Auftragsverarbeitung

Auftragsverarbeitung nach DS-GVO

 

Die Auftragsverarbeitung nach der DS-GVO ist im Datenschutz keine neue Erfindung. Die bisherige Vorschrift gem. § 11 BDSG ist ihnen sicherlich unter der Bezeichnung Auftragsdatenverwaltung bekannt. Die neue Bezeichnung lautet nun Auftragsverarbeitung und ist in Art. 28 DS-GVO  geregelt. Es hat sich jedoch nicht nur der Name verändert. Es gibt einige neue Regelungen in der DS-GVO zu beachten.

 

Auftragsverarbeitung-Göttingen

 

Was ist eine Auftragsverarbeitung ?

 

Es handelt sich um eine Auftragsverarbeitung, wenn personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet werden. Hierbei ist zu beachten, dass die Verantwortung für die Rechtmäßigkeit der Verarbeitung weiterhin beim Verantwortlichen (also Auftraggeber) bleibt.

Eine Auftragsverarbeitung findet man nahezu in jedem Unternehmen. Aber in vielen Fällen ist der Unternehmensleitung gar nicht bekannt, dass es sich um eine solche handelt und das hier spezielle Datenschutzvorschriften zu beachten sind. In diesem Fall ist ein Vertrag gem. Art. 28 Abs. 3 DS-GVO zu schließen, welcher die Rechte und Pflichten der Auftragsverarbeitung regelt. Auch bei der Auswahl des Auftragverarbeiters trifft den Verantwortlichen die Pflicht, nur Auftragsverarbeiter auszuwählen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Vorschriften der DS-GVO eingehalten werden (vgl. Art. 28 Abs. 1 DS-GVO).

Der Auftragsverarbeiter verarbeitet die übergebenen Daten nur auf Anweisung des Auftraggebers (vgl. Art. 29 DS-GVO). Bei einer Verarbeitung, welche gegen die Weisungen des Verantwortlichen verstößt, haftet der Auftragsverarbeiter (vgl. Art. 28 Abs. 10 DS-GVO).

Die Einbindung eines weiteren Auftragsverarbeiters ist nur mit Genehmigung des Verantwortlichen zulässig. In diesem Fall gelten die gleichen datenschutzrechtlichen Pflichten wie zwischen dem Verantwortlichen und dem ersten Auftragsverarbeiter.

Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters (vgl. Art. 28 Abs. 4 Satz 2 DS-GVO).

Mit Inkrafttreten der DS-GVO ist auch der Auftragsverarbeiter verpflichtet ein Verzeichnis der Verarbeitungstätigkeiten zu führen (vgl. Art. 30 DS-GVO).

 

Folgen fehlerhafter Auftragsverarbeitung

 

Mit Inkrafttreten der DS-GVO könnten diejenigen Unternehmen erhebliche Probleme bekommen, welche sich bisher nicht intensiv mit der Auftragsverarbeitung beschäftigt haben. Ein Verstoß gegen die Vorschriften des Art. 28 DS-GVO können von den Aufsichtsbehörden mit Geldbußen von bis zu 10.000.000 Euro geahndet werden (Art. 83 Abs. 4 DS-GVO). Weiterhin wäre es möglich, dass die Betroffenen, deren Daten in diesem Fall ohne Rechtsgrundlage an Dritte weitergeleitet wurden, einen Anspruch auf Schadenersatz gem. Art. 82 DS-GVO haben könnten.

Somit sollte man als Unternehmen alle Verarbeitungen dahingehend überprüfen, inwieweit es sich hier um eine Auftragsverarbeitung handeln könnte. In größeren Unternehmen macht es durchaus Sinn, hierfür eine Projektgruppe einzurichten, da viele Auftragsverarbeitungen nicht sofort offensichtlich sind.

Beispiele für Auftragsverarbeitungen, welche oft vorhanden sind:

  • Externe Lohn- und Gehaltsabrechnung
  • Fernwartung der IT (mit Zugriff auf personenbezogene Daten)
  • Externe Verarbeitung von Kundendaten (Callcenter, Marketing…)

Oft ist es schwierig hier eine genaue Abgrenzung zu finden, ob es sich um eine Auftragsverarbeitung handelt oder nicht. Eine Auftragsverarbeitung liegt immer dann vor, wenn die fragliche Tätigkeit im Schwerpunkt eine Verarbeitung von Daten darstellt. Hierzu hat auch das Bayerische Landesamt für Datenschutzaufsicht eine sehr gelungene Übersicht erstellt.

 

Auftragsverarbeitung-Datenschutz-Göttingen2

 

Zu den Auftragsverarbeitungen gehören auch Verarbeitungen, an welche man nicht sofort in diesem Zusammenhang denken würde. Versenden sie beispielsweise regelmäßig Newsletter ihres Unternehmens? Dann besteht die Möglichkeit, dass sie einen Maildienst verwenden. Hier werden Kundendaten an einen externen Anbieter übermittelt, d.h. es besteht eine Auftragsverarbeitung. Wenn sich dieser Anbieter auch noch außerhalb der EU befindet (z.B. USA), dann besteht ein weiteres Problem, da es sich um eine Datenübermittlung außerhalb der EU handelt. In diesem Fall sind die Vorschriften der Art. 44 ff DS-GVO zu beachten. Dies wird jedoch noch in einem gesonderten Beitrag behandelt werden.

 

Verträge zur Auftragsverarbeitung

 

Es ist ein wenig Aufwand notwendig, um die neuen Datenschutzvorschriften umzusetzen. Man muss jedoch auch in diesem Bereich des Datenschutzes das Rad nicht neu erfinden. Man findet Musterverträge im Internet, so z.B. auf den Webseiten der Aufsichtsbehörden. Selbstverständlich müssen diese an die individuellen Gegebenheiten des jeweiligen Unternehmens angepasst werden. In größeren Unternehmen kann dies einen erheblichen Aufwand verursachen.

Sollte ein Auftragnehmer sich weigern einen derartigen Vertrag abzuschließen, ist eine rechtmäßige Verarbeitung der personenbezogenen Daten gem. DS-GVO nicht mehr gegeben. In diesem Fall sollte man sich nach einem neuen Auftragsverarbeiter umsehen, da es sicherlich einen Grund dafür gibt, wenn sich ein Anbieter weigert, einen Vertrag über eine datenschutzgerechte Verarbeitung abzuschließen.

 

Fazit

 

Die Auftragsverarbeitung gehört sicherlich nicht zu den kompliziertesten Bereichen der DS-GVO, aber es handelt sich definitiv um einen sehr wichtigen Teilbereich des Datenschutzes. Zum einen drohen erhebliche Bußgelder bei einem Verstoß und zum anderen würde der Ruf des Unternehmens einen enormen Schaden erleiden, wenn Datenschutzpannen infolge eines leichtfertigen Verstoßes gegen Datenschutzgesetze erfolgen.