I. Was ist die Auftragsverarbeitung?

Von einer Auftragsverarbeitung spricht man für gewöhnlich, wenn eine andere Stelle – bspw. ein Cloud-Dienstleister – im Auftrag eines Unternehmens personenbezogene Daten verarbeitet. Die Auslagerung des Datenverarbeitungsprozesses führt dabei für gewöhnlich nicht dazu, dass sich das Unternehmen von seiner Verantwortung loslöst. Vielmehr ist das Unternehmen weiterhin verantwortlich und hat dafür Sorge zu tragen, dass die gesetzlichen Bestimmungen eingehalten werden.

Mit Inkrafttreten der DSGVO ändern sich auch die Bestimmungen zur Auftragsverarbeitung. Der Umfang und die Tragweite der Änderungen sollen in dem nachfolgenden Beitrag skizziert werden.

Terminologie: Anstatt von „Auftragsdatenverarbeitung“ und „Auftragsnehmer“ spricht die DSGVO nunmehr von „Auftragsverarbeitung“ und „Auftragsverarbeiter“.

II. Wie ist die Auftragsverarbeitung in der DSGVO geregelt?

Die DSGVO trifft eine ganze Hand voll Regelungen zur Auftragsverarbeitung. Einige Bestimmungen werden dem einen oder anderen bereits aus dem BDSG bekannt sein. Dennoch sind einige entscheidende Änderungen zu beachten, auf die sich die Unternehmen bis zum 25. Mai 2018 einstellen sollten:

1. Privilegierung der Auftragsverarbeitung entfällt

Eine der wesentlichen Änderungen im Themenkreis der Auftragsverarbeitung ist der Wegfall der sog. Privilegierung der Auftragsverarbeitung.Wegfall

a. Wie ist die Rechtslage nach dem BDSG?

Nach dem BDSG bedarf ein Auftragnehmer keiner gesonderten gesetzlichen Erlaubnis, um personenbezogenen Daten im Auftrag zu verarbeiten. Dies liegt darin begründet, dass der Zugriff auf die von der verantwortlichen Stelle erhobenen personenbezogenen Daten des Auftraggebers keine Übermittlung i.S.d. § 3 Abs. 4 Nr. 3 BDSG darstellt. Eine solche würde nur vorliegen, wenn die personenbezogenen Daten an einen Dritten weitergegeben werden. Ausweislich § 3 Abs. 8 S. 3 BDSG ist ein Auftragnehmer jedoch gerade kein Dritter i.S.d. BDSG. Vielmehr sieht der nationale Gesetzgeber die verantwortliche Stelle und den Auftragnehmer als eine Einheit, wobei der Auftragnehmer den Weisungen der verantwortlichen Stelle unterliegt.

b. Was ändert sich mit der DSGVO?

Die DSGVO sieht eine solche Privilegierung des Auftragnehmers hingegen nicht vor. Vielmehr gelten hier die allgemeinen Bestimmungen, nach denen eine Verarbeitung – hierunter fällt auch die Übermittlung –  nur rechtmäßig ist, wenn einer der Tatbestände aus Art. 6 Abs. 1 DSGVO erfüllt ist. Jede Datenverarbeitung muss daher entweder auf einem gesetzlichen Erlaubnistatbestand oder auf einer rechtwirksamen Einwilligung beruhen.

Insofern obliegt es bis zum 28. Mai 2018 den verantwortlichen Stellen zu prüfen, ob die Übermittlung an einen Auftragnehmer künftig durch eine Rechtsnorm gedeckt ist. Dabei wird nach jetzigem Stand insbesondere Art. 6 Abs. 1 lit. f) DSGVO eine zentrale Rolle spielen, der eine Datenverarbeitung rechtfertigt, wenn sie zur Wahrung berechtigter Interessen erforderlich ist.

2. Gemeinsame Verantwortlichkeit

Mit Geltung der DSGVO wird die Haftung der datenverarbeitenden Stellen ausgeweitet. Art. 82 Abs. 2 DSGVO geht im Grundsatz davon aus, dass sowohl der Verantwortliche als auch der Auftragsverarbeiter für Schäden haften. Der Auftragsverarbeiter haftet jedoch nur dann, wenn er seinen speziell auferlegten Pflichten nicht nachgekommen ist oder gegen rechtmäßig erteilte Weisungen verstößt. Nicht verantwortlich ist der Auftragsverarbeiter hingegen dafür, ob die personenbezogenen Daten auch rechtmäßig erhoben wurden und ob die Nutzung gerechtfertigt ist.

3. Pflicht zur Führung eines Verzeichnisses

Eine weitere Neuerung im Rahmen der Auftragsverarbeitung ist die Pflicht des Auftragsverarbeiters zur Führung eines Verzeichnisses zu allen Kategorien der im Auftrag durchgeführten Verarbeitung von personenbezogenen Daten. Die konkreten Inhalte des Verzeichnisses ergeben sich aus Art. 30 Abs. 2 DSGVO. Das Verzeichnis kann elektronisch oder schriftlich geführt werden. Da es als Nachweis für die  Einhaltung der gesetzlichen Vorgaben dienen soll, empfiehlt es sich das Verzeichnis sorgsam zu führen.

