Auftragsverarbeitung unter der EU-DSGVO – was ändert sich?

Franziska Ladiges - 05. Juli 2017 - IT

Neben vielen anderen Gebieten wird in Art, 28 ff. EUDSGVO auch die Auftragsverarbeitung (bisher Auftragsdatenverarbeitung) europaweit einheitlich geregelt. Die neuen Regelungen orientieren sich inhaltlich weitgehend an dem in Deutschland bekannten § 11 BDSG. Dennoch gibt es einige Änderungen, welche Unternehmen ab Mai 2018 beachten müssen. Die genauen Inhalte möchten wir Ihnen in diesem Teil unserer Beitragsreihe zur EU-DSGVO kurz vorstellen.

Zuerst fallen die sprachlichen Neuerungen in der EUDSGVO auf. Statt von Auftragsdatenverarbeiter/Auftragnehmer und verantwortlicher Stelle/Auftragnehmer spricht die EU-DSGVO nur noch von Auftragsverarbeiter und dem für die Verarbeitung Verantwortlichen. Dies sind allerdings nur formale Änderungen, welche keinerlei Auswirkungen auf die rechtliche Einordnung haben.

Anstatt zur Funktionsübertragung muss die Auftragsverarbeitung zukünftig von der sog. „Joint Control“ unterschieden werden. Hierbei legen zwei oder mehrere Verantwortliche die Zwecke und Mittel zur Verarbeitung personenbezogener Daten gleichberechtigt und gemeinsam transparent fest. Bei diesem Modell, das dem BDSG unbekannt ist, kann die betroffene Person ihre Rechte gegenüber jedem für die Verarbeitung Verantwortlichen geltend machen.

Vergleichbar zur bisherigen Rechtslage zeichnet die Auftragsverarbeitung aus, dass personenbezogene Daten durch den Auftragsverarbeiter nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeitet werden dürfen. Verarbeitet der Auftragsverarbeiter entgegen dieser Regelung personenbezogene Daten im eigenen Interesse, indem er zum Beispiel den Zweck der Verarbeitung selbst bestimmt, wird er nach der EU-DSGVO selbst zum Verantwortlichen. Weisungen sollten daher zukünftig schriftlich zu Nachweiszwecken dokumentiert werden.

Wie bisher ist zudem eine vertragliche Regelung zwischen den Parteien erforderlich. Der Vertrag kann zukünftig sowohl schriftlich als auch in einem elektronischen Format abgeschlossen werden. Wichtig ist für beide Seiten jedoch die Nachweisbarkeit der Vereinbarungen, sodass sichergestellt werden muss, dass auf die vertraglichen Regelungen jederzeit zugegriffen werden kann.

Ferner muss der Auftragsverarbeiter wie bislang durch den für die Verarbeitung Verantwortlichen sorgfältig und unter besonderer Berücksichtigung der technischen und organisatorischen Maßnahmen ausgewählt werden. Als Beleg solcher Garantien nennt die EU-DSGVO ausdrücklich genehmigte Verhaltensregeln des Auftragsverarbeiters oder Zertifizierungen EU-DSGVO.

Auch die in der EU-DSGVO definierten inhaltlichen Anforderungen an einen Vertrag zur Auftragsverarbeitung orientieren sich sehr stark an den in Deutschland bereits bekannten Punkten. Ein wichtiger Bestandteil wird vor allem die Darstellung der erforderlichen Maßnahmen zur Datensicherheit der Verarbeitung. Vor allem in diesem Bereich waren viele Verträge bislang mangelhaft. 

Neu in diesem Zusammenhang ist jedoch, dass die EUDSGVO jeweils die EU-Kommission und (im Einklang mit dem Kohärenzverfahren) jede Aufsichtsbehörde ermächtigt, Standardvertragsklauseln für die Vertragsregelungen zwischen Verantwortlichen und Auftragsverarbeitern festzulegen. Wie schnell solche Standardvertragsklauseln geschaffen werden, ist derzeit allerdings nicht abzusehen und Unternehmen sollten nicht auf diese „Standardklauseln“ warten. Vielmehr sind schon neue Vertragsmuster zu entwickeln und in die vertragliche Beziehung zwischen den Parteien einzubinden.


