Auftragsverarbeitung Datenschutzkonforme Verarbeitung ADV-Vertrag Datenschutzgrundverordnung DMS

DSGVO und Verarbeitung im Auftrag

20 Juli 2017 Daniel Rink 40 Minuten Lesezeit

Wir stellen immer wieder fest, dass Unternehmen sich nicht sicher sind, was in Bezug auf die Auftragsdatenverarbeitung nach der DSGVO zu tun ist. Nun, die erste Antwort ist, die Änderungen sind gering, wenn Sie schon vorher mit rechtskonformen ADV-Verträgen gearbeitet haben. Soviel zur guten Nachricht. Die schlechte ist, Sie müssen die "kleinen" Anpassungen aber vornehmen. Bleibt die bloße Vereinbarung hinter den Anforderungen der DSGVO zurück, so liegt eine Ordnungswidrigkeit nach Art. 83 Abs. 4 DSGVO vor, die mit einem Bußgeld von 10 Mio EUR oder 2 % des gesamten weltweit erzielten Jahresumsatzes geahndet werden kann.

Was ist nochmal eine Auftragsverarbeitung?

Auftragsverarbeitung klingt altmodisch. Kaum verwunderlich also, dass das Thema gerne einmal vergessen wird. Allerdings wird in fast jedem Unternehmen Auftragsverarbeitung genutzt. Was das ist?
Gemeint ist folgende Konstellation: Sie lassen durch einen Dritten (also meistens ein Unternehmen) personenbezogene Date verarbeiten. Das klingt sehr theoretisch. Gemeint sind folgende Anwendungsfälle: sie nutzen ein externes Rechenzentrum zur Speicherung von Daten, Sie nutzen Cloud-Dienste oder lassen Ihre Personalabrechnung durch einen Dritten durchführen. In all diesen Fällen liegt eine Verarbeitung im Auftrag vor.

Im Ergebnis handelt es sich um eine Privilegierung des Gesetzgebers. Normalerweise würden Sie eine Einwilligung des Betroffenen benötigen, um die Daten an den Auftragsverarbeiter weiterzugeben. Wenn Sie die Anforderungen, die an eine Auftragsverarbeitung gestellt werden, erfüllen, so benötigen Sie diese Einwilligung nicht.

Was passiert mit bereits abgeschlossenen Auftragsverarbeitungsverträgen?

Zunächst prima, dass Sie sich bereits mit der Themtik auseinandergesetzt haben. In unserer Beratungspraxis erleben wir häufig, dass dieses Thema gar nicht bzw. nur sehr rudimentär angegangen wird. Sie sollen auch belohnt werden - die alten Verträge bleiben natürlich wirksam. Wir empfehlen daher den Abschluss eienr entsprechenden Ergänzungsvereinbarung.

Was muss in eine Ergänzungsvereinbarung?

  • Regeln Sie den Einsatz von (bestimmten) Subunternehmern, sowie ein entpsrechendes Genehmigungserforderniss nach Art. 28 Abs. 2-4 DSGVO einschließlich Einräumung eines Genehimgigungserfordernisses für den Verantwortlichen

  • Es muss eine Verpflichtung über die Maßnahmen zur Sicherheit der Verarbeitung nach Art. 32 DSGVO aufgenommen werden. Zu berücksichtigen ist, dass die DSGVO hier einen risikobasierenden Ansatz vorschreibt

  • Unterstützung des Verantwortlichen bei der Erfüllung von Ansprüchen von Betroffenen (Denken Sie auch an das neue Recht auf Datenportabilität!)

  • Mitwirkungspflichten bei der Erfüllung von neu geregelten Meldepflichten insbesondere der Meldung von Datenschutzverstößen

  • Mitwirkung an Datenschutz-Folgeabschätzungen und vorherige Konsultationen mit Aufsichtsbehörden.

Endlich auch in elektronischer Form

Das wird gerade Auftragsverarbeiter freuen: der Abschluss eines Auftragsverarbeitungsvertrages kann nach Art. 28 Abs. 9 DSGVO auch in elektronischer Form erfolgen.

Hilfe ich bin Auftragsverarbeiter

Erweitere Pflicht

Während das BDSG vorsieht, dass ausschließlich der Auftraggeber für den outgesourcten Datenverarbeitungsprozess verantwortlich ist, wird durch die DSGVO der Auftragnehmer für die Verarbeitung der Daten "mitverantwortlich" gemacht.

Haftung gegenüber dem Betroffenen

Anders als im BDSG kann ein Betroffener den Auftragsverarbeiter nach Art. 82 DSGVO auch direkt in Anspruch nehmen.

Damit haften der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter gegenüber dem Betroffenen gemeinsam

Haftung wie ein Verantwortlicher

Daneben wird ein Auftragsverarbeiter, der __gegen die Pflicht zur weisungsgebundenen Verarbeitung verstößt in Bezug auf diese Verarbeitung wie ein Verantwortlicher - und das mit allen rechtlichen Konsequenzen.

Führen Sie spezielle Verzeichnisse von Verarbeitungstätigkeiten

Auch müssen Sie ein spezielles (speziell nur, weil es nicht so umfangreich ist) Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO führen. Denken Sie daran, dass dies bei Anfragen von Aufsichtsbehörden oder Audits vorgelegt werden muss (vgl. insoweit Art. 32 DSGVO).

Überblick über die weiteren (versteckten) Pflichten eines Auftragsverarbeiters

  • Art. 27 Abs. 1 DSGVO: Pflicht zur Bestellung eines „Repräsentanten“
  • Art. 30 Abs. 2 DSGVO: Führung von Verfahrensverzeichnissen
  • Art. 31 DSGVO: Zusammenarbeit mit der Datenschutzaufsicht
  • Art. 32 Abs. 1 DSGVO: Technischen und organisatorischen Maßnahmen der Datensicherheit
  • Art. 37 Abs. 1 DSGVO: Bestellung eines betrieblichen Datenschutzbeauftragten
  • Art. 44 DSGVO: Beschränkungen für den Datentransfer in Drittländer
Zur Übersicht