Auftragsverarbeitung und Datenschutz-Grundverordnung

Fachbeitrag

In der Datenschutz-Grundverordnung wird die Auftragsverarbeitung europaweit einheitlich geregelt. Obwohl sich die neuen Regelungen inhaltlich an dem bekannten § 11 BDSG orientieren und diesen im Prinzip auf ein europäisches Level heben, sind einige Unterschiede zu beachten. Die Neuregelungen möchten wir nun einmal vorstellen. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

Was ist Auftragsverarbeitung?

Die Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragnehmer gemäß den Weisungen der verantwortlichen Stelle (Auftraggeber) auf Grundlage eines schriftlichen Vertrags. Über die derzeit in § 11 BDSG geregelten Anforderungen können Sie sich hier informieren. Eine entsprechende europaweite Vorschrift existiert bislang in Art. 17 der Datenschutzrichtlinie nur ansatzweise. Mit Art. 28 ff. DSGVO erfährt nun auch die Auftragsverarbeitung eine detaillierte gesetzliche Regelung.

Was sind die grundsätzlichen Änderungen und Anforderungen?

Zunächst werden einige sprachliche Änderungen eingeführt. Die Verordnung spricht von Auftragsverarbeiter und dem für die Verarbeitung Verantwortlichen. Wie bisher ist eine vertragliche Regelung erforderlich, die nicht mehr ausschließlich schriftlich vorliegen muss sondern auch in einem elektronischen Format abgeschlossen werden kann.

Analog zu § 11 BDSG muss der Auftragsverarbeiter sorgfältig und unter besonderer Berücksichtigung der technischen und organisatorischen Maßnahmen ausgewählt werden. Wie bisher darf der Auftragsverarbeiter nach Art. 29 DSGVO die Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten. Verstößt der Auftragsverarbeiter dagegen, indem er z.B. Zwecke der Verarbeitung selbst bestimmt, wird er nach Art. 28 Abs. 10 DSGVO selbst zum Verantwortlichen.

Neu ist, dass eine Datenverarbeitung im Auftrag auch außerhalb der EU stattfinden kann. Nach Art. 3 DSGVO findet sie

„Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.“

Was muss in einem Vertrag zur Auftragsverarbeitung beachtet werden?

Auch die inhaltlichen Anforderungen an einen Vertrag zur Datenverarbeitung im Auftrag orientieren sich sehr stark an den in Deutschland bereits bekannten Punkten. Nach Art. 28 Abs. 3 EU-DSGVO sind zu regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten & Kategorien von betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen & organisatorischen Maßnahmen
  • Hinzuziehung von Subunternehmern
  • Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
  • Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Wer ist für die Datenverarbeitung verantwortlich?

Grundsätzlich wird auch künftig der für die Verarbeitung Verantwortliche und nicht der Auftragsverarbeiter erster Ansprechpartner für Betroffene und für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich sein.

Die Datenverarbeitung im Auftrag muss insoweit von den in Art. 26 DSGVO geregelten gemeinsam für die Verarbeitung Verantwortlichen, der sog. „Joint Control“ unterschieden werden. Hierbei legen zwei oder mehrere Verantwortliche die Zwecke und Mittel zur Verarbeitung personenbezogener Daten gleichberechtig und gemeinsam transparent fest. Bei diesem Modell, das dem BDSG unbekannt ist, kann der Betroffene seine Rechte gegenüber jedem für die Verarbeitung Verantwortlichen geltend machen.

Wer haftet bei Datenschutzverstößen?

Anders als im BDSG, wo gegenüber den Betroffenen nur eine Haftung des Auftraggebers auf Schadensersatz vorgesehen ist, finden sich in Art. 82 DSGVO insbesondere für Auftragsverarbeiter schärfere Haftungsregeln:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder moralischer Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter.“

Grundsätzlich haften der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter gegenüber dem Betroffenen gemeinsam. Jedoch beschränkt sich die Haftung des Auftragsverarbeiters auf Verstöße gegen speziell den Auftragsverarbeitern auferlegten Pflichten. Beiden Parteien steht die Möglichkeit der Exkulpation zur Verfügung. Dazu müssen sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.

Welche besonderen Pflichten hat der für die Verarbeitung Verantwortliche?

Für deutsche Unternehmen, die Auftragsverarbeiter einsetzen, ergeben sich keine besonderen neuen Verpflichtungen, da die Regelungen der DSGVO die derzeitigen Anforderungen des BDSG nahezu vollständig übernommen.

Welche besonderen Pflichten hat der Auftragsverarbeiter?

Für Auftragsverarbeiter werden künftig einige neue Regelungen und Pflichten zu beachten sein. Gemäß Art. 30 Abs. 2 DSGVO müssen auch Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen, die sie für den für die Verarbeitung Verantwortlichen durchführen. Dieses Verzeichnis, das inhaltlich dem aus dem BDSG bekannten Verfahrensverzeichnis ähnelt, musste bislang nur von Auftraggebern geführt werden. Daneben bestehen die bekannten Meldepflichten aus dem BDSG grundsätzlich fort.

Welche Sanktionen drohen Unternehmen?