Mehr Verantwortung und erhöhte Pflichten für Auftragsverarbeiter

Eine für die Praxis relevante Neuerung ist, dass die EUDSGVO keine Beschränkung der Privilegierung der Auftragsverarbeitung auf den EU-/EWR-Raum mehr enthält. Damit kann die Auftragsverarbeitung zukünftig auch außerhalb der EU/EWR als Grundlage für die Datenverarbeitung herangezogen werden. Allerdings legt die EUDSGVO Auftragsverarbeitern zukünftig mehr Verantwortung und stark erhöhte Pflichten auf. Hierauf müssen Auftragsverarbeiter vorbereitet sein. 

So müssen künftig auch Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen, die sie für den für die Verarbeitung Verantwortlichen durchführen. Dieses muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden. Will der Auftragsverarbeiter Subunternehmen als weitere Auftragsverarbeiter bei der Erbringung der vereinbarten Dienstleistung einsetzen, so bedarf dies zwingend der vorherigen (schriftlichen oder elektronischen) Genehmigung durch den Verantwortlichen. Diese Regelung ist zwar nicht komplett neu, jedoch wird auch diese Regelungen in vielen bestehenden Verträgen nicht „gelebt“.

Daneben bestehen die bekannten Meldepflichten aus dem BDSG grundsätzlich fort. Demnach muss ein Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten nach Bekanntwerden unverzüglich dem Verantwortlichen melden. Dieser muss wiederum unter Umständen die Datenschutzverletzung an die Aufsichtsbehörde melden. 


Schärfere Haftungsregeln 

Grundsätzlich wird auch künftig der für die Verarbeitung Verantwortliche und nicht der Auftragsverarbeiter erster Ansprechpartner für betroffene Personen und für die Einhaltung der datenschutzrechtlichen Vorgaben sein. Anders als im BDSG jedoch, wo gegenüber den Betroffenen nur eine Haftung des Auftraggebers auf Schadensersatz vorgesehen ist, finden sich in der EU-DSGVO für Auftragsverarbeiter schärfere Haftungsregeln. Grundsätzlich haften der Verantwortliche und der Auftragsverarbeiter gegenüber den betroffenen Personen gemeinsam. Beiden Parteien steht die Möglichkeit der Exkulpation zur Verfügung. Dazu müssen sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.

Bei Verstößen gegen die Verpflichtungen zur Auftragsverarbeitung drohen beiden Parteien Geldbußen in Höhe von bis zu zehn Millionen Euro oder zwei Prozent des gesamten weltweit erzielten Jahresumsatzes, je nachdem welcher Betrag höher ist. Dies ist eine empfindliche Verschärfung. Unternehmen sollten daher ein besonderes Augenmerk auf eine rechtskonforme Ausgestaltung legen und bereits jetzt ihre bestehenden Verträge zur Auftragsverarbeitung anpassen. Neu abzuschließende Verträge sollten fortan die künftige Rechtslage berücksichtigen.

Im nächsten Beitrag in dieser Reihe werden wir über die Neuerungen beim Drittlandtransfer berichten.


Über die Autorin: 

Franziska Ladiges berät IT-Dienstleister sowie IT-Anwender in den Bereichen der Vertragsgestaltung und Konfliktbewältigung. Weitere Schwerpunkte ihrer Tätigkeit sind das Internet-Recht und das Datenschutzrecht. Hier berät Franziska Ladiges bei der rechtswirksamen Gestaltung des Internetauftritts, bei der Umsetzung des Verbraucherschutzes und Maßnahmen zur Sicherstellung einer wirksamen Datenschutz-Compliance. Daneben betreut sie Mandanten in allen Fragen des Prozessrechts und vertritt diese in gerichtlichen Auseinandersetzungen.

Frau Ladiges steht Ihnen für Fragen gerne persönlich zur Verfügung unter: Tel.: +49 69 63 00 01-0, E-Mail: f.ladiges@skwschwarz.de, SKW Schwarz Rechtsanwälte, Mörfelder Landstraße 117, 60598 Frankfurt am Main


Praxisrelevante Tipps für Führungskräfte, Entscheider und Spezialisten

Archiv

2017 (20)
Dezember (1) November (1) Oktober (1) September (2) August (2) Juli (3) Juni (3) Mai (3) April (3) März (1)