdem welcher Betrag höher ist. Dies ist eine empfindliche Verschärfung. Unternehmen sollten daher besonderes Augenmerk auf eine rechtskonforme Ausgestaltung legen.

Was sollten Unternehmen beachten?

Dazu sollten sie bereits in der Übergangsphase ihre bestehenden Prozesse und Verträge zur Datenverarbeitung im Auftrag überprüfen und erforderliche Änderungen vornehmen. Neu abzuschließende Verträge sollten dann bereits die künftige Rechtslage berücksichtigen.

Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Erstellung von Verträgen zur Auftragsdatenverarbeitung
  • Durchführung der gesetzlich vorgeschriebenen Dienstleisterkontrolle
  • Dokumentation des laufenden Prozesses, sowie regelmäßige Folgeprüfungen

Informieren Sie sich hier über unser Leistungsspektrum: Auftragsdatenverarbeitung

9 Kommentare zu diesem Beitrag

  1. Hallo Dr. Datenschutz, ist schon bekannt, ob weiterhin die Dienstleister-/Auftragnehmerkontrolle vor Beginn der Datenverarbeitung stattfinden soll? Oder wird diese entfallen, da der Auftragnehmer ebenfalls für Datenschutzverstöße direkt ggü. dem Betroffenen haftet? Schöne Grüße

    • Nach Art. 26 EU-DSGVO darf der für die Verarbeitung Verantwortliche nur Auftragsverarbeiter einsetzen, die hinreichende Garantien dafür bieten, dass die betreffenden technischen und organisatorischen Maßnahmen getroffen werden. Er muss also weiterhin vor Durchführung des Auftrages kontrollieren. Hierbei kann zum Nachweis der Garantien nach Art. 26 Abs. 2aa EU-DSGVO u.a. ausdrücklich auf genehmigte Zertifikate, z.B. Datenschutzsiegel, zurückgegriffen werden.

  2. Gänzlich unbekannt die die “Joint Control” auch dem geltenden Datenschutzrecht nicht, vgl. § 6 Abs. 2, § 8 Abs. 4 BDSG. Im Grundsatz ist dies ja nur eine Situation, in der mehrere verantwortliche Stellen gemeinsam, aber jede für sich datenschutzrechtlich verantwortlich, personenbezogene Daten verarbeiten. Also datenschutzrechtlich kein Novum, auch wenn die Datenschutzgrundverordnung diese Form der “gemeinsamen” Verantwortlichkeit nun erstmals als Konzept benennt.

  3. Hallo,
    aus dem Tätigkeitsbericht 2013/2014 des Landesamtes für Datenschutzaufsicht, unter 5.5- Einbindung von freien Mitarbeitern, geht hervor, dass die datenschutzrechtliche Einordnung von solchen freien Mitarbeitern eines Unternehmens im Wesentlichen davon abhängt, ob der Externe/Freie nach den Vorgaben und unter der Aufsicht der verantwortlichen Stelle, vergleichbar den festangestellten Mitarbeitern (z. B. zur Bewältigung von Arbeitsspitzen), tätig wird, oder ob der Externe/Freie auf weitgehend eigenständiger Basis seine Dienstleistungen für die verantwortliche Stelle erbringt (z. B. beauftragt mit Programmierung und Wartung von spezieller Software). Im letzteren Fall wäre eine vertragliche Beauftragung des Externen nach § 11 BDSG das richtige Mittel nach dem BDSG, im ersteren Fall eine Verpflichtung nach § 5 BDSG auf das Datengeheimnis.
    Gilt dies nur im datenschutzrechtlichen Sinne oder auch im arbeitrechtlichem Sinn. Werden die freien Mitarbeiter nicht automatisch zu Scheinselbständigen, wenn sie nach den Vorgaben und unter Aufsicht der verantwortlichen Stelle tätig sind. Ich halte die Grenze für fließend.
    Ich freue mich über Ihre Rückmeldung,

    • Sie sprechen einen interessanten Zusammenhang zwischen Datenschutzrecht und Arbeitsrecht an. Die Wertungen zwischen Datenschutzrecht und Arbeitsrecht in dieser Konstellation sind meines Erachtens ähnlich. Ob jemand Beschäftigter oder Selbständiger ist, richtet sich nach § 7 Abs. 1 SGB IV. Nach der arbeitsgerichtlichen Rechtsprechung ist für die Abgrenzung Beschäftigter/Selbständiger ein wichtiges Kriterium, ob die Person ein Unternehmensrisiko trägt, insbesondere eine eigene Betriebsstäte unterhält. Aber in der Tat ist die Grenze fließend. Für mehr Klarheit bei Zweifeln im Einzelfall könnte das Statusfeststellungsverfahren bei der Rentenversicherung Bund sorgen. Kommt der Rentenversicherungsträger zu dem Ergebnis, dass eine sozialleistungspflichtige Beschäftigung vorliegt, wäre datenschutzrechtlich wohl auch ein ADV verfehlt.

  4. Hallo Dr. Datenschutz
    wie wird die Rechtslage für Wartungstätigkeiten/ Hardwareservice sein, die bisher gemäß § 11(5) explizit auch als Auftragsdatenverarbeitung zu behandeln sind

    • Eine explizite Regelung wie derzeit in § 11 Abs. 5 BDSG findet sich in der DSGVO nicht. Es spricht daher einiges dafür, dass reine Wartungstätigkeiten nicht mehr als Auftragsdatenverarbeitung zu behandeln sind. Wie die Rechtslage aussehen wird, lässt sich dennoch nicht pauschal sagen. Es muss vielmehr für jede derzeitige Auftragsdatenverarbeitung geprüft werden, ob auch nach den Voraussetzungen der DSGVO noch eine solche vorliegt.

  5. Hallo zusammen,
    müssen alle bestehenden ADVs bei Inkrafttreten der EU-DSGVO am 25. Mai 2018 umgestellt sein, d.h. sind sämtliche Altverträge mit Verweisen auf §11 BDSG dann ungültig?

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.