Bei Verstößen gegen die Verpflichtungen der Art. 28 ff. DSGVO drohen den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern nach Art. 83 DSGVO Geldbußen in Höhe von bis zu 10 Millionen Euro oder 2% des gesamten weltweit erzielten Jahresumsatzes, je nachdem welcher Betrag höher ist. Dies ist eine empfindliche Verschärfung. Unternehmen sollten daher besonderes Augenmerk auf eine rechtskonforme Ausgestaltung legen.

Was sollten Unternehmen beachten?

Dazu sollten sie bereits in der Übergangsphase ihre bestehenden Prozesse und Verträge zur Datenverarbeitung im Auftrag überprüfen und erforderliche Änderungen vornehmen. Neu abzuschließende Verträge sollten dann bereits die künftige Rechtslage berücksichtigen.

Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

22 Kommentare zu diesem Beitrag

  1. Hallo Dr. Datenschutz, ist schon bekannt, ob weiterhin die Dienstleister-/Auftragnehmerkontrolle vor Beginn der Datenverarbeitung stattfinden soll? Oder wird diese entfallen, da der Auftragnehmer ebenfalls für Datenschutzverstöße direkt ggü. dem Betroffenen haftet? Schöne Grüße

    • Nach Art. 28 DSGVO darf der für die Verarbeitung Verantwortliche nur Auftragsverarbeiter einsetzen, die hinreichende Garantien dafür bieten, dass die betreffenden technischen und organisatorischen Maßnahmen getroffen werden. Er muss also weiterhin vor Durchführung des Auftrages kontrollieren. Hierbei kann zum Nachweis der Garantien nach Art. 28 Abs. 5 DSGVO u.a. ausdrücklich auf genehmigte Zertifikate, z.B. Datenschutzsiegel, zurückgegriffen werden.

  2. Gänzlich unbekannt die die „Joint Control“ auch dem geltenden Datenschutzrecht nicht, vgl. § 6 Abs. 2, § 8 Abs. 4 BDSG. Im Grundsatz ist dies ja nur eine Situation, in der mehrere verantwortliche Stellen gemeinsam, aber jede für sich datenschutzrechtlich verantwortlich, personenbezogene Daten verarbeiten. Also datenschutzrechtlich kein Novum, auch wenn die Datenschutzgrundverordnung diese Form der „gemeinsamen“ Verantwortlichkeit nun erstmals als Konzept benennt.

  3. Hallo,
    aus dem Tätigkeitsbericht 2013/2014 des Landesamtes für Datenschutzaufsicht, unter 5.5- Einbindung von freien Mitarbeitern, geht hervor, dass die datenschutzrechtliche Einordnung von solchen freien Mitarbeitern eines Unternehmens im Wesentlichen davon abhängt, ob der Externe/Freie nach den Vorgaben und unter der Aufsicht der verantwortlichen Stelle, vergleichbar den festangestellten Mitarbeitern (z. B. zur Bewältigung von Arbeitsspitzen), tätig wird, oder ob der Externe/Freie auf weitgehend eigenständiger Basis seine Dienstleistungen für die verantwortliche Stelle erbringt (z. B. beauftragt mit Programmierung und Wartung von spezieller Software). Im letzteren Fall wäre eine vertragliche Beauftragung des Externen nach § 11 BDSG das richtige Mittel nach dem BDSG, im ersteren Fall eine Verpflichtung nach § 5 BDSG auf das Datengeheimnis.
    Gilt dies nur im datenschutzrechtlichen Sinne oder auch im arbeitrechtlichem Sinn. Werden die freien Mitarbeiter nicht automatisch zu Scheinselbständigen, wenn sie nach den Vorgaben und unter Aufsicht der verantwortlichen Stelle tätig sind. Ich halte die Grenze für fließend.
    Ich freue mich über Ihre Rückmeldung,

    • Sie sprechen einen interessanten Zusammenhang zwischen Datenschutzrecht und Arbeitsrecht an. Die Wertungen zwischen Datenschutzrecht und Arbeitsrecht in dieser Konstellation sind meines Erachtens ähnlich. Ob jemand Beschäftigter oder Selbständiger ist, richtet sich nach § 7 Abs. 1 SGB IV. Nach der arbeitsgerichtlichen Rechtsprechung ist für die Abgrenzung Beschäftigter/Selbständiger ein wichtiges Kriterium, ob die Person ein Unternehmensrisiko trägt, insbesondere eine eigene Betriebsstäte unterhält. Aber in der Tat ist die Grenze fließend. Für mehr Klarheit bei Zweifeln im Einzelfall könnte das Statusfeststellungsverfahren bei der Rentenversicherung Bund sorgen. Kommt der Rentenversicherungsträger zu dem Ergebnis, dass eine sozialleistungspflichtige Beschäftigung vorliegt, wäre datenschutzrechtlich wohl auch ein ADV verfehlt.

