20 Juli 2017 Daniel Rink 40 Minuten Lesezeit
Wir stellen immer wieder fest, dass Unternehmen sich nicht sicher sind, was in Bezug auf die Auftragsdatenverarbeitung nach der DSGVO zu tun ist. Nun, die erste Antwort ist, die Änderungen sind gering, wenn Sie schon vorher mit rechtskonformen ADV-Verträgen gearbeitet haben. Soviel zur guten Nachricht. Die schlechte ist, Sie müssen die "kleinen" Anpassungen aber vornehmen. Bleibt die bloße Vereinbarung hinter den Anforderungen der DSGVO zurück, so liegt eine Ordnungswidrigkeit nach Art. 83 Abs. 4 DSGVO vor, die mit einem Bußgeld von 10 Mio EUR oder 2 % des gesamten weltweit erzielten Jahresumsatzes geahndet werden kann.
Auftragsverarbeitung klingt altmodisch. Kaum verwunderlich also, dass das Thema gerne einmal vergessen wird. Allerdings wird in fast jedem Unternehmen Auftragsverarbeitung genutzt. Was das ist?
Gemeint ist folgende Konstellation: Sie lassen durch einen Dritten (also meistens ein Unternehmen) personenbezogene Date verarbeiten. Das klingt sehr theoretisch. Gemeint sind folgende Anwendungsfälle: sie nutzen ein externes Rechenzentrum zur Speicherung von Daten, Sie nutzen Cloud-Dienste oder lassen Ihre Personalabrechnung durch einen Dritten durchführen. In all diesen Fällen liegt eine Verarbeitung im Auftrag vor.
Im Ergebnis handelt es sich um eine Privilegierung des Gesetzgebers. Normalerweise würden Sie eine Einwilligung des Betroffenen benötigen, um die Daten an den Auftragsverarbeiter weiterzugeben. Wenn Sie die Anforderungen, die an eine Auftragsverarbeitung gestellt werden, erfüllen, so benötigen Sie diese Einwilligung nicht.
Zunächst prima, dass Sie sich bereits mit der Themtik auseinandergesetzt haben. In unserer Beratungspraxis erleben wir häufig, dass dieses Thema gar nicht bzw. nur sehr rudimentär angegangen wird. Sie sollen auch belohnt werden - die alten Verträge bleiben natürlich wirksam. Wir empfehlen daher den Abschluss eienr entsprechenden Ergänzungsvereinbarung.
Regeln Sie den Einsatz von (bestimmten) Subunternehmern, sowie ein entpsrechendes Genehmigungserforderniss nach Art. 28 Abs. 2-4 DSGVO einschließlich Einräumung eines Genehimgigungserfordernisses für den Verantwortlichen
Es muss eine Verpflichtung über die Maßnahmen zur Sicherheit der Verarbeitung nach Art. 32 DSGVO aufgenommen werden. Zu berücksichtigen ist, dass die DSGVO hier einen risikobasierenden Ansatz vorschreibt
Unterstützung des Verantwortlichen bei der Erfüllung von Ansprüchen von Betroffenen (Denken Sie auch an das neue Recht auf Datenportabilität!)
Mitwirkungspflichten bei der Erfüllung von neu geregelten Meldepflichten insbesondere der Meldung von Datenschutzverstößen
Mitwirkung an Datenschutz-Folgeabschätzungen und vorherige Konsultationen mit Aufsichtsbehörden.
Das wird gerade Auftragsverarbeiter freuen: der Abschluss eines Auftragsverarbeitungsvertrages kann nach Art. 28 Abs. 9 DSGVO auch in elektronischer Form erfolgen.
Während das BDSG vorsieht, dass ausschließlich der Auftraggeber für den outgesourcten Datenverarbeitungsprozess verantwortlich ist, wird durch die DSGVO der Auftragnehmer für die Verarbeitung der Daten "mitverantwortlich" gemacht.
Anders als im BDSG kann ein Betroffener den Auftragsverarbeiter nach Art. 82 DSGVO auch direkt in Anspruch nehmen.
Damit haften der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter gegenüber dem Betroffenen gemeinsam
Daneben wird ein Auftragsverarbeiter, der __gegen die Pflicht zur weisungsgebundenen Verarbeitung verstößt in Bezug auf diese Verarbeitung wie ein Verantwortlicher - und das mit allen rechtlichen Konsequenzen.
Auch müssen Sie ein spezielles (speziell nur, weil es nicht so umfangreich ist) Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO führen. Denken Sie daran, dass dies bei Anfragen von Aufsichtsbehörden oder Audits vorgelegt werden muss (vgl. insoweit Art. 32 DSGVO).
Überblick über die weiteren (versteckten) Pflichten eines Auftragsverarbeiters