Datenschutz-Grundverordnung: Auftragsdatenverarbeitung
Am 25. Mai 2018 ist die neue EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Zum gleichen Zeitpunkt tritt das parallel geltende neue Bundesdatenschutzgesetz (BSDG n. F.) in Kraft, in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat. In diesem Praxiswissen informieren wir Sie detailliert über die Vorschriften bezüglich der Verarbeitung von Auftragsdaten im Hinblick auf die neuen Vorgaben.
Vorbemerkung
Zum 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Seitdem gilt parallel auch das neue Bundesdatenschutzgesetz (BSDG n. F.), in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat.
Hierdurch ergeben sich vielfältige neue Anforderungen in Bezug auf alle datenschutzrechtlichen Aspekte, insbesondere im Rahmen der Verarbeitung personenbezogener Daten. Betroffen sind nicht nur der Umgang mit Kunden- und Arbeitnehmerdaten((GENDERNOTICE)), sondern z. B. auch die technischen Aspekte der Datensicherheit.
Die Arbeitsgruppe Datenschutz des HDE hat daher zu den einzelnen Themenfeldern Merkblätter erarbeitet, die wir Ihnen – gesondert für jedes Thema – zur Verfügung stellen. Die Hinweise in den Merkblättern spiegeln die Diskussionen in der Arbeitsgruppe wider, in die auch die derzeit verfügbaren Kommentierungen zur DS-GVO eingeflossen sind. Viele Auslegungsfragen des neuen Datenschutzrechts werden höchstrichterlich allerdings erst im Laufe der nächsten Jahre geklärt werden.
Bitte melden Sie sich an, um den vollständigen Artikel zu sehen.
Sie sind noch kein HBE-Mitglied?
Oder Sie sind bereits HBE-Mitglied, haben aber noch keinen Zugang?
Auftragsdatenverarbeitung (Art. 28, ErwGr 81)
| Inhalt (grob) | Die Verarbeitung personenbezogener Daten kann auf Auftragsverarbeiter übertragen werden | 1.4 |
|---|---|---|
| Sanktionen bei Verstoß | Geldbuße bis zu 20 Mio. EUR oder bis 4 % des gesamten weltweit erzielten Jahresumsatzes sowie behördliche Maßnahmen und ggf. Strafbarkeit (können sowohl gegen Verantwortlichen als auch Auftragsverarbeiter verhängt werden) | 2.4 |
| Thema | Auftragsdatenverarbeitung | Rechtsgrundlage |
| Voraussetzungen | Auftragsverarbeiter darf nur auf Weisung des Verantwortlichen handeln. Sofern weisungsfrei personenbezogene Daten durch einen Dienstleister verarbeitet werden, liegt keine Auftragsdatenverarbeitung vor. Dann ist allein der Dienstleister für dessen Datenverarbeitung verantwortlich. | Art. 29 |
| Zusammenarbeit nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien, auch im Falle der Unterbeauftragung, nachzuweisen. | Art. 28 (1),(5) | |
| Unteraufträge bedürfen der schriftlichen Genehmigung des Verantwortlichen. Es kann auch eine allgemeine schriftliche Genehmigung erteilt werden. Dann muss der Auftragsverarbeiter den Verantwortlichen über etwaige Unteraufträge informieren, der Verantwortliche kann Einspruch gegen die Unterbeauftragung einlegen. | Art. 28 (2), (4) | |
| Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Der Vertrag oder das andere Rechtsinstrument ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann. | Art. 28 (3), (9) | |
| Auftragsverarbeitungen können auch durch Standardvertragsklauseln geregelt werden. | Art. 28 (6), (7),(8) | |
| Regelungsinhalte | Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, Ausnahme: Er ist aufgrund rechtlicher Bestimmungen zur Verarbeitung verpflichtet (dann Informationspflicht gegenüber dem Verantwortlichen); | Art. 28 (3) (a) |
| Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (neu); die arbeitsrechtliche Verschwiegenheitspflicht wird nach derzeit herrschender Meinung in der Regel als ausreichend angesehen; | Art. 28 (3) (b) | |
| Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen, um ein angemessenes Schutzniveau zu gewährleisten; | Art. 28 (3) (c), Art. 32 | |
| Unteraufträge unterliegen den gleichen Voraussetzungen wie die Hauptaufträge und bedürfen der schriftlichen Genehmigung des Verantwortlichen; | Art. 28 (3) (d) | |
| Auftragsverarbeiter unterstützt Verantwortlichen bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Person gem. Art. 12 ff. DS-GVO nachzukommen (neu); | Art. 28 (3) (e) | |
| Auftragsverarbeiter unterstützt Verantwortlichen bei der Wahrnehmung seiner Pflichten aus Art. 32-36 DSGVO (technisch und organisatorische Maßnahmen, Meldungen von Datenschutzverstößen, Benachrichtigung der betroffenen Personen, Datenschutzfolgenabschätzungen) (neu); | Art. 28 (3) (f) | |
| Lösch- oder Rückgabepflicht des Auftragsverarbeiters nach Ende der Erbringung der Verarbeitungsleistungen, Wahlrecht des Verantwortlichen, es sei denn, es bestehen gesetzliche Speicherpflichten; | Art. 28 (3) (g) | |
| Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der vorgenannten Pflichten zur Verfügung stellt und ermöglicht Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden. | Art. 28 (3) (h) | |
| Zusätzliche Pflichten des Auftragsverarbeiters | Mit Blick auf Art. 28 (3) (h) informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese DSGVO oder gegen andere Datenschutzbestimmungen verstößt. Weitere Pflichten | Art. 28 (3) Satz 3 |
| Bestellung eines Vertreters | Art. 27 (1) | |
| Führung eines Verfahrensverzeichnisses | Art. 30 (2) | |
| Zusammenarbeit mit der Datenschutzaufsicht | Art. 31 | |
| technische und organisatorische Maßnahmen im Sinne von Art. 32 | Art. 32 (1) | |
| Benennung eines betrieblichen Datenschutzbeauftragten | Art. 37 (1) | |
| Beachtung der Beschränkungen für den Datentransfer in Drittländer | Art. 44 | |
| Haftung | Der Auftragsverarbeiter ist für die Datenverarbeitung mitverantwortlich. Er haftet für Verstöße in seinem Pflichtenbereich. | Art. 4 Nr. 7 |
| Ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt und sich dadurch wie ein Verantwortlicher geriert, haftet zusätzlich zu der Haftung als Auftragsverarbeiter auch als Verantwortlicher | Art. 28 (10) | |
| Unteraufträge: Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters. | Art. 28 (4) Satz 2 |
- Zuweisung an konkrete organisatorische Einheit (DSB oder Datenschutzmanagement)
- Liste über Auftragsdatenverarbeitungen erstellen (Bestandsaufnahme)
- Überprüfung bestehender ADV-Verträge, ggf. Neuabschluss vor dem 25.05.2018
- Anpassen/Erweitern von Mustertexten
- Sicherstellen, dass notwendige Informationen in den Fachbereichen verfügbar sind
- Auftragsverarbeiter haben zusätzliche Pflichten aus der DS-GVO zu beachten
Ihre Ansprechpartner zu diesem Thema