  4. Hallo Dr. Datenschutz
    wie wird die Rechtslage für Wartungstätigkeiten/ Hardwareservice sein, die bisher gemäß § 11(5) explizit auch als Auftragsdatenverarbeitung zu behandeln sind

    • Eine explizite Regelung wie derzeit in § 11 Abs. 5 BDSG findet sich in der DSGVO nicht. Es spricht daher einiges dafür, dass reine Wartungstätigkeiten nicht mehr als Auftragsdatenverarbeitung zu behandeln sind. Wie die Rechtslage aussehen wird, lässt sich dennoch nicht pauschal sagen. Es muss vielmehr für jede derzeitige Auftragsdatenverarbeitung geprüft werden, ob auch nach den Voraussetzungen der DSGVO noch eine solche vorliegt.

  5. Hallo zusammen,
    müssen alle bestehenden ADVs bei Inkrafttreten der EU-DSGVO am 25. Mai 2018 umgestellt sein, d.h. sind sämtliche Altverträge mit Verweisen auf §11 BDSG dann ungültig?

  6. Ab wann gilt man als Auftragsverarbeiter? Vor allem per Gesetz. Was muss ich zukünftig beachten, bzw. was verändert sich für mich als deutsches Unternehmen. Hat das eine einschneidende Veränderung für mich? Vielen Dank für Ihre Rückmeldung.
    Danke und Gruß
    R

    • Der Auftragsverarbeiter wird in Art. 3 Abs. 8 DSGVO definiert als „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Eine gute mit Beispielen versehene Übersicht zur Datenverarbeitung im Auftrag finden Sie auf den Webseiten der Bayrischen Aufsichtsbehörde:
      https://www.lda.bayern.de/media/info_adv.pdf und zur DSGVO https://www.lda.bayern.de/media/baylda_ds-gvo_10_processor.pdf

      Was bei einer Datenverarbeitung im Auftrag künftig beachtet werden muss, sollte sich eigentlich aus dem Blogartikel ergeben. Ob sich für Sie dabei etwas ändert, können wir leider nicht beurteilen, da dies auch stark von Ihrem Geschäftsfeld abhängt. Wenn Sie jedoch häufig mit Auftragsdatenverarbeitung konfrontiert sind, sollten Sie unbedingt ihre bestehenden Verträge überprüfen und dort anpassen, wo sie die Anforderungen der DSGVO nicht erfüllen.

  7. Hallo! Welche Aspekte würden Sie unter Art. 28(1) DSGVO als zwingend bzw. empfehlenswert bei der Überprüfung eines Dienstleisters sehen? Vielen Dank!

  8. Ich finde diese Seite super und hilfreich. Wäre es möglich eine Einschätzung zu liefern, was für Pflichten entstehen, wenn der Empfänger kein Auftragsverarbeiter ist sondern eine Funktionsübertragung stattfindet? Bspw: muss dann der Empfänger der betroffenen Person explizit mitgeteilt werden? Muss auch ein entsprechender Vertrag zur Funktionsübertragung abgeschlossen werden?

    • Alles kann, nichts muss. Gesetzlich ist ein Vertrag nicht erforderlich. Es kann aber in Einzelfällen sinnvoll sein, seine Dienstleister vertraglich zu binden und die dortige Datenverarbeitung bei Funktionsübertragung durch entsprechende Verträge analog zur Auftragsverarbeitung zu regeln.

  9. Mit der eben erschienenen 52. Ergänzungslieferung (Stand März 2017) hat nun der Datenschutz-Kommentar im Boorberg-Verlag, Bergmann/Möhrle/Herb, als Anlage 2 zu Art. 28 EU-DS-GVO einen Mustervertrag herausgebracht. Der Mustervertrag ist aber nur in Papierform und auch noch nicht auf der CD-ROM des Kommentars erhältlich.
    PS: Anlage 1 zu Art. 28 ist eine interessante Zusammenstellung aller Regelungen, die für einen Auftragsverarbeiter geltend.

  10. Guten Tag, erst einmal – die Newsletter hier inkl. Beiträge sind wirklich hilfreich und dienen der Orientierung. Meine Frag nun: In Bezug auf ADV-Verträge bekomme ich die Abgrenzung noch nicht ganz hin: Wenn unser Website-Administrator bzw. Programmierer im Hinblick auf die technische Pflege der Seite einen Zugang hat, mit dem er auch in den Bereich der Personen bezogenen Daten kommt – was im Verfahrensverzeichnis festgehalten ist – jedoch nicht im Sinne der Datenverarbeitung einen Auftrag erhält – muss dann ein ADV-Vertrag aufgesetzt werden?

    • Wir verweisen auf das Kurzpapier Nr. 13 der unabhängigen Datenschutzbehörden des Bundes und der Länder zur Auftragsverarbeitung:

      „Ist Gegenstand des Vertrages zwischen Verantwortlichem und Auftragsverarbeiter die IT-Wartung oder Fernwartung (z.B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers) und besteht in diesem Rahmen für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich im Hinblick auf die weite Definition einer Verarbeitung in Art. 4 Nr. 2 DSGVO (z. B. Auslesen, Abfragen, Verwenden) ebenfalls um eine Form oder Teiltätigkeit einer Auftragsverarbeitung und die Anforderungen des Art. 28 DSGVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen.“

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.