Aus Auftragsdatenverarbeitung BDSG wird Auftragsverarbeitung DSGVO
Nach Art. 4 Nr. 8 DSGVO bezeichnet der Ausdruck: „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Wie bisher (§ 3 Abs. 8 BDSG) ist der Auftragsverarbeiter nach Art. 4 Nr. 10 DSGVO nicht Dritter. Ob er aber auch weiterhin als „Privilegierter“ gilt und die Übermittlung von Daten keiner weiteren datenschutzrechtlichen Legitimation bedarf, wird in der Literatur unterschiedlich ausgelegt und muss noch geklärt werden.
Eine Auftragsverarbeitung kann nach DSGVO, im Gegensatz zum BDSG, auch außerhalb des EU-/EWG-Raums stattfinden.
Statt § 11 BDSG künftig Art. 28 DSGVO
Vertrag zur Auftragsverarbeitung
Die vertragliche Regelung zwischen Auftragsverarbeiter und dem für die Verarbeitung Verantwortlichen kann nach Art. 28 Abs. 9 DSGVO entweder schriftlich oder –neu- auch in einem elektronischen Format erfolgen.
Nach Art. 28 Abs. 3 DSGVO sind in der vertraglichen Regelung Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt und sieht insbesondere vor, dass der Auftragsverarbeiter
- die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;
- gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
- alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;
- die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;
- angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;
- unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt;
- nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht,
- dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.
Weitere Auftragsverarbeiter als Subunternehmer
Der Auftragsverarbeiter darf weitere Auftragsverarbeiter (Subunternehmer) zur Auftragserfüllung nur mit gesonderter oder allgemeiner schriftlicher Genehmigung des Verantwortlichen einsetzen. Im Fall der allgemeinen schriftlichen Genehmigung muss der Verantwortliche immer über jede beabsichtigte Änderung eines Subunternehmers (Hinzuziehung oder Ersetzung) informiert werden und kann bei Bedarf Einspruch erheben.
Haftung bei Datenschutzverstößen
Bisher haftete nur der Auftraggeber als verantwortliche Stelle gegenüber der betroffenen Person. Art. 82 Abs. 1 DSGVO nimmt nun auch den Auftragsverarbeiter gegenüber der betroffenen Person in die Verantwortung, aber nur, „wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.“ Art. 82 Abs. 2 DSGVO.
Sowohl dem Verantwortlichen als auch dem Auftragsverarbeiter drohen bei Verstößen Bußgelder von bis zu 10 Millionen Euro beziehungsweise bis zu 2 % des gesamten im vorangegangenen Jahr weltweit erzielten Jahresumsatzes.
Verzeichnis über die Verarbeitungstätigkeiten
Nach Art. 30 Abs. 2 DSGVO muss nun -neu- der Auftragsverarbeiter ein Verzeichnis von Verarbeitungstätigkeiten für alle Kategorien von im Auftrag eines verantwortlichen durchgeführten Tätigkeiten der Verarbeitung führen.
Da die DSGVO ab 25.05.2018 ohne Übergangsfrist mit paralleler Geltung des alten und des neuen Rechts gilt, sollten Unternehmen bereits jetzt damit beginnen, ihre Auftragsdatenverarbeitungen an die Datenschutz-Grundverordnung anzupassen.
Michael Fortenbacher, xDSB Datenschutz Karlsruhe