4. Anforderungen an die vertragliche Ausgestaltung einer Auftragsverarbeitung

Bislang wurden durch die Regelungen des BDSG die Auftraggeber als verantwortliche Stellen angesprochen. Ihnen oblag es für die Einhaltung der gesetzlichen Pflichten und die Umsetzung geeigneter technischer und organisatorischer Maßnahmen Sorge zu tragen. Durch die DSGVO wird nunmehr auch der Auftragsverarbeiter stärker in die Pflicht genommen, was sich auch anhand der Anforderungen an die vertragliche Ausgestaltung einer Auftragsverarbeitung zeigt.

a. Wie ist die Rechtslage nach dem BDSG?

Insbesondere sind im Rahmen der vertraglichen Gestaltung Regelungen zu folgenden Themen zu treffen:

  • Gegenstand und Dauer des Auftrags, § 11 Abs. 2 Nr. 1 BDSG;
  • Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 11 Abs. 2 Nr. 2 BDSG;
  • die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen, 11 Abs. 2 Nr. 3 BDSG;
  • die Berichtigung, Löschung und Sperrung von Daten, 11 Abs. 2 Nr. 4 BDSG;
  • die nach 11 Abs. 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, § 11 Abs. 2 Nr. 5 BDSG;
  • die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 11 Abs. 2 Nr. 6 BDSG;
  • die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 11 Abs. 2 Nr. 7 BDSG;
  • mitzuteilende Verstöße des Auftragnehmers oder bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 11 Abs. 2 Nr. 8 BDSG (Meldepflichten);
  • der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 11 Abs. 2 Nr. 9 BDSG;
  • die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags, 11 Abs. 2 Nr. 10 BDSG.

b. Was ändert sich mit der DSGVO?

In der DSGVO sind die Mindestanforderungen an eine Auftragsverarbeitung in Art. 28 Abs. 3 lit. a) – h) DSGVO normiert. Eine wesentliche Änderung im Vergleich zu den Vorgaben des BDSG ist, dass die Datenverarbeitung nicht mehr zwingend auf Grundlage eines Vertrages zu erfolgen hat. Vielmehr können nunmehr auch andere Rechtsinstrumente, wie bspw. eine einseitig bindende Verpflichtungserklärung eine Grundlage bilden. Zudem besteht nach Art. 28 Abs. 9 DSGVO auch die Möglichkeit den Vertrag in einem elektronischen Format zu schließen. Das bislang geltende Schriftformerfordernis wird somit aufgehoben.

Darüber hinaus ergeben sich folgende Mindestanforderungen, die im Rahmen der Auftragsverarbeitung zu beachten sind:

  • Personenbezogene Daten sind nur auf Grundlage einer dokumentierten Weisung des Verantwortlichen zu verarbeiten, sofern ein anderer Erlaubnistatbestand den Auftragsverarbeiter hierzu nicht ermächtigt, 28 Abs. 3 lit. a) DSGVO ;
  • Gewährleistung, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, 28 Abs. 3 lit. b) DSGVO;
  • die nach 32 DSGVO (Sicherheit der Verarbeitung) erforderlichen Maßnahmen ergriffen werden, Art. 28 Abs. 3 lit. c) DSGVO;
  • die in 28 Abs. 2 und 4 genannten Bedingungen (Unterauftragsverhältnis) für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters enthält, Art. 28 Abs. 3 lit. d) DSGVO;
  • angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, die Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte, Art. 28 Abs. 3 lit. e) DSGVO;
  • unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten (Sicherheit von personenbezogenen Daten) unterstützt, 28 Abs. 3 lit. f) DSGVO;
  • nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht, 28 Abs. 3 lit. g) DSGVO;
  • dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der dem Auftragsverarbeiter obliegenden Pflichten zur Verfügung stellt und Überprüfungen durch den Verantwortlichen oder von diesem beauftragten Prüfer ermöglicht und dazu beiträgt, 28 Abs. 3 lit. h) DSGVO;

Augenscheinlich greift Art. 28 DSGVO eine Vielzahl der Anforderungen des § 11 Abs. 2 BDSG auf. Gleichwohl werden die Pflichten des Auftragnehmers an einigen Stellen ausgeweitet. Zu nennen sind dabei insbesondere die explizite Pflicht zur Dokumentation von Weisungen und die Unterstützung des Verantwortlichen bei der Gewährleistung der Sicherheit von personenbezogenen Daten.

Darüber hinaus ist hervorzuheben, dass die Beauftragung von Subunternehmern nunmehr von der expliziten vorherigen Zustimmung des Verantwortlichen abhängig ist, Art. 28 Abs. 2 DSGVO. Das BDSG verlangte demgegenüber lediglich eine vertragliche Regelung zur Begründung eines Unterauftragsverhältnisses, ohne dass es einer expliziten Zustimmung bedurfte.

III. Fazit

Die Vorgaben greifen weite Teile der Regelungen des BDSG auf. Der Teufel steckt aber auch hier im Detail. Unternehmen sollten daher mit Blick auf ihr Geschäftsmodell und den Anforderungen der DSGVO prüfen, ob konkreter Anpassungsbedarf besteht.

Insbesondere auf Seiten der Auftragsverarbeiter entsteht mit der DSGVO aufgrund der erhöhten Dokumentationspflichten ein hoher Verwaltungsaufwand. Dieser sollte angesichts der deutlich angestiegenen Haftungsrisiken auch nicht vernachlässigt werden.

Brauchen Sie Unterstützung bei der Umsetzung der DSGVO oder stellen sich ihrerseits weitere Fragen? Gerne können Sie sich per Kontaktformular, XING-Profil oder per Telefon an mich wenden.